IT-Security: Werkzeuge fĂĽr die API-Sicherheit
Angriffe auf APIs entwickeln sich zum häufigsten Angriffsvektor. Es ist daher höchste Zeit, Schutzmaßnahmen zu ergreifen und die APIs besser abzusichern.
- Andreas Falk
Weil API-Zugriffe heute einen großen Teil des weltweiten Datenverkehrs ausmachen, steigt auch die Zahl der Angriffe darauf. Laut Gartner wird sich der Missbrauch von APIs zur häufigsten Angriffsart entwickeln. Unternehmen müssen daher vorsorgen und die APIs ausreichend schützen.
Je nach Sichtbarkeit und Schutzbedarf unterscheidet man drei Arten von APIs: öffentliche, private und Partner-APIs. Bei öffentlichen APIs gibt es keine Einschränkungen für den Zugriff, da sie öffentlich zugänglich sind. Meistens braucht es jedoch einen Authentifizierungs-Key oder ein Token, um darauf zuzugreifen. Partner-APIs erfordern für den Zugriff spezifische Rechte oder Lizenzen, da sie der Öffentlichkeit nicht zugänglich sind. Private APIs hingegen werden ausschließlich intern benutzt.
APIs folgen unterschiedlichen Architekturprotokollen: Das Simple Object Access Protocol (SOAP) ist ein Industriestandard des World Wide Web Consortiums (W3C). Es stützt sich auf XML als Datenrepräsentation und verwendet Internetprotokolle der Transport- und Anwendungsschicht (meist als SOAP over HTTP). Die REST-API nutzt HTTP für die Kommunikation und bildet die Funktionen zum Erstellen, Lesen, Aktualisieren und Löschen von Ressourcen auf die HTTP-Methoden Post, Get, Put und Delete ab. Gängiges Datenaustauschformat ist hier JSON.
Das war die Leseprobe unseres heise-Plus-Artikels "IT-Security: Werkzeuge für die API-Sicherheit". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.