X
Akamai übernimmt LayerX, um die Kontrolle der KI-Nutzung in jedem Browser durchzusetzen. Weitere Informationen
Akamai
Anmelden
Anmelden Close
Control Center
Zugriff auf die Akamai Plattform
Anmelden Close
Cloud Manager
Verwaltung Ihrer Cloudressourcen

Commerzbank verstärkt die API-Sicherheit mit Akamai 

Führende deutsche Bank sicherte monatlich 6 Milliarden API-Aufrufe durch proaktive Bedrohungserkennung und erweiterte API-Kontrollen

Teilen

Volker Sulzbach

„API Security ermöglicht uns eine bessere Governance und den Schutz der APIs, die unser Geschäft antreiben.“

Volker Sulzbach, Principal Software Engineer und Solutions Architect, Commerzbank

Förderung sicherer Innovationen im digitalen Banking

Die Commerzbank, eines der größten europäischen Finanzinstitute mit einer starken internationalen Präsenz, bietet Kunden durch innovative, API-gestützte digitale Dienste einen Mehrwert. Von Anfang an betonte die Bank die Entwicklung von hochgradig wiederverwendbaren Lösungen, angefangen mit den CRUD-Vorgängen (Create, Read, Update, Delete; Erstellen/Lesen/Aktualisieren/Löschen). Dieser Ansatz legte die Grundlage für außergewöhnliche Skalierbarkeit und Erweiterbarkeit und machte es einfacher, interne und externe APIs im Laufe der Zeit in das Ökosystem zu integrieren.

Doch in einem Zeitalter, das durch KI beschleunigt wurde, erkannte die Commerzbank, dass herkömmliche Security-by-Design-Maßnahmen nicht ausreichen, um das Kundenvertrauen zu halten und die wachsenden Erwartungen an einen sicheren, nahtlosen Zugriff zu erfüllen. Die Bank implementierte eine breite Palette zuverlässiger Mechanismen, darunter die Einhaltung der OWASP-Grundsätze, klar definierte und übersichtliche Schnittstellendefinitionen, strenge Richtlinien, sichere Tokenkonzepte und regelmäßige Penetrationstests. Da die Bedrohungen und die Komplexität jedoch zunahmen, benötigte die Commerzbank eine Lösung, die sich in Echtzeit anpassen ließ.

Zu diesem Zweck arbeitete die Bank mit Akamai und Deloitte zusammen, um eine spezielle API-Sicherheitsebene bereitzustellen, die ihre bestehende API-Managementplattform stärkt und erweitert. Die Initiative half der Bank, Anomalien zu erkennen, nicht verwaltete Shadow-APIs aufzudecken und die Governance abteilungsübergreifend zu stärken. Gleichzeitig wurde die Agilität, Compliance und die Fähigkeit zur sicheren Skalierung im Zuge der Erweiterung des API-Ökosystems aufrechterhalten.

Mehr Transparenz über das API-Gateway hinaus

Die Commerzbank verarbeitet jeden Monat über 6 Milliarden API-Aufrufe und unterstützt ein riesiges digitales Ökosystem aus Kunden-, Partner- und internen Anwendungen. Seit 2017 verlässt sich das Unternehmen auf die Axway Amplify API Management Platform, um sowohl interne als auch internetorientierte APIs zu verwalten. Als die Bedrohungen jedoch ausgefeilter wurden, erkannte der Principal Software Engineer and Solutions Architect Volker Sulzbach die Notwendigkeit einer starken API-Abwehr.

„Unsere API-Verwaltungsplattform macht ihre Arbeit gut“, so Sulzbach. „Aber wir wollten eine Möglichkeit, abnormale API-Verhaltensweisen und potenzielle Angriffe zu erkennen, bevor sie Probleme verursachten.“

Während das SOC der Bank den umfassenderen Netzwerkschutz wie Firewalls bewältigte, wollte das Team von Sulzbach alle geschäftsbezogenen APIs direkt beaufsichtigen, um Anomalien und Schatten-APIs frühzeitig zu erkennen, ohne die Innovation zu verlangsamen.

Einführung von API Security

Nach der Bewertung mehrerer Anbieter entschied sich die Commerzbank für die Lösung API Security von Akamai, die APIs in verschiedenen Umgebungen kontinuierlich ermittelt, klassifiziert und schützt. „Die Erkennung von Anomalien hatte für uns höchste Priorität“, so Sulzbach.

„Wir brauchten eine verhaltensorientierte Bewertung, nicht nur auf Call-by-Call-Basis. „Akamai ermöglicht das“, fuhr er fort. Mithilfe der auf Machine Learning basierenden Anomalieerkennung identifiziert API Security abnormales API-Verhalten, potenziellen Missbrauch und Shadow-APIs und bietet so vollständige Transparenz sowohl für verwaltete als auch für nicht verwaltete Endpoints.

„Wir waren beeindruckt, dass API Security dabei beiträgt, „bösartige“ APIs zu identifizieren und Sicherheit bereits während der Entwicklungsphase zu integrieren“, erklärte Sulzbach.

Skalierung des Schutzes auf Tausende von APIs

Die erste Phase der Implementierung begann mit dem Sandbox-Gateway von Commerzbank, das APIs simuliert und getestet, bevor sie live gehen. Nachdem das Team die Genauigkeit und Reaktionsfähigkeit von API Security überprüft hatte, sicherte es zunächst etwa 25 Produktions-APIs ab.

„Zunächst wollten wir Regeln festlegen, Fehlalarme reduzieren und sicherstellen, dass unsere Teams auf Warnmeldungen reagieren können. In der nächsten Phase würde die Nutzung von API Security erweitert werden“, erklärt Sulzbach.

Diese Erweiterung wird schließlich Tausende von APIs und Endpoints umfassen und bietet kontinuierliche Transparenz und Sicherheit für internen und externen Traffic.

Christoph Berentzen

„Ein starker API-Schutz ist für die Aufrechterhaltung des Kundenvertrauens unerlässlich und Akamai unterstützt uns dabei, dieses Versprechen einzuhalten.“

Christoph Berentzen, Manager, Business Connectivity Division, Commerzbank

Ergänzung der Governance- und Compliance-Ziele

Neben der Sicherheit brachte die Lösung die API-Governance-Strategie der Commerzbank voran. Die Bank setzt strenge Benennungs- und Formatierungsstandards für APIs durch, um Konsistenz und Transparenz zu gewährleisten. Dennoch hatten einige API-Eigentümer zuvor Regeln umgangen, wie z. B. das Vermeiden von Abkürzungen oder deutschen Begriffen, um die Einführung zu beschleunigen.

Mit API Security passiert dies nicht mehr. „Wir kennen jetzt alle geschäftsbezogenen APIs. Das bedeutet, wir können sicher sein, dass sie unsere Governance-Regeln befolgen“, so Sulzbach. „Diese Transparenz gibt uns einen Vorteil bei der Kommunikation mit der Geschäftsleitung und hilft uns, die Regulierungsbehörden, einschließlich der Europäischen Zentralbank, zu überzeugen, dass wir unsere APIs proaktiv schützen und unsere Sicherheitsmaßnahmen kontinuierlich verbessern.“

On-Premise im Vordergrund, aber mit SaaS-Flexibilität

Obwohl Akamai API Security als SaaS anbietet, entschied sich die Commerzbank für eine On-Premise-Bereitstellung, um die Kontrolle zu erhöhen und das Onboarding zu beschleunigen. Dieser abgestufte Ansatz ermöglicht es dem Team, Vertrauen aufzubauen, Richtlinien zu verfeinern und schließlich in cloudnative Workflows zu integrieren, wenn der Reifegrad des Sicherheits-Frameworks zunimmt.

„Es ging nicht darum, die Cloud abzulehnen. Wir wollten schnell beginnen, die Lösung validieren und unsere Sicherheitsdaten intern halten und gleichzeitig alle Erkennungsvorteile nutzen, erklärte Sulzbach.

Partnerschaft mit Deloitte für eine schnelle Einführung

Um die Bereitstellung und Konfiguration zu optimieren, arbeitete Commerzbank mit Deloitte zusammen, das sowohl technischen als auch strategischen Support bot. Die Partnerschaft hat dazu beigetragen, die Einrichtung zu beschleunigen, Regeln zu optimieren und das interne Team der Bank auf die langfristige Verwaltung der Plattform vorzubereiten.

„Deloitte kennt unsere Umgebung und die Akamai-Technologie in- und auswendig und bietet klare Anleitungen und Expertise, die die Bereitstellung rationalisieren“, so Sulzbach.

Kontinuierlicher API-Schutz auf globaler Ebene

Durch die Einführung von Akamai API Security hat sich die Commerzbank in einem zunehmend vernetzten Finanzökosystem für die Reduzierung von Risiken, die Stärkung der Compliance und die sichere Innovation positioniert. Die Roadmap der Bank umfasst die Integration von API Security in jede geschäftsorientierte API, um einen kontinuierlichen Schutz vom Design bis zur Laufzeit zu ermöglichen. Letztendlich werden API-Eigentümer auf potenziellen Missbrauch aufmerksam gemacht, Teams werden befähigt, Schwachstellen frühzeitig zu beheben und Bedrohungen sogar automatisch zu blockieren.

„Wir möchten unsere riesige API-Landschaft bestmöglich schützen. API Security ermöglicht es uns, genau das zu tun, indem wir jede für unser Unternehmen wichtige API katalogisieren, scannen und schützen“, fasste Sulzbach zusammen.

Über Commerzbank

Mit ihren beiden Geschäftsbereichen – Firmenkunden sowie Privat- und Kleinunternehmenskunden – bietet die Commerzbank als Universalbank ein umfassendes Portfolio an Finanzdienstleistungen an. Sie ist die führende Bank für Unternehmenskunden in Deutschland und für den deutschen Mittelstand und ein starker Partner für rund 24.000 Firmenkundengruppen. Mit einem verwalteten Vermögen von mehr als 400 Mrd. EUR gehört die Commerzbank auch zu den führenden Banken für Privat- und Kleinunternehmen in Deutschland. Sie bietet eine breite Palette von Produkten und Dienstleistungen mit einem kanalübergreifenden Ansatz: Online und mobil, per Telefon oder Video im externen Beratungszentrum und persönlich in seinen rund 400 Niederlassungen.

Über Akamai

Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten ein gestaffeltes Sicherheitskonzept, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen. Weitere Informationen finden Sie unter akamai.com/de und akamai.com/de/blog oder folgen Sie Akamai Technologies auf X und LinkedIn.

Ähnliche Kundenreferenzen