API-Sicherheit im Visier der Behörden: Ein Weckruf für CIOs

Bei einem weltweit agierenden Domain- und Hosting-Anbieter wurde die Sicherheit durch Angreifer kompromittiert, die Schwachstellen in der API-Architektur des Anbieters nutzten, um Kundenkontodaten zu extrahieren. Die Untersuchung ergab Mängel bei der Authentifizierung und das Fehlen von API-spezifischen Überwachungsmöglichkeiten.

Bei einem ähnlichen Fall hat ein großes Telekommunikationsunternehmen aufgrund ungeschützter API-Endpunkte vertrauliche Nutzerdaten offengelegt. Das Problem war auf eine unzureichende Validierung der Eingaben und unzulässige Zugriffsbeschränkungen zurückzuführen – eine Nachlässigkeit, die die Aufmerksamkeit der Bundesbehörden nach sich zog.

In beiden Fällen hatten die Unternehmen zwar in herkömmliche Abwehrmaßnahmen investiert, es jedoch versäumt, APIs, die als kritische Komponenten moderner digitaler Dienste dienen, derselben Sorgfalt zu unterziehen.

Eine grundlegende Anforderung in fast allen Compliance-Frameworks besteht darin, ein klares Verständnis davon zu erhalten, über welche Assets Sie verfügen und welche Daten diese verarbeiten. Da APIs ständig entwickelt und aktualisiert werden, und das oftmals von verschiedenen Teams oder Drittanbietern, fehlt den meisten Organisationen ein umfassendes und aktuelles API-Verzeichnis, das in Echtzeit aktualisiert wird. 

Unternehmen müssen in der Lage sein, das Wissen um APIs in ihrer Umgebung zu demonstrieren und anzugeben, wie sie verwendet werden. Sie müssen auch und vor allem in der Lage sein zu identifizieren, welche APIs außerhalb ihrer Sichtbarkeit oder Prozesse betrieben werden.

Selbst wenn APIs identifiziert werden, ist nicht immer klar, welche Daten durch sie fließen oder ob sie ordnungsgemäß gesichert sind. Viele Unternehmen können die API-Eigentümerschaft nicht bestimmen und auch nicht überprüfen, ob der Traffic durch genehmigte Kontrollmaßnahmen wie Web Application Firewalls (WAFs) oder API Gateways fließt. 

Laut unserer API-Sicherheitsstudie 2024 wissen nur 27 % der IT-Sicherheitsexperten, die über vollständige API-Bestände verfügen, tatsächlich, welche ihrer APIs sensible Daten zurückgeben – im Vergleich zu 40 % im Jahr 2023. 

Darüber hinaus gehen bei verschiedenen Rollen auch oft die Meinungen auseinander: Obwohl 43 % der von uns befragten CIOs glauben, dass sie wissen, welche APIs sensible Daten zurückgeben, teilen nur 17 % der CISOs diese Ansicht. Diese Transparenzlücken können zu schwerwiegenden Compliance-Verstößen führen, wenn sensible Daten wie Kreditkarteninformationen, personenbezogene Daten oder Daten im Gesundheitswesen offengelegt werden.

Compliance bedeutet nicht nur, Ihre Assets zu kennen. Es bedeutet auch, sicherzustellen, dass Missbrauch erkannt und in Echtzeit behoben wird. Sicherheitsteams müssen in der Lage sein, festzustellen, ob jemand eine API ausnutzt, um Kundendaten zu extrahieren oder erweiterte Berechtigungen zu erhalten.

Unternehmen sind beispielsweise oft nicht in der Lage, einen subtilen Missbrauch der Geschäftslogik zu erkennen oder Bedrohungen wie BOLA (Broken Object Level Authorization, fehlerhafte Autorisierung auf Objektebene), die zu den OWASP Top 10 API-Sicherheitsrisiken gehören, zu verhindern. Diese Angriffsmuster kommen immer häufiger vor und umgehen häufig herkömmliche Perimeter-Tools.

Viele Unternehmen verlassen sich allein auf Funktionstests und übersehen die Bedeutung von Sicherheitstests. Compliance-Frameworks erfordern zunehmend, dass Sicherheit von Anfang an integriert wird, sodass APIs vor der Bereitstellung unbedingt auf Schwachstellen getestet werden müssen.

Aufgrund dieser potenziellen Sicherheitslücken beginnen Aufsichtsbehörden, API-Sicherheitslücken als direkte Verstöße gegen Datenschutzgesetze zu behandeln, die häufig zu Zwangsmaßnahmen, Strafen oder verpflichtenden Abhilfemaßnahmen führen. Die von uns befragten US-amerikanischen IT- und Sicherheitsexperten (CIOs, CISOs und CTOs) gaben an, dass die durchschnittlichen Kosten für API-Sicherheitsvorfälle in den letzten 12 Monaten bei ihnen schätzungsweise 943.162 US-Dollar betrugen.

Von Unternehmen wird nun erwartet, dass sie nicht nur Sicherheit, sondern auch Compliance-Bereitschaft in allen API-Ökosystemen nachweisen. Hier erfahren Sie, welche Rolle API-Sicherheit in verschiedenen gängigen Vorschriften spielt.

• PCI DSS v4.0: Erfordert die Identifizierung und Dokumentation aller APIs mit Zahlungsbezug, deren Schutz durch strenge Authentifizierung, kontinuierliche Überwachung sowie die Einschränkung des Zugriffs auf Karteninhaberdaten

• DSGVO: Erfordert Datenminimierung, Zugriffskontrolle und Benachrichtigung über Datenschutzverletzungen, die alle von der Sicherung von APIs abhängen, die personenbezogene Daten verarbeiten

• HIPAA: Schreibt vor, dass geschützte Gesundheitsinformationen, auf die über APIs zugegriffen wird, durch Verschlüsselung, rollenbasierten Zugriff und Prüfprotokolle geschützt werden müssen

• DORA: Erfordert Ausfallsicherheitstests und Vorfallserkennung über alle digitalen Kanäle, einschließlich APIs, die auf Anomalien und Ausfallszenarien überwacht werden müssen

Eine ungeschützte oder nicht dokumentierte API kann Nichtkonformität bedeuten, unabhängig davon, ob Karteninhaberdaten oder Gesundheitsdaten offengelegt oder Anomalien in regulierten Sektoren nicht erkannt werden.

CIOs, die Maßnahmen für digitale Infrastruktur und zur Risikosteuerung vorantreiben, müssen einen bewussten und strukturierten Ansatz für die API-Sicherheit verfolgen. Dabei muss als Erstes vollständige Transparenz in die API-Umgebung geschaffen werden. Ohne Echtzeit-Inventarisierung in Cloud-, On-Premise- und Hybrid-Umgebungen ist es nahezu unmöglich, die API-Nutzung effektiv zu sichern oder zu überwachen.

Als Nächstes muss Sicherheit bereits in der Designphase integriert werden. Dazu gehören die Implementierung einer starken Authentifizierung, die Validierung aller Eingaben und die Anwendung der geringstmöglichen Zugriffsberechtigungen auf alle APIs im Unternehmen. Beobachtbarkeit ist gleichermaßen wichtig. Durch die Überwachung des API-Traffics in Echtzeit können Teams Anomalien frühzeitig erkennen und reagieren, bevor Risiken eskalieren. Dies ist eine wichtige Anforderung vieler regulatorischer Rahmenwerke.

Die Sicherheitsmaßnahmen sollten auch direkt auf die Compliance-Anforderungen ausgerichtet sein. Durch eine klare Abstimmung zwischen API-Kontrollen und Rahmenwerken wie PCI DSS, DSGVO, HIPAA und DORA können Unternehmen Fortschritte nachweisen, Beweise dokumentieren und sich auf Audits vorbereiten.

Zu guter Letzt muss die Widerstandsfähigkeit kontinuierlich getestet werden. APIs sollten Teil Ihrer umfassenderen Strategie für Sicherheitstests und für die Planung der operativen Resilienz sein und nicht erst nachträglich betrachtet werden. Insbesondere für Unternehmen in der Europäischen Union unter DORA wird die Fähigkeit, Angriffe zu simulieren, Ausfallszenarien zu bewerten und Kontinuität sicherzustellen, zu einer Grundvoraussetzung.

Akamai API Security unterstützt Unternehmen bei der Vereinfachung von Compliance sowie bei der Reduzierung von Risiken durch einen ganzheitlichen Ansatz für den API-Schutz über den gesamten Lebenszyklus. Es unterstützt die wichtigsten Compliance-Anforderungen in folgender Weise:

• Umfassende Erkennung und Bestandsaufnahme: Ermittelt und klassifiziert kontinuierlich alle APIs, einschließlich Shadow- und Zombie-APIs, um Transparenz zu gewährleisten und die Dokumentationsanforderungen unter Frameworks wie PCI DSS und DSGVO zu erfüllen

• Risiko- und Haltungsbeurteilung: Zuordnung der Ergebnisse zu wichtigen Compliance-Frameworks (z. B. PCI DSS, ISO 27001, DSGVO, HIPAA), um Fehlkonfigurationen oder Schwachstellen zu identifizieren, die Verstöße gegen diese Rahmenwerke zur Folge haben können

• Erkennung von verhaltensbasierten Bedrohungen: Erkennt Verhaltensanomalien, den Missbrauch von Geschäftslogik und die unsachgemäße Offenlegung von Daten, die herkömmlichen Tools häufig entgeht. So unterstützt die Lösung die Ziele von DORA im Bereich der betrieblichen Ausfallsicherheit

• Zentrale Transparenz mit einem Compliance-Dashboard: Bietet eine zentralisierte Ansicht von konformen und nicht konformen APIs, verfolgt die Entwicklung von Trends bei der Sicherheitslage im Laufe der Zeit und vereinfacht die Vorbereitung auf Audits

• Nahtlose Integration in das Sicherheitsökosystem: Integration in SIEM-Systeme (Security Information and Event Management), Ticketing-Systeme und Workflow-Tools, um Compliance-Nachweise zu generieren und die Reaktion auf Vorfälle zu optimieren

API-bezogene Vorfälle gelten nicht mehr als isolierte technische Probleme. Es handelt sich um Compliance-Verstöße, die behördliche Maßnahmen zur Folge haben. Angesichts der zunehmenden Überwachung durch Bundesbehörden müssen technische CIOs sicherstellen, dass die API-Sicherheit nicht nur implementiert, sondern auch operationalisiert und auditierbar ist. Wenn Sie APIs als priorisierte Bestandteile in Ihren Sicherheits- und Compliance-Programmen behandeln, verringern Sie nicht nur das Risiko, sondern sorgen dafür, dass Ihr Unternehmen auch langfristig vor Bedrohungen geschützt und für neue Vorschriften gewappnet ist.