Das Open Web Application Security Project (OWASP) hat nun ihre Top 10 für APIs auf Deutsch herausgegeben. Verfügbar ist die Liste mit den zehn häufigsten Sicherheitsrisiken im Bereich der APIs ab sofort. Wir haben uns den Release zum Anlass genommen, um noch einmal umfangreicher über APIs, Sicherheitsrisiken und natürlich die OWASP API Top 10 zu sprechen. Los geht’s.
Application Programming Interfaces (APIs) sind in moderner Software nicht mehr wegzudenken. Die Schnittstellen ermöglichen es Entwicklern, unterschiedliche Arten von Software problemlos miteinander kommunizieren zu lassen. Auf diese Weise kann Software A via API die Daten von Software B lesen oder sogar konkret weiterverwenden. Softwarekomponenten kommunizieren über die APIs also ganz direkt, und genau das ist in modernen IT-Systemen von enormer Bedeutung, da etliche Funktionen auf entsprechenden APIs aufbauen oder überhaupt erst durch diese ermöglicht werden.
Von ebenso großer Bedeutung ist das Thema der Cybersicherheit. Denn je mehr Software im Einsatz ist und je stärker sie miteinander kommuniziert, desto unsicherer wird sie unter Umständen. Das liegt ganz einfach daran, dass jede Schnittstelle auch ihre eigenen potenziellen Sicherheitslücken und Schwachstellen mitbringt, die Angreifer gezielt ausnutzen können, sobald diese entdeckt wurden. APIs sorgen also unter Umständen dafür, dass die Software allgemein deutlich unsicherer wird.
Warum sind APIs oft mit Sicherheitsrisiken verbunden?
Grundsätzlich ist eine API schon im Kern ein Sicherheitsrisiko. Da die API eine Schnittstelle zu den unterschiedlichen Systemen darstellt, ist sie potenziell immer auch ein möglicher Angriffspunkt, über den Hacker in ein IT-System eindringen können. Stellen Sie sich das wie eine Hintertür in einem Restaurant vor, zu der nur der Lieferant einen Schlüssel bekommt, um Waren auch abseits der Öffnungszeiten zu liefern. Er öffnet die Tür und schließt wieder ab, doch potenziell besitzt er einen Schlüssel, der natürlich jederzeit gestohlen werden könnte. Passiert dies, haben plötzlich Dritte Zugang zu dem Restaurant. APIs sind da ganz ähnlich. Per se sind sie sicher, aber dennoch immer auch ein potenzielles Einfallstor für Angreifer.
Auch bei der Datenübertragung selbst kann es zu einem Leak kommen. Zum Beispiel, wenn die API unverschlüsselte Daten überträgt oder Fehler in der Autorisierung aufweist. Wird auf Limits verzichtet, kann die API zudem gezielt überlastet werden, was ebenfalls entsprechende Auswirkungen nach sich ziehen kann.
Schlussendlich muss, wenn eine API genutzt oder bereitgestellt wird, dafür gesorgt werden, dass diese entsprechend abgesichert ist. Durch verschiedene API-Sicherheitsüberprüfungen, Eingabevalidierung, Limitierungen bei den Abfragen und strengen Authentifizierungen. Nur so kann sichergestellt werden, dass die API bestmöglich geschützt daherkommt und somit Angreifern keine zusätzliche oder gar einfache Angriffsmöglichkeit bietet.
Wie schafft die OWASP API Top 10 mehr Sicherheit?
Hier kommt nun die OWASP API Top 10 ins Spiel, die mehr oder weniger einen Leitfaden für die Sicherheit von APIs bereitstellt. Die Top 10 listet dabei die zehn häufigsten Sicherheitsprobleme von APIs auf und erhöht auf diese Weise die Aufmerksamkeit, die auf diesen lastet. Wer die Sicherheit seiner Anwendungen entsprechend erhöhen möchte, muss schließlich zunächst einmal verstehen, was die möglichen Probleme sind.
Die OWASP API Top 10 dient also, wie schon die reguläre OWASP Top 10 (für Webanwendungen), als ein guter Startpunkt für etwaige Sicherheitsprüfungen und Optimierungen. Sie hilft in erster Linie dabei, das Bewusstsein für bestimmte Arten von Angriffen zu steigern. Gerade bei APIs ist vielen häufig nicht bewusst, wo die typischen Sicherheitslücken und Sicherheitsrisiken zu finden sind. Die OWASP API Top 10 hilft dabei, solche Punkte zu verinnerlichen.
Weiterhin ist die Top 10 ganz wunderbar während der Entwicklung zu gebrauchen. Sie vermindert das Risiko von potenziellen Schwachstellen, indem sie klare Regeln für die Entwicklung einer API aufstellt und so das Potenzial für schwerwiegende Sicherheitslücken von vornherein minimiert. Gerade im Bereich der Risikominimierung ist die Top 10 von OWASP also entsprechend effektiv einsetzbar.
Was bringt die OWASP API Top 10 bei Pentests?
Eine ganze Menge. Nicht umsonst war es das Team für Pentests, welches die OWASP Top 10 für APIs ins Deutsche übersetzte. Auch wir schauen bei der OWASP regelmäßig vorbei und prüfen, ob es Änderungen an der OWASP Top 10 gibt. Gleiches gilt natürlich auch für die OWASP API Top 10. Schließlich sind Penetrationstests im Bereich der APIs ebenso wichtig und bedeutsam für die Sicherheitsoptimierung wie in jedem anderen Bereich.
Durch den lokalisierten Zugang zu der Liste fällt es auch deutschen Entwicklern endlich leichter, die einzelnen Punkte nachzuvollziehen. Wir selbst führen regelmäßig API Pentests durch und arbeiten hier natürlich ebenfalls unter anderem mit der OWASP API Top 10. Diese ist einfach ideal, um die wichtigsten Risiken niemals aus den Augen zu verlieren und das Bewusstsein für ebendiese hochzuhalten.
Mit der deutschen Übersetzung fällt es, wie erwähnt, bedeutend einfacher, Kunden die Liste hierzulande zu vermitteln und ihnen zu erklären, worauf es bei dieser ankommt. Wir können Ihnen also nur empfehlen, einen intensiven Blick auf die Top 10 zu werfen und ein Verständnis für typische Risiken zu entwickeln, um diese zukünftig im besten Fall vollständig vermeiden zu können.