API-Sicherheit
Was ist API-Sicherheit?
API-SicherheitDisziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
API-Sicherheit umfasst REST-, GraphQL-, gRPC- und Webhook-Oberflächen, die häufig Geschäftslogik direkt exponieren. Sie adressiert die OWASP API Security Top 10 wie Broken Object Level Authorization, Broken Authentication, Excessive Data Exposure, ungebremsten Ressourcenverbrauch und SSRF. Wirksame Programme kombinieren starke Identität (OAuth 2.0/OIDC, signierte JWTs, mTLS, scope-basierte Tokens), strikte Autorisierung auf jeder Objektreferenz, schemabasierte Request-/Response-Validierung, Rate-Limiting und Quoten, strukturiertes Logging sowie kontinuierliche Tests via SAST, DAST und API-spezifischem Fuzzing. Discovery und Inventar von Shadow- und Zombie-APIs sind Grundlage — verteidigen lässt sich nur, was bekannt ist.
● Beispiele
- 01
Vor der Rückgabe einer Bestellung prüfen, dass der authentifizierte Nutzer die 'orderId' besitzt, um BOLA/IDOR zu verhindern.
- 02
Pro-Token-Rate-Limits und maximale Request-Größen vor einem GraphQL-Endpoint durchsetzen.
● Häufige Fragen
Was ist API-Sicherheit?
Disziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet API-Sicherheit?
Disziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
Wie schützt man sich gegen API-Sicherheit?
Schutzmaßnahmen gegen API-Sicherheit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für API-Sicherheit?
Übliche alternative Bezeichnungen: API Security.