Die API-Economy schreitet unaufhaltsam voran

API Security: Warum Funktionalität nicht Vorrang vor Sicherheit haben darf

Sven Kniest

© Shutterstock / sdecoret

„Unternehmen müssen die Sicherheit von Schnittstellen in einer immer digitaleren Welt gewährleisten“, sagt Sven Kniest, Regional Vice President und Country Manager DACH bei Okta. Im vorliegenden Artikel bespricht er eingehend die aktuellen Herausforderungen und Probleme, wenn es um die Sicherheit von APIs geht. Er geht zudem darauf ein, warum die API Security an erster Stelle stehen sollte.

Rechenleistung, Speicherkapazität oder andere Dienste werden über APIs bereitgestellt. Immer mehr Anwendungen sind „as-a-Service“ verfügbar und werden über webbasierte Schnittstellen zur Verfügung gestellt. Die Softwareentwicklung selbst ist agiler und häufig containerisiert. Dies führt zu einer Vielzahl unterschiedlicher APIs, die aktualisiert und verwaltet, vor allem aber auch gesichert werden müssen. Damit sind APIs einer der wichtigsten Eckpfeiler der vernetzten Welt, sozusagen deren Klebstoff. Sie verbinden Anwendungen, Systeme und Plattformen jeglicher Art – innerhalb des eigenen Unternehmens oder auch von Partnern und Lieferanten. Unternehmen sind damit nicht nur in der Lage, Partnern und Kunden einen Mehrwert zu bieten, sie erschließen sich so neue Umsatzquellen und erhöhen ihre Erfolgschancen in hart umkämpften Märkten. Einige der weltweit renommiertesten Organisationen haben APIs selbst als Geschäftsmodell entdeckt und ihre Angebote monetarisiert. So generiert Salesforce angeblich 50 Prozent seines Umsatzes über APIs und eBay fast 60 Prozent.

Allerdings läuft auch in der schönen neuen API-Welt nicht immer alles reibungslos. Entwickler arbeiten oft mit einer Design-Mentalität, bei der die Funktionalität Vorrang vor der Sicherheit hat. Heute lauern allerdings Bedrohungen und Schwachstellen an jeder Ecke: Die Security-Landschaft hat sich signifikant verändert, daher muss das Thema Sicherheit in den Fokus rücken. Ein Ziel von Unternehmen sollte es daher sein, die wachsende Zahl von APIs mit entsprechenden Security-Maßnahmen zu schützen. Idealerweise ist Security ab der API-Planung ein integraler Bestandteil (Security by Design). Denn Analysten von Gartner gehen davon aus, dass im Jahr 2022 der Missbrauch von fehlerhaften APIs der häufigste Grund für unerlaubten Datenabzug von Enterprise Web Applications sein wird. Gleichwohl sieht Gartner APIs als einen der Top 10 Trends an.

Die aktuelle API-Landschaft

Viele Unternehmen und IT-Teams sind skeptisch, was die Sicherheit von APIs angeht. In vielen Fällen ist dies auch begründet – und mit immer neuen Richtlinien nehmen die Herausforderungen bezüglich des Datenschutzes weiter zu. Gartner-Analysten prognostizieren, dass APIs bis zum Jahr 2022 die Quelle der meisten Datenschutz-Verletzungen sein werden. Hier müssen Organisationen ansetzen, um die API-Sicherheit zu gewährleisten und damit auch die der gespeicherten Daten. Den Anwendern beispielsweise bedingungslos zu vertrauen – heutzutage in Unternehmen gängige Praxis – ist keine Lösung. Zero Trust sollte die Vorgabe sein, für Nutzer wie auch für das gesamte Unternehmen. Wird die API-Sicherheit nicht ernst genug genommen, sind Firmen anfällig für Cyberangriffe, die entsprechende Schwachstellen ausnutzen.

Eine Lösung bieten API-Schlüssel: Sie lassen sich schnell und problemlos implementieren. Allerdings erlauben sie keine Zugriffsbeschränkungen. Anwender haben somit Zugang zu allen Daten oder gar keinen Zugriff. Da Letzteres keine Option ist, können Entwickler mit dem entsprechenden Schlüssel auf alle unternehmenskritischen Informationen zugreifen. Dazu gehören beispielsweise sensible HR- oder Finanzinformationen, die sie in ihrer Rolle nicht einsehen sollten. Hier müssen deutlich flexiblere Lösungen zum Einsatz kommen, bei denen Mitarbeiter nur auf die von ihnen benötigten und ihrer Rolle angemessenen Informationen und Anwendungen zugreifen können.

API Confernce 2020
Milecia McGregor

The 3 Axes of Scaling APIs

Milecia McGregor (Flipped Coding)

 

API Security: von zentraler Bedeutung für Unternehmen

API Gateways wie Apigee und Mulesoft sind fortschrittliche Möglichkeiten, um die Infrastruktur zu schützen. Ergänzen Unternehmen diese um eine Access-Management-Lösung, sind API Gateways äußerst wirksam: Sie können nicht unterscheiden, wer Zugang haben bzw. was Mitarbeiter mit diesem Zugriff erreichen möchten. Ein Beispiel: Das API eines HR-Systems zu nutzen, um die eigene Urlaubshistorie einzusehen, birgt ein anderes Risiko als ein API dazu zu verwenden, Finanzinformationen oder Personalakten zu ändern.

Unternehmen sollten aber noch einen weiteren Ansatz verfolgen: den Industriestandard Open Authorization (OAuth 2.0). Das offene Protokoll ermöglicht eine sichere Autorisierung und Authentifizierung von mobilen Anwendungen ebenso wie Webservices – und zwar ohne Passwörter offenzulegen. Im Grunde genommen funktioniert OAuth 2.0 wie ein Hotel-Check-in. Die Gäste erhalten eine Schlüsselkarte, mit der sie auf eine Applikation zugreifen (Öffnen des Hotelzimmers). Nachdem die auf der Karte hinterlegte Identität authentifiziert wurde, erhält der Gast Zugang zum Zimmer. Via OAuth 2.0 gewährt ein entsprechender Server dem Anwender über einen Token Zugriff auf bestimmte Ressourcen. Diese sind im Profil hinterlegt und entsprechen der Rolle des Nutzers im Unternehmen. Der Zugang verfügt über ein automatisches Ablaufdatum.

OAuth ist ein komplexerer Ansatz als API-Schlüssel, ist aber deutlich flexibler und weniger standardisiert. Dies ist zwar ein wichtiger Security-Vorteil, dennoch sichert auch OAuth 2.0 APIs nicht vollständig: Die Lösung adressiert beispielsweise nicht, wie APIs sich selbst schützen. Wie jedes andere System, das Teil der IT-Infrastruktur ist, müssen APIs vor bösartigen Nutzern und schlechter Software schützen. Schlösser an der Haustür reichen nicht aus, wenn die Fenster geöffnet sind.

Eine einheitliche Herangehensweise ist notwendig

In der Praxis ist keine Security-Anwendung oder -Maßnahme jemals hundertprozentig sicher. Immer häufiger werden jedoch API Gateways mit OAuth eingesetzt – besonders, wenn es um Anwendungsfälle geht, die extrem sicher sein müssen und daher einen besonderen Schutz benötigen. Diese komplementären Technologien bieten in Kombination eine leistungsstarke API-Zugriffsverwaltungslösung, die bestimmte OAuth-Bereiche auf ausgewählte Geräte, ein spezifisches Netzwerk oder eine Gruppenzugehörigkeit beschränken kann. Wichtig ist, dass sich solche Richtlinien außerhalb des API Gateways durch ein Sicherheitsteam verwalten lassen, während Zugriffsanforderungen, Berechtigungen und Richtlinienänderungen zentral protokolliert werden.

Bessere Lösungen können helfen, APIs aus der „Schatten-IT“ herauszuführen und sie als vertrauenswürdige Systeme einzustufen. Jede Anwendung ist während des gesamten Lebenszyklus ein „work in progress“, das kontinuierlich aktualisiert wird. Die vertrauenswürdige Anwendung von heute kann schon morgen ein kompromittiertes System sein. Unternehmen benötigen Flexibilität, um ihre Systeme anzupassen, sie zu schützen und auf Veränderungen zu reagieren – basierend auf dem vollständigen Kontext des Nutzers und seinen Zielen. Nur dann können wir die Vorteile der „always on, always connected“ Welt ausschöpfen und entsprechend erfolgreich am Markt agieren.

Verwandte Themen:

Geschrieben von
Sven Kniest

Regional Vice President und Country Manager DACH, Okta Inc.

Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: