-
Schlecht gesicherte APIs stellen global eines der größten Risiken für die Open-Banking-Initiative dar, warnen die Sicherheitsexperten von Radware.
Öffentlich zugängliche APIs zwischen den Anwendungen von Banken und Fintechs bilden das Rückgrat des Open Banking, das einen nahtlosen Austausch von Kundendaten zwischen solchen Unternehmen vorsieht, sofern der Kunde zustimmt. Open-Banking-APIs sollen einerseits dem Kunden mehr Möglichkeiten bei der Auswahl von Finanzdienstleistern und andererseits diesen neue Umsatzpotentiale und Kollaborations-Möglichkeiten eröffnen.
APIs bringen zwar enorme Vorteile mit sich, führen laut Radware aber auch zu erheblichen Bedenken bezüglich der Verfügbarkeit und der Sicherheit:
Service-Unterbrechung: Nichtverfügbarkeit von API-Diensten aufgrund von Sicherheits-, Netzwerk- und Anwendungskonfigurationsfehlern, API-Denial-of-Service-Angriffen oder Ausfällen der Anwendungs- oder Authentifizierungs-Infrastruktur.
Fehlendes Vertrauen: Viele Lösungen für Open Banking basieren auf einer reinen Cloud- oder Hybrid-Infrastruktur. Die Migration zu öffentlichen Clouds führt jedoch zu Vertrauensproblemen aufgrund der Inkompatibilität von Sicherheitslösungen, Konfigurationsproblemen in verschiedenen Umgebungen, Fehlkonfigurationen und Problemen mit Anwendungssicherheits-Richtlinien und -profilen.
Erhöhte Angriffsfläche: API-Angriffe verschiedener Art sind relativ häufig. Eine Umfrage von Radware ergab, dass 55 % der Unternehmen mindestens einmal im Monat einen DoS-Angriff auf ihre APIs erleben, 48 % mindestens einmal im Monat eine Form von Injektionsangriff und 42 % mindestens einmal im Monat eine Manipulation von Elementen/Attributen. Zu den weiteren Angriffen gehören API-Authentifizierungs- und Autorisierungs-Angriffe, eingebettete Angriffe wie SQL-Injection, Cross-Site Scripting (XSS) und Bot-Angriffe.
Bot-Angriffe auf APIs: Bei Bot-Angriffen handelt es sich um automatisierte Programme mit Skripten, die in Benutzerkonten eindringen, Identitäten stehlen, Zahlungsbetrug begehen, Inhalte, Preise, Gutscheine oder Daten abgreifen, Spam oder Propaganda verbreiten und Geschäftsaktivitäten beeinträchtigen.
Datendiebstahl: Viele APIs verarbeiten sensible personenbezogene Daten (PII). Die Kombination aus sensiblen und vertraulichen Informationen in Verbindung mit der mangelnden Transparenz der Funktionsweise dieser APIs und Anwendungen von Drittanbietern ist im Falle eines Verstoßes ein Alptraum für die Sicherheit.
Nicht dokumentierte, aber veröffentlichte APIs: Nicht dokumentierte APIs können versehentlich sensible Informationen preisgeben, wenn sie nicht getestet werden, und sie können offen für API-Manipulationen und die Ausnutzung von Sicherheitslücken sein.
API-Gateways und WAFs reichen nicht aus
Traditionell sind DDoS-Schutz, WAFs und API-Gateways die primären Sicherheitstools, die für den API-Schutz eingesetzt werden. Während API-Gateways die Möglichkeit der API-Verwaltung bieten und eine Integration mit Authentifizierungs- und Autorisierungs-Funktionen bieten, sind ihre Funktionen für API-Sicherheit, Bot-Schutz und Webanwendungsschutz entweder begrenzt oder nicht vorhanden. „Aber die meisten WAFs verstehen die Unterschiede zwischen APIs und normalen Webanwendungen nicht“, erläutert Michael Gießelbach, Regional Manager DACH bei Radware. „Und selbst wenn sie den Unterschied verstehen, können sie die tatsächlichen Sicherheitsrisiken im Zusammenhang mit APIs nicht untersuchen oder erkennen.“
Da die Bedrohungen unterschiedlich sind, erfordert die API-Sicherheit eine Kombination von Sicherheitskontrollen, darunter:
– API-Zugangskontrollen für Authentifizierung, Autorisierung und Zugangsverwaltung
– Schutz vor BOT-Angriffen auf APIs
– Verhinderung von Denial-of-Service-Attacken
– Schutz vor eingebetteten Angriffen, API-Schwachstellen und API-Manipulationen
– Verhinderung des Abflusses von PII-Daten und der übermäßigen Offenlegung von Daten
– Schutz vor Betrug und PhishingInsbesondere der Schutz von APIs vor automatisierten Angriffen unterscheidet sich von dem Schutz von Web- und Mobilanwendungen, weil das Verhalten der Bots und die Indikatoren unterschiedlich sind. Das Fehlen spezieller Bot-Management-Tools in den meisten Unternehmen erhöht laut Radware das Risiko, dass Hacker erfolgreiche Angriffe über APIs starten, wie z. B. Credential Stuffing, Brute Force und Scraping-Versuche.
Verantwortlicher für diese Pressemitteilung:
Radware GmbH
Herr Michael Gießelbach
Robert-Bosch-Str. 11a
63225 Langen
Deutschlandfon ..: +49 6103 70657-0
web ..: https://www.radware.com
email : radware@prolog-pr.comPressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 Münchenfon ..: +49 89 800 77-0
web ..: https://www.prolog-pr.com
email : achim.heinze@prolog-pr.comDisclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.
Bitte beachten Sie, dass für den Inhalt der hier veröffentlichten Meldung nicht der Betreiber von News-Ablage.de verantwortlich ist, sondern der Verfasser der jeweiligen Meldung selbst. Weitere Infos zur Haftung, Links und Urheberrecht finden Sie in den AGB.
API-Sicherheit ist zentral für Open Banking
veröffentlicht am 9. Dezember 2021 in der Rubrik Allgemein
News wurden 37 x angesehen • Content-ID 74555
API-Sicherheit ist zentral für Open Banking
Lesezeit dieser News ca. 2 Minuten, 22 Sekunden
News-ID 74555
auf News Ablage suchen
Werden Sie Blogger
News verbreiten auf News Ablage
Tragen Sie Ihre News auf Presseverteiler Connektar ein. Diese werden dann auch auf diesem Portal erscheinen. Machen Sie User neugierig. Berichten Sie was es für News bei Ihnen gibt.
Tragen Sie Ihre News auf Presseverteiler Connektar ein. Diese werden dann auch auf diesem Portal erscheinen. Machen Sie User neugierig. Berichten Sie was es für News bei Ihnen gibt.
letzte News in dieser Ablage
- Moodrink(TM) von bettermoo(d) sichert sich Produktlistung in den Banner Stores des zweitgrößten kanadischen Lebensmitteleinzelhändlers
- Wir sind stolz darauf, Ihnen unsere PC-Entsorgung für Ihr Unternehmen in ganz Luxemburg anbieten zu können.
- Patriot erreicht mit dem Erhalt der Richtlinien des Ministeriums einen wichtigen Genehmigungsmeilenstein für Corvette
- Künstliche Intelligenz und der Faktor Mensch: Revenue Management in der Hotellerie braucht weiterhin Experten
- NERNIS Managementsysteme setzt neue Maßstäbe in der Automobilbranche mit IATF 16949 Zertifizierung
- Neu bei Blitz Bau Bavaria: Einfach und schnell zu deinen Malerarbeiten
- Aurania kündigt Explorationsplan und nicht vermittelte Privatplatzierung von bis zu 4,0 Millionen C$ an
- Neben Gold Silber nicht vergessen
- Gary Stanley, ehemaliger Direktor des Office of Critical Minerals and Metals des US-Handelsministeriums, tritt dem Advisory Board von First Phosphate bei
- Loar gibt Börsengang bekannt
News Ablage – Archiv
News Ablage