Onlinehändler nutzen APIs dafür, um verschiedene E-Commerce-Systeme nahtlos miteinander zu verknüpfen: Datenbank-API-Aufrufe liefern Suchergebnisse, das Laden eines digitalen Warenkorbs erzeugt eine API-basierte Kassenroutine mit Kreditkartenvalidierung, und ein Kauf löst eine E-Mail- und Versandbestätigung über Drittanbieter-APIs aus. Programmierschnittstellen (Application Programming Interfaces = API) tragen wesentlich dazu bei, die Customer Experience zu verbessern, und sind ein integraler Bestandteil für ein erfolgreiches Online-Business.
Die zunehmende Nutzung hat allerdings auch eine Schattenseite: IT-Sicherheitsrisiken steigen. So waren APIs letztes Jahr eines der führenden Angriffsziele. Neben Hackern, die gezielt nach Eintrittsmöglichkeiten suchen, stellen automatisierte Bot-Angriffe ein großes Risiko dar. Sie sind so konzipiert, dass sie automatisiert und oft unbemerkt tausendfache Angriffe auf Schnittstellen durchführen. Die potenzierte Zahl von Attacken zielt nicht nur auf eine Schwachstelle ab, sondern nimmt direkt alle ins Visier. Werden APIs so attackiert, kann dies zu Datenlecks und gravierenden Störungen im Geschäftsbetrieb führen.
Warum fällt es Einzelhändlern so schwer, sich gegen diese Angriffe zu wehren? Viele der von Shop-Betreibern genutzten Abwehrmaßnahmen im Bereich Web- oder API-Sicherheit sind nur bedingt wirksam, wenn es um die Abwehr dieser automatisierten Angriffe geht. Denn: Sie haben nicht die Fähigkeiten, APIs automatisert und kontinuierlich zu inventarisieren, also sie zu entdecken und zu dokumentieren. So sind Unternehmen oft überrascht, welche APIs in ihren Systemen schlummern und theoretisch ein Sicherheitsrisiko darstellen. Ein effektiver Schutz braucht einen ganzheitlichen Ansatz, der mit der Erfassung der Schnittstellen beginnt.
Wie viele APIs werden wo im Unternehmen betrieben? Wer dabei APIs auch aus der Perspektive des Angreifers darstellt, bekommt einen vollständigen Überblick über die internen und öffentlich exponierten APIs. Damit reduziert sich die Gefahr, die von Schatten-APIs oder veralteten APIs ausgeht. Codierungsfehler können zu Datenverlust oder Geschäftsunterbrechungen führen.
Mit einem generativen AI-unterstützten API Security Testing (Mix aus geeigneten API-Tests) können IT-Teams mögliche Schwachstellen aufdecken und beheben. Unternehmen stellen so schneller sicher, dass ihre APIs den Compliance-Vorgaben entsprechen und keine sensiblen Daten preisgeben.
Um APIs ganzheitlich vor dem gesamten Spektrum automatisierter Angriffe zu schützen, brauchen Onlinehändler heute automatisierte Erkennungstools und lückenlose Mechanismen, um mögliche Bedrohungen zu entschärfen.
Ein organisatorisch und technisch hoher API-Schutz ist essenziell für E-Commerce-Betreiber. Allein in Deutschland haben 94 Prozent der befragten Online-Shops angegeben, in der Vergangenheit schon mit Betrugsversuchen konfrontiert worden zu sein. Der entstandene Schaden wird in Expertenkreisen auf bis zu 1,8 Milliarden Euro geschätzt. Durch Bots verursachte Störungen wie etwa der Ausfall einer Website, verzerrte Verkaufsanalysen, Image- und Markenschäden durch unzufriedene Kunden oder ausufernde Infrastrukturkosten lassen sich mit einem umfassenden API-Sicherheitskonzept verhindern.
Der Autor: Mario van Riesen verantwortet die Vertriebsaktivitäten von Cequence Security im DACH-Raum sowie in Zentral- und Osteuropa. Insgesamt bewegt sich van Riesen seit mehr als 25 Jahren im IT- und Security-Umfeld und zeichnet sich durch seine Security-Expertise rund um API-Sicherheit aus.