Share
Beitragsbild zu API-Sicherheit ist zentral für Open Banking

API-Sicherheit ist zentral für Open Banking

Schlecht gesicherte APIs stellen global eines der größten Risiken für die Open-Banking-Initiative dar, warnen die Sicherheitsexperten von Radware. Öffentlich zugängliche APIs zwischen den Anwendungen von Banken und Fintechs bilden das Rückgrat des Open Banking, das einen nahtlosen Austausch von Kundendaten zwischen solchen Unternehmen vorsieht, sofern der Kunde zustimmt. Open-Banking-APIs sollen einerseits dem Kunden mehr Möglichkeiten bei der Auswahl von Finanzdienstleistern und andererseits diesen neue Umsatzpotentiale und Kollaborations-Möglichkeiten eröffnen.

APIs bringen zwar enorme Vorteile mit sich, führen laut Radware aber auch zu erheblichen Bedenken bezüglich der Verfügbarkeit und der Sicherheit:

  • Service-Unterbrechung: Nichtverfügbarkeit von API-Diensten aufgrund von Sicherheits-, Netzwerk- und Anwendungskonfigurationsfehlern, API-Denial-of-Service-Angriffen oder Ausfällen der Anwendungs- oder Authentifizierungs-Infrastruktur.
  • Fehlendes Vertrauen: Viele Lösungen für Open Banking basieren auf einer reinen Cloud- oder Hybrid-Infrastruktur. Die Migration zu öffentlichen Clouds führt jedoch zu Vertrauensproblemen aufgrund der Inkompatibilität von Sicherheitslösungen, Konfigurationsproblemen in verschiedenen Umgebungen, Fehlkonfigurationen und Problemen mit Anwendungssicherheits-Richtlinien und -profilen.
  • Erhöhte Angriffsfläche: API-Angriffe verschiedener Art sind relativ häufig. Eine Umfrage von Radware ergab, dass 55 % der Unternehmen mindestens einmal im Monat einen DoS-Angriff auf ihre APIs erleben, 48 % mindestens einmal im Monat eine Form von Injektionsangriff und 42 % mindestens einmal im Monat eine Manipulation von Elementen/Attributen. Zu den weiteren Angriffen gehören API-Authentifizierungs- und Autorisierungs-Angriffe, eingebettete Angriffe wie SQL-Injection, Cross-Site Scripting (XSS) und Bot-Angriffe.
  • Bot-Angriffe auf APIs: Bei Bot-Angriffen handelt es sich um automatisierte Programme mit Skripten, die in Benutzerkonten eindringen, Identitäten stehlen, Zahlungsbetrug begehen, Inhalte, Preise, Gutscheine oder Daten abgreifen, Spam oder Propaganda verbreiten und Geschäftsaktivitäten beeinträchtigen.
  • Datendiebstahl: Viele APIs verarbeiten sensible personenbezogene Daten (PII). Die Kombination aus sensiblen und vertraulichen Informationen in Verbindung mit der mangelnden Transparenz der Funktionsweise dieser APIs und Anwendungen von Drittanbietern ist im Falle eines Verstoßes ein Alptraum für die Sicherheit.

Nicht dokumentierte, aber veröffentlichte APIs: Nicht dokumentierte APIs können versehentlich sensible Informationen preisgeben, wenn sie nicht getestet werden, und sie können offen für API-Manipulationen und die Ausnutzung von Sicherheitslücken sein.

API-Gateways und WAFs reichen nicht aus

Traditionell sind DDoS-Schutz, WAFs und API-Gateways die primären Sicherheitstools, die für den API-Schutz eingesetzt werden. Während API-Gateways die Möglichkeit der API-Verwaltung bieten und eine Integration mit Authentifizierungs- und Autorisierungs-Funktionen bieten, sind ihre Funktionen für API-Sicherheit, Bot-Schutz und Webanwendungsschutz entweder begrenzt oder nicht vorhanden. „Aber die meisten WAFs verstehen die Unterschiede zwischen APIs und normalen Webanwendungen nicht“, erläutert Michael Gießelbach, Regional Manager DACH bei Radware. „Und selbst wenn sie den Unterschied verstehen, können sie die tatsächlichen Sicherheitsrisiken im Zusammenhang mit APIs nicht untersuchen oder erkennen.“

Da die Bedrohungen unterschiedlich sind, erfordert die API-Sicherheit eine Kombination von Sicherheitskontrollen, darunter:

  1.  API-Zugangskontrollen für Authentifizierung, Autorisierung und Zugangsverwaltung
  2. Schutz vor BOT-Angriffen auf APIs
  3. Verhinderung von Denial-of-Service-Attacken
  4. Schutz vor eingebetteten Angriffen, API-Schwachstellen und API-Manipulationen
  5. Verhinderung des Abflusses von PII-Daten und der übermäßigen Offenlegung von Daten
  6. Schutz vor Betrug und Phishing

Insbesondere der Schutz von APIs vor automatisierten Angriffen unterscheidet sich von dem Schutz von Web- und Mobilanwendungen, weil das Verhalten der Bots und die Indikatoren unterschiedlich sind. Das Fehlen spezieller Bot-Management-Tools in den meisten Unternehmen erhöht laut Radware das Risiko, dass Hacker erfolgreiche Angriffe über APIs starten, wie z. B. Credential Stuffing, Brute Force und Scraping-Versuche.

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Wie sich Prompt-Bombing-Angriffe im Zuge von Multifaktor-Authentifizierung vermeiden lassen”

Wie sich Prompt-Bombing-Angriffe im Zuge von Multifaktor-Authentifizierung vermeiden lassen

Featured image for “Gesundheitswesen: Sichere Zukunft in der Cloud”

Gesundheitswesen: Sichere Zukunft in der Cloud

Featured image for “Tipps für Hotels zum Schutz vor Cyberangriffen”

Tipps für Hotels zum Schutz vor Cyberangriffen

Featured image for “Gibt es den Königsweg bei SAP-Berechtigungskonzepten?”

Gibt es den Königsweg bei SAP-Berechtigungskonzepten?

Featured image for “Das Metaversum schafft neue schwarze Löcher voll digitaler Unsicherheit”

Das Metaversum schafft neue schwarze Löcher voll digitaler Unsicherheit

Studien

Featured image for “Globale Führungskräfte sagen: Hybrid Cloud ist entscheidend für die Modernisierung, aber Bedenken bezüglich Sicherheit, Qualifikation und Compliance behindern den Erfolg”

Globale Führungskräfte sagen: Hybrid Cloud ist entscheidend für die Modernisierung, aber Bedenken bezüglich Sicherheit, Qualifikation und Compliance behindern den Erfolg

Featured image for “Deutschland steht weltweit auf Platz 5 bei Ransomware-Angriffen: Welche Unternehmen sind am stärksten betroffen?”

Deutschland steht weltweit auf Platz 5 bei Ransomware-Angriffen: Welche Unternehmen sind am stärksten betroffen?

Featured image for “Studie von KPMG und Lünendonk: Digitaler Wandel in der Finanzindustrie – Entwicklung zum datengetriebenen Unternehmen”

Studie von KPMG und Lünendonk: Digitaler Wandel in der Finanzindustrie – Entwicklung zum datengetriebenen Unternehmen

Featured image for “Über 60 Prozent der Cyber-Sicherheitsexperten in Deutschland fühlen sich machtlos gegenüber Cyber-Gefahren”

Über 60 Prozent der Cyber-Sicherheitsexperten in Deutschland fühlen sich machtlos gegenüber Cyber-Gefahren

Featured image for “Weltweite Umfrage zur Lage bei Ransomware: Eine von drei Organisationen sieht böswillige Insider als Weg für Ransomware”

Weltweite Umfrage zur Lage bei Ransomware: Eine von drei Organisationen sieht böswillige Insider als Weg für Ransomware

Whitepaper

Featured image for “Verschlüsselte Malware und Office-Schwachstellen bereiten Grund zur Sorge”

Verschlüsselte Malware und Office-Schwachstellen bereiten Grund zur Sorge

Featured image for “Threat Intelligence Report: Angreifer setzen Cyberattacken mit größerer Präzision und innovativen Angriffsmethoden fort”

Threat Intelligence Report: Angreifer setzen Cyberattacken mit größerer Präzision und innovativen Angriffsmethoden fort

Featured image for “White Paper: Sensible Prozesse sicher und einfach automatisieren”

White Paper: Sensible Prozesse sicher und einfach automatisieren

Featured image for “Alle sieben Minuten wird ein potenzieller Cyberangriff identifiziert”

Alle sieben Minuten wird ein potenzieller Cyberangriff identifiziert

Featured image for “Ransomware-Varianten in sechs Monaten fast verdoppelt”

Ransomware-Varianten in sechs Monaten fast verdoppelt

Unter4Ohren

Featured image for “Customer Success = „Journey to Success“”

Customer Success = „Journey to Success“

Featured image for “Was sind die Treiber für zukünftige Rechenzentren?”

Was sind die Treiber für zukünftige Rechenzentren?

Featured image for “Schatten IT – Wie DNS Licht ins Dunkel bringen kann”

Schatten IT – Wie DNS Licht ins Dunkel bringen kann

Featured image for “Cyberrisiken im erweiterten Zulieferer-Netzwerk”

Cyberrisiken im erweiterten Zulieferer-Netzwerk

Featured image for “In der Rumpelkammer der Softwareentwicklung – mit Fokus auf SAP”

In der Rumpelkammer der Softwareentwicklung – mit Fokus auf SAP