Application Security: Neuen Angriffsflächen durch APIs begegnen

Anwendungen befinden sich heute in den unterschiedlichsten IT-Umgebungen, vom Rechenzentrum bis zum Smartphone, und ihre Zahl steigt unaufhaltsam. Auch hat die verstärkte Remote-Arbeit dazu geführt, dass immer mehr Applikationen in die Cloud ausgelagert werden müssen. [...]

Dr. Klaus Gheri, General Manager Network Security bei Barracuda (c) Barracuda
Dr. Klaus Gheri, General Manager Network Security bei Barracuda (c) Barracuda

Hierdurch haben sich potenzielle Risiken hinsichtlich der Applikationssicherheit noch vergrößert. Um ihre Anwendungen angemessen schützen zu können, ist deshalb für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Bots sind zweifelsohne seit langem eine Bedrohungsquelle für Anwendungen und stehen mittlerweile an der Spitze der Liste erfolgreicher Angriffsmethoden. Da zudem viele Verstöße durch menschliches Versagen verursacht werden, ist es wichtiger denn je, dafür zu sorgen, dass keine Lücken in der Verteidigung offengelassen werden.

Jedoch sollten sich Security-Teams nicht nur auf Bots konzentrieren. Auch Zero-Day-Bedrohungen, Schwachstellen in Webanwendungen, die Software-Lieferkette und APIs (Application Programming Interfaces) sind relevante Bereiche, denen Sicherheitsexperten ebenso viel Aufmerksamkeit widmen sollten.

Jüngste Forschungsdaten von Barracuda zeigen, dass von 750 globalen Unternehmen 72 Prozent im letzten Jahr mindestens einen Sicherheitsverstoß durch eine Anwendungsschwachstelle erlitten haben, wobei sogar fast 40 Prozent von mehr als einem Verstoß berichteten.

Neue Angriffsflächen für Applikationen durch APIs

Immer mehr Unternehmen gehen zu einer „API-First“-Entwicklung über, da APIs die Entwicklung neuer Anwendungsversionen erheblich beschleunigen. Durch die Ausweitung der Sichtbarkeit dieser Anwendungen entsteht jedoch eine ganz neue Angriffsfläche.

Ein Beispiel: Für die Einlösung eines Schecks benötigte früher eine Bank mehrere Tage, um das Ursprungskonto und entsprechende Details zu überprüfen, bis schließlich das Geld auf dem Empfängerkonto eintraf. Heute geschieht der Geldtransfer häufig per Überweisungen über eine Anwendung auf dem Smartphone. Um diese eine Transaktion durchzuführen, ist im Hintergrund eine große Menge IT notwendig und diese muss geschützt werden.

An der Überprüfung der B2B-Endpunkte sind keine Menschen beteiligt, alles wird über APIs abgewickelt, die eine potenzielle Angriffsfläche darstellen. Denn APIs legen von Natur aus die Anwendungslogik, die Anmeldeinformationen und Token des Benutzers sowie alle Arten von persönlichen Informationen offen, und dies alles mit Cloud-Geschwindigkeit und vom Smartphone des Anwenders aus. Eine API-basierte Anwendung ist wesentlich exponierter als eine herkömmliche webbasierte Anwendung, da sie bewusst eingesetzt wird, um direkten Zugriff auf sensible Daten zu ermöglichen.

Wenn Nutzer beispielsweise durch Facebook scrollen oder den Liveticker zu ihrem Aktienportfolio in ihrer Bank-App checken, interagieren ihre Telefone über APIs mit den Servern in ihren Datenzentren. Während des Scrollens authentifizieren sich diese APIs ständig über große alphanumerische Zeichenfolgen, und dieser Datenverkehr muss in Echtzeit inspiziert und gesichert werden. Hier kann nicht gewartet werden, wie beim obengenannten Scheck-Beispiel, bis etwa ein Ansprechpartner aus der Mittagspause zurückkommt, um zu überprüfen, ob es sich um eine legitime Anfrage handelt.

Schutz für Applikationen und APIs

Unternehmen setzen vermehrt auf APIs, aber es fällt ihnen schwer, in Sachen Sicherheit Schritt zu halten. Cyberkriminelle stehen mit Bots bereit, um auf ungesicherte APIs aufzuspringen, und das rund um die Uhr. Ist ein Angriff erfolgreich, haben Hacker Zugriff auf Kundendaten oder Mitarbeiterinformationen, die sie nach Belieben kompromittieren können. Es gibt viele Beispiele dafür, dass Test-APIs mit direktem Zugriff auf Produktionsdaten ohne jegliche Sicherheitsvorkehrungen eingesetzt werden (wie etwa bei Facebooks Sicherheitsverstoß 2018). Auch wenn der Schutz von APIs eine Herausforderung darstellt, zeigt ein ermutigendes Ergebnis aus der Barracuda-Studie jedoch, dass sich 75 Prozent der befragten Unternehmen der Risiken bewusst sind.

Die Verteidigung von APIs zählt aktuell zu den wichtigsten Sicherheitsüberlegungen. Unternehmen sollten daher eine umfassende, skalierbare und einfach zu implementierende Plattform in Betracht ziehen, um ihre Anwendungen zu schützen, wo auch immer sie sich befinden. Eine Web Application Firewall (WAF) mit Active Threat Intelligence ist die am besten verwaltbare Lösung, um Anwendungen und damit auch APIs vor den oben genannten Bedrohungen zu schützen. Die Verteidigung gegen Zero-Day-Bedrohungen, Bots, DDoS-Angriffe, eine Kompromittierung der Lieferkette, Credential Stuffing sowie die Implementierung einer clientseitigen Security und der Schutz vor böswilligen Insidern sollten bei Unternehmen auf der Agenda stehen, um Sicherheitsverletzungen durch Anwendungsschwachstellen zu vermeiden.

*Klaus Gheri ist General Manager Network Security bei Barracuda.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*