
OWASP Top 10 API-Sicherheitsrisiken: Falsche Sicherheitskonfiguration
Auf Platz acht der 10 größten API-Security-Risiken 2023 des Open Worldwide Application Security Project® (OWASP) steht die falsche Sicherheitskonfiguration.
Angriffe wegen falscher Sicherheitskonfigurationen sind weit verbreitet und können für Unternehmen schwerwiegende Folgen haben. Durch proaktive Überwachung und automatisierte Sicherheitstests können jedoch zu behebende Fehlkonfigurationen entdeckt werden.
Angriffsvektoren
Angreifer suchen an API-Endpunkten nach ungepatchten Schwachstellen, ungeschützten Dateien oder unsicheren Standardkonfigurationen. Da die meisten Konfigurationen einem bestimmten Muster folgen, untersuchen Angreifer gängige Endpunkte, um ein Abbild der Systeme zu erstellen und sich unerlaubt Zugang zu verschaffen. Werden die Standardeinstellungen nicht geändert oder gibt es Unstimmigkeiten bei der Behandlung oder Verarbeitung von Anfragen, besteht die Gefahr, dass die Vektoren ausgenutzt werden können.
Nicht benötigte Dienste und veraltete Optionen können Angreifern weitere Angriffspunkte bieten.
Security-Schwächen
Eine falsche Sicherheitskonfiguration kann auf jeder Ebene des API-Stacks auftreten, vom Netzwerk bis zur Anwendung. Einerseits lassen sich falsche Einstellungen leicht ausnutzen, andererseits sind sie auch leicht zu erkennen. Automatisierte Tools können die Sicherheitslücken aufzeigen, die behoben werden müssen.
Geschäftliche Auswirkungen
OWASP stuft die potenziellen Auswirkungen auf Unternehmen als schwerwiegend ein. Durch Angriffe können:
- Sensible Benutzerdaten bekannt werden
- Sicherheitsmaßnahmen und Kontrollen umgangen werden
- Wege für die Kontoübernahme oder Serverkompromittierung geschaffen werden
- Das vollständige System übernommen werden
So funktionieren Angriffe auf die Sicherheitseinstellungen
Die heutigen Netzinfrastrukturen sind komplex. Selbst wenn Sie Ihre Endgeräte gesichert haben, können Angreifer durch falsch konfigurierte Sicherheitseinstellungen Sicherheitslücken aufspüren. So suchen Bedrohungsakteure beispielsweise nach veralteter Software oder nach Software, auf die nicht die neuesten Patches angewendet wurden.
Sobald eine falsche Konfiguration erkannt wurde, stehen den Angreifern verschiedene Taktiken zur Verfügung, um API-Schwachstellen auszunutzen, darunter:
- Codeinjektion oder Befehlsinjektion
- Anmeldedatenausfüllung mit Brute Force
- Pufferüberlauf
- Cross Site Scripting (XSS)
- Serverseitige Anforderungsfälschung (SSRF)
Beispiele aus der Praxis
Es gab bereits mehrere öffentlichkeitswirksame Angriffe auf die Sicherheit durch Fehlkonfigurationen, darunter die Angriffe auf die United States Army Intelligence and Security Command, die zur Offenlegung streng geheimer Dokumente führten, und auf Accenture, wobei Passwörter, Schlüssel und Kundendaten offengelegt wurden.
Durch eine falsch eingestellte Genehmigung in Jira wurden die personenbezogenen Daten von NASA-Mitarbeitern und Informationen über geplante Projekte öffentlich. Ein Systemadministrator hat bei der Erstellung eines Dashboards versehentlich einer App die Berechtigung „Alle Benutzer“ zugewiesen, weil er dachte, dass nur Personen innerhalb des Unternehmens Zugriff darauf haben. Doch da lag er falsch.
So erkennen Sie Sicherheitslücken aufgrund von falschen Einstellungen
Falsche Sicherheitskonfigurationen können unentdeckt bleiben, bis sie missbraucht werden. Da Systeme selten statisch sind, ist ein wiederholbarer Absicherungsvorgang mit kontinuierlicher Automatisierung zur Einschätzung der Wirksamkeit von Konfigurationen und Einstellungen in allen Umgebungen unerlässlich.
Zu den häufigsten Bereichen, in denen nach Sicherheitsfehlkonfigurationen gesucht werden muss, gehören:
- Verwendung der vom Anbieter bereitgestellten Standardpasswörter
- Verzicht auf komplexe Passwörter
- Ungeschützte Dateien oder Verzeichnisse
- Ungepatchte Software
- Unsachgemäß konfigurierte Sicherheitsfunktionen
- Fehler beim Blockieren unveröffentlichter URLs
- Verzeichnisüberquerung
So verhindern Sie Sicherheitslücken aufgrund von falschen Einstellungen
Die Verhinderung von Sicherheitslücken durch falsche Konfiguration macht die Verwaltung des gesamten API-Lebenszyklus erforderlich, damit eine ordnungsgemäß abgesicherte Umgebung aufgebaut werden kann. Administratoren sollten die Konfigurationen des gesamten API-Stacks überprüfen und aktualisieren, einschließlich der API-Komponenten, Cloud-Dienste und Berechtigungen sowie der Orchestrierungsdateien.
OWASP empfiehlt außerdem:
- Alle eingehenden Inhaltstypen und Datenformate sind ausschließlich auf diejenigen Arten zu beschränken, die den geschäftlichen und funktionalen Anforderungen entsprechen.
- Die gesamte API-Kommunikation mit API-Servern und allen vor- oder nachgelagerten Komponenten muss über einen verschlüsselten Kommunikationskanal erfolgen – egal, ob es sich um eine öffentlich zugängliche oder eine interne API handelt.
- Um zu verhindern, dass Daten zurückgesendet werden, die für Angreifer nützlich sein könnten, sollten Schemata für die Nutzlast von API-Antworten durchgesetzt werden.
Die Verhinderung von Schwachstellen in der API-Sicherheitskonfiguration erfordert einen proaktiven Ansatz zur kontinuierlichen Überprüfung der Umgebung, damit Fehler erkannt und behoben werden können. Admins sollten auch den folgenden drei Bereichen große Aufmerksamkeit widmen.
Fehlermeldungen
Beschränken Sie Fehlermeldungen auf relevante Informationen. Häufig geben Fehlermeldungen Daten wie Stack-Traces, Systeminformationen, Datenbankstruktur und benutzerdefinierte Signaturen aus, die zum Definieren von Angriffsvektoren verwendet werden können.
Falsch konfigurierte HTTP-Header
Eine weitere häufige Fehlkonfiguration sind fehlende HTTP-Header oder falsch verwendete HTTP-Header. Wenn sie nicht richtig konfiguriert sind, können Angreifer Sicherheitslücken finden. Von einem browserbasierten Client aus zugängliche APIs sollten eine CORS-Richtlinie (Cross-Origin Resource Sharing) implementieren, die auch die entsprechenden Sicherheits-Header umfasst, und dafür sorgen, dass alle Server in der Serverkette eingehende Anfragen einheitlich verarbeiten, damit Fehlkonfigurationen ausgeschlossen sind.
Überflüssige Dienste
Wenn Sie unnötige Dienste nicht schließen, ist auch die API verwundbar. Oft sind ungenutzte Dienste nicht richtig abgesichert, weil sie nicht zur Verwendung vorgesehen sind. Bleiben sie jedoch offen, bieten sie Angriffspunkte.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.