Zombie-APIs: Risiken und Lösungen für moderne Unternehmen

Transparenz
DAS WICHTIGSTE IM ÜBERBLICK

Zombie-APIs befinden sich in inaktiven oder nicht verwalteten Bereichen und dienen als potenzielle Hintertür für Hacker, um auf sensible Daten zuzugreifen.

Programmierschnittstellen (APIs) sind eine der wichtigsten Technologien, die die Kommunikation zwischen Anwendungen in modernen Cloud-Umgebungen ermöglichen.

Doch während APIs für den Datenaustausch zwischen Apps unerlässlich sind, stellen sie auch einen der am stärksten gefährdeten Teile der Angriffsoberfläche dar.

Nach Angaben von Noname Security hat ein durchschnittliches Unternehmen 15.564 APIs in seinem Netzwerk. Diese Zahl ist so hoch, dass die meisten Organisationen keinen Überblick über diese Komponenten haben, was sie für die Ausnutzung durch Cyberkriminelle anfällig macht.

Dieselbe Studie ergab, dass 54 % der Betriebe veraltete/Zombie-APIs als ihre größte Sorge bezeichnen. Diese Bedenken sind auch nicht nur theoretisch: 41 % der Firmen wurden im Jahr 2022 von einem API-Verstoß betroffen.

Ein Jahr zuvor ereignete sich eines der bekanntesten Beispiele eines Angriffs im Zusammenhang mit APIs. Hacker nutzten eine Schwachstelle in der Twitter-API aus, um Zugriff auf die Daten von über 5 Millionen Nutzern zu erhalten.

Doch was macht Zombie-APIs zu einer so ernsten Bedrohung?

Wie Zombie-APIs Unternehmen heimsuchen

Zombie-APIs sind Programmierschnittstellen, die bereits in einer Umgebung implementiert wurden, aber nicht mehr verwendet oder gewartet werden.

Für Bedrohungsakteure können Zombie-APIs als Hintertür für den Zugriff auf sensible Datenbestände dienen.

Grund für die Besorgnis über Zombie-APIs ist u. a. die hohe Anzahl von APIs in modernen Cloud-Umgebungen, die Sicherheitsteams nicht mehr überblicken können.

In der Praxis bedeutet dies, dass Unternehmen sich über ihre Anfälligkeit für Cyberangriffe nicht im Klaren sind.

„Aufgrund ihrer Vergessenheit werden Zombie-APIs nicht regelmäßig getestet, gepatcht oder sicherheitsrelevant aktualisiert, was in einer größeren Angriffsfläche resultiert“, so Scott Gerlach, CSO und Mitbegründer von StackHawk, gegenüber Techopedia.

Gerlach betont, dass die zunehmende Migration in die Cloud zu einem Wachstum von APIs geführt hat, die von vielen Unternehmen nicht sicherheitsgeprüft werden, wodurch neue Schwachstellen für Angreifer entstehen, die diese ausnutzen können.

Dies ist umso problematischer, wenn man bedenkt, dass viele APIs direkten Datenzugriff haben und somit im Falle einer Kompromittierung riesige Datenmengen offenlegen können.

„Die technischen Schulden, die mit diesen APIs verbunden sind, können unwissentlich mit anderen Teilen kritischer Systeme verknüpft werden, was weitere Betriebskomplexitäten und Risiken für die Stabilität neuerer Systeme mit sich bringen kann.“

Wenn ein Unternehmen also nicht in Tools zur automatischen Erkennung von APIs investiert, wird es nicht feststellen können, welche APIs in der Umgebung vorhanden sind, und auch keine Maßnahmen zu deren Pflege ergreifen.

Umgang mit Zombie-APIs

Eine Möglichkeit für Unternehmen, sich mit Zombie-APIs zu befassen, ist die Durchführung automatischer Scans mit einem API-Schwachstellen-Scanner, der APIs automatisch erkennen und inventarisieren kann.

Die Erstellung eines API-Inventars kann den zuständigen Teams einen besseren Überblick über ihre Sicherheitslage verschaffen.

Gerlach weist jedoch darauf hin, dass die wichtigste Lösung zur Eindämmung der Risiken von Zombie-APIs in der Kommunikation liegt.

„Um das Risiko durch Zombie-APIs und andere API-bezogene Bedrohungen zu minimieren, müssen Unternehmen eine offene Kommunikation mit Entwicklern und Sicherheitsteams fördern und praktizieren.“

„Beide Seiten der API-Sicherheit müssen sich darüber im Klaren sein, dass sie gemeinsam dafür verantwortlich sind, Software, die nicht mehr verwendet wird, zu dokumentieren und außer Betrieb zu nehmen. Ohne eine angemessene und regelmäßige Kommunikation zwischen Entwicklern und Sicherheitsteams können Zombie-APIs aktiv und unsichtbar bleiben und so die Infrastruktur von Unternehmen angreifbar machen.“

Dies zeigt, dass sowohl Softwareentwickler als auch Sicherheitsteams eine Rolle bei der Entscheidung spielen, ob eine API für den Betrieb eines Unternehmens notwendig ist oder zur Beseitigung potenzieller Schwachstellen abgeschaltet werden muss.

Weitere Schritte, wie die Verwendung von selbstdokumentierendem Code, der alle APIs erfasst, können einen Rahmen für das Testen und Beheben von Fehlern und Schwachstellen in der gesamten Umgebung bieten.

Fazit

Zombie-APIs stellen ein erhebliches Risiko dar. Unternehmen, die Zeit und Geld in die Inventarisierung von APIs investieren, können jedoch die Wahrscheinlichkeit, Opfer einer Datenschutzverletzung zu werden, drastisch verringern.

Durch die Erstellung eines API-Inventars können Sicherheitsteams und Entwickler überflüssige Komponenten identifizieren und Maßnahmen zu ihrer Entfernung ergreifen.

Verwandte Begriffe

Tim Keary
Tech Experte
Tim Keary
Tech Experte

Seit Januar 2017 arbeitet Tim Keary als freiberuflicher Technologie-Autor und Reporter für Unternehmenstechnologie und Cybersicherheit.