Application Programming Interfaces (APIs) ermöglichen die Integration und Erweiterung von Anwendungen und sind ein wesentlicher Bestandteil moderner Software.
Integration und Modularität können jedoch auch Risiken mit sich bringen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass die Vielzahl der Schnittstellen und Datenverbindungen aus Sicht der IT-Sicherheit eine größere Angriffsfläche bedeuten [1]. Ohne zuverlässige Sicherheitsmaßnahmen sind APIs anfällig für eine Vielzahl von Angriffen, die sowohl zur Datendiebstahl als auch zur Gefährdung der internen IT-Infrastruktur führen können. Eine aktuelle Studie zu API-Sicherheitsrisiken lieferte dazu konkrete Zahlen - 76 Prozent der befragten Unternehmen waren von einem API-Sicherheitsvorfall betroffen.
Eine Schnittstellen-Prüfung zur Entdeckung potenzieller API-Sicherheitslücken ist für Ihre Anwendungssicherheit daher von zentraler Bedeutung.
Unsere IT-Sicherheitsexperten können verschiedene Arten von APIs hinsichtlich ihrer Sicherheit überprüfen, inklusive REST-, SOAP- und GraphQL-APIs. Der genaue Umfang der Prüfung wird in einem vorbereitenden Gespräch mit Ihnen abgestimmt.
Bei einer Schnittstellen-Prüfung der Berlin Cert werden die vordefinierten API-Schnittstellen nach dem OWASP API Security Top 10 auf Schwachstellen überprüft.
Unsere Experten untersuchen die Schnittstellen sowohl manuell als auch automatisiert mit professionellen Tools wie Burp Suite, Postman und ZAP. Die Sicherheitsanalyse umfasst die häufigsten API-Sicherheitsrisiken, dazu zählen unter anderem eine unsichere Autorisierung und Authentifizierung, verschiedene Fehlkonfigurationen, sowie der unbeschränkte Zugriff auf interne Ressourcen.
Die identifizierten Sicherheitslücken werden nach der OWASP Risk Rating Methodologie klassifiziert und Ihnen in einem detaillierten Bericht vorgestellt.
Sie erhalten am Ende der Überprüfung neben dem finalen Bericht ein ausführliches persönliches Gespräch über die entdeckten Schwachstellen.
Prüfergebnisse
Bericht:
Nach Abschluss der Prüfung wird ein umfassender Bericht erstellt, der alle relevanten Erkenntnisse und Ergebnisse enthält. Dieser Bericht wird den beteiligten Parteien zur Verfügung gestellt und alle darin enthaltenen Informationen werden streng vertraulich behandelt. Der Bericht kategorisiert die gefundenen Schwachstellen nach ihrer Kritikalität und erläutert die Risiken anhand von Beispielen. Darüber hinaus sind Empfehlungen für allgemeine und spezifische Sicherheitsmaßnahmen zur Behebung der festgestellten Schwachstellen enthalten.
Prüfzeichen:
Als Nachweis dafür, dass Sie eine (Je nach Produkt: Name der Prüfung - API/Web-Penetrationstest etc.) durchgeführt haben, können Sie ein Prüfsiegel erhalten. Damit zeigen Sie Ihren Stakeholdern, dass Sie die Sicherheit Ihrer (Je nach Produkt: Art des Prüfobjekts - Webseite/Unternehmen/Anwendungen) ernst nehmen.
Der Sicherheitsprozess
“Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss”.
Eine IT-Sicherheitsprüfung ist eine Momentaufnahme, die Ihre Sicherheit zum Zeitpunkt der Prüfung objektiv evaluiert. Da die IT-Systeme von Unternehmen sowie die Sicherheitsgefährdungen einem stetigen Wandel unterliegen, wird stark empfohlen, in regelmäßigen Abständen unabhängige Prüfungen vorzunehmen.
Ohne regelmäßige Überprüfung, so das BSI, ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt [1]. Auch wenn Sicherheitsüberprüfungen nie eine vollständige Garantie für die Aufdeckung aller Schwachstellen bieten, erhöhen sie deutlich das Sicherheitsniveau Ihrer Anwendungen und Systeme, sowie das Vertrauen Ihrer Stakeholder.
