Startseite > Security > Schwachstelle Schnittstelle

APIs absichern mit Zero Trust

Schwachstelle Schnittstelle

23. Februar 2022, 12:00 Uhr | Tanja Hofmann/am

Die Anzahl von 5G-Anwendungbereichen und IoT-Endpunkten wächst enorm. So sollen bis 2025 mehr als 30,9 Milliarden IoT-Geräte im Einsatz sein. Cyberkriminelle, die auf der Suche nach lukrativen Zielen sind, haben diesen Trend erkannt und nehmen daher zunehmend APIs ins Visier, um in Unternehmensnetzwerke einzudringen. Als hilfreich erweist sich ein Ansatz, mit dem Unternehmen ein ganzheitliches Sicherheitskonzept umsetzen können.

Jüngste Statistiken zeigen, dass inzwischen mehr als 80 Prozent des gesamten Internetverkehrs auf API-Diensten basieren. Application Programming Interfaces sind offene Schnittstellen, über die verschiedene Softwarekomponenten und -Services miteinander agieren können. Dies ist beispielsweise für 5G-Anwendungsfälle relevant. Die fünfte Generation des Mobilfunkstandards gewinnt immer stärker an Bedeutung und soll durch Datenübertragung in Echtzeit die Digitalisierung vieler Lebensbereiche ermöglichen. Damit geht auch die Ausbreitung des Internet of Things (IoT) einher.

Laut dem „State of the IoT“-Report werden bis zum Jahr 2025 weltweit über 30,9 Milliarden IoT-Geräte im Einsatz sein. Damit diese – unabhängig davon, ob sie sich im Privathaushalt, in der Produktion oder auf der Straße befinden – intelligent miteinander kommunizieren können, benötigen sie an ihren Endpunkten APIs oder andere nach außen kommunizierende Schnittstellen. Die immer größer werdende Anzahl von APIs macht sie allerdings auch zu einem beliebten Ziel für Cyberkriminelle.

In vielen Fällen bleiben Angriffe auf APIs unentdeckt, weil sie als vertrauenswürdig gelten. Es gibt jedoch verschiedene Einfallstore, über die sich Kriminelle Zugriff verschaffen können. Dazu gehören Fehlkonfigurationen, die zu Datenlecks führen können, der Missbrauch moderner Authentifizierungsmechanismen wie OAuth/Golden SAML sowie fortschrittliche Malware-Angriffe, bei denen man Schadsoftware über Cloud-APIs eingeschleust und von dort verbreitet.

In den meisten Fällen geht einem solchen Angriff die Kompromittierung von Mitarbeiter-Accounts voraus. Zudem lassen sich APIs nutzen, um Unternehmensdaten beispielsweise auf Cloud-Speicherdiensten mit Hilfe von Ransomware zu verschlüsseln, um eine Schatteninfrastruktur zu schaffen oder um gleich die gesamte Infrastruktur zu übernehmen.

Transparenz über die API-Nutzung sollte daher für Unternehmen Priorität haben – Vertrauen alleine reicht heute und insbesondere, wenn sich 5G-Anwendungsfälle und IoT-Geräte immer weiter ausbreiten, schlicht nicht mehr aus. Abhilfe kann die Umsetzung eines Zero-Trust-Ansatzes schaffen. Eine solche Strategie sorgt dabei für umfassende Sicherheit – von APIs und darüber hinaus.