Sprich mit einem Trainer:
Jonas Felix
API Security
Schulung & Kurs
APIs (Application Programming Interfaces) sind das Rückgrat moderner Anwendungen – und ein häufiges Ziel für Angreifer. In diesem zweitägigen Kurs lernen Sie, APIs sicher zu entwickeln und zu betreiben, Schwachstellen zu erkennen und Best Practices anzuwenden.
APIs verbinden Anwendungen, Systeme und Dienste und sind unerlässlich für eine erfolgreiche Digitalisierung. Doch mit ihrer wachsenden Bedeutung steigt auch das Risiko für Sicherheitsvorfälle. In unserem Kurs „API Security“ erhalten Sie das nötige Wissen, um Ihre APIs gegen die häufigsten Angriffe abzusichern und die Integrität Ihrer Systeme zu wahren. Lernen Sie praxisnah, wie Sie Sicherheitsmassnahmen effektiv umsetzen und sich an Standards wie OWASP API Security Top 10 orientieren.
Kurse für Teams:
Gerne führen wir zugeschnittene Kurse für euer Team durch - vor Ort, remote oder in unseren Kursräumen.
Kursinhalt:
Tag 1: Grundlagen der API-Sicherheit & Top 4 Risiken
- Einführung in APIs
- Cybersicherheit einfach erklärt: Grundprinzipien
- Einführung in die API-Sicherheit
- Überblick: OWASP API Security Top 10 (2023)
- APISEC-1: Fehlende Objekt-Level-Autorisierung
- APISEC-2: Fehlerhafte Authentifizierung
- Authentifizierung & Autorisierung
- APISEC-3: Fehlende Objekt-Eigenschafts-Level-Autorisierung
- APISEC-4: Unkontrollierter Ressourcenverbrauch
Tag 2: Fortgeschrittene API-Sicherheit & Top 6 Risiken
- APISEC-5: Fehlende Funktions-Level-Autorisierung
- Benutzerverwaltung
- APISEC-6: Unbeschränkter Zugriff auf sensible Geschäftsabläufe
- APISEC-7: Server-Side Request Forgery (SSRF)
- APISEC-8: Sicherheitsfehlkonfiguration
- APISEC-9: Fehlendes Bestandsmanagement
- APISEC-10: Unsichere Nutzung fremder APIs
- Threat Modeling für APIs
- Testen & Überwachen der API-Sicherheit
Wir konzentrieren uns auf die Vertiefung und das Verständnis einer spezifischen Auswahl von Themen.
Disclaimer: Der effektive Kursinhalt kann, abhängig vom Trainer, Durchführung, Dauer und Konstellation der Teilnehmer:innen von obigen Angaben abweichen.
Ob wir es Schulung, Kurs, Workshop, Seminar oder Training nennen, wir möchten Teilnehmer/innen an ihrem Punkt abholen und mit dem nötigen praktischen Wissen ausstatten, damit sie die Technologie nach der Schulung direkt anwenden und eigenständig vertiefen können.
Ziel:
Ziel des Kurses ist es, die Teilnehmenden in die Lage zu versetzen, APIs sicher zu gestalten und zu betreiben. Sie lernen, typische Bedrohungen zu erkennen, Schutzmassnahmen anzuwenden und Sicherheitsstandards umzusetzen.
Dauer:
2 Tage
(Wird bei In-House Kursen individuell angepasst.)
Form:
Der Kurs kombiniert Theorie mit praktischen Übungen, um das Gelernte direkt anzuwenden. Hands-on-Sessions und Beispielprojekte sorgen für einen nachhaltigen Lernerfolg.
Zielgruppe:
Der Kurs richtet sich an Softwareentwickler:innen, IT-Architekt:innen, Technische Projektleiter:innen, DevOps- und Security-Expert:innen.
Voraussetzungen:
Vorausgesetzt werden grundlegende Kenntnisse in der Softwareentwicklung und API-Integration. Erfahrung mit REST- oder SOAP-Schnittstellen ist hilfreich, aber nicht zwingend erforderlich.
Vorbereitung:
Jeder Teilnehmer erhält nach der Anmeldung einen Fragebogen und eine Installationsanleitung zugestellt. Passend zu den Antworten senden wir ein individuelles Feedback.
In-House Kurs anfragen:
In-House Kurs Anfragen
Trage dich in die Warteliste ein für weitere öffentliche Kurs-Termine. Sobald wir genügend Personen auf der Warteliste haben, klären wir einen möglichst für alle passenden Termin ab und schalten einen neuen Termin auf. Falls du direkt mit zwei Kollegen oder Kolleginnen teilnehmen möchtest, können wir sogar direkt einen öffentlichen Kurs für euch planen.
Warteliste
Mehr über API Security
APIs sind das Nervensystem moderner digitaler Infrastrukturen und gleichzeitig ein bevorzugtes Angriffsziel für Cyberkriminelle. Die OWASP API Security Top 10 liefert eine strukturierte Übersicht der kritischsten Schwachstellen in APIs – von fehlerhafter Authentifizierung über unkontrollierten Ressourcenverbrauch bis hin zu Server-Side Request Forgery. Ein fundiertes Verständnis dieser Risiken ist Voraussetzung für die Entwicklung und den Betrieb robuster und sicherer API-Landschaften.
Weitere Ressourcen:
- OWASP API Security Project
- OWASP API Security Top 10 (2023)
- PortSwigger: Web Security Academy – API Testing
- APISecurity.io – OWASP Top 10 Übersicht
- OWASP REST Security Cheat Sheet
History
APIs existieren seit den frühen Tagen der Computertechnik, aber erst mit dem Aufstieg von Web 2.0 und REST-Architekturen ab den 2000er Jahren rückten sie ins Zentrum moderner Anwendungsentwicklung. Die OWASP Foundation veröffentlichte 2019 erstmals die API Security Top 10, um auf die wachsende Bedrohungslandschaft für APIs zu reagieren – ein Meilenstein, der das Bewusstsein für API-spezifische Sicherheitsrisiken in der Branche schärfte. 2023 folgte eine umfassend überarbeitete Ausgabe, die neue Angriffsmuster wie Unrestricted Resource Consumption und Server-Side Request Forgery aufnahm.
Aufsehenerregende API-Sicherheitsvorfälle – darunter der Datenleck bei Peloton (2021) und der Angriff auf die australische Telekommunikationsbehörde Optus (2022) – verdeutlichten, dass fehlende oder mangelhafte API-Sicherheit zu massiven Daten- und Reputationsschäden führen kann. Heute gehört API Security zu den wichtigsten Disziplinen in DevSecOps-Prozessen, und Werkzeuge für automatisiertes API-Security-Testing sind fester Bestandteil moderner CI/CD-Pipelines.
