i-SEWER
About us
Kontakt aufnehmen

APIs für kritische Infrastruktur – Risiko oder Gelegenheit?

von | Jul 12, 2023 | Blog

APIs für kritische Infrastruktur - Grimm Water Solutions

APIs – Eine digitale Brücke

 

APIs sind genau das – eine Brücke, oder genauer gesagt, verbindende Knoten von Softwarekomponenten in komplexen digitalen Umgebungen. Sie bieten ein revolutionäres Mittel zur nahtlosen Integration von Software- und Datenkomponenten, indem sie eine Reihe von Kommunikationsprotokollen, Routinen und Tools definieren, mit denen dies möglich ist. Dies ermöglicht es uns, leistungsstarke und effiziente Anwendungen zu erstellen, die Informationen problemlos verarbeiten und austauschen können. Um die Magie von APIs wirklich zu verstehen, schauen wir uns ein einfaches Beispiel an.

Stellen Sie sich vor, Sie gehen in ein Restaurant, setzen sich hin und blättern durch die Speisekarte. Sobald Sie sich entschieden haben, kommt der Kellner herein, nimmt Ihre Bestellung entgegen und liefert sie in die Küche, wo die Köche das Essen zubereiten. Sobald das Essen fertig ist, bringt es der Kellner an Ihren Tisch. In diesem Szenario könnten Sie und die Köche in der Küche als zwei verschiedene Softwareanwendungen neu interpretiert werden. Sie mussten miteinander kommunizieren, um die Bestellung abzuschließen, arbeiteten aber an unterschiedlichen Systemen. Hier kommt Ihr Kellner als API ins Spiel – er übermittelt Ihre Anfrage an die Köche, lässt sie verarbeiten und liefert Ihnen das Ergebnis zurück.

 

Abbildung 1: Eine Darstellung, wie die Wetter-App auf Ihrem Smartphone über APIs auf Daten zugreift.

 

Genau das passiert auch, wenn Sie beispielsweise auf Ihre Smartphone-Wetter-App schauen. Das Softwaresystem des Wetteramtes enthält tägliche Wetterdaten. Die Wetter-App auf Ihrem Handy kommuniziert über APIs mit diesem System und zeigt Ihnen tägliche Wetteraktualisierungen an. Ein solches System verwendet einen bestimmten API-Typ namens REST (Represenational State Transfer). REST-APIs sind die gebräuchlichste Art, APIs im Web zu implementieren. Eine REST-API basiert auf dem HTTP-Protokoll und verwendet HTTP-Anforderungen zum POST (Erstellen), PUT (Aktualisieren), GET (Lesen) und DELETE (Löschen) von Daten.

 

Digitalisierung in der kritischen Infrastruktur – der Wassersektor

 

Die EU definiert kritische Infrastrukturen als Vermögenswerte oder Systeme, die für die Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen, einschließlich des Wassersektors, von wesentlicher Bedeutung sind. Menschen auf der ganzen Welt werden von einem komplizierten Netz aus Wasser-, Sanitär- und Entwässerungssystemen unterstützt. In Anbetracht der immensen Menge an wertvollen Daten, die täglich verarbeitet und übertragen werden, ist klar, wie Digitalisierungsschemata mit lascher Sicherheit denjenigen Schaden zufügen können, die von solchen Systemen abhängig sind. Beispielsweise verschaffte sich ein Hacker im Jahr 2021 Zugang zu einer Wasseraufbereitungsanlage in Florida, USA, und versuchte, das System mit einem Fernzugriffstool zu manipulieren. Obwohl der Versuch erfolglos blieb, schärfte er das Bewusstsein für die potenziellen Risiken des Fernzugriffs auf kritische Infrastruktursysteme.

 

Die aktuellen Fortschritte in der Cybersicherheit haben die Regierungen jedoch dazu veranlasst, sich für die Digitalisierung kritischer Infrastrukturen einzusetzen. Beispielsweise hat die German Water Partnership (GWP) einen neuartigen Rahmen Wasser 4.0 definiert. Wasser 4.0 stellt laut GWP-Definition Digitalisierung und Automatisierung in den Mittelpunkt einer Strategie für eine ressourceneffiziente, flexible und wettbewerbsfähige Wasserwirtschaft. Welche Rolle spielen aber APIs in diesem Modell? Wasser 4.0 beinhaltet im Wesentlichen eine ausgeklügelte Rückkopplungsschleife im nachhaltigen und verantwortungsvollen Umgang mit der Ressource Wasser.

 

Die Vernetzung von Mess- und Regelsystemen mit Datenanalyse und Modellierung wandelt Daten in Informationen um, die den Beteiligten helfen, fundierte Entscheidungen zu treffen und ihre Eingriffe in das Wassersystem zu überwachen (Rückkopplung). In diesem Zusammenhang und unter Berücksichtigung dessen, was bisher diskutiert wurde, würden APIs gut funktionieren, um diesen „streamlined“ Ansatz zur Digitalisierung zu erleichtern.

 

APIs in der Wasserwirtschaft – Ein Beispiel

 

Der Wassersektor ist eine der komplexesten und datenintensivsten Branchen, die die Verarbeitung und Analyse großer Datenmengen aus verschiedenen Quellen erfordert. APIs können Fachleuten der Wasserindustrie dabei helfen, ihre Arbeitsabläufe und Prozesse zu rationalisieren, die Zusammenarbeit zu verbessern und die Genauigkeit und Zugänglichkeit von Daten zu erhöhen. Hier ist ein Beispiel, wie dies möglich sein könnte:

 

Stellen Sie sich eine Kläranlage XYZ mittlerer Größe und Kapazität vor. XYZ hat seine verschiedenen Aufbereitungsanlagen mit Sensoren und Loggern ausgestattet, die regelmäßig Rohmessdaten im Laufe der Zeit protokollieren/speichern. Diese Daten umfassen unter anderem Beobachtungen von Parametern wie Temperatur, Durchfluss, Sauerstoffkonzentration etc., die regelmäßig dokumentiert und analysiert werden müssen.

 

Diese Analyse nimmt einen erheblichen Teil ihrer internen Produktivzeit in Anspruch. Um die Produktivität seiner Mitarbeiter zu steigern, beschließt XYZ daher, ein externes SaaS-Unternehmen ABC zu beauftragen, das dabei hilft, ihre verrauschten, umfangreichen Daten zu verarbeiten und zu verstehen und Bewertungsberichte zu erstellen, die dann evtl. den Behörden übergeben werden können. Aber wie stellt XYZ sicher, dass diese Daten von der externen Firma sicher und verantwortungsvoll gehandhabt werden?

 

Abbildung 2: Ein Beispiel dafür, wie APIs in der (Ab-)Wasserwirtschaft ins Spiel kommen. Eine Kläranlage XYZ installiert Messsysteme, die über APIs überwacht werden können. Ein externer SaaS-Anbieter nutzt diese APIs (durch strenge Sicherheitsmaßnahmen), um auf Rohmessdaten zuzugreifen und wertvolle Berichte/Auswertungen für XYZ zu erstellen.

 

APIs – notwendig, aber regulierungsbedürftig

 

Ein mögliches bekanntes Risiko von APIs ist die Ausnutzung bestimmter Schwachstellen, die in einem Zielsystem vorhanden sind. API-„Endpunkte“ (bestimmte URLs oder Adressen, die für den Zugriff auf oder die Interaktion mit einer API verwendet werden) können gezielt angegriffen werden, um vertrauliche Informationen zu erhalten, Cyberangriffe zu starten oder Daten zu manipulieren. Systeme, denen die erforderlichen Sicherheitsmaßnahmen fehlen und die nicht den „Best Practices“ entsprechen, sind besonders anfällig für API-basierte Angriffe. Daher stellt die Offenlegung von Informationen, die traditionell nur innerhalb der Organisation verfügbar sind, für externe Kunden ein Sicherheitsrisiko dar, das bei der Gestaltung digitaler Dienste berücksichtigt werden muss.

 

Unsere beispielhafte Kläranlage XYZ kann das Sicherheitsrisiko im Zusammenhang mit dem externen Zugriff auf ihre Daten durch die Umsetzung verschiedener Maßnahmen minimieren:

 

  • Authentifizierung und Autorisierung

Die Authentifizierung und Autorisierung von API-Konsumenten sind entscheidend, um sicherzustellen, dass Die Daten von XYZ angemessen vor unbeabsichtigter Offenlegung oder Änderung geschützt sind. Es sind zahlreiche Standards entstanden, die Authentifizierung und Autorisierung von Web-APIs unterstützen, einschließlich SAML (Security Assertion Markup Language), OAuth usw. Um die Sicherheit weiter zu erhöhen, sollten API-Dienste mit Endpunkten ausgewählt werden, die Captcha und Zwei-Faktor-Authentifizierung enthalten.

 

  • Proaktives Monitoring

Kontinuierliche Überwachung von APIs löhnt sich! IT-Experten von XYZ können leicht sicherstellen, dass alle relevanten Informationen protokolliert und regelmäßig überprüft werden, wodurch alles, was auch nur im Entferntesten verdächtig ist, auffälliger wird.

 

  • Drosselung

XYZ sollte den Zugriff auf sein System auf eine begrenzte Anzahl von Anfragen pro Sekunde beschränken – Drosselung, oder „Throttling“. Drosselungslimits – wenn sie gut eingestellt sind – sind entscheidend, um zu verhindern, dass Angriffe aus verschiedenen Quellen Ihr System mit mehreren Anfragen überfluten (DDOS – Distributed Denial of Service Attack). Ein DDOS kann legitime Benutzer von ihren eigenen Netzwerkressourcen ausschließen, was eine Menge Ärger für Kläranlagen wie XYZ bedeutet.

 

  • Whitelisting

Whitelisting ist eine gängige Technik, um Ausführungsrechte auf vorab genehmigte Anfragequellen zu beschränken. Dadurch kann nur einem bestimmten Satz von IP-Adressen (d. h. Benutzern) Zugriff auf API-Anforderungen gewährt werden. Jede unregelmäßige Anfragequelle, z. von einem nicht erkannten Computer, können sofort markiert und blockiert werden.

Durch die präventive Integration dieser Maßnahmen in den Workflow von XYZ können APIs problemlos in die Rationalisierung seiner komplexen Datenübertragungsroutinen mit dem externen SaaS-Unternehmen ABC integriert werden.

 

Zusammengefasst – APIs für kritische Infrastruktur 

 

  • APIs sind ein Mittel zur nahtlosen Integration von Software- und Datenkomponenten durch die Definition einer Reihe von Kommunikationsprotokollen, Routinen und Tools.
  • Sie sind unerlässlich, um leistungsstarke und effiziente Anwendungen zu erstellen, die Informationen problemlos verarbeiten und austauschen können.
  • Der Wassersektor gilt als kritische Infrastruktur, und Digitalisierungssysteme mit laschen Sicherheitsvorkehrungen können denjenigen Schaden zufügen, die von solchen Systemen abhängig sind.
  • Neue Fortschritte in der Cybersicherheit haben die Regierungen dazu veranlasst, sich für die Digitalisierung kritischer Infrastrukturen, einschließlich des Wassersektors, einzusetzen.
  • APIs können Fachleuten der Wasserindustrie dabei helfen, ihre Arbeitsabläufe und Prozesse zu rationalisieren, die Zusammenarbeit zu verbessern und die Genauigkeit und Zugänglichkeit von Daten zu erhöhen.
  • Um Sicherheitsrisiken beim externen Zugriff auf Daten über APIs zu minimieren, können Unternehmen verschiedene Maßnahmen wie Authentifizierung und Autorisierung, Datenverschlüsselung und Datenverschleierung implementieren.
  • Auf diese Weise können Kritische-Infrastruktur-Unternehmen durch den Einsatz von APIs schneller und intelligenter digitalisieren – eine klare Gelgenheit, mit klaren Maßnahmen zur Risikominimierung!