Zum Inhalt springen

Nächste Ausgabe 6. Juli 2026

Grundlagen

API-Sicherheit

Die Praxis des Schutzes von Application Programming Interfaces vor Bedrohungen, die Schwachstellen in Authentifizierung, Autorisierung, Datenvalidierung und Geschäftslogik ausnutzen, um sicherzustellen, dass nur autorisierte Benutzer und Systeme auf API-Ressourcen zugreifen und erlaubte Operationen durchführen können.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Warum es wichtig ist

APIs betreiben praktisch jede moderne Anwendung. Jedes Mal, wenn ein Benutzer sich anmeldet, eine Zahlung tätigt, eine Datei hochlädt oder ein Profil aktualisiert, verarbeitet eine API die Anfrage. Mobile Apps, Single-Page-Webanwendungen, IoT-Geräte und Microservice-Architekturen sind alle auf APIs angewiesen, um zu funktionieren.

Das macht APIs zu einem der wertvollsten Ziele für Angreifer. Eine Schwachstelle in einer API kann Millionen von Benutzerdatensätzen offenlegen, unautorisierte Transaktionen ermöglichen oder eine vollständige Kontoübernahme erlauben. Anders als bei herkömmlichen Webangriffen, die den Browser ins Visier nehmen, zielen API-Angriffe auf die serverseitige Logik ab, die jede Anfrage verarbeitet.

Die Herausforderung besteht darin, dass APIs oft mehr Funktionalität bieten, als die Benutzeroberfläche vermuten lässt. Ein Webformular bietet vielleicht fünf Felder, aber die zugrunde liegende API akzeptiert möglicherweise fünfzig. Eine mobile App zeigt möglicherweise die Daten eines Benutzers an, aber die API gibt die Daten jedes Benutzers zurück, wenn die ID geändert wird. Die Sicherheit muss auf API-Ebene durchgesetzt werden, da Frontend-Kontrollen leicht umgangen werden können.

Für Penetrationstester und Bug-Bounty-Jäger stellt API-Sicherheit einen der wirkungsvollsten Testbereiche dar. Die häufigsten API-Fehler, wie Broken Object Level Authorization (BOLA/IDOR) und fehlerhafte Authentifizierung, erfordern oft keine fortgeschrittenen Exploit-Fähigkeiten, sondern nur sorgfältige Beobachtung und logisches Denken.

Kernkonzepte

Authentifizierung vs. Autorisierung

Die Grundlagen der API-Sicherheit ruhen auf zwei Säulen: Authentifizierung (nachweisen, wer man ist) und Autorisierung (nachweisen, was man tun darf). Authentifizierung verifiziert die Identität durch Anmeldedaten, Token oder Zertifikate. Autorisierung bestimmt, ob ein verifizierter Benutzer die Berechtigung hat, auf eine bestimmte Ressource zuzugreifen oder eine bestimmte Aktion durchzuführen.

Die meisten kritischen API-Schwachstellen nutzen Lücken zwischen diesen beiden Konzepten aus. Eine API kann korrekt verifizieren, dass ein Benutzer angemeldet ist (Authentifizierung), aber versäumen zu prüfen, ob der Benutzer auf die angeforderte Ressource zugreifen darf (Autorisierung).

Häufige API-Sicherheitsbedrohungen

Die OWASP API Security Top 10 kategorisieren die häufigsten API-Bedrohungen:

  • Broken Object Level Authorization (BOLA/IDOR): Zugriff auf Daten eines anderen Benutzers durch Ändern von Ressourcen-Identifikatoren
  • Broken Authentication: Schwachstellen in der Token-Verarbeitung, Sitzungsverwaltung oder Anmeldedatenprüfung
  • Excessive Data Exposure: APIs, die mehr Daten zurückgeben, als das Frontend benötigt
  • Mass Assignment: APIs, die Felder akzeptieren, die Benutzer nicht ändern können sollten
  • Broken Function Level Authorization: Zugriff auf administrative Funktionen mit nicht-administrativen Anmeldedaten

Werkzeuge für API-Sicherheitstests

Die wichtigsten Werkzeuge für API-Sicherheitstests umfassen:

  • Burp Suite: Abfangen, Modifizieren und Wiederholen von API-Anfragen
  • Postman: Organisieren und Senden strukturierter API-Anfragen
  • ffuf/Gobuster: Entdecken versteckter API-Endpunkte
  • jwt.io: Dekodieren und Analysieren von JWT-Token

So schützen Sie APIs

Effektive API-Sicherheit erfordert Verteidigung auf mehreren Ebenen:

  1. Implementieren Sie ordnungsgemäße Autorisierungsprüfungen an jedem Endpunkt, indem Sie nicht nur die Authentifizierung, sondern auch die Berechtigungen auf Objekt- und Funktionsebene verifizieren
  2. Geben Sie nur notwendige Daten in API-Antworten zurück; senden Sie niemals vollständige Datenbankobjekte an den Client
  3. Validieren Sie alle Eingaben serverseitig, einschließlich Request-Body, Query-Parameter und Header
  4. Verwenden Sie Rate Limiting und Throttling, um Brute-Force-Angriffe und Ressourcenmissbrauch zu verhindern
  5. Implementieren Sie ordnungsgemäßes Token-Management mit Ablaufzeiten, Rotation und serverseitiger Invalidierung beim Logout
  6. Führen Sie ein API-Inventar, um alle Endpunkte zu verfolgen, einschließlich veralteter Versionen
  7. Protokollieren und überwachen Sie sämtlichen API-Zugriff auf auffällige Muster
Im Bootcamp

Wie wir API-Sicherheit unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur API-Sicherheit in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 1: Grundlagen der Cybersicherheit

Verwandte Themen, die Sie beherrschen werden:CIA-TriadeBedrohungsvektorenNIST-FrameworkISO 27001
Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive