API-Sicherheit

Q&A: Abmilderung der Risiken der API-basierten App-Entwicklung

Druckfreundlich, PDF & E-Mail

Angriffe auf APIs erfreuen sich bei Cyberkriminellen zunehmender Beliebtheit und haben derzeit Konjunktur. Deshalb ist der API-Schutz ein wichtiges Element der Anwendungssicherheit, das leider von vielen Unternehmen übersehen wird.

Tim Jefferson ist Senior Vice President für Engineering und Data Protection Product Management bei Barracuda. Wir haben ihn getroffen, um ihm einige Fragen zum Stand der Sicherheit API-basierter Anwendungen zu stellen sowie zur kürzlichen Markteinführung von Barracuda Cloud Application Protection 2.0.

Interview mit Tim Jefferson, Senior Vice President bei Barracuda

Wie funktionieren API-Angriffe und warum setzen Cyberkriminelle immer häufiger auf diese Methode?

Das hat viel damit zu tun, wie moderne Anwendungen entwickelt und bereitgestellt werden. Früher haben alle Anbieter Web-Applikationen bereitgestellt. Bei Web-Applikationen haben Benutzer keinen unmittelbaren Kontakt mit der Anwendung, da alle Interaktionen über einen Webbrowser vermittelt werden.

Jetzt stellen wir größtenteils auf API-basierte Anwendungen um. Dafür gibt es viele gute Gründe. API-basierte Anwendungen lassen sich schneller und einfacher entwickeln und bereitstellen. Sie bieten den Nutzern ein besseres Erlebnis, gerade auf mobilen Geräten, und ermöglichen Unternehmen die Erhebung aussagekräftiger Daten über das Verhalten der Nutzer.

Jede dieser neuen Anwendungen beinhaltet jedoch ihre eigene Anwendungslogik. Sie fordern per API Daten von Backend-Servern an und führen dann die Anwendungslogik auf dem Kundengerät aus, auf dem sie installiert sind – im Gegensatz zu herkömmlichen Web-Applikationen, bei denen die Anwendungslogik auf der Serverseite bleibt und die nur mit dem Browser kommunizieren. Das bedeutet, dass die Anwendungslogik bei API-basierten Anwendungen direkt öffentlich zugänglich ist.

Ist die API also nicht angemessen geschützt, können Kriminelle den API-Datenverkehr verfolgen, den Backend-Server ermitteln und nach Schwachstellen scannen, in den Server eindringen und alle dort gespeicherten sensiblen oder privaten Daten abgreifen. Und es gibt viele APIs, die nicht ausreichend geschützt sind.

Es gibt viele APIs, die nicht ausreichend geschützt sind – und Cyberkriminelle nutzen das aus #APIsecurityTwittern

Die gemeinnützige Organisation Open Web Application Security Project (OWASP) veröffentlicht inzwischen eine Liste der zehn wichtigsten Bedrohungen für APIs. Welche Bedrohung beinhaltet die Liste und warum ist es bedeutsam, dass sich die OWASP zur Veröffentlichung dieser Liste entschlossen hat?

Wie Sie wissen, ist die OWASP eine anerkannte Autorität in Bezug auf aktuelle Bedrohungen der Anwendungsschicht und deren Auswirkungen. Die Top-10-Liste der OWASP für Anwendungsbedrohungen gilt seit langem als maßgebliche Ressource für IT-Sicherheits- und Anwendungsentwicklungsunternehmen. Deshalb ist die Tatsache, dass die OWASP jetzt eine neue Liste mit API-Bedrohungen veröffentlicht, ein klares Zeichen, dass diese Bedrohungen bedeutsam sind und von allen ernst genommen werden sollten.

Wenn ich mir den Inhalt der Liste im Einzelnen anschaue, bin ich gleichzeitig fasziniert und entsetzt, dass wir offenbar einige Fehler wiederholen, die bereits gemacht wurden, als Web-Applikationen zum dominierenden Modell aufstiegen.

Bei Web-Applikationen kam es entscheidend darauf an, sie so schnell wie möglich zu entwickeln und bereitzustellen. Dies hatte zur Folge, dass viele Apps ohne ordentliche Sicherheitsprüfung in die Produktion gingen und Schwachstellen enthielten, über die sie angreifbar waren. Mit der Zeit lernten die Entwickelnden daraus und wendeten bewährte Sicherheitsprüfungen an, bevor sie Apps in die Produktion gaben. Inzwischen haben ihnen jedoch API-basierte Anwendungen den Rang abgelaufen und wir erleben eine Wiederholung des selben Musters, wodurch die gleichen oder sehr ähnliche Schwachstellen wie damals bei den Web-Applikationen auftreten.

Wenn man sich also die aktuelle OWASP-Liste der zehn wichtigsten Bedrohungen der API-Sicherheit ansieht, zeigen sich viele Parallelen zu der vor einigen Jahren veröffentlichten Liste für Web-Apps. Unternehmen stellen APIs ohne Ratenbegrenzung, ohne Zugriffskontrolle, ohne Autorisierung und ohne aufgabenbasierte Kontrollen zur Verfügung. Sie stellen sogar Test-APIs mit Produktionsdaten völlig ungeschützt ins öffentliche Internet. All dies hat zur Folge, dass Angreifende nicht einmal neue Strategien zur Ausnutzung dieser Schwachstellen entwickeln müssen. Sie können ganz einfach die Angriffstechniken anpassen, die früher bei Web-Applikationen funktioniert haben.

Aus der Perspektive eines Sicherheitsanbieters ist es deshalb ein wenig ernüchternd, dass wir offenbar den gleichen Lernprozess wie bei den Web-Apps durchlaufen müssen.

Barracuda hat kürzlich seinen Anwendungssicherheitsbericht 2021 veröffentlicht, der auf einer Befragung von IT-Fachleuten auf der ganzen Welt basiert. Können Sie einige der wichtigsten Erkenntnisse aus diesem Bericht zum Thema API-Sicherheit nennen?

Zunächst einmal sollte erwähnt werden, dass ca. 70 % der Befragten angaben, dass sie öffentliche APIs bereitgestellt haben. Bemerkenswert ist jedoch, dass Organisationen des öffentlichen Sektors laut eigener Aussage hauptsächlich interne APIs nutzen.

Die größte Sorge der Befragten in Bezug auf APIs war die Sicherheit. Dies zeigt, dass den IT-Fachleuten die Risiken bei der Entwicklung API-basierter Anwendungen bekannt sind. Aber die zweitgrößte Sorge waren mangelnde Informationen darüber, wo ihre APIs im Einsatz sind. Das finde ich offen gesagt alarmierend, denn es bedeutet, dass sie APIs tatsächlich ohne sorgfältige Abwägung der Risiken oder ohne genaue Überwachung bereitgestellt haben. Ist die private API Ihres Unternehmens ohne angemessenen Schutz öffentlich verfügbar und Ihnen ist dies nicht einmal bewusst, ist die Katastrophe vorprogrammiert. Hacker können problemlos Bots programmieren, die APIs durchforsten und sensible Daten auslesen, ohne dass Sie dies bemerken.

„Ist die private API Ihres Unternehmens ohne angemessenen Schutz öffentlich verfügbar und Ihnen ist dies nicht einmal bewusst, ist die Katastrophe vorprogrammiert.“ #APIsecurityTwittern

Barracuda hat die Markteinführung von Cloud Application Protection 2.0 angekündigt. Wie kann diese Plattform APIs schützen und die mit den genannten Bedrohungen verbundenen Risiken mindern?

Barracuda Cloud Application Protection ist eine Plattform, die unser gesamtes Wissen über den Schutz von Anwendungen und die Optimierung ihrer Leistungen in sich vereint. Das ist unsere Plattform für Web-Applikationen und API-Schutz (Web Application & API Protection – WAAP).  Ihr Kernstück bildet unsere branchenführende, in der Cloud bereitgestellte Web Application Firewall, Barracuda WAF-as-a-Service, die durch zusätzliche Funktionen für konkrete Bedrohungen vervollständigt wird. Dazu gehört eine Komponente für den Zugriff auf Bedrohungsinformationen, DDoS-Schutz, erweiterter Bot-Schutz, kundenseitiger Schutz, Identitäts- und Zugangskontrolle und API-Schutz.

In Hinblick auf den API-Schutz überwacht die Lösung den API-Datenverkehr und kann eine Vielzahl von Angriffsvektoren erkennen und blockieren. Die Lösung beinhaltet auch eine Komponente zum Offenlegen von APIs, die Ihnen einen klaren Überblick über alle Ihre APIs verschafft und sicherstellt, dass entsprechende Schutzmaßnahmen auf diese ausgeweitet werden. Sie optimiert zudem die API-Leistung durch die Durchsetzung von SLAs mit Ratenbegrenzung, Caching, Komprimierung, Content-Routing und Tarpitting bei Verstößen.

Wenn in Zukunft neue Bedrohungen für API-basierte Apps auftauchen – was mit Sicherheit zu erwarten ist – aktualisiert und ergänzt Barracuda diese WAAP-Funktionen, um den API-Schutz zu wahren und Unternehmen die gefahrlose Nutzung aller Vorteile der Entwicklung API-basierter Apps zu ermöglichen.

Weitere Informationen über Barracuda Cloud Application Protection finden Sie auf unserer Website.

Nach oben scrollen
Twittern
Teilen
Teilen