API-Sicherheit ist zentral für Open Banking

(firmenpresse) - Schlecht gesicherte APIs stellen global eines der größten Risiken für die Open-Banking-Initiative dar, warnen die Sicherheitsexperten von Radware. Öffentlich zugängliche APIs zwischen den Anwendungen von Banken und Fintechs bilden das Rückgrat des Open Banking, das einen nahtlosen Austausch von Kundendaten zwischen solchen Unternehmen vorsieht, sofern der Kunde zustimmt. Open-Banking-APIs sollen einerseits dem Kunden mehr Möglichkeiten bei der Auswahl von Finanzdienstleistern und andererseits diesen neue Umsatzpotentiale und Kollaborations-Möglichkeiten eröffnen.
APIs bringen zwar enorme Vorteile mit sich, führen laut Radware aber auch zu erheblichen Bedenken bezüglich der Verfügbarkeit und der Sicherheit:
Service-Unterbrechung: Nichtverfügbarkeit von API-Diensten aufgrund von Sicherheits-, Netzwerk- und Anwendungskonfigurationsfehlern, API-Denial-of-Service-Angriffen oder Ausfällen der Anwendungs- oder Authentifizierungs-Infrastruktur.
Fehlendes Vertrauen: Viele Lösungen für Open Banking basieren auf einer reinen Cloud- oder Hybrid-Infrastruktur. Die Migration zu öffentlichen Clouds führt jedoch zu Vertrauensproblemen aufgrund der Inkompatibilität von Sicherheitslösungen, Konfigurationsproblemen in verschiedenen Umgebungen, Fehlkonfigurationen und Problemen mit Anwendungssicherheits-Richtlinien und -profilen.
Erhöhte Angriffsfläche: API-Angriffe verschiedener Art sind relativ häufig. Eine Umfrage von Radware ergab, dass 55 % der Unternehmen mindestens einmal im Monat einen DoS-Angriff auf ihre APIs erleben, 48 % mindestens einmal im Monat eine Form von Injektionsangriff und 42 % mindestens einmal im Monat eine Manipulation von Elementen/Attributen. Zu den weiteren Angriffen gehören API-Authentifizierungs- und Autorisierungs-Angriffe, eingebettete Angriffe wie SQL-Injection, Cross-Site Scripting (XSS) und Bot-Angriffe.
Bot-Angriffe auf APIs: Bei Bot-Angriffen handelt es sich um automatisierte Programme mit Skripten, die in Benutzerkonten eindringen, Identitäten stehlen, Zahlungsbetrug begehen, Inhalte, Preise, Gutscheine oder Daten abgreifen, Spam oder Propaganda verbreiten und Geschäftsaktivitäten beeinträchtigen.
Datendiebstahl: Viele APIs verarbeiten sensible personenbezogene Daten (PII). Die Kombination aus sensiblen und vertraulichen Informationen in Verbindung mit der mangelnden Transparenz der Funktionsweise dieser APIs und Anwendungen von Drittanbietern ist im Falle eines Verstoßes ein Alptraum für die Sicherheit.
Nicht dokumentierte, aber veröffentlichte APIs: Nicht dokumentierte APIs können versehentlich sensible Informationen preisgeben, wenn sie nicht getestet werden, und sie können offen für API-Manipulationen und die Ausnutzung von Sicherheitslücken sein.
API-Gateways und WAFs reichen nicht aus
Traditionell sind DDoS-Schutz, WAFs und API-Gateways die primären Sicherheitstools, die für den API-Schutz eingesetzt werden. Während API-Gateways die Möglichkeit der API-Verwaltung bieten und eine Integration mit Authentifizierungs- und Autorisierungs-Funktionen bieten, sind ihre Funktionen für API-Sicherheit, Bot-Schutz und Webanwendungsschutz entweder begrenzt oder nicht vorhanden. "Aber die meisten WAFs verstehen die Unterschiede zwischen APIs und normalen Webanwendungen nicht", erläutert Michael Gießelbach, Regional Manager DACH bei Radware. "Und selbst wenn sie den Unterschied verstehen, können sie die tatsächlichen Sicherheitsrisiken im Zusammenhang mit APIs nicht untersuchen oder erkennen."
Da die Bedrohungen unterschiedlich sind, erfordert die API-Sicherheit eine Kombination von Sicherheitskontrollen, darunter:
- API-Zugangskontrollen für Authentifizierung, Autorisierung und Zugangsverwaltung
- Schutz vor BOT-Angriffen auf APIs
- Verhinderung von Denial-of-Service-Attacken
- Schutz vor eingebetteten Angriffen, API-Schwachstellen und API-Manipulationen
- Verhinderung des Abflusses von PII-Daten und der übermäßigen Offenlegung von Daten
- Schutz vor Betrug und Phishing
Insbesondere der Schutz von APIs vor automatisierten Angriffen unterscheidet sich von dem Schutz von Web- und Mobilanwendungen, weil das Verhalten der Bots und die Indikatoren unterschiedlich sind. Das Fehlen spezieller Bot-Management-Tools in den meisten Unternehmen erhöht laut Radware das Risiko, dass Hacker erfolgreiche Angriffe über APIs starten, wie z. B. Credential Stuffing, Brute Force und Scraping-Versuche.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Radware® (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verfügbarkeit sicher. Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten.
Weitere Informationen finden Sie unter www.radware.com
Prolog Communications GmbH
Achim Heinze
Sendlinger Str. 24
80331 München
achim.heinze(at)prolog-pr.com
089 800 77-0
https://www.prolog-pr.com/radware
Datum: 13.12.2021 - 10:35 Uhr
Sprache: Deutsch
News-ID 1948065
Anzahl Zeichen: 4890
Kontakt-Informationen:
Ansprechpartner: Michael Gießelbach
Stadt:
Frankfurt am Main
Telefon: +49-6103-70657-0
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 281 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"API-Sicherheit ist zentral für Open Banking"
steht unter der journalistisch-redaktionellen Verantwortung von
Radware GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Erfolgreiche Cyberangriffe auf solche Anwendungen ermöglichen laut Radware vielfältige Aktionen von Betrug bis Sabotage. Mit einer erwarteten Marktkapitalisierung von 457 Milliarden Dollar im Jahr 2023 wird sich der Markt für Elektrofahrzeuge bis 2027 mit einem erwarteten Absatz von 16 Million
Radware: Killnet ist nichts für Gelegenheits-Hacker ...
Diese weitreichende Entscheidung wurde laut KillMilk getroffen, da rund 50 Splittergruppen innerhalb von Killnet, die aus über 1.250 Personen bestehen, von den Hauptzielen des Hacktivismus abwichen. "Killnet hat jedoch nicht aufgehört zu existieren", so Pascal Geenens, Director, Threa
Radware bekämpft Tsunami-DDoS-Attacken ...
Die hochmoderne Lösung wurde entwickelt, um die wachsende Lücke zwischen Standard-DDoS-Abwehr und einer neuen Generation aggressiverer HTTPS-Flood-Angriffe auf Layer 7 (L7) - auch bekannt als Web-DDoS-Tsunami-Angriffe - zu schließen. Die Lösung von Radware ist unübertroffen in ihrer Fähigkeit,
Weitere Mitteilungen von Radware GmbH
Plan B für Open Airs und Künstler trotz Pandemie - mit NFTs ...
Seit drei Wochen nehmen jeden Abend gegen Tausend Musik-Fans an Konzerten im Metaverse teil. Die Nachfrage steigt steil an, denn mit neuen Technologien wird den Musikern die Möglichkeit geboten, Konzerte vollständig digital durchzuführen. Im virtuellen Band Room der «Rocking Uniquehorns» könn
Was macht eine SEO Agentur Basel? ...
Eine SEO Agentur Basel arbeitet daran, den Webseiten Ihrer Kunden zu höheren sog. organischen Platzierungen (auch Rankings genannt) auf den Ergebnisseiten der Google Suche (auch SERPs für Search Engine Results Pages) zu verhelfen. Grundsätzlich gibt es für erfolgreiche Suchmaschinenoptimierun
CANopen Master- und Slave-Stack jetzt für RENESAS MCU RA4M3 und RA4M2-Serien verfügbar ...
ports bewährter CANopen-Stack ist jetzt auch für die RA4-Familie von RENESAS verfügbar. Das ICC-Tool (Industrial Communication Creator Tool) erleichtert die Integration des Stacks erheblich. Die Renesas RA4M2 / RA4M3-Gruppe von 32-Bit-Mikrocontrollern (MCUs) verwendet den leistungsstarken Arm® C
"Impf now": IBsolution macht sich stark gegen die Corona-Pandemie ...
Heilbronn, 13. Dezember 2021. Das Heilbronner SAP-Beratungshaus IBsolution bietet die App INCEMENDO.cov_check ab sofort kostenlos an. Mit der App können Unternehmen die Einhaltung der 3G-Regel am Arbeitsplatz überprüfen und dokumentieren. Zudem hat sich IBsolution der Kampagne #ZusammenGegenCoron




