In dieser Serie befassen wir uns mit den Herausforderungen und Chancen für die Sicherheit, mit denen Anwendungsprogrammierschnittstellen (APIs) konfrontiert sind. In diesem Artikel werden Zombie-APIs behandelt, während in den Begleitartikeln das Sicherheitspotenzial von Sitzungskennungen und die Navigation im Veröffentlichungszyklus für APIs untersucht werden.
Die stille Bedrohung durch Zombie-APIs
In der vernetzten Welt von heute sind APIs das Rückgrat moderner Software. Sie ermöglichen es Anwendungen, miteinander zu kommunizieren und Daten nahtlos auszutauschen, was von mobilen Anwendungen bis hin zu komplexen Unternehmenssystemen alles umfasst.
Während wir uns oft auf die Security aktiver, gut gewarteter APIs konzentrieren, lauert im Schatten eine stille Bedrohung: die Zombie-APIs. Dabei handelt es sich um vergessene, veraltete und oft nicht dokumentierte APIs. Sie stellen ein erhebliches Security-Risiko dar, da sie Angreifern als versteckte Einstiegspunkte dienen und das gesamte digitale Ökosystem gefährden.
Was sind Zombie-APIs?
Zombie-APIs sind APIs, die nicht mehr aktiv verwendet, gewartet oder ordnungsgemäß dokumentiert werden, aber dennoch funktionsfähig (oder teilweise funktionsfähig) und zugänglich bleiben. Sie sind wie vergessene Server oder aufgegebene Anwendungen – sie laufen noch, sind aber vernachlässigt und anfällig. Diese digitalen Geister können aus verschiedenen Gründen entstehen:
- Alterung ohne Außerbetriebnahme: Funktionen sind zwar häufig veraltet, die entsprechenden APIs bleiben jedoch aktiv, wodurch ein Nährboden für Schwachstellen entsteht.
- Fehlendes API-Lifecycle-Management: Ohne einen klaren Prozess für die Stilllegung von APIs können diese noch lange nach Ablauf ihrer Nutzbarkeit bestehen bleiben.
- Schatten-IT: Entwickler können APIs für bestimmte Projekte ohne ordnungsgemäße Autorisierung oder Dokumentation erstellen, was zu verwaisten APIs führt.
- Fusionen und Übernahmen: Die Integration von Systemen verschiedener Unternehmen kann zu einem Friedhof vergessener APIs von übernommenen Unternehmen führen.
- Schlechte Dokumentation: Selbst wenn eine API nicht absichtlich außer Betrieb genommen wird, kann eine unzureichende Dokumentation dazu führen, dass ihr Zweck oder Status schwer zu verstehen ist und sie zu einem Zombie wird.
Die Gefahren der Untoten
Zombie-APIs bergen eine Vielzahl von Sicherheitsrisiken:
- Schwachstellen-Hotspots: Ohne Wartung und Security-Patches werden Zombie-APIs zu leichten Zielen für Angreifer. Bekannte Schwachstellen bleiben unbehoben, was zu Lücken in der Abwehr führt.
- Datenschutzverletzungen: Das Ausnutzen von Schwachstellen in Zombie-APIs kann Angreifern Zugang zu sensiblen Daten verschaffen, was zu kostspieligen Datenschutzverletzungen und Rufschädigung führen kann.
- Compliance-Albträume: Es ist unwahrscheinlich, dass veraltete APIs die aktuellen Sicherheits- und Compliance-Standards erfüllen, was Unternehmen potenziellen Bußgeldern und rechtlichen Konsequenzen aussetzt.
- Betriebsstörungen: Eine kompromittierte Zombie-API kann den Geschäftsbetrieb stören und sich auf kritische Services und das Kundenerlebnis auswirken.
- Verstärkte Angriffsfläche: Jede aktive (und besonders inaktive) API erweitert Ihre Angriffsfläche. Zombie-APIs vergrößern diese Angriffsfläche erheblich und bieten bösartigen Akteuren mehr Möglichkeiten.
APIs wieder anschalten
Der Schlüssel zur Minderung der Risiken von Zombie-APIs liegt in einem proaktiven API-Management:
1. API-Erkennung:
Scannen Sie Ihre Umgebung regelmäßig, um alle APIs zu erkennen, auch diejenigen, die möglicherweise vergessen wurden oder nicht dokumentiert sind. Automatisierte Tools können bei diesem Prozess helfen.
2. Robustes API-Lebenszyklusmanagement:
Implementieren Sie einen klaren und umfassenden Lebenszyklus für Ihre APIs, vom Entwurf und der Entwicklung bis zur Bereitstellung, Wartung und eventuellen Stilllegung.
3. Ordnungsgemäße Stilllegung der API:
Wenn eine API nicht mehr benötigt wird, stellen Sie sie ordnungsgemäß außer Dienst. Dazu gehört ein strukturierter Prozess. Hier ist eine Übersicht mit Beispielen:
- Benachrichtigung: Informieren Sie die Benutzer über die Abschaffung der API und bieten Sie eine Anleitung zur Migration.
- Abschreibungszeitraum: Geben Sie den Benutzern genügend Zeit, um auf ein neues System umzusteigen, bevor Sie die API vollständig aus dem Verkehr ziehen. Es lohnt sich, einen „Sunset“-Header zu einer HTTP-Datei hinzuzufügen, um Kunden proaktiv mitzuteilen, dass eine Ressource ab einem bestimmten Zeitpunkt in der Zukunft nicht mehr verfügbar sein wird.
- Aktualisierungen der Dokumentation: Kennzeichnen Sie die API in Ihrer Dokumentation deutlich als stillgelegt.
- Verkehrsumleitung (falls zutreffend): Leiten Sie den Datenverkehr zu einer Ersatz-API um, falls eine solche existiert.
- Außerbetriebnahme: Entfernen Sie die API aus Ihrer Produktionsumgebung. Dazu gehört das Entfernen des API-Codes von Servern, das Löschen aller zugehörigen Datenbanken oder Infrastrukturkomponenten und das Deaktivieren aller Zugriffskontrollen oder API-Schlüssel, die mit der stillgelegten API verknüpft sind.
- Überwachung: Überwachen Sie auch nach der Außerbetriebnahme auf verbliebenen Datenverkehr oder Abhängigkeiten.
4. Schwachstellenscans und Penetrationstests
Scannen Sie regelmäßig alle APIs auf Schwachstellen, vor allem die, bei denen der Verdacht besteht, dass es sich um Zombies handelt. Penetrationstests können helfen, Schwachstellen zu erkennen, die bei automatischen Scans möglicherweise übersehen werden.
5. Auf die API-Dokumentation kommt es an
Pflegen Sie eine genaue und aktuelle Dokumentation für alle APIs. Dazu gehören deren Zweck, Status und vorgesehene Verwendung.
6. Best Practices für die Sicherheit
Implementieren Sie robuste Security-Verfahren für alle APIs, einschließlich Authentifizierung, Autorisierung, Ratenbegrenzung und Eingabevalidierung.
Fazit
Zombie-APIs sind eine stille, aber starke Bedrohung für die Sicherheit Ihres Unternehmens. Das Ignorieren dieser digitalen Geister kann schwerwiegende Folgen haben. Durch die Implementierung eines proaktiven Ansatzes für das API-Management, einschließlich geeigneter Prozesse für die Stilllegung von APIs, können Sie die Risiken minimieren und Ihr Unternehmen vor den Untoten schützen. Lassen Sie nicht zu, dass Ihre APIs zu Zombies werden!Übernehmen Sie die Kontrolle über ihren Lebenszyklus und stellen Sie sicher, dass sie entweder aktiv Ihren Bedürfnissen dienen oder sicher abgeschaltet werden.
Weitere Informationenfinden Sie auf unserer Website.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.