Production Perig - stock.adobe.c
API-Sicherheit: Webanwendungen gezielt schützen
OWASP arbeitet an einem neuen Projekt, um Unternehmen dabei zu helfen, ihre Webapplikationen zu schützen. Hierfür wird eine neue Liste der zehn häufigsten Gefahren erstellt.
Wer in der IT-Sicherheit nach Best Practice sucht, der kommt um dieses Projekt kaum herum: OWASP Top 10. In der Rangliste finden sich die bekanntesten und gefährlichsten Bedrohungen für Anwendungen und Dienste, sowie Anleitungen, um sich vor diesen zu schützen. Die Liste fußt auf den Erfahrungen hunderter Experten aus der ganzen Welt.
Die Art und Weise wie Webapplikationen entwickelt werden, verändert sich derzeit. Die großen Anwendungen auf Servern weichen modularen Applikationen auf Basis von APIs (Application Programming Interfaces) und in den Browsern arbeiten Single-Page-Applications. Sie liefern jetzt die Benutzeroberfläche. Die Analysten von Gartner schätzen, dass 2021 rund zwei Drittel aller Applikationen mit Unterstützung von APIs entwickelt werden. Das bedeutet, dass Daten stärker als jemals zuvor über das Internet erreichbar sind. An diese neuen Gegebenheiten müssen sich die Schutzmaßnahmen erst angleichen, denn die Hacker entwickeln bereits spezielle Angriffsmethoden.
Ein wichtiger Schritt zur Erhöhung der Awareness für IT-Sicherheit ist das OWASP-Projekt. Derzeit wird eine neue Liste, zugeschnitten auf APIs, erstellt: Die OWASP Top 10 für API-Sicherheit. Wie von OWASP gewohnt, listet sie die häufigsten Bedrohungen, jedoch mit dem Fokus auf diejenigen, die gezielt gegen APIs gerichtet sind. Im Laufe des dritten Quartals 2019 nimmt die Entwicklung nun volle Fahrt auf – ein Release Candidate existiert bereits – damit im vierten Quartal eine erste, abgeschlossene Version (V1.0) vorgestellt werden kann. Einige der dort eingetragenen Gefahren werden im Folgenden als Beispiele genannt und erläutert.
Mangelndes Logging und Monitoring
Cloud Computing hat den Netzwerkverkehr in den letzten Jahren stetig ansteigen lassen. Da zunehmend mehr Datenströme unterwegs sind und sich die festen Firmennetzwerk im eigenen Unternehmens-Perimeter als Struktur auflösen, werden Sichtbarkeit, Überwachung und Logging enorm wichtig. Eine Nachlässigkeit hier ermöglicht es Angreifern, sich unbemerkt im Netzwerk zu bewegen, oder an einem Ort zu warten, um erst zu einem gewissen Zeitpunkt loszuschlagen.
Bis zur Entdeckung hätte der Kriminelle also freie Hand und der angerichtete Schaden kann ins Unermessliche gehen. Vergleichbare Fälle haben gezeigt, dass sogar 200 Tage vergehen können, bis eine Sicherheitslücke überhaupt entdeckt wird. Hinzu kommt, dass sie zumeist von Experten außerhalb des Unternehmens gefunden wird, nicht durch interne Aufklärung und Überwachung. In Hinblick auf die Idee hinter den APIs, Webapplikationen leichter dem Internet zu öffnen, muss ausreichendes Logging und Monitoring an erster Stelle jedes Sicherheitskonzeptes stehen.
Fehlkonfiguration der IT-Infrastruktur
Den einfachsten, menschlichen Fehler können auch APIs nicht beseitigen: Die schlichte Fehlkonfiguration der IT-Sicherheitsinfrastruktur und mangelhafte Umsetzung der Richtlinien. Wer hier schlampig arbeitet, öffnet vielfältig die Tore für Angreifer von außerhalb des eigenen Netzwerkes. Da viele Module und Produkte von unterschiedlichen Herstellern stammen und oft nicht optimal zusammenarbeiten, kann eine solche Fehlkonfiguration schnell passieren und im Zeitalter der öffentlichen APIs wächst die Gefahr, die von dieser Schwachstelle ausgeht.
Injection-Angriffe
Ein wirkmächtiger Angriffsweg für Internetkriminelle sind die altbekannten Injection-Angriffe. SQL-Datenbanken oder die klassische Eingabeaufforderung des Computers stellen beliebte Ziele dar. Die Methode ist simpel: Präparierte Befehlszeilen oder Daten werden einem normalen Befehl angehängt und an den Zielserver geschickt. Der Angreifer hofft, dass sein präparierter Befehl ausgeführt wird und der schädliche Anhang unbemerkt bleibt.
„In Hinblick auf die Idee hinter den APIs, Webapplikationen leichter dem Internet zu öffnen, muss ausreichendes Logging und Monitoring an erster Stelle jedes Sicherheitskonzeptes stehen.“
Dr. Martin Burkhart, Ergon Informatik
Erneut erfordert die erhöhte Zugänglichkeit von APIs über das Internet, im Vergleich zum althergebrachten Aufbau, einen stärkeren Schutz vor solchen Attacken.
Access Control
Hinter dieser Schwachstelle verbirgt sich die einfache Frage: Wer darf hier rein? API-Plattformen haben zum Ziel, die Öffnung von Geschäftsbereichen gegen das Internet zu erleichtern. Das aber macht den Zugang zu den Webapplikationen und Daten logischerweise einfacher als es bislang der Fall war. Zuverlässiger als früher müssen Zugriffe auf APIs daher authentisiert und autorisiert sein.
Es hilft wenig, wenn API-Endpunkte sich aber zur Identifizierung der elektronischen Identitäten allein auf die Angaben des Clients verlassen. Starke Kontrolle und Authentifizierung sowie eine umfangreiche Verwaltung der Zugriffsrechte auf Benutzer- und Objektebene sind unumgänglich, wenn ein Unternehmen seine Webapplikationen auf APIs aufbaut.
Broken Authentication
Ein weiterer Angriff über die Zugriffsrechte wird als Broken Authentication bezeichnet. Die Kriminellen spekulieren darauf, dass bereits bei der Implementierung der Authentifizierung Fehler gemacht wurden – hier spielt also auch die Schwachstelle Misconfiguration hinein. Ein Hacker versucht möglicherweise die Anmelde-Tokens abzufangen, um an die Konto-Daten des Benutzers zu gelangen.
Egal, wie sein Vorgehen genau aussieht, sein Ziel ist immer, die Konten bereits autorisierter Nutzer zu stehlen, um sie zu missbrauchen. Derzeit sind besonders die Angriffe gegen die Authentifizierung der API-Plattformen bei Kriminellen sehr beliebt und sind eine große Hürde für die IT-Sicherheit, die genommen werden muss, um guten Schutz zu garantieren.
API-Sicherheit meint IT-Sicherheit
Bereits jetzt existieren viele Angriffsmethoden, die auf APIs ausgerichtet sind und die Internetkriminellen passen sich weiterhin mit hoher Geschwindigkeit an die Besonderheiten der neuen Schnittstellen an.
Die Beispiele ermahnen aber auch, die API-Sicherheit nicht als isolierten Zweig der IT-Sicherheit, getrennt von allen anderen Bereichen, zu sehen. Ein starkes API-Gateway ist gut, aber reicht alleine noch nicht aus, um Webapplikation wirklich zu schützen. Eine durchdachte Web Application Firewall (WAF) muss ebenso zum Einsatz kommen, wie ein zuverlässiges Customer Identity and Access Management (cIAM). API-Sicherheit meint immer IT-Sicherheit und umgekehrt. Sie müssen als Einheit betrachtet werden.
Zusammenspiel der Schutzmaßnahmen
Früher konnte nicht jeder auf die Schnittstellen hinter Webapplikationen zugreifen, schon gar nicht ohne viel Aufwand über das Internet. Nun aber steht die Programmierung mithilfe der APIs im Zeichen der Öffnung, daher ist es so wichtig wie nie zuvor, die Zugriffsrechte für elektronische Identitäten genau festzulegen und streng zu überwachen. Rollen müssen autorisierten Konten zugewiesen und Freigabebedingungen definiert werden, die detailliert regeln, welcher Nutzer welche Privilegien benötigt um diese oder jene Anwendung, Datei oder Schnittstelle aufrufen zu dürfen. Dabei muss die Überprüfung schnell und nahtlos ablaufen, um die Bedienung nicht zu beeinträchtigen. Aus diesem Grund ist eine weitgehend automatisch arbeitende cIAM-Komponente unerlässlich geworden.
Ein weiterer Unterschied zu den bekannten Webapplikationen, bei welchen die Vorgänge weitgehend auf Servern im Hintergrund der Infrastruktur liefen: Die Single-Page-Web-Applications (SPAs), welche die APIs aufrufen, arbeiten im Browser, stehen also weit vorne und setzen dabei weit verbreitete, aber häufig anfällige Technologien wie HTML und JavaScript ein.
Deshalb ist es essentiell, sich auf die Erfahrungen der letzten 20 Jahre in der Websicherheit zu besinnen und eine wohl durchdachte WAF zusätzlich einzusetzen. Sie wird zum Mittel der Wahl, weil sie Anwendungen vorgelagert schützen kann und suspekte Anfragen daher gar nicht erst bis zum API-Endpunkt durchdringen können. Alle drei Module sind für einen guten Schutz der APIs notwendig und sollten optimal aufeinander abgestimmt sein, um Disharmonien in der Zusammenarbeit zu vermeiden.
Über den Autor:
Dr. Martin Burkhart ist Head of Product Management Airlock by Ergon Informatik.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.