Kostenloses E-Handbook: Ratgeber – APIs richtig absichern

Sie sorgen dafür, dass Maschinen, Anwendungen, Datenbanken und Cloud-Dienste zusammenarbeiten und miteinander kommunizieren: APIs (Application Programming Interfaces, Programmierschnittstellen) sind für einen reibungslosen Geschäftsbetrieb ein wichtiges Schlüsselelement in IT-Umgebungen und darüber hinaus.

Damit APIs ihr Tagwerk verrichten und auch fremde Daten und Dienste aus der Ferne einbinden, sollten sie einiges können und noch mehr dürfen. Sprich, APIs müssen über die entsprechenden Zugriffsrechte und Berechtigungen verfügen, um auf die zu verbindenden Ressourcen und Daten zugreifen zu können. Und diese Fähigkeiten machen sie natürlich zu einem attraktiven Angriffsziel für Cyberkriminelle. Daher sollten Unternehmen ihr Augenmerk darauf richten, ob diese wichtigen Verbindungsstücke in ihrer Infrastruktur ausreichend abgesichert und geschützt sind.

Das beginnt mit der Abklärung der gängigsten Schwachstellen wie einer ungenügenden Authentifizierung oder einer unnötigen Datenübergabe. Bei der Erstgenannten ist das Prinzip Zero Trust wie auch in anderen Bereichen ein sinnvoller Ansatz. Muss eine API-Antwort überhaupt all die Daten zurückgeben, die angefragt werden? Wie gut ist die API gegen Injection-Angriffe abgesichert, falls Angreifer manipulierte Daten senden? All diese Fragen sollten geklärt werden, um eine Basissicherheit zu gewährleisten. Und natürlich fortlaufend bei jeder neuen Anbindung auf den Prüfstand gestellt werden.

Bei der Integration von Cloud-Diensten spielen APIs eine wesentliche Rolle. Und nicht zuletzt die zunehmende Cloud-Nutzung hat für eine höhere Bedeutung von APIs gesorgt. Hierbei sollten IT-Teams einige Cloud-spezifische Überlegungen berücksichtigen, wenn es um die Absicherung der Schnittstellen geht. Wir haben die gängigsten zusammengefasst.

Will man das Risiko minimieren, dass APIs einen Sicherheitsverstoß verursachen, kommen API-Gateways ins Spiel. Diese Gateways ziehen eine weitere Schicht ein und unterstützen IT-Teams bei der Verwaltung, Sicherheit und Bereitstellung von APIs. Zugriffsverwaltung, DDoS-Schutz und Richtliniendurchsetzung sind dabei wichtige Funktionen.

Dieses E-Handbook liefert Ihnen einen Ratgeber zur praxisnahen Unterstützung bei der Absicherung von APIs.