IT-Security: Werkzeuge für die API-Sicherheit

Angriffe auf APIs entwickeln sich zum häufigsten Angriffsvektor. Es ist daher höchste Zeit, Schutzmaßnahmen zu ergreifen und die APIs besser abzusichern.

Lesezeit: 15 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Von
  • Andreas Falk
Inhaltsverzeichnis

Weil API-Zugriffe heute einen großen Teil des weltweiten Datenverkehrs ausmachen, steigt auch die Zahl der Angriffe darauf. Laut Gartner wird sich der Missbrauch von APIs zur häufigsten Angriffsart entwickeln. Unternehmen müssen daher vorsorgen und die APIs ausreichend schützen.

Mehr zum Thema API

Je nach Sichtbarkeit und Schutzbedarf unterscheidet man drei Arten von APIs: öffentliche, private und Partner-APIs. Bei öffentlichen APIs gibt es keine Einschränkungen für den Zugriff, da sie öffentlich zugänglich sind. Meistens braucht es jedoch einen Authentifizierungs-Key oder ein Token, um darauf zuzugreifen. Partner-APIs erfordern für den Zugriff spezifische Rechte oder Lizenzen, da sie der Öffentlichkeit nicht zugänglich sind. Private APIs hingegen werden ausschließlich intern benutzt.

APIs folgen unterschiedlichen Architekturprotokollen: Das Simple Object Access Protocol (SOAP) ist ein Industriestandard des World Wide Web Consortiums (W3C). Es stützt sich auf XML als Datenrepräsentation und verwendet Internetprotokolle der Transport- und Anwendungsschicht (meist als SOAP over HTTP). Die REST-API nutzt HTTP für die Kommunikation und bildet die Funktionen zum Erstellen, Lesen, Aktualisieren und Löschen von Ressourcen auf die HTTP-Methoden Post, Get, Put und Delete ab. Gängiges Datenaustauschformat ist hier JSON.