DE
DE EN FR
Startseite | API-Sicherheit und Datenexposition: 8 Grundsätze, die man kennen sollte

API-Sicherheit und Datenexposition: 8 Grundsätze, die man kennen sollte

Orlaith Traynor

7 min lesen - April 17, 2024

Was ist API-Exposition? Und stellt sie ein Problem dar? Letztlich übermitteln alle APIs eine bestimmte Menge an Informationen. Wenn sie jedoch zu viele Daten weitergeben, können sie ein ernsthaftes Sicherheitsrisiko darstellen. Dies wird als übermäßige API-Datenfreigabe bezeichnet.

Im Jahr 2023, 50% der Unternehmen meldeten Datenverletzungen aufgrund von API-Schwachstellen, was APIs zu einem großen Cybersicherheitsrisiko für jedes Unternehmen macht. Und warum? Eine übermäßige Offenlegung von Daten in APIs kann schwerwiegende Folgen haben, vom Verlust sensibler Daten über einen beschädigten Ruf der Marke bis hin zu einer negativen Nutzererfahrung und mehr.

In diesem Leitfaden erfahren Sie, welche Folgen die Offenlegung sensibler Daten-APIs haben kann, und lernen einige Echtzeitlösungen zur Verringerung des Risikos kennen.

1. Was ist API-Exposition?

Von API-Exposition spricht man, wenn eine Anwendungsprogrammierschnittstelle (API) sichtbar für Ökosysteme außerhalb seiner Umgebung.

Dies ist eine normale und wichtige Funktion, da APIs es verschiedenen Systemen ermöglichen, miteinander zu kommunizieren. Jedes Online-System ist bis zu einem gewissen Grad von APIs abhängig.

Die Wirkstoffexposition muss jedoch sorgfältig kontrolliert und überwacht werden, und zwar mit den richtigen API-Sicherheit Maßnahmen getroffen werden. Andernfalls besteht ein hohes Risiko einer übermäßigen Datenexposition.

2. Was ist eine übermäßige Datenexposition in API?

Übermäßige Datenbelastung in API ist wenn die API mehr Daten als nötig preisgibt um seine Rolle zu erfüllen.

(Mit anderen Worten: Es übertrifft alles!)

Zum Beispiel könnte die Exposition von API-Daten bedeuten, dass...

  • Offengelegte Daten die sensible Informationen oder Datenobjekte, wie z. B. Anmeldedaten, enthalten
  • Daten könnten nicht verschlüsselt werden-insbesondere in Protokollen, Netzwerken und Datenbanken-, wodurch API-Anfragen leicht abgefangen werden können

Bevor wir uns mit den Folgen und Lösungen von übermäßige Daten-API-ExpositionHier ein paar kurze Begriffe, die Sie sich merken sollten.

Was ist die Gefährdung durch sensible Daten?

Sensible Daten liegen vor, wenn wichtige System- und Benutzerdaten für Unbefugte sichtbar sind. Zu diesen Datenlecks könnten gehören persönlich identifizierbare Informationen (PII)wie z. B. vollständige Namen oder E-Mail-Adressen. Dies wird als API-PII-Exposition bezeichnet.

Was ist eine API-Schwachstelle?

Die API-Schwachstelle bezieht sich auf jede Schwachstelle, die die Sicherheit gefährden könnteIntegrität bzw. Verfügbarkeit eines API-Schemas. Im nächsten Abschnitt werden wir uns dies genauer ansehen.

3. Inwiefern sind Anwendungen anfällig für Datenverluste?

Anwendungen, die nicht über die richtigen Sicherheitsvorkehrungen verfügen, sind dem Risiko der Datenpreisgabe ausgesetzt. Dies ist insbesondere bei der Verwendung von APIs der Fall, da dies der Punkt ist, an dem Informationen normalerweise zwischen Systemen übertragen werden.

Aber wie genau stellen sie ein Sicherheitsrisiko dar? Die Stiftung Open Web Application Security Project (OWASP) hat die Antworten gefunden.

Die Initiative "OWASP API Security Top 10".

Die OWASP API-Sicherheit Top 10 ist eine gemeinnützige Initiative, die die 10 größten Sicherheitsrisiken für APIs ermittelt hat.

  1. API1: 2023 - Fehlerhafte Autorisierung auf Objektebene: Wenn API-Endpunkte offengelegt werden, was zu Problemen bei der Zugriffskontrolle führt.
  2. API2: 2023 - Fehlerhafte Authentifizierung: Wenn Angreifer die üblichen Berechtigungen umgehen können, z. B. durch Offenlegung des API-Schlüssels, und sich als ein anderer Benutzer ausgeben.
  3. API3: 2023 - Fehlerhafte Autorisierung auf Objekteigenschaftsebene: Wenn es eine übermäßige Datenexposition und übermäßiges Teilen, was dazu führt, dass Informationen preisgegeben oder manipuliert werden.
  4. API4: 2023 - Uneingeschränkter Ressourcenverbrauch: Wenn Angreifer ein System mit API-Anfragen überschwemmen können, was zu Denial of Service (DoS)-Angriffen oder erhöhten Betriebskosten führt.
  5. API5: 2023 - Fehlerhafte Autorisierung auf Funktionsebene: Wenn eine API unklare Zugriffskontrollrichtlinien hat, was zu Autorisierungsfehlern führt.
  6. API6: 2023 - Uneingeschränkter Zugang zu sensiblen Geschäftsabläufen: Wenn die Wege (z. B. beim Kauf oder beim Teilen eines Kommentars) leicht überlaufen und überschwemmt werden können.
  7. API7: 2023 - Side Server Request Forgery (SSRF): Wenn API-Antworten ohne die richtige Benutzervalidierung ausgelöst werden.
  8. API8: 2023 - Falsche Sicherheitskonfiguration: Wenn eine API nicht mit den richtigen Sicherheitspraktiken kodiert ist, ist sie anfällig für Angriffe.
  9. API9: 2023 - Unsachgemäße Bestandsverwaltung: APIs haben mehr Endpunkte als Webanwendungen, was bedeutet, dass veraltete Versionen oder Bugs im Laufe der Zeit leicht übersehen werden können.
  10. API10: 2023 - Unsicherer Verbrauch von Wirkstoffen: Integrierte Dienste von Drittanbietern, die neben APIs verwendet werden, können ausgenutzt werden, da sie in der Regel niedrigere Sicherheitsstandards haben.

Alle diese 10 wichtigsten Sicherheitsrisiken können API-Systeme gefährden und zu einer übermäßigen Datenexposition führen.

4. Was sind die Folgen der API-Exposition?

Übermäßige Datenexposition - sei es durch menschliches Versagen oder durch konzertierte API-Angriffe-kann für jedes Unternehmen oder jede Organisation verheerende Folgen haben.

  • Offenlegung sensibler API-Daten: Wichtige Informationen, wie z. B. personenbezogene Daten, könnten an unbefugte Benutzer oder Cyberkriminelle weitergegeben werden.
  • Ausfallzeiten im Betrieb/Dienstleistungen: Das API-System könnte unterbrochen oder gestoppt werden, was sich auf das gesamte Kundenerlebnis auswirken, den Betrieb stören und finanzielle Verluste verursachen könnte.
  • Negativer Ruf der Marke: Datenverlust kann zu Geldstrafen, mangelndem Vertrauen und negativer Publicity für jedes Unternehmen führen.
  • Hohe Verwertungskosten: Die Einführung von Wiederherstellungs- und Sicherheitsmaßnahmen kann zeitaufwendig und teuer sein.
  • Rechtliche und finanzielle Folgen: Unternehmen könnten mit Geldstrafen und rechtlichen Schritten rechnen, wenn Daten kompromittiert werden (mehr dazu im nächsten Abschnitt)

5. Welche Datengesetze sollte ich beachten?

Ein übermäßiges API-Datenrisiko betrifft nicht nur Marken, sondern kann auch zu langfristigen rechtlichen Konsequenzen führen. Hier sind einige der wichtigsten Datenschutzgesetze, die betroffen sein könnten.

  1. Allgemeine Datenschutzverordnung (GDPR): Die GDPR, die als "das härteste Datenschutz- und Sicherheitsgesetz der Welt" bekannt ist, wurde 2018 für alle Organisationen geschaffen, die auf die Daten von Menschen in der EU abzielen oder diese sammeln.
  2. Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA): Ein US-amerikanisches Gesetz aus dem Jahr 1996, das Anbieter und Organisationen im Gesundheitswesen dazu verpflichtet, die Vertraulichkeit von Patientendaten zu schützen.
  3. Kalifornisches Verbraucherschutzgesetz (CCPA): Ein US-Gesetz, das 2018 verabschiedet wurde, um "Verbrauchern mehr Kontrolle über die persönlichen Daten zu geben, die Unternehmen über sie sammeln".

Gesetze wie diese dienen dazu, Menschen zu schützen und Organisationen für den Umgang mit sensiblen Daten zur Verantwortung zu ziehen. Mit der zunehmenden Nutzung von APIs und der Digitalisierung der modernen Gesellschaft steigt das Risiko, dass private Daten nach außen dringen, so dass diese Vorschriften wichtiger denn je sind.

Und selbst große Marken sind nicht immun dagegen...

6. Welches sind die 5 wichtigsten Vorfälle im Zusammenhang mit API-Daten?

Lassen Sie uns einige reale Anwendungsfälle untersuchen, was passiert, wenn diese Daten über API-Pfade kompromittiert werden.

T-Mobile

Im Jahr 2023, T-Mobile wurde aufgrund eines unbefugten Eindringens in eine einzelne Anwendungsprogrammierschnittstelle (API) verletzt. Die erste Kompromittierung der API erfolgte am 25. November 2022. T-Mobile bestätigte, dass rund 37 Millionen Konten betroffen waren, obwohl keine heiklen Details wie Finanzdaten, Passwörter, Kreditkartendaten, Sozialversicherungsdaten oder andere steuerliche kontospezifische Daten offengelegt wurden.

Dropbox

Im Jahr 2022 verschafften sich Cyberkriminelle mit einer Phishing-E-Mail Zugang zu 130 der Dropboxs interne GitHub-Code-Repositories, einschließlich API-Schlüssel. Glücklicherweise wurden die Nutzerdaten nicht kompromittiert, aber Dropbox musste ein externes Forensikteam hinzuziehen und den Vorfall den Strafverfolgungsbehörden melden.

Twitter

Zu Beginn des Jahres 2022 wurden die Nutzerdaten von 5,4 Millionen Twitter Profile in einem Hackerforum verkauft, nachdem Cyberkriminelle über eine API-Schwachstelle auf die Daten zugegriffen hatten. Hacker konnten die API befragen, um herauszufinden, welche Telefonnummern und E-Mails mit bestimmten Konten verbunden waren.

Optus

Ebenfalls im Jahr 2022 fanden die Angreifer ein Optus API-Endpunkt, für den keine Authentifizierung erforderlich ist. Von hier aus konnten sie auf die sensiblen Daten von 11,2 Millionen Menschen zugreifen, darunter Führerscheinnummern, Geburtsdaten und Wohnadressen, was Kosten von über $140 Millionen verursachte.

Facebook

Im Jahr 2018 wurde bekannt, dass Angreifer eine API-Schwachstelle ausnutzen konnten, die mit Facebookvon dem 50 Millionen Nutzer betroffen waren. Es gab ein Schlupfloch, das es Hackern ermöglichte, das Zugangs-Token einer Person zu übernehmen, wodurch Konten übernommen werden konnten.

7. Was können wir in diesem Jahr von der API-Datenexposition erwarten?

Wie wir gesehen haben, ist keine Marke gegen eine übermäßige Offenlegung von Daten in APIs gefeit, und das Sicherheitsrisiko von APIs nimmt immer mehr zu.

Hier ist der Grund dafür.

  • Künstliche Intelligenz schafft neue Schwachstellen: Abfragen zwischen APIs und KI könnten versehentlich zur Weitergabe sensibler Informationen führen
  • Die Zahl der Verstöße gegen API-Daten nimmt zu: 60% der Unternehmen haben in den letzten zwei Jahren eine API-Datenverletzung erlitten
  • Die API-Sicherheit hat jedoch immer noch keine Priorität: Nur 11% der Unternehmen haben einen API-Sicherheitsplan aufgestellt

Diese Daten zeigen, dass trotz der zunehmenden Bedrohung durch API-Angriffe und der übermäßigen Offenlegung von Daten sowie der verheerenden langfristigen Folgen nur wenige Unternehmen über die richtigen Maßnahmen verfügen, um dem Risiko zu begegnen.

Hier ist, was Sie tun können, um anders zu sein.

8. Wie kann ich das Risiko einer API-Exposition verringern?

Wenn Sie den Ruf Ihrer Marke, Ihre Finanzen, die Integrität Ihrer Lieferkette und das Nutzererlebnis schützen wollen, ist es unerlässlich, das Risiko einer übermäßigen Datenexposition durch API zu verringern.

Hier finden Sie einige bewährte Verfahren zum Schutz Ihres Unternehmens.

In API-Erkennung investieren

API-Entdeckung geht es darum, alle nicht überwachten, schattenhaften oder anfälligen APIs in Ihrem System aufzudecken. Wenn Sie alle Ihre Ressourcen in- und auswendig kennen, können Sie Risiken für die Exposition von API-Daten erkennen, bevor sie auftreten, und proaktiv Maßnahmen ergreifen, um sie zu schützen.

So könnten Sie beispielsweise effektive Asset-Management-Techniken einsetzen, um diese API-Kanäle zum richtigen Zeitpunkt bereitzustellen, zu pflegen und zu entfernen.

Priorisieren Sie Lastausgleich und Ratenbegrenzung

Wenn die Entwickler den Datenverkehr auf mehrere verschiedene Server verteilen und die Anzahl der möglichen Aktionen begrenzen, können sie sicherstellen, dass der API-Dienst weiterhin effektiv funktioniert.

Diese beiden Maßnahmen verringern die Latenzzeit und die Laufzeit und erschweren es Angreifern, ein System mit zu vielen API-Anforderungen zu überlasten.

Überprüfen Sie Ihre Authentifizierungsmaßnahmen

Durch den Einsatz wirksamer Validierungs- und Authentifizierungsmaßnahmen wird sichergestellt, dass nur befugte Personen mit der API interagieren können. Dadurch verringert sich das Risiko, dass sensible Daten in die Hände der falschen Person gelangen.

Außerdem sollten Ihre Genehmigungsprotokolle regelmäßig geprüft und auf Schlupflöcher oder Fehler untersucht werden, die später zu einer Schwachstelle werden könnten.

Begründen Sie die von Ihnen verarbeiteten PII

Bevor Sie Informationen für Ihr System sammeln, fragen Sie sich selbst, "Müssen wir diese Daten wirklich verarbeiten?"

Wenn Sie sich nur auf die wichtigsten Daten konzentrieren, verringern Sie Ihre Angriffsfläche (Ihr Potenzial, Opfer von Cyberkriminalität zu werden), da es weniger sensible Informationen gibt, die Hacker ausnutzen können.

Optimieren Sie Ihre API-Schemata

Überprüfen Sie alle Ihre API-Antworten, um sicherzustellen, dass sie nicht mehr Informationen als nötig übermitteln. Sie sollten auch alle Ihre Fehlermeldungen überprüfen, um sicherzustellen, dass sie keine zusätzlichen Daten übermitteln. Durch die Optimierung all Ihrer API-Schemata können Sie vermeiden, dass sensible Informationen unnötig durchrutschen.

Schlussfolgerung

Eine übermäßige Offenlegung von Daten durch APIs kann für jede Marke katastrophale Folgen haben. Und das Potenzial für Datenschutzverletzungen wird immer größer, wie die OWASP API-Sicherheitsinitiative zeigt.

Aber mit den richtigen Cybersicherheitsmaßnahmen und der Unterstützung durch externe Tools zur Verwaltung der Angriffsfläche wie CybelAngelkönnen Sie Ihre Systeme schützen und proaktiv Maßnahmen zum Schutz aller sensiblen Daten ergreifen, die Sie verarbeiten.

Möchten Sie die übrigen Blogs dieser Reihe lesen?

1: Was ist API-Sicherheit? Hier finden Sie alles, was Sie wissen müssen
2: API-Angriffe: Verstehen und Schützen Ihrer Infrastruktur
3: Was sind die wichtigsten Vorteile von API Discovery?
4: API-Sicherheit und Datenexposition: 8 Grundsätze, die man kennen sollte
5: API-Bedrohungen und Markenreputation: Ihre Top-10-Checkliste

Das war's für diesen Blog.