API-Sicherheit und rechtliche Compliance vereint: Sechs wichtige Beispiele
F: Warum werden Unternehmen bei API-Sicherheitsvorfällen mit Geldstrafen belegt?
A: Weil die Regulierungsbehörden allmählich erkennen, was Angreifer bereits wissen: Exponierte oder falsch konfigurierte APIs sind weit verbreitet, leicht zu missbrauchen und häufig ungeschützt.
Es braucht nur eine einzige anfällige API
Jedes Mal, wenn ein Kunde, Partner oder Anbieter digital mit Ihrem Unternehmen interagiert, ermöglicht eine API hinter den Kulissen einen schnellen Austausch von Daten – oftmals sensiblen Daten. Die Angreifer von heute wissen, dass sie nicht immer komplexe, mehrstufige Kampagnen einsetzen müssen, um Ihre Daten zu stehlen. Stattdessen können sie die Zwischenschritte – z. B. Ihre Anwendungen – umgehen und Ihre APIs direkt angreifen.
Spielt es eine Rolle, ob in einem 200-seitigen Regelwerk ausdrücklich erwähnt, subtil impliziert oder vage angeben wird, dass API-Sicherheit wichtig ist? Eigentlich nicht. Denn eine Datenschutzverletzung ist eine Datenschutzverletzung, unabhängig davon, wie oder wo sie geschieht. Es braucht nur eine einzige anfällige API, und Ihre Daten können kompromittiert, gestohlen oder gegen Ihren Willen veröffentlicht werden.
Datenschutzverletzungen passieren, während Sie noch warten
Kann die API-Sicherheit wirklich warten, während Sie Bedrohungen wie Ransomware priorisieren, die von Regulierungsbehörden besondere Beachtung erfahren? Leider nicht. Wenn Unternehmen neue digitale Produkte und Dienstleistungen einführen, vergrößert sich die Zahl der APIs und damit auch das Risiko.
76 % der befragten Unternehmen haben bereits einen API-Sicherheitsvorfall erlebt und die meisten verfügen nicht über die erforderlichen Kontrollmechanismen oder Tools, um solche Vorfälle zu verhindern. In der Zwischenzeit steigen die durchschnittlichen Kosten einer Datenschutzverletzung um 12,6 % (auf 5,05 Millionen US-Dollar), wenn ein Unternehmen gravierende Mängel bei der Compliance aufweist.
Wenn Sie einen proaktiven Ansatz wählen, um jede einzelne API zu finden, auf Risiken zu untersuchen und vor Sicherheitsverletzungen zu schützen, schützen Sie Ihre Daten vor genau den Ereignissen, die Regulierungsbehörden verhindern wollen.
Wie wirkt sich das auf Ihren Compliance-Ansatz aus?
Wenn Sie einen proaktiven Ansatz wählen, um jede API zu finden,auf Risiken zu untersuchen und vor Sicherheitsverletzungen zu schützen, schützen Sie Ihre Daten vor genau den Ereignissen, die Regulierungsbehörden verhindern wollen.
In diesem Blogbeitrag finden Sie eine umfassende Übersicht über die sechs wichtigsten Vorschriften und Richtlinien, die auf die Notwendigkeit von API-Sicherheit hinweisen. Außerdem stellen wir Ihnen wichtige Beispiele für die Einhaltung vor.
Sechs wichtige Vorschriften und Frameworks
1. Payment Card Industry Data Security Standard (PCI DSS) Version 4.0
Der PCI DSS hat sich zu einem globalen Standard für den Schutz von Zahlungsdaten entwickelt. Wenn Ihr Unternehmen gängige Kreditkarten akzeptiert und Karteninhaberdaten elektronisch verarbeitet, speichert oder überträgt, müssen Sie diesen Standard einhalten.
In der Anforderung 6.2.3 des PCI DSS 4.0 geht es um die Notwendigkeit, dass Unternehmen ihren maßgeschneiderten, individuellen Anwendungscode überprüfen müssen, um sicherzustellen, dass keine Schwachstellen in den produktive Websitecode gelangen. Speziell im Zusammenhang mit APIs enthält diese Anforderung eine Anleitung, um zu bestätigen, dass die Software eines Unternehmens die Funktionen externer Komponenten (wie Bibliotheken, Frameworks, APIs usw.) sicher verwendet.
Eine von mehreren Möglichkeiten zur Einhaltung der Vorschriften: Überprüfen Sie das normale und erwartete Verhalten von APIs und implementieren Sie Kontrollmechanismen, um Cyberkriminelle daran zu hindern, Ihre Systeme zu missbrauchen (überprüfen Sie beispielsweise das Verhalten der Anwendung, um Logikschwachstellen zu erkennen).
2. Datenschutz-Grundverordnung (DSGVO)
Die DSGVO ist eine Rechtsvorschrift der Europäischen Union, um den Datenschutz für Einzelpersonen innerhalb der Europäischen Union zu stärken und zu vereinheitlichen. Die DSGVO ist jedoch nicht auf Unternehmen mit Sitz in der EU beschränkt; jedes Unternehmen, das Konsumgüter oder Dienstleistungen in der Europäischen Union anbietet, muss sich daran halten.
Artikel 25 der DSGVO thematisiert die geringstmögliche Berechtigung. Unternehmen sind verpflichtet, „technische und organisatorische Maßnahmen [zu treffen], die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“ Im Gegenzug sollten API-Entwickler Kontrollmechanismen zur Nutzerauthentifizierung und -autorisierung implementieren, um die vertraulichen Daten, die ihre APIs durchlaufen, zu schützen.
Dies ist ein gutes Beispiel dafür, wie API-Sicherheit in die Sicherheits- und Compliance-Programme Ihres Unternehmens integriert werden kann. Konzepte wie die geringstmögliche Berechtigung sind nicht nur für uns Menschen relevant. Auch APIs sollten genau das richtige Maß an Zugriff haben, um ihre Arbeit zu erledigen.
3. Digital Operational Resiliency Act (DORA)
Insgesamt gelten die Anforderungen von DORA für mehr als 22.000 Finanzinstitute und IT-Dienstleister in der Europäischen Union. Diese Anforderungen sollen Unternehmen dabei unterstützen, Cyberangriffe abzuwehren und die anschließende Wiederherstellung zu erleichtern.
Wie passt API-Sicherheit zu DORA? Laut Artikel 3 von DORA müssen Unternehmen ICT-Lösungen und -Prozesse verwenden, die die folgende Anforderungen erfüllen:
Minimieren von datenbezogenen Risiken, unbefugtem Zugriff und technischen Mängeln
Verhindern von Nichtverfügbarkeit von Daten, Datenverlusten sowie Verstößen gegen Integrität und Vertraulichkeit
Gewährleistung der Datenübertragungssicherheit
Da der Hauptzweck von APIs die Datenübertragung ist, ist es wichtig, dass Sie Ihre APIs regelmäßig auf Schwachstellen – einschließlich fehlender Authentifizierungskontrollen und unbeabsichtigtem Kontakt mit dem öffentlichen Internet – überprüfen. Durch die Anwendung eines „Shift left“-Ansatzes zur Überprüfung von APIs können Sie verhindern, dass Schwachstellen in die Produktion gelangen.
4. Health Insurance and Portability and Accountability Act (HIPAA)
HIPAA konzentriert sich auf Datenschutz- und Sicherheitsregeln zum Schutz geschützter Gesundheitsdaten (PHI) in elektronischen Gesundheitsakten und IT-Systemen im Gesundheitswesen. Jeder US-Gesundheitsdienstleister, Planadministrator und jede Verrechnungsstelle, der/die PHI elektronisch speichert oder überträgt, muss den HIPAA einhalten.
Die Datenschutzregel des HIPAA legt fest, dass betroffene Unternehmen Richtlinien und Verfahren entwickeln und umsetzen müssen, die den Zugriff auf geschützte Gesundheitsinformationen und deren Nutzung auf der Grundlage der spezifischen Rollen ihrer Mitarbeiter einschränken.
Daher müssen die API-Entwickler eines Unternehmens technische Sicherheitsvorkehrungen wie Authentifizierung, eindeutige Nutzer-IDs und rollenbasierte Zugriffskontrollen integrieren, um sicherzustellen, dass die geringstmöglichen Berechtigungen vergeben werden.
5. Richtlinie zur Netz- und Informationssicherheit (NIS2)
Die Europäische Union hat im Januar 2023 die Version 2.0 der NIS-Richtlinie in Kraft gesetzt, die auf den Leitlinien der ursprünglichen Version für die Sicherung der IT-Infrastruktur und die Meldung von Vorfällen aufbaut.
Bemerkenswert ist, dass ein neuer Schwerpunkt der NIS2 auf der Sicherung von Lieferketten liegt: Unternehmen müssen nun Risiken bewerten und ihre IT-Lieferketten und Partnerschaften mit Drittanbietern absichern.
Da APIs häufig zur Integration externer Dienste – von Softwareanbietern bis hin zu Cloud-Dienstanbietern – verwendet werden, ist die Gewährleistung ihrer Sicherheit unerlässlich, um den Regulierungsbehörden zu zeigen, dass Ihr Unternehmen die Daten seiner Kunden und die gesamte Lieferkette vor Angriffen schützt.
6. Federal Financial Institutions Examination Council (FFIEC)
Der FFIEC erstellt die Leitlinien und Standards für die Bundesregulierungsbehörden zur Überwachung der US-Finanzbranche. Dazu gehören die Federal Reserve und die FDIC. Aufgabe des FFIEC ist es, Verbraucher und Investoren vor Betrug, Missbrauch und Fehlverhalten zu schützen.
Bei der Überprüfung der FFIEC-Richtlinien ist klar, wie die Sicherung von APIs Unternehmen beim Schutz ihrer Verbraucher vor Betrug und Identitätsdiebstahl unterstützen kann. Der FFIEC empfiehlt beispielsweise Unternehmen eine Bestandsaufnahme aller Informationssysteme, die Authentifizierung und Zugriffskontrollen erfordern – dazu gehören auch APIs.
Die Autorisierung ist ebenfalls von entscheidender Bedeutung: Der FFIEC empfiehlt die Implementierung mehrschichtiger Sicherheit, z. B. die Überwachung, Protokollierung und das Reporting von Aktivitäten, um unbefugten Zugriff auf APIs zu identifizieren und zu verfolgen.
APIs zu schützen bedeutet auch, Vertrauen zu schützen
Die sechs in diesem Blogbeitrag angesprochenen Vorschriften und Richtlinien haben eines gemeinsam: den Schutz der Daten, die andere Ihnen anvertraut haben.
Wie Sie wissen, steht bei einer API-Datenschutzverletzung mehr auf dem Spiel, als nur Bußgelder. Es geht um Vertrauen und Ihren Ruf – bei Ihren Kunden, Mitarbeitern und den Regulierungsbehörden Ihrer Branche. Regulierungsbehörden müssen erkennen, dass Sie die richtige Mischung aus Personen, Prozessen und Tools einsetzen, um solche Angriffe zu verhindern.
Weitere Informationen
Sie möchten mehr über die API-relevanten Anforderungen in den sechs Vorschriften erfahren, die wir in diesem Beitrag besprochen haben?