Onlinehändler nutzen APIs dafür, um verschiedene E-Commerce-Systeme nahtlos miteinander zu verknüpfen: Datenbank-API-Aufrufe liefern Suchergebnisse, das Laden eines digitalen Warenkorbs erzeugt eine API-basierte Kassenroutine mit Kreditkartenvalidierung, und ein Kauf löst eine E-Mail- und Versandbestätigung über Drittanbieter-APIs aus. Programmierschnittstellen (Application Programming Interfaces = API) tragen wesentlich dazu bei, die Customer Experience zu verbessern, und sind ein integraler Bestandteil für ein erfolgreiches Online-Business.
Die zunehmende Nutzung hat allerdings auch eine Schattenseite: IT-Sicherheitsrisiken steigen. So waren APIs letztes Jahr eines der führenden Angriffsziele. Neben Hackern, die gezielt nach Eintrittsmöglichkeiten suchen, stellen automatisierte Bot-Angriffe ein großes Risiko dar. Sie sind so konzipiert, dass sie automatisiert und oft unbemerkt tausendfache Angriffe auf Schnittstellen durchführen. Die potenzierte Zahl von Attacken zielt nicht nur auf eine Schwachstelle ab, sondern nimmt direkt alle ins Visier. Werden APIs so attackiert, kann dies zu Datenlecks und gravierenden Störungen im Geschäftsbetrieb führen.
Vier typische API-Risiken für Online-Shops
- Einer der häufigsten Anwendungsfälle ist das sogenannte Account Take Over (ATO). Dabei zielt der Angreifer auf eine Anmelde-API ab, um Kontrolle über ein legitimes Benutzerkonto zu erlangen. In der Vergangenheit wurden Zugangsdaten nach dem Zufallsprinzip getestet, aber inzwischen verwenden Angreifer auch gestohlene oder kompromitierte Nutzerdaten und Kennwörter. Das erhöht die Erfolgsquote auf Angreiferseite und erschwert die Aufdeckung für die betroffenen Unternehmen.
- Risiko Geschenkkarte/Gutscheinkarte: Nach dem ATO kann ein Angreifer den Saldo einer Geschenkkarte vom API-Service, die das Konto bedient, abfragen, um dann diese Informationen weiter zu verkaufen oder direkt über das Konto Waren illegitim zu erwerben. Neben dem Missbrauch von Geschenk- und Gutscheinkarten sind Treue- und Bonusprogramme Opfer dieser Cyberangriffe.
- Im Gegensatz zum Geschenkkartendiebstahl erstreckt sich der Kreditkartenbetrug in der Regel über einen viel längeren Zeitraum. Bei einem solchen Angriff nutzen Betrüger freie E-Mail-Dienste, wie zum Beispiel Google Mail, um sogenannte Fake-Accounts zu erstellen. Mit den Fake-Accounts werden dann gestohlene Kreditkartendaten im Warenkorb / Checkout-Process validiert und für den Onlinebetrug eingesetzt.
- Shopping-Bots: Bot-Automatisierung wird zudem häufig für das sogenannte Scalping eingesetzt. Unbekannte (Bots) kaufen in einem Shop blitzartig stark nachgefragte Artikel auf – und verkaufen sie anschließend auf Plattformen weiter. Ärgerlich für die Kunden, vor allem wenn sich das über einen längeren Zeitraum streckt. So war die 5. Generation der Sony-Playstation wochenlang nicht verfügbar, wurde aber auf Handelsplattformen für mehrere hundert Euro über die UVP (399 bis 499 EUR) angeboten. Bots-as-a-Service kommerzialisieren mittlerweile die Verfügbarkeit von Bots, so dass sie gezielt für Blitzverkäufe eingesetzt werden können.
API-Sicherheits-Checkliste für Retailer
Warum fällt es Einzelhändlern so schwer, sich gegen diese Angriffe zu wehren? Viele der von Shop-Betreibern genutzten Abwehrmaßnahmen im Bereich Web- oder API-Sicherheit sind nur bedingt wirksam, wenn es um die Abwehr dieser automatisierten Angriffe geht. Denn: Sie haben nicht die Fähigkeiten, APIs automatisert und kontinuierlich zu inventarisieren, also sie zu entdecken und zu dokumentieren. So sind Unternehmen oft überrascht, welche APIs in ihren Systemen schlummern und theoretisch ein Sicherheitsrisiko darstellen. Ein effektiver Schutz braucht einen ganzheitlichen Ansatz, der mit der Erfassung der Schnittstellen beginnt.
Schritt 1: APIs kennen
Wie viele APIs werden wo im Unternehmen betrieben? Wer dabei APIs auch aus der Perspektive des Angreifers darstellt, bekommt einen vollständigen Überblick über die internen und öffentlich exponierten APIs. Damit reduziert sich die Gefahr, die von Schatten-APIs oder veralteten APIs ausgeht. Codierungsfehler können zu Datenverlust oder Geschäftsunterbrechungen führen.
Schritt 2: Testing und Compliance
Mit einem generativen AI-unterstützten API Security Testing (Mix aus geeigneten API-Tests) können IT-Teams mögliche Schwachstellen aufdecken und beheben. Unternehmen stellen so schneller sicher, dass ihre APIs den Compliance-Vorgaben entsprechen und keine sensiblen Daten preisgeben.
Schritt 3: Monitoren und schützen
Um APIs ganzheitlich vor dem gesamten Spektrum automatisierter Angriffe zu schützen, brauchen Onlinehändler heute automatisierte Erkennungstools und lückenlose Mechanismen, um mögliche Bedrohungen zu entschärfen.
Ein organisatorisch und technisch hoher API-Schutz ist essenziell für E-Commerce-Betreiber. Allein in Deutschland haben 94 Prozent der befragten Online-Shops angegeben, in der Vergangenheit schon mit Betrugsversuchen konfrontiert worden zu sein. Der entstandene Schaden wird in Expertenkreisen auf bis zu 1,8 Milliarden Euro geschätzt. Durch Bots verursachte Störungen wie etwa der Ausfall einer Website, verzerrte Verkaufsanalysen, Image- und Markenschäden durch unzufriedene Kunden oder ausufernde Infrastrukturkosten lassen sich mit einem umfassenden API-Sicherheitskonzept verhindern.
Der Autor: Mario van Riesen verantwortet die Vertriebsaktivitäten von Cequence Security im DACH-Raum sowie in Zentral- und Osteuropa. Insgesamt bewegt sich van Riesen seit mehr als 25 Jahren im IT- und Security-Umfeld und zeichnet sich durch seine Security-Expertise rund um API-Sicherheit aus.
Newsletter
Abonnieren
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Meistgelesene Artikel
Aktuelle Urteile | 12.01.2024
Marktplätze | 06.02.2024
Marktplätze | 07.11.2023
Schreiben Sie einen Kommentar