S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Protokoll

API-Sicherheit

Maßnahmen und Praktiken zum Schutz von Application Programming Interfaces vor Missbrauch, unbefugtem Zugriff und Datenexfiltration.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Eine API ist wie ein Servicefenster — du gibst eine Anfrage rein, bekommst Daten zurück. Wenn das Fenster nicht gesichert ist, kann jemand Anfragen stellen die er eigentlich nicht darf, zu viele Daten abfragen oder das System mit Anfragen überfluten. API-Sicherheit sind die Schutzmaßnahmen für dieses Fenster.

Ausführliche Erklärung

APIs sind die Nervenbahnen moderner Software und gleichzeitig ein wachsendes Angriffsziel (OWASP API Security Top 10). Häufige Schwachstellen: Broken Object Level Authorization (BOLA/IDOR), Broken Authentication, Excessive Data Exposure, Rate Limiting fehlt (für Brute-Force), Injection, Security Misconfiguration und Sensitive Data Exposure. Schutzmaßnahmen: API-Gateways, OAuth 2.0, API-Keys, Rate Limiting, Input-Validierung, TLS, Logging aller API-Calls, SAST/DAST für APIs.

>Wie funktioniert das?

1

Authentifizierung: Jede API-Anfrage muss sich authentifizieren (API-Key, OAuth Token, JWT)

2

Autorisierung: Prüfe bei jeder Anfrage ob dieser Nutzer auf dieses Objekt zugreifen darf (BOLA)

3

Rate Limiting: Begrenze Anfragen pro Zeiteinheit pro Client

4

Input-Validierung: Alle Parameter validieren bevor sie verarbeitet werden

5

Logging: Alle API-Calls mit Nutzer, Timestamp und Response-Code protokollieren.

?Häufig gestellte Fragen
Antwort

Entwickler (sichere Implementierung), DevSecOps (Security in der Pipeline), Security-Teams (Monitoring und Testing) und API-Gateway-Teams — API-Sicherheit ist eine geteilte Verantwortung.

Antwort

Broken Object Level Authorization: Eine API gibt Daten zurück wenn eine gültige ID angegeben wird, ohne zu prüfen ob der anfragende Nutzer auch berechtigt ist. Statt "GET /order/123" gibt es auch "GET /order/124" zurück.

Antwort

API-Gateways zentralisieren Authentifizierung, Rate Limiting, Logging, SSL-Terminierung und Routing — alle APIs hinter einem Gateway profitieren von einheitlichen Sicherheitsmaßnahmen ohne diese einzeln implementieren zu müssen.

Antwort

REST ist flexibler und weniger strukturiert — SOAP hat eingebaute Standards für Sicherheit (WS-Security). REST-APIs benötigen explizite Implementierung aller Sicherheitsmaßnahmen ohne eingebaute Standards.

Antwort

Mit OWASP API Security Top 10 als Checkliste, dedizierten API-Pentesting-Tools (Postman, Burp Suite für APIs), automatisierten DAST-Tools für APIs, Fuzzing und regelmäßigen Security-Reviews des API-Designs.

Quick Facts
KategorieProtokoll
Verwandte Begriffe6
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC