Beratung
Support
Suche
Close this search box.
plusserver-Blog-API Security
Blog

|

09.08.2022

Was ist API Security?

Blog abonnieren
Kontakt aufnehmen
APIs sind ein beliebtes Angriffsziel für Hacker. Unternehmen sollten im Rahmen der API Security geeignete Vorkehrungen zum Schutz vor Datendiebstahl treffen.

IT-Ressourcen von Unternehmen arbeiten in vielen Fällen über APIs (Abkürzung für „Application Programming Interface“) zusammen, um Daten zwischen unterschiedlichen Systemen auszutauschen oder die Services und Apps miteinander zu verbinden. Dabei definieren die APIs, wie Daten von einem Host bereitgestellt und durch einen Client empfangen und verarbeitet werden.

Zum Einsatz kommen hier sowohl interne eigene APIs als auch standardisierte externe. Die Zahl der API-Anfragen und die Menge der hierüber übertragenen Informationen nimmt in den letzten Jahren exponentiell zu – und zugleich die Gefahr durch Malware-Angriffe und Hacks. Denn APIs stellen aufgrund ihrer erforderlichen Sichtbarkeit Risiken dar und machen Unternehmen und ihre IT angreifbarer als zuvor für Cyberattacken. Der Schutz der Integrität solcher APIs und der verbundenen Services und Daten ist deshalb essenziell – und eine zuverlässige API Protection sorgt dafür, dass jeweils die berechtigten Anwender (und nur diese) auf Daten und Services zugreifen können, dass aber sensible Unternehmensdaten vor unautorisiertem Zugriff geschützt sind.

API Security: Schutz auf mehreren Ebenen

Sicherheit lässt sich dabei einerseits bereits bei der Konzeption und Integration einer API in die vorhandenen Systeme erzielen, andererseits aber auch im Hinblick auf das Management der regelmäßigen Nutzung der API. Dabei ist ein weit verbreiteter Irrglaube, dass nur die hierfür autorisierten Partner und Dienstleister mit ihren Apps auf die jeweilige API zugreifen können. Denn viele Angriffsstrategien, gegen die Unternehmen in den letzten Jahren Vorkehrungen getroffen haben, lassen sich über APIs ebenfalls nutzen und müssen somit gesondert im Blick behalten werden.

Zwei Dimensionen der API-Sicherheit

Grundsätzlich gibt es zwei Dimensionen der API-Sicherheit: Zum einen ist da die Absicherung der API selbst. Sie bezieht sich auf den Schutz der Systeme und Daten vor externen Angriffen, die auf die API und das Backend zielen. Hierfür lässt sich das Traffic Management und die Validierung von Inhalten und Daten heranziehen. Zum anderen bedingt API-Sicherheit aber auch die Zugriffs- und Rechtekontrolle, also die Frage, ob eine Applikation oder Instanz dazu berechtigt ist, auf die API zuzugreifen.

Token, API Gateways und Manager

Vertrauenswürdige Richtlinien für die Autorisierung und Authentifizierung lassen sich beispielsweise mit Hilfe von Token realisieren, über die der Zugriff auf Services und Ressourcen gesteuert wird. Sinnvoll ist der Einsatz eines API-Gateways, das als primäre Kontrolleinheit im API-Datenverkehr agiert. Dies ermöglicht neben der Authentifizierung von Zugriffen auch die Kontrolle und Nutzungsanalyse der verwendeten APIs.

Ergänzen kann dies ein API-Manager, der die Anwendungs- und Entwicklerrollen festlegt und durch eine Zero-Trust-Strategie ergänzt wird. Zusätzlich lassen sich Signaturen als verpflichtendes Element zur Datenverschlüsselung definieren. Selbstverständlich und nicht zuletzt sollten sämtliche Sicherheitspatches und Updates für Betriebssysteme, Netzwerkressourcen, Treiber und API-Komponenten zum Einsatz kommen.

Akamai bietet Lösungen für mehr API Security

So komplex das Thema ist, so umfangreich ist das Portfolio an möglichen Lösungsansätzen: Mehrere valide und nachhaltige Schutzlösungen stellt der Anbieter Akamai bereit, mit dem plusserver als Cloud Security Anbieter zusammenarbeitet. Dabei lässt sich ein Schutz einerseits mit Hilfe des Kona Site Defenders realisieren. Die Lösung, die auf der Intelligent Edge Platform aufbaut, bietet Anwendungssicherheit am Netzwerk-Edge und gewährleistet hochpräzisen WAF-Schutz (Web Application Firewall) auf Basis eines positiven Sicherheitsmodells. Dank des hohen Grades an Automatisierung reduziert sich die operative Komplexität auch für Kunden, die nicht die Zeit oder das Fachwissen haben, um ihre WAF täglich zu verwalten und abzustimmen.

Eine Alternative ist der Web Application Protector, der sich vor allem für den hochautomatisierten Schutz von Webanwendungen in allen Branchen eignet. Bisher basierten die Schutzfunktionen vor allem auf Ratings, Geoblocking und IP-Blacklists. Neue Features ermöglichen die Einbeziehung von intelligenten, automatisierten Angriffsgruppen in das Regelwerk. API-Requests im JSON- und XML-Format lassen sich so automatisch erkennen und im Rahmen der WAF-Regeln bewerten. Diese Regeln werden wie bei Kona Site Defender automatisch aktualisiert, sodass keine zusätzliche Aufgaben für die Administration anfallen. Ein API-spezifisches Reporting verschafft dem Unternehmen zudem Transparenz darüber, wie Endbenutzer mit verfügbaren APIs interagieren.

API Security als notwendiger Sicherheitsfaktor für eine moderne IT

API Security oder API Protection ist ein Thema, das alle Unternehmen für eine zeitgemäße IT-Strategie im Blick behalten sollten. Denn Cyberangriffe, die auf APIs abzielen, können einerseits Wettbewerbsnachteile und Imageschäden nach sich ziehen, wenn Kunden- oder Unternehmensdaten in falsche Hände geraten. Sie führen andererseits aber auch zu einer Einschränkung der Produktion, zu Umsatzverlusten und Reputationsschäden. API-Security-Lösungen von Akamai können dabei Unternehmen unterstützten und treffen dank ihres hohen Automatisierungsgrades viele der erforderlichen Entscheidungen selbstständig.

Über den Autor

Daniel Graßer verantwortet seit Juni 2022 als Senior Director of Security Services das Security Portfolio & Services sowie die dazugehörige Strategie bei plusserver. Das Leistungsportfolio umfasst neben hochstandardisierten Cloud-Produkten u. a. Themen wie Security as a Service, Anti-Ransomware-Strategien bis hin zum Betrieb von SOC-Leistungen.

Erfahren Sie mehr

Blog

Ransomware: Was tun gegen die ständige Bedrohung?

Ransomware verhindert den Zugriff auf wichtige Daten und kann in Unternehmen schwere Schäden verursachen.
Mehr erfahren
Produkte

Cloud Security

Erreichen Sie Ihr Digitalisierungsziel mit der passenden Security-Strategie.
Mehr erfahren
Produkt

EDR as a Service

Mit EDR as a Service überwachen Sie Ihre Endgeräte, Clouds und Server und stoppen Cybercrime.
Mehr erfahren

Haben Sie noch Fragen?

Senden Sie mir einfach eine Nachricht mit Ihrem Anliegen und ich melde mich schnellstmöglich zurück.

Sebastian Latz

Sebastian Latz

Head of Presales

E-Mail: beratung@plusserver.com

Tel. +49 2203 1045 3500

Ihre Anfrage

Icon plusforum

Sie haben eine Frage oder benötigen Hilfe zu einem Thema? Wir helfen Ihnen gerne dabei.

Sie können uns auch gerne jederzeit telefonisch erreichen:

Beratung: +49 2203 1045 3500
Support: +49 2203 1045 3600

Ihre Anfrage

Icon plusforum

Sie haben eine Frage oder benötigen Hilfe zu einem Thema? Wir helfen Ihnen gerne dabei.

Sie können uns auch gerne jederzeit telefonisch erreichen:

Beratung: +49 2203 1045 3500
Support: +49 2203 1045 3600

Ihre Anfrage

Icon plusforum

Sie haben eine Frage oder benötigen Hilfe zu einem Thema? Wir helfen Ihnen gerne dabei.

Sie können uns auch gerne jederzeit telefonisch erreichen:

Beratung: +49 2203 1045 3500
Support: +49 2203 1045 3600