Finanz-APIs sind ein Magnet für Cybergangster – Mythos oder Realität?
Dall-E 3
von Eric Funke
Ohne Authentifizierung, ohne Hürden – wie gemacht für Cyberangriffe. Der Optus-Fall zeigt: Wer APIs nicht sichert, lädt zum Datenraub mit Ansage ein.Prestigefall für Cybergangster: Das massive Datenleck bei „Optus“
Beim australischen Telekommunikationsriesen „Optus“ wurden im September 2022 rund zehn Millionen Kundendaten gestohlen. Die BBC titelte: „Optus: How a massive data breach has exposed Australia“! Es äußerte sich der Anwalt Ben Zocco von der Kanzlei Slater and Gordon Lawyers im Gespräch mit der BBC mit den Worten:
“This is potentially the most serious privacy breach in Australian history, both in terms of the number of affected people and the nature of the information disclosed.”
Eric Funke
API-Schwachstelle sorgte für Gau
In einer öffentlich zugänglichen API gab es einen Fehler in der Zugriffskontrolle, wegen dem keine Authentifizierung notwendig war – ein Sicherheitsversäumnis, das lange unbemerkt blieb. Man benötigte keine Benutzerauthentifizierung, um eine Verbindung herzustellen.
Jeder, der mit einem Internet-Scan die öffentlich zugängliche API entdeckte, konnte ohne Zugangsdaten (Benutzername und Passwort) darauf zugreifen.”
Dies war verheerend. Bei dem „Hack“ wurden Namen, Geburtsdaten, Wohnadressen, Telefon- und E-Mail-Adressen sowie Pass- und Führerscheinnnummern abgegriffen. Daraufhin folgte eine Lösegelddrohung, Optus habe nun ein Lösegeld in Höhe von einer Million US-Dollar zu zahlen – ansonsten würden die Daten en masse verkauft.
Scheinbar wurde die API nie einem Pen-Test unterzogen…
In diesem Fall wird klar ersichtlich, welche Dimension eine API-Sicherheitsschwachstelle erreichen kann. Denn: Das Optus-Leck ist m. E. ein „Klassiker“ und bessere Sicherheitsmaßnahmen, hätten dem laut Cybersecurity-Experten vorgebeugt.
Pro-Argumente: Sind APIs wirklich ein Magnet für Cybergangster?
Zumindest: APIs sind sehr attraktiv. Aber, warum? Liegt es etwa in der „Natur“ von APIs – warum werden Cyberkriminelle von APIs so angezogen?
Der „Ethical Hacker“ Suhail M. führt an, dass „jede“ Sicherheitsschwachstelle in einer API ein potenzielles Hacker-Einfallstor ist.
Unzureichend gesicherte (Daten-)Übertragungen und (Implementierungs-)Schwachstellen können identifiziert und böswillig ausgenutzt werden, um letztlich sensible Daten abzugreifen.”
Ebenfalls werden APIs von Hackern für böswillige Zwecke wie DDoS-Angriffe missbraucht.
Das OWASP API Security Project team äußert sich folgendermaßen:
Eric Funke
Finanz-APIs haben einen besonders hohen Stellenwert, weil sie direkten Zugang zu sensiblen Daten und finanziellen Transaktionen bieten. Es bietet sich hier besonders an, finanziellen Schaden herbeizuführen.”
Reichweite von „3rd-Party APIs“ – ab in die Systeme
Ein weiterer Magnetfaktor sind „Drittanbieter-APIs“; diese können Sicherheitslücken aufweisen, die außerhalb der direkten Kontrolle des API-Betreibers liegen; die Angriffsfläche erweitert sich.
Werden 3rd-Party APIs verwendet, sind diese nicht unbedingt derart gesichert, wie es die eigenen (Sicherheits-)Ansprüche es befürworten würden.”
Ist eine Sicherheitslücke vorhanden, können Angreifer in das eigene, ansonsten gut gesicherte Unternehmensnetzwerk gelangen.
Ist eine API bereits kompromittiert, so kann dies der Beginn lateraler Netzwerkbewegungen sein; der Angreifer agiert im Netzwerk, und findet so wenn möglichst weitere sensible Daten oder verbreitet Malware. APIs sind in dem Fall der Initialzugangspunkt einer ganzen Kette schadhafter Angriffe auf das Netzwerk und System – der Schaden vergrößert sich gefühlt exponentiell.
Die Reichweite vervielfacht sich manchmal für einen Cyberkriminellen über 3rd-Party APIs, da mit der API verbundene Netzwerke bzw. Systeme erreichbar bzw. angreifbar werden.”
Jedenfalls jene, die über die API zugänglich sind und Sicherheitslücken aufweisen. Gut gesicherte Systeme sind aber auch bei einer kompromittierten API möglicherweise nicht angreifbar. Die „Angreifbarkeit“ entscheidet sich in der Sicherheitskonfiguration der API und der verbundenen Systeme.
Gegenargumente: Breites Angriffsportfolio, Motivation und ROI-Denken
Was gegen die Magnet-These spricht, ist schlicht, das Repertoire an Angriffsvektoren für Cyberkriminelle und die individuelle Motivation eines jeden „Gangsters“. Jeder Cyberkriminelle ist ein Individuum mit eigener Motivation. Und: Sind schlecht gewartete IT-Systeme, die vernachlässigt werden, nicht attraktiver? Oder andere Angriffsvektoren?
APIs sind interessant aufgrund ihrer Vernetzung und des Datenreichtums – vernachlässigte Systeme hingegen bieten geringere Hürden.”
Wer wo angreift, ist abhängig von Situation, Präferenzen und Zielsetzung. Jede identifizierte Schwachstelle ist ein attraktives Ziel. Und am Ende kalkuliert wohl jeder Cyberkriminelle, inwiefern ein Aufwand zu einem potenziellen Gewinn steht (ROI-Denken).
Fazit
Ja, APIs sind ein Magnet für Cyberkriminelle, aber überwiegend nur, wenn sie nicht nach Sicherheitsstandards entworfen, implementiert und überwacht werden – denn Schwachstellen ziehen an. Die Attraktivität verstärkt sich über mangelnde Sicherheitsmaßnahmen, menschlichen Fehlern und Zugang zu sensiblen Daten.
Es wird klar, wie wichtig der Schutz von APIs ist.
Mit gängigen Best-Practices werden APIs für Cyberkriminelle weniger attraktiv, da es für sie aufwendiger wird.”
IT-Führungskräfte und Sicherheitsteams können nicht genug dafür sensibilisiert werden, den API-Schutz ernsthaft zu verfolgen. Wer hingegen APIs versauern lässt, braucht sich nicht wundern, wenn sich jemand selbst hereinbittet.
M.E. gilt der Grundsatz: Je sicherer APIs aufgestellt sind, desto weniger ziehen sie Cyberkriminelle an! Weitere Informationen zu Optus-Leck finden sie hier bei der BBC, bei ITNews (Website) oder bei Technology Magazine (Website).Eric Funke
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/225935
Schreiben Sie einen Kommentar