Sechs Schritte zur robusten API-Security: Ein Leitfaden für Entwickler

APIs, über deren Knotenpunkte die sensibelsten Daten ausgetauscht werden, sind die Kronjuwelen in der IT-Architektur von Finanzinstituten. Durch Open Banking und die Integration von Drittanbieter-Services nimmt ihre Verbreitung exponentiell zu. Doch das klassische Security-Stack ist für ihren Schutz nicht ausreichend. Um den regulatorischen Anforderungen gerecht zu werden, Kundenwünsche zu erfüllen und die IT abzusichern, müssen sich Verantwortliche mit Lösungen für API-Security auseinandersetzen.

von Mario van Riesen, Regional Director Sales DACH & CEE bei Cequence

Von der Banküberweisung über Versicherungsabschlüsse bis zum Portfoliomanagement – die Zahl der Produkte, die Kunden über das Online-Portal von Finanzinstituten managen, steigt. Um ihnen eine möglichst komfortable Nutzung dieser Services zu ermöglichen, binden Finanzinstitute immer mehr FinTechs und Drittanbieter über APIs in ihre Systeme ein. So können Kunden über ein zentrales Portal verschiedenste Services verwalten. Zugleich beschleunigt dieses Ökosystem die Bearbeitung von kundenbezogenen Vorgängen wie etwa Kreditanträgen oder Analysen des Nutzerverhaltens.

Das rasante Wachstum der APIs hat jedoch auch seine Schattenseiten, wenn es um das Thema IT-Security geht. Für Cyberkriminelle sind Schnittstellen zwischen IT-Systemen ein äußerst beliebtes und lohnenswertes Angriffsziel. Schließlich laufen über diese Knotenpunkte viele sensible Informationen und Kundendaten.

Im Falle eines erfolgreichen Hackings erbeuten Kriminelle deshalb Informationen von hohem Wert oder können sogar direkten Einfluss auf den Zahlungsverkehr nehmen.”

Risikomanagement von APIs

In vielen Finanzinstituten kommen zum Schutz von APIs nur klassische Web-Security-Lösungen zum Einsatz. Diese sind allerdings nicht auf die besonderen Risiken von APIs ausgelegt.

Cyberkriminelle können APIs durch ihre programmatischen Eigenschaften besonders effizient durch geskriptete Bots penetrieren.”

Diese zwingen APIs beispielsweise durch automatisierte Anforderungen in eine permanente Interaktion bis zum Blackout von Servern (Denial-of-Service) oder manipulieren SQL-Datenbanken, wenn eine fehlerhafte Konfiguration vorliegt. Hacker können so mit vergleichsweise geringem Aufwand die Schwachstellen in Authentifizierungs- und Autorisierungsmechanismen ausfindig machen.

Ein unzureichendes Monitoring ist ebenfalls ein großes Sicherheitsproblem von APIs.”

Das beginnt damit, dass Finanzinstitute vielfach überhaupt gar keinen Überblick haben, wie viele APIs in ihren Systemen integriert sind – und das sind schnell tausende. Zudem wird das Verhalten der Schnittstellen-Partner nicht ausreichend geprüft.

Trotz regulatorischer Vorgaben gibt es in der Praxis nämlich große Unterschiede von Finanzinstitut zu Finanzinstitut, wie der Open Banking Impact Report 2023 gezeigt hat.”

Die Folge: Systeme wie das Status-Feedback für Zahlungen funktionieren nicht korrekt und können fehlerhafte Adaptionsversuche zur Folge haben.

PSD2 und ihre Grenzen

Als regulatorische Grundlage für Zahlungsdienstleister gilt in der Europäischen Union die 2018 umgesetzte Payment Services Directive 2 (PSD2). Sie definiert die Grundlagen des Datenaustausches zwischen Finanzinstituten, beinhaltet jedoch keine fixierten technischen Standards zur API-Sicherheit. So hat sie nur zu Teilen dazu beigetragen, Kunden einen integrierten Zugang zu Finanzprodukten zu ermöglichen. Denn vielfach gibt es fragmentierte Zugänge und eine Limitierung von Datenzugängen aufgrund der Sicherheitsrisiken von APIs.

Das Angebot von Premium-APIs, die Banken an Firmenkunden verkaufen, hat einen Zweiklassen-Markt etabliert, der das Standardisierungsziel untergräbt.”

Die Folgerichtlinie PSD3 befindet sich derzeit noch im Gesetzgebungsverfahren. Sie wird unter anderem die lang erhofften Auflagen zum Zugang zu Finanzdaten und der Authentifizierung beinhalten. Auch die Open-Banking-Regelung des US-amerikanischen Consumer Financial Protection Bureau (CFPB) kommt gerade in die heiße Phase. Sie verpflichtet Finanzinstitute zur Bereitstellung sicherer Schnittstellen zum Datenaustausch. Dafür sieht die CFPB die Schritte der Autorisierung, Authentifizierung und Zugangskontrolle vor, um jederzeit transparent zu zeigen, welche Daten von welchem Partner genutzt werden.

Sechs Schritte zu mehr API-Sicherheit

Auch wenn der regulatorische Druck nicht vor 2025 steigen wird, so können Finanzinstitute bereits heute Weichen stellen. Für die Strategieentwicklung empfiehlt sich ein sechsstufiger Prozess. Er startet mit einer transparenten Aufdeckung aller eingesetzten APIs, gefolgt von einer Inventarisierung, um zu erkennen welcher Traffic über welche API fließt. In der Testphase können APIs anschließend noch in der Entwicklungsphase auf Sicherheitsrisiken geprüft und viertens mit den OWASP Top 10 getestet werden. Im laufenden Betrieb müssen APIs und Angriffsversuche dann getrackt und diese Informationen sechstens für Echtzeit-Gegenmaßnahmen genutzt werden.

Eine tiefreichende API-Sicherheit lässt sich mit händischen Prozessen wie manuellen Kontrollen, Mitarbeiterschulungen oder Anleitungen nicht realisieren.”

Diese reichen nicht über den stichprobenartigen Charakter hinaus, da API-Risiken weder in Echtzeit erkannt noch überwacht werden können. Ein umfassendes Sicherheitsniveau lässt sich einzig durch automatisierte Lösungen erreichen, die den Übergang zu einem transparenten Risikomanagement ermöglichen. Auch Echtzeiterkennung und eine aktive Angriffsabwehr werden so zu einem realistischen Ziel – und das unabhängig davon, wie komplex die Architektur oder wie umfangreich die Microservices sind. Davon profitieren Kunden wie Finanzinstitute.Mario van Riesen, Cequence