Anwendungen & Cloud
Säule 6NIS2DSGVOCRADORA

API-Sicherheit

Praxis-Szenario

Ein Fintech-Startup bietet eine Bezahl-API an. Ein Sicherheitsforscher entdeckt: Durch Manipulation der API-Parameter lassen sich Kontostände anderer Nutzer abfragen. Die API hatte keine Rate-Limitierung, kein Input-Validation und keine Authentifizierung für sensible Endpunkte. APIs sind die Hintertür moderner Anwendungen — und oft weit offen.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. e

Sicherheit bei Entwicklung und Wartung von Informationssystemen

DSGVODSGVO Art. 25, Art. 32

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

CRACRA Anhang I Teil I Nr. 2

Sicherheitsanforderungen an Schnittstellen von Produkten mit digitalen Elementen gemäß CRA Anhang I Teil I Nr. 2

Lösung & Umsetzung

1. Authentifizierung: OAuth 2.0 für alle API-Endpunkte 2. Rate-Limiting: Max. Anfragen pro Minute pro Client begrenzen 3. Input-Validation: Alle Parameter validieren (Typ, Länge, Format) 4. OWASP API Security Top 10 als Checkliste nutzen 5. API-Gateway einsetzen: Zentrales Monitoring und Zugriffskontrolle

Ihr Mehrwert

Sichere APIs verhindern Datenlecks und Missbrauch. Rate-Limiting stoppt automatisierte Angriffe. OWASP-konforme APIs bestehen Penetrationstests und reduzieren die Angriffsfläche um 80%.

Nächster Schritt

Prüfen Sie Ihre APIs gegen die OWASP API Security Top 10. Implementieren Sie OAuth 2.0 und Rate-Limiting als erste Schritte.

Verwandte Maßnahmen

Shared Responsibility & Cloud-Audit

Software Bill of Materials (SBOM)