2026-03-08
By Emre SalmanogluAPI-Sicherheit: Der umfassende Leitfaden für Sicherheits- und Compliance-Teams
Erfahren Sie, wie Sie APIs absichern und ISO 27001, SOC 2, NIS2 und DORA erfüllen. Behandelt Authentifizierung, Rate Limiting, Eingabevalidierung, OWASP API Top 10, API-Gateways und Compliance-Nachweise.
API-Sicherheit
OWASP API Top 10
Authentifizierung
Rate Limiting
Compliance
Was ist API-Sicherheit?
API-Sicherheit ist die Disziplin des Schutzes von Application Programming Interfaces vor unbefugtem Zugriff, Datenexposition und Missbrauch. Da Organisationen zunehmend auf APIs angewiesen sind, um Dienste zu verbinden, Daten zu teilen und Integrationen zu betreiben, sind APIs sowohl das Rückgrat moderner Architektur als auch eine primäre Angriffsfläche geworden.
Die Absicherung von APIs erfordert einen Defence-in-Depth-Ansatz, der starke Authentifizierung, granulare Autorisierung, Eingabevalidierung, Rate Limiting, Verschlüsselung, Überwachung und ordnungsgemäße Bestandsverwaltung kombiniert.
OWASP API Security Top 10 (2023)
| Risiko | Beschreibung | Gegenmaßnahme |
|---|---|---|
| API1: Broken Object Level Authorisation | Zugriff auf Ressourcen anderer Benutzer durch ID-Manipulation | Objektbesitz bei jeder Anfrage prüfen |
| API2: Broken Authentication | Schwache oder fehlende Authentifizierungsmechanismen | Starke Authentifizierung, Token-Ablauf, MFA |
| API3: Broken Object Property Level Authorisation | Exposition oder Änderung sensibler Eigenschaften | Response-Filterung, Property-Level-Zugriffskontrolle |
| API4: Unrestricted Resource Consumption | Keine Limits für API-Nutzung führt zu DoS | Rate Limiting, Paginierung, Ressourcen-Quotas |
| API5: Broken Function Level Authorisation | Zugriff auf Admin-Funktionen ohne Autorisierung | Rollenbasierter Zugriff auf jedem Endpoint |
| API6: Unrestricted Access to Sensitive Business Flows | Automatisierter Missbrauch von Geschäftslogik | Business-Logic-Rate-Limiting, CAPTCHA |
| API7: Server Side Request Forgery | API ruft Ressourcen von angreifergesteuerten URLs ab | URL-Validierung, Allowlists, Netzwerksegmentierung |
| API8: Security Misconfiguration | Standard-Konfigurationen, detaillierte Fehler, fehlende Header | Härtungs-Checklisten, Sicherheits-Header |
| API9: Improper Inventory Management | Unbekannte oder veraltete API-Versionen noch zugänglich | API-Inventar, Versionsmanagement, Deprecation |
| API10: Unsafe Consumption of APIs | Vertrauen in Daten von Drittanbieter-APIs ohne Validierung | Alle externen API-Antworten validieren |
API-Authentifizierungsmethoden
| Methode | Sicherheitsstufe | Am besten für | Überlegungen |
|---|---|---|---|
| API-Keys | Niedrig | Öffentliche APIs, nur Identifikation | Leicht zu leaken, kein Benutzerkontext |
| Basic Auth | Niedrig | Interne/Legacy-Systeme | Sendet Credentials bei jeder Anfrage |
| OAuth 2.0 + JWT | Hoch | Benutzer-orientierte APIs | Branchenstandard, begrenzter Zugriff |
| mTLS | Sehr hoch | Service-zu-Service | Starke Identität, komplexes Setup |
| HMAC-Signaturen | Hoch | Webhook-Verifizierung | Manipulationssicher, Replay-Schutz |
| API-Token (kurzlebig) | Hoch | Machine-to-Machine | Auto-Rotation, minimale Exposition |
API-Sicherheitskontrollen
| Kontrollebene | Kontrollen | Zweck |
|---|---|---|
| Gateway | Authentifizierung, Rate Limiting, WAF, TLS-Terminierung | Zentraler Durchsetzungspunkt |
| Transport | TLS 1.2+, Certificate Pinning, mTLS | Daten bei der Übertragung schützen |
| Authentifizierung | OAuth 2.0, JWT-Validierung, API-Key-Management | Anruferidentität verifizieren |
| Autorisierung | RBAC/ABAC, Scope-Validierung, Object-Level-Prüfungen | Zugriffsrichtlinien durchsetzen |
| Eingabevalidierung | Schema-Validierung, Typprüfung, Bereinigung | Injection-Angriffe verhindern |
| Ausgabefilterung | Response-Filterung, Datenmaskierung, Feldauswahl | Datenexposition verhindern |
| Rate Limiting | Per-Key-, Per-User-, Per-Endpoint-Limits | Missbrauch und DoS verhindern |
| Überwachung | Request-Logging, Anomalieerkennung, Alarmierung | Bedrohungen erkennen und reagieren |
API-Gateway-Architektur
| Komponente | Funktion | Sicherheitswert |
|---|---|---|
| Reverse Proxy | Routet Anfragen an Backend-Dienste | Verbirgt interne Architektur |
| Authentifizierungsdienst | Validiert Token und Credentials | Zentrale Identitätsverifizierung |
| Rate Limiter | Setzt Nutzungsquoten durch | DoS-Schutz |
| Request Validator | Validiert gegen API-Schema | Eingabesicherheit |
| Response Transformer | Filtert sensible Daten aus Antworten | Datenexpositions-Prävention |
| WAF-Integration | Prüft auf gängige Angriffsmuster | OWASP-Schutz |
| Logging/Analytics | Zeichnet alle API-Transaktionen auf | Audit-Trail und Überwachung |
API-Versionierung und Lebenszyklus
| Phase | Sicherheitsaktivitäten | Kontrollen |
|---|---|---|
| Design | Bedrohungsmodellierung, Sicherheitsanforderungen | Secure-by-Design-Review |
| Entwicklung | Sichere Codierung, SAST, Abhängigkeitsscan | Code-Review mit Sicherheitsfokus |
| Test | DAST, Fuzzing, Penetrationstest | Pre-Release-Sicherheitsvalidierung |
| Bereitstellung | Gateway-Konfiguration, Monitoring-Setup | Sicherheitskontrollen aktiv |
| Betrieb | Monitoring, Incident Response, Patching | Kontinuierliche Sicherheitslage |
| Deprecation | Versions-Sunset, Migrationsunterstützung | Zugriff auf veraltete Versionen entfernen |
| Dekommissionierung | Vollständige Stilllegung | Keinen verbleibenden Zugriff sicherstellen |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Sichere Entwicklung | A.8.25 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Authentifizierungskontrollen | A.8.5 | CC6.1 | Art. 21(2)(d) | Art. 9(4)(d) |
| Zugriffskontrolle | A.5.15 | CC6.1 | Art. 21(2)(d) | Art. 9(4)(a) |
| Verschlüsselung bei Übertragung | A.8.24 | CC6.7 | Art. 21(2)(d) | Art. 9(2) |
| Logging und Monitoring | A.8.15 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Eingabevalidierung | A.8.28 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Drittanbieter-API-Sicherheit | A.8.30 | CC9.2 | Art. 21(2)(d) | Art. 8(5) |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| API-Inventar | Vollständige Liste aller APIs mit Eigentümern und Klassifizierungen | Alle Frameworks |
| Authentifizierungskonfiguration | API-Gateway-Auth-Einstellungen und Token-Richtlinien | Alle Frameworks |
| Rate-Limiting-Konfiguration | Dokumentierte Limits pro Endpoint und Konsument | ISO 27001, SOC 2 |
| API-Sicherheitsscan-Berichte | DAST-Ergebnisse gegen API-Endpoints | Alle Frameworks |
| API-Zugriffs-Logs | Geloggte Anfragen mit Authentifizierung und Autorisierung | Alle Frameworks |
| API-Versionierungsrichtlinie | Dokumentierter Lebenszyklus und Deprecation-Prozess | ISO 27001, DORA |
| Eingabevalidierungsregeln | Schema-Definitionen und Validierungskonfigurationen | Alle Frameworks |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Kein API-Inventar | Shadow-APIs ohne Sicherheitskontrollen | Vollständiges API-Inventar mit Eigentümern pflegen |
| Authentifizierung nur auf Anwendungsebene | Inkonsistente Durchsetzung über Dienste hinweg | Auth am API-Gateway zentralisieren |
| Kein Rate Limiting | DoS, Credential Stuffing, Ressourcenerschöpfung | Rate Limits auf Gateway- und Anwendungsebene implementieren |
| Vollständige Objekte zurückgeben | Übermäßige Datenexposition an Clients | Antworten filtern, nur benötigte Felder zurückgeben |
| Keine Eingabevalidierung | Injection-Angriffe, Datenkorruption | Alle Eingaben gegen API-Schema validieren |
| API-Keys in URLs | Keys in Logs, Browser-Verlauf, Referrer-Headern exponiert | API-Keys in Headern senden, nie in URLs |
| Keine API-Versionierung | Unsichere Versionen können nicht stillgelegt werden | Alle APIs versionieren, Deprecation-Zeitpläne durchsetzen |
Wie Orbiq API-Sicherheits-Compliance unterstützt
Orbiq hilft Ihnen, API-Sicherheitskontrollen nachzuweisen:
- Evidenzsammlung — API-Inventare, Scan-Berichte und Konfigurationsnachweise zentralisieren
- Kontinuierliche Überwachung — API-Sicherheitslage und Schwachstellentrends verfolgen
- Trust Center — Ihre API-Sicherheitslage über Ihr Trust Center teilen
- Compliance-Mapping — API-Sicherheitskontrollen auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- DevSecOps — Sicherheit in der Entwicklungspipeline
- Verschlüsselung — Schutz von API-Daten bei der Übertragung
- Identity and Access Management — API-Authentifizierung und -Autorisierung
- Netzwerksicherheit — Netzwerk-Level-API-Schutz
- SIEM — Überwachung von API-Sicherheitsereignissen
- Lieferkettensicherheit — Drittanbieter-API-Risikomanagement