Content uploaded by Andreas Johannsen
Author content
All content in this area was uploaded by Andreas Johannsen on Nov 27, 2020
Content may be subject to copyright.
Exemplarische API-Schwachstellen bei IoT-Geräten
1
Exemplarische API-Schwachstellen bei IoT-Geräten auf Grundlage
von OWASP API Security TOP 10
Daniel Kant, Andreas Johannsen
Technische Hochschule Brandenburg
daniel.kant@th-brandenburg.de, andreas.johannsen@th-brandenburg.de
Zusammenfassung:
Web-APIs sind wichtige Schnittstellen, um Daten, Dienste und Ressourcen über das
Internet zur Verfügung zu stellen. Insbesondere IoT-Geräte (Internet of Things) set-
zen Web-APIs ein, um die Geräte zu managen und zu steuern. Bei der Entwicklung
von IoT-Komponenten sowie beim Zugriff auf ihre exponierten Schnittstellen im In-
ternet finden jedoch Sicherheitsaspekte immer noch zu wenig Berücksichtigung
(Security by Design). Das Open Web Application Security Project (OWASP) hat spe-
ziell für APIs die Top 10 Schwachstellen veröffentlicht. Es wird explizit der Frage
nachgegangen, ob diese OWASP API Top 10-Schwachstellen in der Praxis tatsäch-
lich exemplarisch auf frei zugänglichen IoT-Geräten zu finden sind.
Schlüsselbegriffe
Web-API, API Security, Internet of Things, IoT Security, OWASP
1 Einführung
Anwendungen sind in Zeiten von Industrie 4.0 und Internet of Things (IoT) zuneh-
mend über Rechner und Geräte verschiedener Organisationen verteilt, und kommu-
nizieren zunehmend über sogenannte Web-APIs. Dies sind Softwareschnittstellen,
die unter Zuhilfenahme von Webtechnologien (insb. HTTP) implementiert werden
[Spichale 2019]. Web-APIs haben den Vorteil, Anwendern oder Unternehmen wich-
tige Ressourcen, Funktionen und Daten über das Internet zur Verfügung zu stellen.
Sie sind damit ein wichtiger Bestandteil von Web-Anwendungen [OWASP API
2019]. Insbesondere beim Design und der Architektur von APIs werden Sicherheits-
aspekte (Security by Design) noch immer nicht ausreichend berücksichtigt [Siri-
wardena 2020]. Es wird davon ausgegangen, dass APIs der Angriffsvektor Num-
mer 1 bei Web-Applikationen im Jahr 2022 sein werden [Zumerle et al. 2019]. Das
Open Web Application Security Project (OWASP) hat sich zum Ziel gemacht, Web-
Anwendungen zu verbessern und deshalb u. a. 2019 eine Liste mit den zehn kri-
tischsten API-Schwachstellen veröffentlicht [OWASP API 2019]. Die Exponierung
dieser Schnittstellen im Internet kann für Unternehmen schwerwiegende Folgen
haben, besonders dann, wenn eine Web-API unzureichend abgesichert ist. Ein luk-
ratives Ziel stellen APIs für Cyber-Angreifer in jedem Fall dar, insbesondere, auf-
grund ihrer zunehmenden Verbreitung, und weil diese direkt mit Anwendungs- oder
Datenbankservern verbunden sind. In schwerwiegenden Fällen kann eine
Exemplarische API-Schwachstellen bei IoT-Geräten
2
Kompromittierung einer solchen Schnittstelle sogar ein Einfallstor in ein Unterneh-
mensnetzwerk darstellen. Medial wurde in der Vergangenheit über diverse erhebli-
che IT-Sicherheitsvorfälle in Zusammenhang mit APIs berichtet, exemplarisch
seien hier die Vorfälle bei T-Mobile (2017), Uber (2016), Instagram (2017) und
beim US Postal Service (2018) genannt. Das Internet der Dinge nutzt üblicherweise
Web-APIs um IoT-Geräte zu steuern. Mit dem Internet verbundene IoT-Geräte wer-
den von Suchmaschinen wie Shodan gesammelt erfasst und können systematisch
durchsucht werden [Matherly 2016]. Ziel ist es, exemplarisch frei zugängliche IoT-
Geräte zu finden und diese auf mögliche API-Schwachstellen der OWASP in der
Praxis hin zu untersuchen.
2 Sicherheit von Web-APIs und OWASP API Security TOP 10
Bei der Entwicklung einer API (DevOps) findet die Sicherheit noch unzureichend
Eingang in den Entwicklungsprozess, zugunsten einer schnellen Auslieferung der
Funktionalität (time to market) [Siriwardena2020]. Das Resultat sind dann fehlende
oder unzureichend implementierte Sicherheitsmechanismen. OWASP (Open Web
Application Security Project) ist eine Non-Profit-Organisation, die sich für die Ver-
besserung der Sicherheit von Web-Anwendungen einsetzt und Tools, Informations-
materialien, Dokumente, Bücher, Videos u. v. m. kostenfrei für jedermann zur Ver-
fügung stellt. Für eine hohe Resonanz sorgte im Jahre 2016 die Veröffentlichung
der Top 10 Web-Schwachstellen, welche eine Liste von Web-Anwendungs-
Schwachstellen priorisiert aufführt und sowohl Risiken als auch mögliche Gegen-
maßnahmen enthält (2017 auch in einer deutschen Version erschienen). OWASP
hielt es aufgrund einer abweichenden Bedrohungsmodellierung im Vergleich zu
klassischen Web-Anwendungen für erforderlich, für APIs eine gesonderte TOP 10-
Liste zu veröffentlichen. Die Priorisierung der Schwachstellen erfolgt anhand der
Verbreitung der Schwachstelle, der Detektierbarkeit (wie einfach diese nachgewie-
sen werden kann), der Einfachheit der Ausnutzbarkeit sowie der möglichen Aus-
wirkungen (diese sind natürlich unternehmensspezifisch). Ziel der API Top 10 ist
es, insbesondere die mit APIs verbundenen einzigartigen Schwachstellen und Si-
cherheitsrisiken zu verstehen, diese abzuschwächen sowie allgemein ein Bewusst-
sein für selbige zu etablieren [OWASP API 2019]. Die OWASP API Security TOP
10 beziehen sich überwiegend auf REST-Schnittstellen; diese setzen hauptsächlich
- genau wie klassische Web-Anwendungen - das HTTP-Protokoll (RESTful HTTP)
für die Kommunikation zwischen Server und Client ein [Spichale 2019]. Deshalb
finden sich bei OWASP API Security TOP 10 deutliche Ähnlichkeiten im Vergleich
zu den Angriffen auf konventionelle Web-Server (vgl. Broken Authentication, In-
sufficient Logging and Monitoring oder Security Misconfiguration).
Konventionelle Web-Anwendungen sind mit Anwendungs- oder Datenbankservern
verbunden und liefern letztendlich HTML-Dokumente zurück. Der Unterschied zu
einer Web-API ist nun, dass die angeforderten Ressourcen als RAW-Daten zum
Exemplarische API-Schwachstellen bei IoT-Geräten
3
Client gesendet und erst dort verarbeitet werden (dies können z. B. JSON- oder
XML-Objekte sein). Es findet also eine Verschiebung statt, von einer Sever-seitigen
Verarbeitung, hin zu einer Client-seitigen Verarbeitung.
Im Hinblick auf die Informations- und IT-Sicherheit gilt es natürlich auch für APIs
eine Verletzung der IT-Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität
bestmöglich zu vermeiden. Darüber hinaus ist insbesondere die Authentizität, wel-
che die Vertrauenswürdigkeit und Überprüfbarkeit eines Objekts (oder eines Be-
nutzers) bezeichnet, als erweitertes Schutzziel im Kontext von APIs von hoher Be-
deutung. Web-APIs sind unter anderem deshalb ein lukratives Ziel für Angreifer,
da sie (abhängig vom Anwendungskontext) buchstäblich die Schnittstelle zu per-
sonenbezogenen Daten - welche im Sinne der DSGVO als besonders schützenswert
gelten - darstellen können [OWASP API 2019]. Nicht nur REST-basierte APIs sind
anfällig für Angriffe; für SOAP beispielsweise existieren auch entsprechende In-
jection-Angriffe [Eilers2018]. Die folgende Tabelle (Tabelle 1) liefert einen Über-
blick über die zehn kritischsten API-Schwachstellen nach OWASP.
Tabelle 1: OWASP API Security TOP 10-Schwachstellen (in Anlehnung an
[OWASP API Security 2019])
API-Schwachstelle
Beschreibung
API1
Broken Object
Level Authorization
APIs neigen dazu, Endpunkte offenzulegen, die Objekt-
Identifikatoren verarbeiten, wodurch eine große Angriffs-
fläche in der Zugriffskontrolle entsteht. Berechtigungs-
prüfungen auf Objektebene sollten in jeder Funktionalität
berücksichtigt werden, die über eine Eingabe des Benut-
zers auf eine Datenquelle zugreift.
API2
Broken User
Authentication
Authentifizierungsmechanismen werden häufig falsch
implementiert, was Angreifern erlaubt Authentifizie-
rungs-Token zu kompromittieren oder Implementierungs-
fehler auszunutzen um die Identität anderer Benutzer tem-
porär oder dauerhaft zu übernehmen.
API3
Excessive Data
Exposure
Im Hinblick auf die generische Nutzung von APIs neigen
Entwickler dazu, sämtliche Objekt-Attribute offenzule-
gen, ohne ihre individuelle Vertraulichkeit dabei zu be-
rücksichtigen, indem sie sich auf die Client-Seite verlas-
sen, eine Filterung der Daten durchzuführen, bevor diese
dem Benutzer angezeigt werden.
API4
Sehr oft legen APIs keine Beschränkungen fest hinsicht-
lich der Größe oder Anzahl der Ressourcen, welche vom
Exemplarische API-Schwachstellen bei IoT-Geräten
4
Lack of Resources &
Rate Limiting
Client oder Benutzer angefordert werden können. Dies
kann sich nicht nur auf die Leistung des API-Servers aus-
wirken und zu Denial of Service-Angriffen führen, son-
dern lässt auch die Möglichkeit für Authentifizierungs-
schwächen wie z. B. gegenüber Brute-Force-Angriffen
zu.
API5
Broken Function
Level Authorization
Komplexe Zutrittskontrollrichtlinien mit unterschiedli-
chen Hierarchien, Gruppen und Rollen sowie eine unklare
Trennung zwischen Administrator- und Benutzer-Funkti-
onen führen zu Schwächen bei der Autorisierung. Werden
diese ausgenutzt, können Angreifer Zugang zu Ressour-
cen anderer Benutzer oder zu Administrationsfunktionen
erlangen.
API6
Mass Assignment
Die Bindung des Clients an Datenmodelle (z. B. JSON)
ohne eine ordnungsgemäße Filterung der Eigenschaften
führt normalerweise zu einer Massenzuordnung. Dem
Angreifer ist es möglich Objekteigenschaften zu verän-
dern indem er diese errät, er andere API-Endpunkte unter-
sucht, die API-Dokumentation liest oder zusätzliche Ob-
jekt-Attribute in die Nutzdaten einer Anfrage hinzufügt.
API7
Security
Misconfiguration
Fehlerhafte Sicherheitskonfigurationen sind häufig zu-
rückzuführen auf unsichere Standardkonfigurationen, un-
vollständige Ad-hoc-Konfigurationen, offene Cloud-
Speicher, falsch konfigurierte HTTP-Header, unnötiger-
weise aktivierte HTTP-Methoden, der gemeinsamen Nut-
zung von Ressourcen aus unterschiedlichen Quelle oder
die Ausgabe ausführlicher Fehlermeldungen, welche si-
cherheitsrelevante Informationen enthalten.
API8
Injection
Injektionsschwachstellen wie SQL- oder Command-In-
jections treten auf, wenn nicht vertrauenswürdige Daten
als Teil einer Abfrage oder Anweisung direkt an einen In-
terpreter geschickt werden. Dadurch können Angreifer
den Interpreter dazu bringen, unbeabsichtigte Anweisun-
gen auszuführen oder auf Daten ohne die eigentlich ent-
sprechende Berechtigung zuzugreifen.
API9
Improper Assets
Management
APIs neigen dazu, mehr Endpunkte als herkömmliche
Web-Anwendungen offenzulegen, weshalb eine ord-
nungsgemäße und aktuelle Dokumentation sehr wichtig
ist. Eine ordnungsgemäße Verwaltung von Hosts und der
bereitgestellten API-Versionen sind notwendig, um
Exemplarische API-Schwachstellen bei IoT-Geräten
5
Probleme wie veraltete API-Versionen und exponierte
Debugger-Endpunkte zu reduzieren.
API10
Insufficient Logging
& Monitoring
Eine unzureichende Protokollierung und Überwachung in
Verbindung mit fehlender oder ineffektiver Integration in
Incident Response-Prozesse, erlaubt Angreifern, Angriffe
auf weitere Systeme auszudehnen und sich weiter einzu-
nisten, mit dem Ziel, Daten zu manipulieren, zu extrahie-
ren oder zu löschen. Die meisten Studien zu Sicherheits-
vorfällen zeigen, dass die Zeit bis zur Aufdeckung einer
Sicherheitsverletzung mehr als 200 Tage beträgt. Des
Weiteren werden diese eher von externen Instanzen de-
tektiert, als von internen.
3 IoT-Sicherheit und Suchmaschine Shodan
Das Internet der Dinge (engl.: Internet of Things, abgek.: IoT) ist allgemein die
Bezeichnung für ein Netzwerk von miteinander über das Internet verbundenen Ma-
schinen, Anlagen oder Geräten. Dies können Sensoren, Kühlschränke, Waschma-
schinen, Webcams, aber auch jegliche Anwendungen im Bereich von Smart Home
bis hin zur Medizintechnik sein. Im industriellen Kontext werden diese speziell
vernetzten Geräte Industrial Internet of Things (abgek.: IIoT) genannt - ihnen
kommt eine besondere Rolle im Zusammenhang mit Industrie 4.0 zu. Schätzungen
gehen für das Jahr 2025 von über 40 Milliarden vernetzten IoT-Geräten aus [IDC
2019]. Eine Vielzahl von IoT-Geräten lassen sich - da sie über das Internet verbun-
den sind - über eine Web-API steuern. Hier sind insbesondere SOAP- und REST-
Services über HTTP und HTTPS gebräuchlich. Somit können die IoT-Geräte auf
Grundlage der API-Kommunikation anfällig sein für die OWASP TOP 10 API-
Schwachstellen. Eine weitere gebräuchliche Möglichkeit der Steuerung von IoT-
Devices, ist auf Basis des verbreiteten MQTT-Protokolls (ISO/IEC 20922). Des
Weiteren sind auf vielen IoT-Endgeräten Management- bzw. Fernwartungs-Ports
wie SSH oder Telnet aktiviert [Kofler et al. 2018]. Diese können ebenfalls anfällig
für Exploits sein. Besonders kritisch kann dies für IoT-Geräte sein, die dann in ein
IoT-Botnetz hinzugefügt werden (wie z. B. bei Mirai 2016). Im Lagebericht zur IT-
Sicherheit 2019 schätzt das Bundesamt für Sicherheit in der Informationstechnik
diese Gefahr für IoT-Geräte als „anhaltend hoch“ ein; das BSI konnte sogar einen
Anstieg an IoT-Botnetzen feststellen [BSI Lagebericht 2019]. Des Weiteren sei be-
denklich, dass IoT-Geräte für den „Massenmarkt“ produziert würden sowie im un-
sicheren Zustand ausgeliefert und außerdem über keinen Support oder über keine
Sicherheitsupdates verfügen würden [BSI Lagebericht 2019]. Es ist IoT-Geräten in-
härent, dass eine Konnektivität über das Internet gegeben ist. Deshalb werden die
Exemplarische API-Schwachstellen bei IoT-Geräten
6
Geräte so einfach gefunden und in Suchmaschinen wie beispielsweise Shodan in-
dexiert (in Abbildung 1 ist eine via Shodan gefundene IoT-Steuerung abgebildet).
Im Jahr 2009 ins Leben gerufen, handelt es sich bei Shodan um eine Suchmaschine,
die speziell jene Geräte auflistet, welche direkt mit dem Internet verbunden sind.
Dies kann ein Server, ein Router oder jegliches IP-fähige Gerät sein. Die Suchma-
schine funktioniert ähnlich wie Google, mit dem Unterschied, dass die sogenannten
„Shodan-Crawler“ nicht nur Webseiten durchsuchen, sondern sämtliche verfügba-
ren Server und deren Dienste erfassen, um diese dann zu indexieren. Shodan nutzt
weltweit verteilte Scanner und durchsucht sämtliche IPv4-Adressen im Internet
nach den sogenannten „well-known-ports“, welche von verbreiteten Diensten ge-
nutzt werden, und verbindet sich dann automatisch mit diesen Diensten bzw. Ports.
Es wird sich speziell der Eigenschaft von Servern bedient, dass diese automatisch
Daten beim Verbindungsaufbau an den Client senden. Diese Verbindungsdaten
können wertvolle Informationen enthalten und werden von Shodan automatisch in
einer Datenbank gespeichert. Bei einem Webserver sind dies die sogenannten
„Header-Informationen“ (z. B. HTTP-Version, verwendeter Zeichensatz etc.) [Ma-
therly 2016].
Abbildung 1: Mittels Shodan gefundene IoT-Steuerung (15.09.2020)
4 Ausgewählte API-Schwachstellen in der Praxis
Es wurden speziell jene frei zugänglichen IoT-Geräte in Shodan gesucht, welche
über eine Web-API gesteuert werden konnten. Die entsprechenden Treffer sind je-
weils vulnerabel für mindestens eine konkrete API-Schwachstelle in der OWASP
TOP 10-Liste. Auf zwei IoT-Beispiele soll im Folgenden näher eingegangen wer-
den.
Exemplarische API-Schwachstellen bei IoT-Geräten
7
4.1 Beispiel: IoT-Kalender
Szenariobeschreibung
Auf einen IoT-Kalender kann direkt im Internet über eine Web-API zugegriffen
werden. Die Darstellung des entsprechenden Benutzerprofils erfolgt dabei über
eine Smartphone-App bzw. in einem Webbrowser.
Darstellung
Abbildung 2: Beispieldarstellung eines IoT-Kalenders (angelehnt an die Darstel-
lung von [Reppman et al. 2020])
Abbildung 3: Wiedergabe eines beliebigen Benutzer-Objektes nach Anfrage an ei-
nen konkreten IoT-Kalender
Ergebnis und Bewertung:
Es konnten über die Web-API beliebige Benutzer-Profile (ohne entsprechende Au-
thentifizierung) mittels der Benutzer-ID angefordert werden. Eine Modifikation der
Benutzer-ID kann leicht über die Veränderung der URL erreicht werden. Die ange-
forderten Nutzdaten (Payload) mittels HTTP-Methode GET enthalten dann die je-
weiligen Objekt-Attribute (Abbildung 2). Dies entspricht der OWASP-
Schwachstelle API1: Broken Object Level Authorization. Dabei handelt sich hier
um die verbreitetste API-Schwachstelle nach OWASP. Des Weiteren gab die API
Exemplarische API-Schwachstellen bei IoT-Geräten
8
deutlich mehr Objekt-Attribute zurück, als in der Smartphone-App bzw. in der
Browserdarstellung überhaupt angezeigt werden - als besonders kritisch seien hier
die Attribute „address“, „phone“, „mobile“ und „email“ für jeden Benutzer genannt
(vgl. Abbildung 3). Dies entspricht der Schwachstelle API3: Excessive Data Expo-
sure, da mehr Attribute zurückgegeben werden, als von der Anwendung im jewei-
ligen Kontext benötigt werden. Darüber hinaus erfolgte der Zugriff auf die API über
Port 80 und nicht Port 443 (und somit unverschlüsselt). Es kann resümiert werden,
dass es möglich gewesen wäre, für dieses Szenario an (umfassende) personenbezo-
gene Daten sämtlicher Benutzer zu gelangen.
4.2 Beispiel: Smart Home
Szenariobeschreibung
Ein Smart Home-System lässt sich durch eine Web-API mittels eines Webbrowsers
oder einer Smartphone-App steuern (vgl. Abbildung 4). Beispielsweise können da-
mit Lichtschalter aktiviert werden. Die Steuerung ist nicht auf das interne LAN
beschränkt, sondern diese lässt sich über das Internet erreichen.
Darstellung
Abbildung 4: Beispieldarstellung einer Smart Home-Steuerung mittels Web-API
Ergebnis und Bewertung:
Auf das IoT-System kann ohne den Einsatz von VPN frei über das Internet zuge-
griffen werden. Ohne Authentifizierungsmechanismen können über die API offen-
sichtlich Steuerungsbefehle mittels der HTTP-Methode POST abgesetzt werden.
Diese Funktionalität bzw. erweiterte Berechtigung sollte in jedem Fall lediglich der
Exemplarische API-Schwachstellen bei IoT-Geräten
9
Eigentümer der IoT-Systeme innehaben. Hier ist speziell die OWASP-
Schwachstelle API5: Broken Function Level Authorization relevant. Auf die Me-
thode directValueSet kann beliebig zugegriffen werden. Deshalb können der Me-
thode sogar entsprechende Argumente (wie true) übergeben werden.
5 Zusammenfassung und Ausblick
Das Internet der Dinge ist ein eigenes Ökosystem, bestehend aus Kommunikati-
onskanälen, Sensoren, Servern, Endgeräten und Gateways. Aufgrund seiner hohen
Anzahl von Geräten sowie ihrer Vernetzung untereinander stellt IoT eine besondere
Herausforderung für die Cyber-Sicherheit dar. Eine erhebliche Gefahr ist hier der
Missbrauch von kompromittierten IoT-Geräten für die Nutzung von Botnetzen.
Beim Management von IoT-Geräten kommen Web-APIs zum Einsatz. Im Jahr
2022 sollen Web-APIs den Angriffsvektor Nummer 1 bei Web-Anwendungen stel-
len. Deshalb sollte die Sicherheit von APIs ganzheitlich gedacht werden - dies er-
fordert eine API-Strategie, welche den gesamten Lebenszyklus einer API bereits in
der Entwicklung berücksichtigt sowie die Auswirkungen einer API für ein Unter-
nehmen - beispielsweise für das Risikomanagement - miteinbezieht. Insbesondere
werden IoT-Geräte primär für den Massenmarkt produziert; die Sicherheit wird ver-
nachlässigt, zugunsten der Funktionalität. Hier sind sowohl Dienstleister als auch
Entwickler in der Pflicht, bereitgestellte APIs adäquat zu schützen und Sicherheits-
aspekte bereits in die Entwicklung einer API miteinzubeziehen (Security by De-
sign). Die Angriffe finden auf der Anwendungsschicht statt d.h. klassische paket-
basierte Firewalls können diese nicht als solche erkennen. In diesem Zusammen-
hang können Web Application Firewalls (WAF) sowie Deep Packet Inspection
(DPI) wichtige Instrumente sein. Auch kann eine fehlende Netzwerksegmentierung
ein Problem darstellen: Gibt es bspw. kein eigenständiges Netzwerk für IoT-Geräte,
können die Geräte ein Einfallstor sein um ggf. ein Unternehmensnetzwerk weiter-
gehend zu kompromittieren (Lateral Movement). Eine Möglichkeit eine API besser
technisch abzusichern, ist die Nutzung sogenannter API-Gateways, welche einen
zusätzlichen API-Layer nutzen, so dass Angriffe nicht ohne Weiteres zu internen
Systemen vordringen. Es wird des Weiteren zu der Einschätzung gelangt, dass spe-
ziell REST-Schnittstellen sowie ihre unzureichende Implementierung eine Sicher-
heitsgefahr für IoT darstellen. Speziell wiesen die von uns exemplarisch untersuch-
ten IoT-Devices erhebliche Mängel bei der Authentifizierung, Autorisierung sowie
der Konfiguration auf. Die beispielhaft untersuchten Web-APIs lieferten Objekte
bzw. Daten zurück, die weit über den Funktionsumfang der angeforderten Ressour-
cen hinausging. Die Identitäts- und Zugriffsverwaltung auf Ressourcen muss sich
hier zwingend verbessern. Mittels Suchmaschinen wie Shodan lassen sich prob-
lemlos über das Internet erreichbare IoT-Geräte durchsuchen und diese analysieren.
Es konnte sich direkt mit Geräten wie Netzwerkdruckern, IoT-Kalendern, Smart-
Exemplarische API-Schwachstellen bei IoT-Geräten
10
TVs, NAS-Systemen, Feuermeldern, Smart Home-Systemen usw. verbunden wer-
den. In jedem Fall ist es fahrlässig, dass eine hohe Zahl gefundener IoT-Geräte in
Shodan kein VPN verwendet und z. T. für eine Kommunikation nicht einmal SSL
aktiviert hatte. Es konnte gezeigt werden, dass die OWASP API Security TOP 10-
Schwachstellen sehr wohl auch relevant sind im Kontext von IoT-Geräten, welche
über das Internet verbunden sind und zur Steuerung APIs nutzen. Web-APIs blei-
ben das Basiselement einer App-getrieben Welt - die Absicherung dieser APIs kann
ein Schlüsselfaktor für eine erfolgreiche Digitalisierung sein.
6 Literatur- und Quellenverzeichnis
[BSI Lagebericht 2019] Bundesamt für Sicherheit in der Informationstechnik (BSI),
URL: https://www.bsi.bund.de/SharedDocs/Down-
loads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile
&v=7 (zugegriffen: 14.09.2020), Stand Oktober 2019
[Eilers 2018] Eilers, C.: You’ve been hacked!: Alles über Exploits gegen Webanwen-
dungen, 1. Auflage, Rheinwerk Computing, URL: https://www.rheinwerk-ver-
lag.de/youve-been-hacked-alles-ueber-exploits-gegen-webanwendungen/ (zugegriffen:
17.092020), 2018
[IDC 2019] MacGillivray C.; Reinsel, D.: Worldwide Global DataSphere IoT Device
and Data Forecast (2019–2023), URL: https://www.idc.com/getdoc.jsp?contain-
erId=US45066919 (zugegriffen: 16.09.2020), 2019
[Kofler et al. 2018] Hacking & Security: Kofler, M.; Gebeshuber, K; Hackner, T.;
Kloep,P.; Zingsheim, A.; Widl M.; Neugebauer F.; Roland, A.; Kania,S.: Das umfas-
sende Hacking-Handbuch., Rheinwerk Computing, 1. Auflage, 2018
[Matherly 2016] Matherly, J.:Complete Guide to Shodan, URL: https://lean-
pub.com/shodan (zugegriffen: 12.09.2020), Version Juni 2016
[OWASP API 2019] OWASP API Security Top 10 2019 - The Ten Most Critical API Se-
curity Risks, URL: https://github.com/OWASP/API-
Security/raw/master/2019/en/dist/owasp-api-security-top-10.pdf (zugegriffen:
03.09.2020), 2019
[Reppman et al. 2020] Reppman, D.; Elite, J.: Starke API-Security als Fundament für
Digitalisierung und IoT, Checkmarx, Webinar, 17.04.2020
[Siriwardena 2020] Siriwardena, P.: Advanced API Security – OAuth and Beyond,
Apress, 2. Auflage, 2020
[Spichale 2019] Spichale, K.: API-Design - Praxishandbuch für Java- und Webservice-
Entwickler, dpunkt Verlag, 2. Auflage, 2019
[Zumerle et al. 2019] Zumerle, D; D'Hoinne, J.; O'Neill, M.: API Security. What You
Need to Do to Protect Your APIs [online], URL: https://www.gartner.com/en/docu-
ments/3956746/api-security-what-you-need-to-do-to-protect-your-apis (zugegriffen:
06.09.2020), 2019