Anonyme Mikrozahlungen für dVPN & Datentunneling

Das wachsende Chaos undokumentierter APIs

Haben Sie auch manchmal das Gefühl, dass Ihr Entwicklerteam so schnell voranschreitet, dass es eine Spur aus digitalen Brotkrumen hinterlässt? Es ist der klassische Fall von „erst ausliefern, später dokumentieren“ – doch dieses „Später“ tritt meistens niemals ein.

Die Realität ist, dass die meisten Security-Teams im Blindflug unterwegs sind. Laut der StackHawk-Studie „State of AppSec 2024“ sind gerade einmal 30 % der Teams zuversichtlich, ihre gesamte Angriffsfläche im Blick zu haben. Dadurch entsteht eine gewaltige Lücke, in der Shadow APIs – Endpunkte, die zwar existieren, aber in keiner Swagger-Datei auftauchen – ihr Unwesen treiben.

• Geschwindigkeit vor Sicherheit: Unter Zeitdruck stehende Entwickler pushen temporäre APIs zu Testzwecken und vergessen schlichtweg, diese wieder abzuschalten.
• Umgehung der Kontrollinstanzen: Da diese Endpunkte nicht „offiziell“ existieren, fehlen ihnen oft die standardmäßigen Authentifizierungslogiken oder Mechanismen zum Rate Limiting.
• Datenlecks: Ein vergessener Endpunkt in einer E-Commerce-App könnte immer noch Zugriff auf personenbezogene Daten (PII) haben und nur auf einen einfachen IDOR-Angriff warten. (IDOR steht für Insecure Direct Object Reference, im Grunde eine Form von BOLA, bei der ein Nutzer auf Daten anderer zugreifen kann, indem er einfach eine Ressourcen-ID errät).

Ehrlich gesagt habe ich schon erlebt, dass Legacy-Endpunkte noch Monate nach einer „Migration“ aktiv waren. Das ist ein riskantes Durcheinander. Schauen wir uns als Nächstes an, wie man diese digitalen Geister tatsächlich aufspürt.

Der Unterschied zwischen Shadow-, Zombie- und Rogue-APIs

Stellen Sie sich Ihre API-Landschaft wie ein Haus vor, in dem Sie seit zehn Jahren leben. Sie kennen die Haustür und die Fenster, aber was ist mit diesem seltsamen Kriechkeller, den die Vorbesitzer vergessen haben zu erwähnen?

In der Welt der Cybersicherheit werfen wir oft alles in den Topf der „Shadow APIs“ (Schatten-APIs), aber das ist etwas zu kurz gedacht. Wenn Sie das Chaos wirklich beseitigen wollen, müssen Sie wissen, welche Art von Geist Sie eigentlich jagen.

• Shadow APIs (Die Unbeabsichtigten): Diese entstehen meist aus einem „Hoppla“ heraus. Ein Entwickler bei einem Healthcare-Startup setzt schnell einen Endpunkt auf, um ein neues Patientenportal zu testen, und vergisst, diesen zu dokumentieren. Die API ist live, sie funktioniert, aber sie taucht in keinem Katalog auf.
• Zombie APIs (Die Vergessenen): Das sind die „Untoten“ unter den Schnittstellen. Stellen Sie sich eine Finanz-App vor, die letztes Jahr von Version 1 auf Version 2 migriert wurde. Alle haben das Thema abgehakt, aber V1 läuft immer noch auf irgendeinem Server – ungepatcht und anfällig für Credential-Stuffing-Angriffe.
• Rogue Endpoints (Die Böswilligen): Hier wird es gefährlich. Dabei handelt es sich um Backdoors, die absichtlich von einem verärgerten Mitarbeiter oder einem böswilligen Akteur hinterlassen wurden. Sie umgehen Gateways vollständig, um Daten unbemerkt auszuschleusen.

Laut den Forschern von Edgescan gab es allein im Jahr 2023 einen massiven Anstieg der API-Schwachstellen um 25 %, womit sich der Trend rekordverdächtiger Risiken Jahr für Jahr fortsetzt. Das ist kein kleiner Anstieg mehr, sondern eine regelrechte Explosion der Risikolage.

Ehrlich gesagt fühlt es sich an, als würde man eine tickende Zeitbombe finden, wenn man in einem Legacy-Retail-System auf eine Zombie-API stößt. Sie wollen nicht erst auf einen Datendiebstahl warten, um festzustellen, dass V1.0 immer noch munter mit Ihrer Datenbank kommuniziert.

Wie bringen wir also Licht ins Dunkel? Lassen Sie uns über Discovery-Tools sprechen.

Wie man findet, was man nicht auf dem Schirm hat

Schon mal versucht, eine ganz bestimmte Socke in einem Wäschekorb zu finden, der einem schwarzen Loch gleicht? Genau so fühlt sich die Jagd nach undokumentierten Endpunkten an – mit dem Unterschied, dass die Socke in diesem Fall eine Hintertür zu Ihrer Datenbank sein könnte.

Wenn Sie nicht länger im Blindflug agieren wollen, gibt es zwei Hauptwege für die Suche. Der erste ist das Traffic-Monitoring. Dabei klinken Sie sich direkt in den Datenstrom ein und beobachten, was an Ihren Gateways ankommt. Tools wie Apigee sind hierfür ideal, da sie die Überwachung von Traffic und Sicherheitsereignissen ermöglichen, ohne die Latenz Ihrer Anwendung spürbar zu erhöhen. Das ist perfekt, um zu sehen, was aktuell live ist – allerdings entgehen Ihnen dabei „Dark Endpoints“, die vielleicht nur einmal im Monat für einen speziellen Cron-Job aktiv werden.

Der zweite Weg ist die codebasierte Suche (Discovery). Hierbei scannen Sie Ihre GitHub- oder Bitbucket-Repositories, um herauszufinden, wo die Entwickler die Routen tatsächlich definiert haben. Wie StackHawk hervorhebt, hilft das Scannen von Code dabei, Endpunkte zu finden, bevor sie überhaupt in die Produktion gehen.

• Traffic-Logs: Ideal, um die reale Nutzung zu analysieren und ungewöhnliche Spitzen in Anwendungen – etwa im Gesundheitswesen oder im Einzelhandel – zu identifizieren.
• Statische Analyse: Findet versteckte Routen im Quellcode, die seit Monaten nicht mehr aufgerufen wurden.
• Der Hybrid-Vorteil: Ehrlich gesagt ist die Kombination aus beidem der einzige sichere Weg. Damit das funktioniert, benötigen Sie ein zentrales API-Inventar oder einen Katalog, der Daten aus Traffic und Code zusammenführt, um eine einzige „Source of Truth“ zu schaffen.

Laut einem Bericht von Verizon schießen API-bezogene Sicherheitsverletzungen in die Höhe, da Angreifer ihren Fokus weg von traditionellen Web-Apps verlagern. (2024 Data Breach Investigations Report (DBIR) - Verizon) Wenn Sie nicht sowohl den Traffic als auch den Code im Blick haben, lassen Sie im Grunde das Hinterfenster sperrangelweit offen.

Manuell ist das nicht zu stemmen. Ich habe Teams erlebt, die versucht haben, eine API-Liste in einer Excel-Tabelle zu führen – das Chaos war schon am zweiten Tag perfekt. Sie müssen die Discovery direkt in Ihre CI/CD-Pipeline integrieren.

Sobald ein neuer Endpunkt auftaucht, können Tools wie APIsec.ai diesen automatisch erfassen und markieren, falls er sensible Daten wie personenbezogene Informationen (PII) oder Kreditkartendaten verarbeitet. Das ist ein riesiger Vorteil für Finanz- oder E-Commerce-Teams, die PCI-Compliance-Standards einhalten müssen.

Wenn Sie diese „Geister-Endpunkte“ erst einmal aufgespürt haben, müssen Sie handeln. Als Nächstes schauen wir uns an, wie man diese Endpunkte effektiv testet, ohne das gesamte System lahmzulegen.

Fortgeschrittene Testverfahren für moderne APIs

Das Aufspüren einer undokumentierten API ist erst die halbe Miete; die eigentlichen Kopfschmerzen beginnen bei der Frage, ob sie tatsächlich sicher ist. Standard-Scanner eignen sich hervorragend für die "Low-Hanging Fruits", scheitern jedoch meist an der komplexen Logik, die moderne APIs auszeichnet.

Wer nachts wirklich ruhig schlafen möchte, muss über einfaches Fuzzing hinausgehen. Die meisten Sicherheitsverletzungen entstehen heute durch Logikfehler und nicht durch fehlende Patches.

• BOLA (Broken Object Level Authorization): Dies ist der absolute Spitzenreiter unter den API-Schwachstellen. Es passiert, wenn man eine ID in einer URL ändert – etwa von /user/123 zu /user/456 – und der Server die Daten ohne weitere Prüfung herausgibt. Automatisierte Tools übersehen dies oft, weil sie den „Kontext“ nicht verstehen, also wer welche Daten sehen darf.
• Mass Assignment: Ich habe erlebt, wie dies den Checkout-Prozess einer E-Commerce-App komplett lahmgelegt hat. Ein Entwickler vergisst, die Eingabefelder zu filtern, und plötzlich kann ein Nutzer ein verstecktes Feld wie "is_admin": true in einem Profil-Update mitsenden.
• Business Logic Flaws (Geschäftslogikfehler): Man denke an eine Fintech-App, bei der man versucht, einen negativen Geldbetrag zu überweisen. Wenn die API die mathematische Plausibilität nicht korrekt prüft, könnte dies dazu führen, dass dem Konto fälschlicherweise Guthaben gutgeschrieben wird.

Ehrlich gesagt ist das Aufspüren dieser tückischen Bugs der Grund, warum viele Teams auf spezialisierte Dienste setzen. Inspectiv ist hier ein hervorragendes Beispiel: Sie kombinieren Experten-Tests mit Bug-Bounty-Management, um genau jene bizarren Edge-Cases zu finden, die ein Bot niemals entdecken würde.

Wie dem auch sei, Testing ist ein kontinuierlicher Kreislauf und kein einmaliges Ereignis. Als Nächstes schauen wir uns an, warum eine organisierte Bestandsaufnahme (Inventory) für Ihre Rechts- und Compliance-Teams von entscheidender Bedeutung ist.

Compliance und die geschäftliche Perspektive

Haben Sie schon einmal versucht, einem Vorstandsmitglied zu erklären, warum ein „Ghost“-Endpunkt eine massive Geldstrafe nach sich gezogen hat? Das ist kein angenehmes Gespräch, besonders wenn Auditoren anfangen, Ihr Inventar an maßgeschneiderter Software unter die Lupe zu nehmen.

Compliance bedeutet heute nicht mehr nur das bloße Abhaken von Checklisten – es geht darum, nachzuweisen, dass man tatsächlich weiß, was im eigenen digitalen Keller vor sich geht. Was man nicht sieht, kann man nicht absichern, und die Regulierungsbehörden greifen hier mittlerweile hart durch.

• Die Checkliste der Auditoren: Unter PCI DSS v4.0.1 sind Sie verpflichtet, ein lückenloses Inventar aller benutzerdefinierten Softwarelösungen und APIs zu führen. Wenn ein veralteter Retail-Endpunkt immer noch Kreditkartendaten verarbeitet, ohne auf dieser Liste zu stehen, gilt das Audit als nicht bestanden.
• Rechtmäßige Datenverarbeitung: Gemäß DSGVO Artikel 30 müssen Sie jeden einzelnen Weg dokumentieren, auf dem personenbezogene Daten verarbeitet werden. Nicht dokumentierte APIs in Healthcare- oder Finanz-Apps, über die PII (personenbezogene Daten) abfließen, sind praktisch ein Magnet für empfindliche Bußgelder.
• Vorteile bei der Versicherung: Ganz offen gesagt: Eine saubere, dokumentierte API-Angriffsfläche kann tatsächlich dazu beitragen, die astronomischen Prämien für Cyber-Versicherungen zu senken. Versicherer schätzen es sehr, wenn Unternehmen die Kontrolle über ihren „Digital Sprawl“ (die unkontrollierte digitale Ausbreitung) nachweisen können.

Ich habe erlebt, wie ein Fintech-Team wochenlang in Panik geriet, weil ein Auditor einen V1-Endpunkt fand, an den sich niemand mehr erinnern konnte. Das ist chaotisch und teuer. Wie bereits erwähnt: Nur wenn Sie das finden, von dessen Existenz Sie nichts wissen, können Sie dem Papierkrieg einen Schritt voraus sein.

Nachdem wir nun das „Warum“ und die geschäftlichen Risiken beleuchtet haben, schließen wir das Ganze mit einem Ausblick auf die Zukunft der Discovery ab.

Fazit: Sicherheit ist kein optionales Extra

Nach all den Punkten wird eines mehr als deutlich: API-Sicherheit ist längst kein „Nice-to-have“ mehr. Sie ist die vorderste Verteidigungslinie, an der Anwendungen heute systematisch von Angreifern sondiert werden, die definitiv nichts Gutes im Schilde führen.

Ganz offen gesagt: Man kann nichts absichern, was man nicht sieht. Um das digitale Wildwachstum in den Griff zu bekommen, empfehle ich folgendes Vorgehen:

• Starten Sie noch diese Woche einen Discovery-Scan: Zerbrechen Sie sich nicht den Kopf über die perfekte Strategie. Lassen Sie einfach ein automatisiertes Tool – wie die bereits besprochenen Lösungen – über Ihre wichtigsten Repositories laufen. Wahrscheinlich werden Sie einen „Test“-Endpunkt aus dem Jahr 2023 finden, der immer noch live ist. Das sorgt zwar kurzzeitig für Herzrasen, aber es ist besser, Sie finden ihn als jemand anderes.
• Schulen Sie Ihre Entwickler auf die OWASP API Top 10: Die meisten Engineers wollen sicheren Code schreiben, stehen aber unter Zeitdruck. Zeigen Sie ihnen konkret, wie eine einfache BOLA-Schwachstelle (Broken Object Level Authorization) eine komplette Kundendatenbank offenlegen kann. Das bleibt wesentlich besser hängen als ein langweiliger Foliensatz.
• Warten Sie nicht auf den Ernstfall: Sich erst um „Shadow-APIs“ zu kümmern, wenn personenbezogene Daten bereits im Darknet kursieren, ist eine extrem teure Lektion. Kontinuierliche Discovery muss Teil der „Definition of Done“ in jedem Sprint werden.

Ich habe schon erlebt, wie Teams im Gesundheitswesen „Dev-only“-APIs entdeckten, die versehentlich Patientendaten preisgaben, weil die offizielle Authentifizierungs-Schnittstelle umgangen wurde. Das ist ein beängstigendes Szenario. Aber wie wir am Beispiel von Apigee gesehen haben, machen es moderne Plattformen heute deutlich einfacher, solche Risiken zu überwachen, ohne die Runtime-Performance zu beeinträchtigen.

Letztendlich ist API-Sicherheit ein Marathon. Wenn Sie kontinuierlich Jagd auf diese „Geister-Endpunkte“ machen, sind Sie 70 % der Konkurrenz bereits einen großen Schritt voraus. Bleiben Sie wachsam.