Zero Trust bei APIs in einer vernetzten Geschäftswelt

24. Oktober 2022
| Keine Kommentare
Zero Trust bei APIs in einer vernetzten Geschäftswelt
Anzeige

Beitrag teilen

In der digitalen Ökonomie, in der Datenströme und Kundenzentrierung die Geschäftsprozesse von Unternehmen bestimmen, nehmen APIs eine entscheidende Position ein. Sie bieten Zugriff auf relevante Daten, Systeme sowie Softwarekomponenten. Dies macht sie aber auch zu einem interessanten Ziel für Hacker. Zeit für Zero trust bei APIs.

Hacker versuchen durch Attacken auf APIs und den API-Traffic Daten wie Namen, Kontonummern, E-Mail- und physische Adressen zu stehlen. Das Sichern von APIs und die Integration in eine Zero Trust-Strategie ist auf Grund ihrer Beschaffenheit für Unternehmen jedoch mit verschiedenen Herausforderungen verbunden, die ein Umdenken in ihrem Sicherheitsansatz erfordern.

Anzeige

Hacker attackieren gerne APIs

„Es ist erstaunlich, wie viele Fahrer, selbst in der Formel 1, denken, dass die Bremsen dazu da sind, das Auto zu verlangsamen.“ Mit diesem Bonmot zielte Rennfahrer Mario Andretti einst auf die Tatsache ab, dass Bremsen jenseits ihres offensichtlichen Zwecks auch dazu da sind, Neigung und Gewicht eines Autos zu kontrollieren und somit die Kurvenlage zu optimieren. Ähnlich verhält es sich mit der Durchsetzung von IT-Sicherheitsrichtlinien: Sie sollten idealerweise die zu Grunde liegenden Prozesse vervollkommnen, anstatt sie komplizierter und somit frustrierender für die Nutzer zu machen.

APIs gibt es überall dort, wo die User Journey zu beschleunigen, zu vereinfachen oder zu verbessern ist: Unter anderem beispielsweise, um die Kreditkartenzahlung in digitalen Bestellprozessen zu vollziehen, oder die Fernwartung und Aktualisierung von Geräten vorzunehmen. Dem Anspruch nach sollte Sicherheit in Anwendungsszenarien wie diesen von vornherein „mit an Bord“ sein, jedoch zeigt die Realität, dass Hacker APIs für ihre Zwecke missbrauchen. Dies geschieht immer wieder durch unzulängliche Authentifizierungs- und Autorisierungsprozesse.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

APIs ohne Authentifizierung im Einsatz

Zum Beispiel entdeckten die API-Sicherheitsexperten von Salt Security im Frühjahr vergangenen Jahres beim unter anderem für seine Traktoren bekannten Unternehmen John Deere eine API, die Hacker aufrufen konnten, um festzustellen, ob ein bestimmter Benutzername vergeben war. Die Experten automatisierten eine Anfrageroutine, mit der sie innerhalb von zwei Minuten ermitteln konnten, welche der Fortune-1000-Unternehmen John-Deere-Konten hatten, da die API weder eine Authentifizierung erforderte, noch die Zahl der Anfragen begrenzte. Rund 20 Prozent der Unternehmen hatten einen Account.

Ein weiterer API-Endpunkt ermöglichte es, eine Fahrzeugidentifikationsnummer (VIN) zu übermitteln und eine große Menge an Metadaten über das Gerät, den Eigentümer und den Standort abzurufen. VINs können die Hacker ohne weiteres von allgemeinen Auktionsseiten beziehen. Die API erforderte zwar eine Authentifizierung, aber es mangelte daran, die API-Anfragesender ordnungsgemäß zu autorisieren.

Zero Trust entlang des API-Lebenszyklus

Offenbar ist „Security by Design“ als Grundlage für Datenschutz in der IT bei APIs nur schwierig umsetzbar. Dies kann mitunter daran liegen, dass die Entwicklungsprozesse von APIs sich vorwiegend an Geschäftsvorgaben orientieren und organisatorisch von den Abläufen in IT-Security abgekoppelt sind. Verschiedene Akteure in Unternehmen entwickeln und stellen die APIs bereit, die sie für ihren Zweck brauchen. Oder sie übernehmen die Schnittstellen von anderen Unternehmen. Die Annahme, dass diese APIs an die Netzwerkinfrastruktur und somit die sie umgebende Sicherheitsstruktur angebunden seien, wiegt die Nutzer in falsche Sicherheit. Das genügt aber meistens nicht, um die Datenströme über APIs sowohl außerhalb als auch innerhalb eines Unternehmens zu schützen.

Gerade letzteres erfordert eigene Sicherheitsmaßnahmen. Denn nicht jeder Zugriff, der aus der eigenen Infrastruktur kommt, ist automatisch ein berechtigter. Um Anfragen wirklich und effizient zu kontrollieren, müssen die Sicherheitstechnologien auch Menschen, Abläufe und Zugriffsmuster einbeziehen. Darüber hinaus gilt aber immer auch der Grundsatz: Vertrauen ist gut, Kontrolle ist besser. Zero Trust verlangt daher, dass jedes Gerät und jede Verbindung bei jeder neuen Kontaktaufnahme sich authentifizieren muss, um den autorisierten Zugriff zu erhalten. Damit dies auch bei APIs zuverlässig gelingt, bedarf es Sicherheitsmaßnahmen entlang des gesamten Lebenszyklus der Schnittstellen. Damit APIs sich nicht zu Sicherheitslücken entwickeln, sollten Unternehmen die folgenden fünf Grundregeln befolgen:

  • Durchgehende Authentifizierung und Autorisierung: Die damit verbundenen Prozesse dürfen nicht nur unmittelbar an der API oder dem Gateway erfolgen. In den zugrundeliegenden Anwendungen haben sie erneut zu erfolgen.
  • Continuos Integration/Continuos Delivery-Prozesse nutzen: Entwickler sollten prüfen, wie sie Sicherheitsrichtlinien in ihre Produktionszyklen integrieren können welche Validierungsprozesse sie im Zuge dessen mit CI/CD automatisiert abwickeln können.
  • Automatisierte Sicherheitsmaßnahmen implementieren: Security-Ops-Teams sollten dafür sorgen, dass der Datenaustausch in der API-Kommunikation sowohl innerhalb der Infrastruktur als auch mit anderen Systemen während der ganzen Übertragung geschützt erfolgt. Dazu sollten die Abläufe automatisch Richtlinien durchsetzen, um etwa Daten vor dem Zugriff schützen, wo immer sie sich befinden.
  • Alles zentral erfassen: Um IT-Sicherheit und Applikationsentwicklung besser miteinander zu verzahnen, ist es unverzichtbar, alle Prozesse zu protokollieren, zu analysieren und falls erforderlich, auf Risiken zu überprüfen. Der geeignete Ort dafür ist eine zentrale Repository, in der die Verantwortlichen alle Prozesse zu jedem Zeitpunkt nachvollziehen können.
  • Zusammenarbeit mit der IT-Sicherheit: API-Entwicklerteams müssen mit IT-Sicherheitsverantwortlichen zusammenarbeiten. Gemeinsam können sie ermitteln, wie wirksam die bestehenden Maßnahmen bei möglichen API-Sicherheitsproblemen sind und diese gegebenenfalls erweitern. Zudem sollten sie verschiedene Datenverlustszenarien durchspielen und einen Notfallplan entwickeln. Unter allem Umständen ist eine Schatten-API zu verhindern, von der nur die sie verwendenden Abteilungen etwas wissen.

Transparenz schaffen und Kontrolle ausüben

Sicherheit und Datenaustausch können einen Widerspruch darstellen, und das gilt auch und gerade für APIs: Einerseits nutzen Unternehmen sie, um Prozesse aufzubrechen, ihre Strukturen zu öffnen, Abläufe für Benutzer zu vereinfachen und ihr Geschäftsmodell zu erweitern. Andererseits dürfen sie gerade dann die Kontrolle über den Datenverkehr nicht verlieren. Um beides miteinander in Einklang zu bringen, benötigen Unternehmen Transparenz. Alle Beteiligten müssen sicher sein, dass sie alle von ihnen genutzten APIs kennen und zuverlässig verwalten.

API-Gateways können sie dabei unterstützen, automatisiert alle APIs im Unternehmen zu ermitteln und Sicherheitsrichtlinien anzuwenden. Eine effektive API-Management-Lösung überwacht, wer welche APIs nutzt und warnt auch den Manager vor ungewöhnlichen oder verdächtigen Verhaltensweisen, die darauf hindeuten könnten, dass ein Unberechtigter am Werk ist. So sind auch die jeweiligen Abteilungen in die Sicherheit involviert. In Kombination mit einer zentralisierten API-Governance können Unternehmen Sicherheit in den gesamten Lebenszyklus einer APIs integrieren und sie gegen das unberechtigte Eingreifen in die Kommunikation absichern, ohne die Benutzererfahrung zu beeinträchtigen.

Mehr bei Axway.com

 

Über Axway

Axway bringt neuen Schwung in vorhandene IT-Infrastrukturen und hilft so mehr als 11.000 Kunden weltweit, auf bereits Bestehendem aufzubauen und Digitalisierung, neue Geschäftsmöglichkeiten sowie Wachstum zu erreichen. Die Amplify API Management Platform ist die einzige offene, unabhängige Plattform für die Verwaltung und Steuerung von APIs über Teams, hybride Cloud und externe Lösungen hinweg.

 

Passende Artikel zum Thema

Cyberversicherungen sind die Ausnahme

Wenn plötzlich wichtige Daten nach einem Angriff mit Schadsoftware verschwunden sind, jemand anderes sich im Internet der eigenen Identität bemächtigt ➡ Weiterlesen

Hacker: Bildungsverlag verliert wohl Terabytes an Daten

Pearson, ein weltweit führendes Unternehmen im Bildungsbereich, wurde Opfer eines Cyberangriffs, bei dem Kundendaten kompromittiert wurden. Laut verschiedener Medien sollen ➡ Weiterlesen

KMUs: Ransomware weiterhin Angreifer Nr. 1

Der neue MDR-Report wertet Incident Response Vorfälle bei KMUs - mittelständischen Unternehmen 2024 aus und zeigt, dass Angriffe mit Ransomware ➡ Weiterlesen

Moderne CIOs haben vielfältige Aufgaben

Das Rollenbild moderner CIOs hat sich deutlich gewandelt: Früher waren CIOs überwiegend für die Aufrecherhaltung des IT-Betriebs von Unternehmen zuständig. ➡ Weiterlesen

Über 130.000 Datenschutzverstöße in Europa 2024

In den 15 europäischen Nationen gab es 2024 täglich über 365 Datenschutzverstöße, so die Ergebnisse einer aktuellen Analyse. In Deutschland ➡ Weiterlesen

Leak-Seite von LockBit gehackt und Daten gestohlen

Nun wurde auch LockBit das Opfer eines anderen Hackers: Es wurde wohl nicht nur die Leak-Seite der Gruppe gehackt, sondern ➡ Weiterlesen

DDoS-Angriffe: Wichtigstes Mittel der Cyberkriegsführung

Im zweiten Halbjahr 2024 gab es weltweit insgesamt mindestens 8.911.312 DDoS-Angriffe, so die Ergebnisse eines aktuellen DDoS Threat Intelligence Reports. ➡ Weiterlesen

Cyberkriminalität: Russischsprachiger Untergrund ist führend

Ein neuer Forschungsbericht gibt einen umfassenden Einblick in den russischsprachigen Cyber-Untergrund. Dieses Ökosystem hat die weltweite Cyberkriminalität in den letzten ➡ Weiterlesen

Storys
, , , , , ,