BLOG

Fünf Bereiche, in denen verbesserter API-Schutz die Sicherheit bei Finanzdienstleistungen erhöht

Joshua Goldfarb Miniatur
Joshua Goldfarb
Veröffentlicht am 20. September 2023

API-Sicherheit ist heute ein heißes Thema und das aus gutem Grund. Wenn wir darüber nachdenken, ähneln die meisten Finanzdienstleistungsunternehmen eher Technologieunternehmen. Sie stehen unter ständigem Innovationsdruck und müssen mit den FinTechs Schritt halten, die bei der Erfüllung digitaler Kundenanforderungen neue Maßstäbe setzen – oder sogar Partnerschaften mit ihnen eingehen. Das daraus resultierende weiterentwickelte Ökosystem für Finanzdienstleistungen, das FinTechs über APIs einbindet, hat zu einem deutlichen Wachstum der Open-Finance-Bewegung geführt. Dies führt dazu, dass Finanzdienstleistungsinstitute für den Geschäftsbetrieb abhängiger denn je von APIs sind.

Es überrascht nicht, dass Angreifer die Bedeutung von APIs erst erkannt haben, als die Banken sie nutzten. Geschäftskritische APIs sind ständig das Ziel von Angreifern, die wissen, dass sie durch die Ausnutzung, den Missbrauch und/oder die Gefährdung von APIs Gewinne oder anderweitige Vorteile erzielen können. Gleichzeitig hat sich die Angriffsfläche in den letzten Jahren deutlich vergrößert. Dies ist größtenteils auf die zunehmende Komplexität und den gestiegenen Schwierigkeitsgrad bei der Verwaltung von Hybrid- und Multi-Cloud-Umgebungen zurückzuführen, die die Branche überrollt haben. All dies hat erhebliche Auswirkungen auf das Geschäft in Form von großflächigen Datenschutzverletzungen, Compliance-Problemen und Bußgeldern.

Natürlich sind die Nachrichten nicht nur schlecht. Wenn Finanzdienstleistungsunternehmen mit einem vertrauenswürdigen Partner zusammenarbeiten, können sie sich besser vor Bedrohungen ihrer APIs schützen. Sehen wir uns fünf Bereiche an, in denen der richtige vertrauenswürdige Partner dazu beitragen kann, die API-Sicherheit zu verbessern.

  1. Entwicklung: Entwicklungsteams stehen vor einer schwierigen Herausforderung. Einerseits unterliegen sie engen Fristen für die Entwicklung und Inbetriebnahme der erforderlichen Funktionen. Andererseits entwickeln sie APIs anhand der vom Sicherheitsteam definierten Anforderungen. Allerdings gibt es keine wirkliche Möglichkeit, diese Anforderungen durchzusetzen oder sie in irgendeiner Weise zu überprüfen. Natürlich kann Code geprüft und überprüft werden, aber das ist ein langwieriger und zeitaufwändiger Prozess, bei dem es zu menschlichen Fehlern und Versehen kommen kann. Es handelt sich dabei zudem um einen Prozess, der gegenüber anderen wichtigen Prioritäten meist in den Hintergrund gerät. In den meisten Unternehmen gibt es wesentlich mehr Entwickler als Sicherheitsexperten, was zu einem Größenproblem führt. Dies hat zur Folge, dass Fehler, Versehen und Schwachstellen den Entwicklungsprozess durchlaufen und ihren Weg in die Produktions-APIs finden. Nur die Automatisierung kann dabei helfen, Sicherheitskontrollen zu skalieren und zu verhindern, dass das Sicherheitsteam im Weg steht und das für das Geschäft erforderliche Tempo verlangsamt. Besser ist die Zusammenarbeit mit einem vertrauenswürdigen Partner zur automatischen Durchsetzung von Schemata, Standards und Richtlinien.
  2. Zugriffskontrolle: Ob Sie es glauben oder nicht: Es ist immer noch eine Herausforderung, zu kontrollieren, wer welchen Zugriff auf APIs hat. Wenn man die Komplexität moderner Unternehmen bedenkt, ist das vielleicht gar nicht so schwer zu glauben. Die meisten Unternehmen verfügen über zwei oder mehr Cloud-Anbieter sowie über Umgebungen vor Ort und/oder in Rechenzentren. Im Allgemeinen sind mehrere Teams erforderlich, um die Netzwerk-, Technologie-, Entwicklungs- und Sicherheits-Stacks an jedem dieser unterschiedlichen Standorte zu verwalten. Daher ist es nicht überraschend, dass die Kontrolle (und Überwachung) des Zugriffs auf APIs zu einer ernsthaften Herausforderung geworden ist. Tatsächlich beziehen sich vier der OWASP API Security Top 10 von 2023 auf Authentifizierung/Autorisierung. Der richtige vertrauenswürdige Anbieter kann dazu beitragen, Einfachheit in die Komplexität und Ruhe in die überforderten Menschen zu bringen. Dadurch kann sich das Unternehmen voll und ganz auf den Betrieb, die Wartung und die Sicherung dieser Umgebungen konzentrieren, einschließlich einer ordnungsgemäßen Zugriffskontrolle.
  3. Unzuverlässige APIs: Manchmal brauchen formale Prozesse ihre Zeit und Entwickler richten eine neue Infrastruktur und neue Endpunkte ein, um einen Entwicklungstermin einzuhalten. Oder vielleicht sind Infrastruktur und Endpunkte durch das Netz geschlüpft und wurden nie richtig inventarisiert, verwaltet, überwacht und gesichert. Unabhängig von den Gründen gibt es betrügerische APIs. Wenn eine API unbekannt ist, kann sie nicht inventarisiert, verwaltet, überwacht und gesichert werden. Ein guter, vertrauenswürdiger Partner hilft dem Unternehmen nicht nur dabei, unbekannte APIs zu erkennen, sondern diese auch zu sichern.
  4. WAF nicht genug: Es besteht kein Zweifel, dass Web Application Firewalls (WAFs) ein wesentliches Element eines Sicherheits-Stacks sind. WAFs bieten wichtigen Schutz vor einer Vielzahl von Bedrohungen. Sie waren jedoch nie als Allheilmittel für alle Arten von Angriffen gedacht, denen es tagtäglich auf APIs geht. Darüber hinaus entwickeln sich APIs schnell weiter, was bedeutet, dass sie völlig neue Klassen von Schwachstellen aufweisen, die von den Sicherheitskontrollen möglicherweise nicht erkannt werden. Das Angebot eines vertrauenswürdigen Partners ist nicht vollständig, wenn er nicht zusätzlich zu WAF und in WAF integriert ausgefeilte Funktionen zum Erkennen und Mindern von API-Schwachstellen bereitstellt.
  5. Ausgefeilte Angriffe: Vorbei sind die Zeiten, in denen Anwendungen das Ziel bekannter, gängiger Angriffe waren. Erfahrene Angreifer starten hochentwickelte Angriffe – und zwar solche, die unbemerkt bleiben, um vertrauliche Geschäftsabläufe offenzulegen, Daten abzugreifen, Betrug zu begehen, Anwendungen lahmzulegen und den Ruf zu schädigen. Dazu zählen sowohl manuelle Angriffe als auch automatisierte (Bot-)Angriffe. Das Identifizieren, Erkennen und Abschwächen dieser komplexen Angriffsarten erfordert spezielles Know-how. Die Abwehr der raffiniertesten Angriffe sollte Teil des API-Sicherheitsangebots jedes vertrauenswürdigen Partners sein.

Dies ist natürlich keine vollständige Liste. Jedes Finanzdienstleistungsunternehmen sollte sein Risikoregister überprüfen, um zu verstehen, welche Risiken und Bedrohungen voraussichtlich die größten Auswirkungen auf das Geschäft haben. Denjenigen, die voraussichtlich schwerwiegendere Auswirkungen haben, kann eine höhere Priorität zugewiesen werden. Dabei ist jedoch zu beachten, dass viele Führungskräfte möglicherweise nicht wissen, wie sie das wahre Ausmaß des API-Sicherheitsrisikos am effektivsten einschätzen können. Umso wichtiger ist die Zusammenarbeit mit dem richtigen Partner. Risiken im Zusammenhang mit der API-Sicherheit sollten im Idealfall relativ weit oben auf der Liste stehen, was sie zu einem vorrangigen Thema macht, das Investitionen verdient. Hierzu gehört die Zusammenarbeit mit dem richtigen Partner, der die Bedeutung der API-Sicherheit versteht und die richtigen Lösungen mitbringt.

Weitere Informationen finden Sie unter Cybersicherheit für Banken und Finanzdienstleistungen .