API

Ist die Abkürzung für Application Programming Interface, wörtlich übersetzt: Schnittstelle zur Programmierung von Anwendungen. Im Deutschen wird zumeist die Übersetzung „Programmschnittstelle“ verwendet. Über eine solche Schnittstelle können zwei Programme miteinander kommunizieren.

Was bedeutet API im Detail?

Über eine API, eine Schnittstelle, werden Informationen ausgetauscht. Das können z. B. Daten oder Befehle sein. Die Kommunikation über eine API verläuft auf der Quelltext-Ebene, also in einer Programmiersprache.
APIs ermöglichen z. B. den Zugriff auf eine Datenbank oder eine Festplatte. APIs werden verwendet, um Daten aus einem System in ein anderes zu übertragen. Über APIs findet der Datenaustausch zwischen Ihrem Smartphone und einem IoT-Gerät statt, z. B. einem Fitnesstracker.
Auch für den Datenaustausch im Internet werden APIs genutzt. Zum Beispiel verbindet sich Ihr Internetbrowser beim Aufruf einer Website über eine API mit deren Server. Dieser Server sendet die Daten der Website über eine API an Ihren Browser.
Hinsichtlich der Cybersicherheit Ihres Unternehmens sind APIs mehrfach relevant:

Als Schnittstellen Ihres Systems bieten APIs potenziell Zugang zu unternehmensbezogenen Daten. Daher müssen diese Schnittstellen gegen unerwünschte Zugriffe gesichert werden.
Über APIs nehmen Programme Befehle entgegen. Die Sicherung von APIs verringert auch das Risiko, dass Programme von Cyberkriminellen ferngesteuert werden.
Der Datenaustausch zwischen APIs kann verschlüsselt oder unverschlüsselt stattfinden. Verschlüsselte Daten sind für unbefugte Dritte nicht lesbar, selbst wenn es ihnen gelingt, sie bei der Übertragung abzufangen oder auszuspionieren.
Cyberkriminelle versuchen, APIs über ganz unterschiedliche Angriffsvektoren zu manipulieren. Neben spezifischen Schutzmaßnahmen für die APIs ist daher die allgemeine Verringerung Ihres Cyberrisikos wichtig.

Wo begegnet mir das Thema im Arbeitsalltag?

Ohne es zu bemerken begegnet es Ihnen nahezu unaufhörlich. Zum Beispiel:
Sobald Sie ein Programm nutzen, das nicht vom Hersteller Ihres Betriebssystems stammt. APIs machen die Einbindung z. B. von Adobe Acrobat in ein Windows-Betriebssystem möglich.
Wenn Sie Daten aus einem Programm in ein anderes importieren, z. B. aus einem Kassensystem in einen Report.

Was kann ich tun, um meine Sicherheit zu verbessern?

Wenden Sie sich an Experten, um den Schutz der APIs Ihres Systems zu überprüfen und zu optimieren. Aufgrund der Vielfalt an APIs empfehlen sich unterschiedliche Maßnahmen. Einige Beispiele:

Strenge, möglichst sichere Authentifizierungsprozesse
Verschlüsselung der Datenübertragungen
Überwachung der Aufrufe und des Datenverkehrs
Den gesamten API Verkehr über ein sogenanntes API Gateway leiten

Angriffe auf APIs können auf ganz unterschiedlichen Wegen erfolgen. Zum Beispiel per E-Mail über ein in einem Anhang verstecktes Schadprogramm (Malware), über Keylogger, durch Social Engeneering oder über einen kurzzeitig nicht besetzten Arbeitsplatz. Daher dienen nahezu alle Maßnahmen zur Verringerung Ihres Cyberrisikos auch dem Schutz Ihrer APIs. Die Sensibilisierung Ihrer Mitarbeitenden spielt hierbei eine wichtige Rolle.

It is the abbreviation for Application Programming Interface, which literally means an interface for programming applications. In German, the translation ‘Programmschnittstelle’ is mostly used. Two programmes can communicate with each other via such an interface.

What does API mean in detail?

Information is exchanged via an API, an interface. This can be data or commands, for example. Communication via an API takes place at the source code level, i.e. in a programming language.

APIs enable access to a database or a hard drive, for example. APIs are used to transfer data from one system to another. APIs enable data exchange between your smartphone and an IoT device, such as a fitness tracker.

APIs are also used for data exchange on the Internet. For example, when you visit a website, your Internet browser connects to its server via an API. This server sends the website data to your browser via an API.

APIs are relevant to your company’s cyber security in several ways:

As interfaces to your system, APIs potentially provide access to company-related data. These interfaces must therefore be secured against unauthorised access.
Programmes receive commands via APIs. Securing APIs also reduces the risk of programmes being remotely controlled by cybercriminals.
Data exchange between APIs can be encrypted or unencrypted. Encrypted data cannot be read by unauthorised third parties, even if they manage to intercept or spy on it during transmission.
Cybercriminals try to manipulate APIs using a wide variety of attack vectors. In addition to specific protective measures for APIs, it is therefore important to reduce your overall cyber risk.

Where do I encounter this issue in my everyday work?

You encounter it almost constantly without even noticing. For example:
As soon as you use a programme that does not come from the manufacturer of your operating system. APIs enable the integration of Adobe Acrobat into a Windows operating system, for example.
When you import data from one programme into another, e.g. from a cash register system into a report.

What can I do to improve my security?

Consult experts to review and optimise the protection of your system’s APIs. Due to the variety of APIs, different measures are recommended. Here are a few examples:

Strict, secure authentication processes
Encryption of data transfers
Monitoring of calls and data traffic
Routing all API traffic through a so-called API gateway

Attacks on APIs can occur in many different ways. For example, via email using malware hidden in an attachment, via keyloggers, through social engineering or via a workstation that is temporarily unattended. Therefore, almost all measures to reduce your cyber risk also serve to protect your APIs. Raising awareness among your employees plays an important role here.