Maximusdn - stock.adobe.com

Tipp

Wie man eine API-Sicherheitsstrategie aufbaut

Ungenügende Schutzmaßnahmen für APIs erleichtern es, Angreifern Daten zu entwenden, Malware einzuschleusen und Konten zu übernehmen. Ein strategischer Security-Ansatz ist vonnöten.

Colin Domoney
von
Zuletzt aktualisiert:19 Juni 2025

Die breite Verfügbarkeit von APIs, die eine einfache Integration von Systemen ermöglichen, hilft Entwicklern dabei, Plattformen schneller als je zuvor zu erstellen. Die API-Sicherheit wird jedoch manchmal erst nachträglich berücksichtigt, was zu einer entsprechenden Zunahme erfolgreicher Angriffe auf APIs geführt hat.

Die meisten Unternehmen verfügen zwar über eine Sicherheitsstrategie für Software, doch diese berücksichtigt die API-Sicherheit oft nicht ausreichend. Bestehende Security-Tools wie dynamische und statische Anwendungstests sind bei API-Codebasen weitaus weniger wirksam, und herkömmliche Ansätze können viele der größten API-Sicherheitsrisiken oft nicht erkennen.

Unternehmen können die API-Sicherheit nicht dem Zufall überlassen, sondern benötigen eine API-spezifische Sicherheitsstrategie.

Erstellen einer API-Sicherheitsstrategie: Erste Schritte

Bevor eine API-Sicherheitsstrategie formuliert wird, sollten sich die Beteiligten fragen, warum sie eine solche Strategie benötigen. Vielleicht geht es darum, bestimmte regulatorische Anforderungen wie NIS2, DSGVO oder PCI DSS zu erfüllen, die Sicherheitslage zu verbessern, kritische Vermögenswerte zu schützen oder auf einen Vorfall zu reagieren. Ein klares Verständnis der Gründe prägt den Umfang, das Tempo und die Taktik der API-Sicherheitsstrategie.

Ein charakteristisches Merkmal der API-Sicherheit ist, dass oft mehr Stakeholder beteiligt sind als bei herkömmlichen Softwareprojekten. Zu den zusätzlichen Beteiligten können API-Produktverantwortliche, API-Plattformteams und Datenschutzteams gehören. Beziehen Sie möglichst viele verschiedene Interessenvertreter mit ein.

Nachdem Sie den Zweck und die Beteiligten festgelegt haben, ist es an der Zeit, eine Bestandsaufnahme zu erstellen, Risiken zu priorisieren, schnelle Verbesserungen umzusetzen und eine Bedrohungsmodellierung durchzuführen.

API-Inventar erstellen

APIs sind in modernen Technologie-Stacks allgegenwärtig und relativ einfach zu erstellen und zu implementieren. Das bedeutet, dass Unternehmen in der Regel über mehr APIs verfügen, als ihnen bewusst ist – und dass ihnen ein vollständiger API-Katalog fehlt.

Erstellen Sie eine API-Bestandsaufnahme, um den Umfang der API-Nutzung zu erfassen. Bitten Sie das API-Gateway-Team – sofern vorhanden – um eine Liste der APIs und überprüfen Sie die Code-Repositorys auf API-Spezifikationen.

API-Risikobewertung durchführen

Führen Sie nach Abschluss der Bestandsaufnahme eine Risikobewertung durch, um die APIs zu priorisieren. Sofern ein Unternehmen nicht über unbegrenzte Ressourcen verfügt, kann es wahrscheinlich nicht alle APIs von Anfang an sichern. Konzentrieren Sie sich auf die kritischsten APIs, damit die API-Sicherheitsstrategie so schnell wie möglich Verbesserungen für die wichtigsten Geschäftsressourcen erzielen kann.

Bewerten Sie APIs anhand der folgenden Kriterien:

  • Bedeutung der Daten. Priorisieren Sie APIs, die hochsensible Daten wie personenbezogene Daten verarbeiten.
  • Auswirkungen auf den Geschäftsbetrieb. Priorisieren Sie APIs, die die wichtigsten Geschäftsfunktionen erfüllen, wie beispielsweise eine unentbehrliche Backend-APIs.
  • Technische Risikofaktoren. Priorisieren Sie APIs, die auf veralteten oder nicht mehr unterstützten Systemen wie älterer Hardware gehostet werden.

API-Sicherheit für schnelle Ergebnisse berücksichtigen

Es ist wichtig, frühzeitig Fortschritte zu erzielen, um die Unterstützung der Beteiligten zu gewinnen. APIs bieten viele Bereiche, in denen sich schnelle Erfolge erzielen lassen, die zu einer deutlichen Verbesserung der Sicherheitslage führen können.

Beachten Sie Folgendes:

  • Führen Sie einen Netzwerkschwachstellenscan durch, um exponierte APIs ohne Transport-Sicherheit oder solche ohne Authentifizierung zu identifizieren.
  • Überprüfen Sie die bestehende API-Gateway-Implementierung und aktivieren Sie alle Sicherheitsfunktionen mit sinnvollen Richtlinien. Dies kann zentral und global erfolgen – und stellt eine schnelle und effiziente Verbesserung der Sicherheit dar.
  • Überprüfen Sie die Netzwerkverkehrsprotokolle auf verdächtige Aktivitäten, wie beispielsweise häufige 403-Fehler oder 429-Fehler zur Begrenzung der Zugriffsrate, die auf Angriffe auf APIs hinweisen.

API-Sicherheit durch Bedrohungsmodellierung

Die Bedrohungsmodellierung ist ein wichtiger Bestandteil jeder Sicherheitsstrategie. Sie zielt darauf ab, die Angriffsfläche, die Architektur und die Implementierungsdetails sowie potenzielle Schwachstellen zu identifizieren. Führen Sie für APIs eine Bedrohungsmodellierung auf Organisationsebene durch – auf SaaS-Plattformen, API-Gateways, bei der Authentifizierung etc. – und für einzelne APIs, wobei Sie sich auf Design- und Implementierungsfehler konzentrieren, die zu Sicherheitsrisiken führen können.

Die API-Sicherheitsstrategie erarbeiten und umsetzen

Es gibt keine einheitliche API-Sicherheitsstrategie. Die spezifischen Beweggründe einer Organisation für API-Sicherheit bestimmen die Elemente ihrer Strategie. Beispielsweise sollten sich Unternehmen in stark regulierten Branchen in erster Linie auf die Governance konzentrieren, während Unternehmen, die sich von einer Sicherheitsverletzung erholen, wahrscheinlich mehr Wert auf den Schutz legen werden.

Eine ganzheitliche API-Sicherheitsstrategie konzentriert sich im Allgemeinen auf die folgenden sechs Eckpfeiler:

  • Bestandsaufnahme. Führen Sie eine aktuelle Bestandsaufnahme, um die Angriffsfläche im Blick zu behalten. Konzentrieren Sie sich darauf, wie neue APIs in das Unternehmen eingeführt werden, überwachen Sie Code-Repositorys auf APIs und überwachen Sie den API-Datenverkehr in Echtzeit.
  • Design. Verwenden Sie beim Entwerfen von APIs eine Shift-Left-Philosophie und konzentrieren Sie sich dabei auf Schlüsselbereiche wie Authentifizierung, Autorisierung und Datenschutzanforderungen. Setzen Sie einen Design-First-Ansatz mithilfe von OpenAPI-Spezifikationen durch, mit denen automatisierte Linting-Tools den Code von APIs analysieren und Warnmeldungen zu festgestellten Problemen senden können.
  • Entwicklung. Erweiterung bestehender Richtlinien für sichere Entwicklung um API-spezifische Aspekte, wie die Konfiguration von Bibliotheken und Frameworks für standardmäßige Sicherheit, die Verwendung zentralisierter Authentifizierungs- und Autorisierungsverfahren sowie weitere defensive Codierungspraktiken.
  • Testen. Automatisierte und kontinuierliche Tests von APIs auf Sicherheitsmängel können die API-Sicherheit für DevSecOps-Teams erheblich verbessern. Automatisierte Tests können Probleme bei der Authentifizierung und Autorisierung, übermäßige Offenlegung von Informationen, Probleme bei der Eingabevalidierung und fehlende Ratenbegrenzungen identifizieren. Sie können auch Abweichungen von der OpenAPI-Spezifikation und ungültige Antworten oder Statuscodes erkennen. Diese Tests werden nahezu in Echtzeit mit sofortigem und genauem Feedback ausgeführt und eignen sich daher gut für Pipelines mit kontinuierlicher Integration/kontinuierlicher Bereitstellung.
  • Schutz. Um die API-Sicherheit zu erhöhen, sollten Sie die Laufzeitschutzfunktionen von API-Gateways oder API-Firewalls nutzen. Setzen Sie die Validierung von JSON-Web-Tokens, sichere Übertragungsprotokolle und Brute-Force-Schutzmaßnahmen durch. Integrieren Sie die API-Protokollierung in SIEM-Systeme und überwachen Sie diese proaktiv im Security Operations Center (SOC).
  • Governance. Eine API-Sicherheitsstrategie sollte die Governance der API-Entwicklung umfassen. Die Definition von API-Sicherheitskontrollen und Best Practices als Teil einer Strategie erfordert auch einen Governance-Prozess, um sicherzustellen, dass diese Kontrollen unternehmensweit einheitlich implementiert und durchgesetzt werden.

Bei der Ausarbeitung einer Strategie sollten Sie den anfänglichen Leistungsumfang berücksichtigen, der zwei Ansätze umfassen kann:

  • Deep and narrow, wo ein enger Bereich von APIs für eine vertiefte Fokussierung ausgewählt wird.
  • Shallow und broad, wobei alle APIs in den Geltungsbereich der Strategie fallen.

Im Allgemeinen funktioniert es für die meisten Unternehmen gut, zunächst breit anzufangen und dann den Fokus zu schärfen.

Nach der Festlegung der Strategie ist der letzte Schritt eine klare und offene Kommunikation mit allen Beteiligten. Dabei sollten die Gründe für die Initiative, die Schwerpunkte, der Zeitplan und die Erwartungen der relevanten Beteiligten dargelegt werden. Außerdem sind operative Aspekte wie Nachverfolgung und Berichterstattung im Detail zu beschreiben.

Fortschritte der API-Sicherheitsstrategie nachverfolgen

Um den Erfolg der Strategie im Laufe der Zeit zu verfolgen, sollten verschiedene Kennzahlen gemessen werden, um die Leistung und den Fortschritt zu bestimmen. Die Kennzahlen lassen sich in zwei Hauptkategorien einteilen:

  • Prozesskennzahlen. Dazu gehören prozentuale Abdeckung, Compliance, Ausnahmen, Zeit bis zur Behebung, geschützte APIs sowie weitere Kennzahlen.
  • Technische Kennzahlen. Dazu gehören die Anzahl der identifizierten Mängel, Mängelkategorien, festgestellte Probleme und so weiter.

Legen Sie für jede Kennzahl einen Leistungsindikator fest und verfolgen Sie dessen Fortschritt über zentrale Dashboards.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit