Zero Trust bei APIs in einer vernetzten Geschäftswelt

Zero Trust bei APIs in einer vernetzten Geschäftswelt

Beitrag teilen

In der digitalen Ökonomie, in der Datenströme und Kundenzentrierung die Geschäftsprozesse von Unternehmen bestimmen, nehmen APIs eine entscheidende Position ein. Sie bieten Zugriff auf relevante Daten, Systeme sowie Softwarekomponenten. Dies macht sie aber auch zu einem interessanten Ziel für Hacker. Zeit für Zero trust bei APIs.

Hacker versuchen durch Attacken auf APIs und den API-Traffic Daten wie Namen, Kontonummern, E-Mail- und physische Adressen zu stehlen. Das Sichern von APIs und die Integration in eine Zero Trust-Strategie ist auf Grund ihrer Beschaffenheit für Unternehmen jedoch mit verschiedenen Herausforderungen verbunden, die ein Umdenken in ihrem Sicherheitsansatz erfordern.

Anzeige

Hacker attackieren gerne APIs

„Es ist erstaunlich, wie viele Fahrer, selbst in der Formel 1, denken, dass die Bremsen dazu da sind, das Auto zu verlangsamen.“ Mit diesem Bonmot zielte Rennfahrer Mario Andretti einst auf die Tatsache ab, dass Bremsen jenseits ihres offensichtlichen Zwecks auch dazu da sind, Neigung und Gewicht eines Autos zu kontrollieren und somit die Kurvenlage zu optimieren. Ähnlich verhält es sich mit der Durchsetzung von IT-Sicherheitsrichtlinien: Sie sollten idealerweise die zu Grunde liegenden Prozesse vervollkommnen, anstatt sie komplizierter und somit frustrierender für die Nutzer zu machen.

APIs gibt es überall dort, wo die User Journey zu beschleunigen, zu vereinfachen oder zu verbessern ist: Unter anderem beispielsweise, um die Kreditkartenzahlung in digitalen Bestellprozessen zu vollziehen, oder die Fernwartung und Aktualisierung von Geräten vorzunehmen. Dem Anspruch nach sollte Sicherheit in Anwendungsszenarien wie diesen von vornherein „mit an Bord“ sein, jedoch zeigt die Realität, dass Hacker APIs für ihre Zwecke missbrauchen. Dies geschieht immer wieder durch unzulängliche Authentifizierungs- und Autorisierungsprozesse.

APIs ohne Authentifizierung im Einsatz

Zum Beispiel entdeckten die API-Sicherheitsexperten von Salt Security im Frühjahr vergangenen Jahres beim unter anderem für seine Traktoren bekannten Unternehmen John Deere eine API, die Hacker aufrufen konnten, um festzustellen, ob ein bestimmter Benutzername vergeben war. Die Experten automatisierten eine Anfrageroutine, mit der sie innerhalb von zwei Minuten ermitteln konnten, welche der Fortune-1000-Unternehmen John-Deere-Konten hatten, da die API weder eine Authentifizierung erforderte, noch die Zahl der Anfragen begrenzte. Rund 20 Prozent der Unternehmen hatten einen Account.

Ein weiterer API-Endpunkt ermöglichte es, eine Fahrzeugidentifikationsnummer (VIN) zu übermitteln und eine große Menge an Metadaten über das Gerät, den Eigentümer und den Standort abzurufen. VINs können die Hacker ohne weiteres von allgemeinen Auktionsseiten beziehen. Die API erforderte zwar eine Authentifizierung, aber es mangelte daran, die API-Anfragesender ordnungsgemäß zu autorisieren.

Zero Trust entlang des API-Lebenszyklus

Offenbar ist „Security by Design“ als Grundlage für Datenschutz in der IT bei APIs nur schwierig umsetzbar. Dies kann mitunter daran liegen, dass die Entwicklungsprozesse von APIs sich vorwiegend an Geschäftsvorgaben orientieren und organisatorisch von den Abläufen in IT-Security abgekoppelt sind. Verschiedene Akteure in Unternehmen entwickeln und stellen die APIs bereit, die sie für ihren Zweck brauchen. Oder sie übernehmen die Schnittstellen von anderen Unternehmen. Die Annahme, dass diese APIs an die Netzwerkinfrastruktur und somit die sie umgebende Sicherheitsstruktur angebunden seien, wiegt die Nutzer in falsche Sicherheit. Das genügt aber meistens nicht, um die Datenströme über APIs sowohl außerhalb als auch innerhalb eines Unternehmens zu schützen.

Gerade letzteres erfordert eigene Sicherheitsmaßnahmen. Denn nicht jeder Zugriff, der aus der eigenen Infrastruktur kommt, ist automatisch ein berechtigter. Um Anfragen wirklich und effizient zu kontrollieren, müssen die Sicherheitstechnologien auch Menschen, Abläufe und Zugriffsmuster einbeziehen. Darüber hinaus gilt aber immer auch der Grundsatz: Vertrauen ist gut, Kontrolle ist besser. Zero Trust verlangt daher, dass jedes Gerät und jede Verbindung bei jeder neuen Kontaktaufnahme sich authentifizieren muss, um den autorisierten Zugriff zu erhalten. Damit dies auch bei APIs zuverlässig gelingt, bedarf es Sicherheitsmaßnahmen entlang des gesamten Lebenszyklus der Schnittstellen. Damit APIs sich nicht zu Sicherheitslücken entwickeln, sollten Unternehmen die folgenden fünf Grundregeln befolgen:

  • Durchgehende Authentifizierung und Autorisierung: Die damit verbundenen Prozesse dürfen nicht nur unmittelbar an der API oder dem Gateway erfolgen. In den zugrundeliegenden Anwendungen haben sie erneut zu erfolgen.
  • Continuos Integration/Continuos Delivery-Prozesse nutzen: Entwickler sollten prüfen, wie sie Sicherheitsrichtlinien in ihre Produktionszyklen integrieren können welche Validierungsprozesse sie im Zuge dessen mit CI/CD automatisiert abwickeln können.
  • Automatisierte Sicherheitsmaßnahmen implementieren: Security-Ops-Teams sollten dafür sorgen, dass der Datenaustausch in der API-Kommunikation sowohl innerhalb der Infrastruktur als auch mit anderen Systemen während der ganzen Übertragung geschützt erfolgt. Dazu sollten die Abläufe automatisch Richtlinien durchsetzen, um etwa Daten vor dem Zugriff schützen, wo immer sie sich befinden.
  • Alles zentral erfassen: Um IT-Sicherheit und Applikationsentwicklung besser miteinander zu verzahnen, ist es unverzichtbar, alle Prozesse zu protokollieren, zu analysieren und falls erforderlich, auf Risiken zu überprüfen. Der geeignete Ort dafür ist eine zentrale Repository, in der die Verantwortlichen alle Prozesse zu jedem Zeitpunkt nachvollziehen können.
  • Zusammenarbeit mit der IT-Sicherheit: API-Entwicklerteams müssen mit IT-Sicherheitsverantwortlichen zusammenarbeiten. Gemeinsam können sie ermitteln, wie wirksam die bestehenden Maßnahmen bei möglichen API-Sicherheitsproblemen sind und diese gegebenenfalls erweitern. Zudem sollten sie verschiedene Datenverlustszenarien durchspielen und einen Notfallplan entwickeln. Unter allem Umständen ist eine Schatten-API zu verhindern, von der nur die sie verwendenden Abteilungen etwas wissen.

Transparenz schaffen und Kontrolle ausüben

Sicherheit und Datenaustausch können einen Widerspruch darstellen, und das gilt auch und gerade für APIs: Einerseits nutzen Unternehmen sie, um Prozesse aufzubrechen, ihre Strukturen zu öffnen, Abläufe für Benutzer zu vereinfachen und ihr Geschäftsmodell zu erweitern. Andererseits dürfen sie gerade dann die Kontrolle über den Datenverkehr nicht verlieren. Um beides miteinander in Einklang zu bringen, benötigen Unternehmen Transparenz. Alle Beteiligten müssen sicher sein, dass sie alle von ihnen genutzten APIs kennen und zuverlässig verwalten.

API-Gateways können sie dabei unterstützen, automatisiert alle APIs im Unternehmen zu ermitteln und Sicherheitsrichtlinien anzuwenden. Eine effektive API-Management-Lösung überwacht, wer welche APIs nutzt und warnt auch den Manager vor ungewöhnlichen oder verdächtigen Verhaltensweisen, die darauf hindeuten könnten, dass ein Unberechtigter am Werk ist. So sind auch die jeweiligen Abteilungen in die Sicherheit involviert. In Kombination mit einer zentralisierten API-Governance können Unternehmen Sicherheit in den gesamten Lebenszyklus einer APIs integrieren und sie gegen das unberechtigte Eingreifen in die Kommunikation absichern, ohne die Benutzererfahrung zu beeinträchtigen.

Mehr bei Axway.com

 


Über Axway

Axway bringt neuen Schwung in vorhandene IT-Infrastrukturen und hilft so mehr als 11.000 Kunden weltweit, auf bereits Bestehendem aufzubauen und Digitalisierung, neue Geschäftsmöglichkeiten sowie Wachstum zu erreichen. Die Amplify API Management Platform ist die einzige offene, unabhängige Plattform für die Verwaltung und Steuerung von APIs über Teams, hybride Cloud und externe Lösungen hinweg.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen