Rasantes API-Wachstum erhöht Cybersicherheitsrisiken

Zu diesem Ergebnis kommt eine   unter 235 IT- und Cybersicherheits-Experten. APIs sind seit langem als einer der Grundpfeiler der digitalen Wirtschaft anerkannt. Jüngste Zahlen zeigen, dass mittlerweile der Großteil des gesamten Internetverkehrs über APIs abgewickelt wird.

Fortschrittliche API-Sicherheit: Mangelware

Die Allgegenwärtigkeit von APIs bedeutet, dass sie zu einem der beliebtesten Einfallstore für Cyberangriffe geworden sind. In der Fastly-Umfrage gaben 84 Prozent der Befragten zu, dass sie über keine fortschrittlichen API-Sicherheitsvorkehrungen verfügen.

Der Mangel an Maßnahmen gegen API-Missbrauch tritt auf, obwohl die große Mehrheit der Entscheidungsträger weiß, dass es diesbezüglich Probleme gibt. 95 Prozent der befragten Unternehmen gaben an, in den letzten zwölf Monaten Probleme mit der API-Sicherheit gehabt zu haben. Mehr als drei Viertel haben die Einführung oder Integration einer neuen Anwendung aufgrund von API-Sicherheitsbedenken verzögert. Darüber hinaus sagten 79 Prozent, dass sie der API-Sicherheit eine hohe oder sehr hohe Bedeutung beimessen. Auf die Frage, warum nichts davon umgesetzt wurde, waren „unzureichendes Budget“ und „fehlendes Fachwissen“ die am häufigsten genannten Gründe.

“Dies ist überraschend, wenn man bedenkt, dass die operativen Kosten und Reputationsschäden infolge einer Sicherheitsverletzung die Kosten für die Bereitstellung einer konsolidierten Webanwendungs- und API-Sicherheitslösung bei weitem übersteigen”, sagt Jay Coley, Senior Security Architect bei Fastly, 

Credential Stuffing und Missbrauch von Geschäftslogik

Credential Stuffing, Missbrauch von Geschäftslogik und DDoS-Angriffe sind nur einige der bösartigen automatisierten Bot-Angriffe, die eingesetzt werden, um Konten zu übernehmen und Identitätsdiebstahl und Betrug zu begehen. Leicht verfügbare Skripte und Tools machen es einfacher denn je, API-Angriffe zu orchestrieren, und herkömmliche Bot-Abwehrtechniken haben Schwierigkeiten, diese potenziell verheerenden Angriffe zu erkennen.

Auf die Frage, welche Eigenschaften einer API-Sicherheitsplattform für ihr Unternehmen am wichtigsten wären, nannten die Befragten an erster Stelle die Identifizierung von APIs, die personenbezogene oder sensible Daten preisgeben. Weitere Hauptanliegen waren die Identifizierung aller APIs, einschließlich der nicht dokumentierten, sowie die Protokollierung und Überwachung. Aufgrund der hohen Anzahl von Meldungen herkömmlicher Sicherheitslösungen fällt es Unternehmen jedoch zunehmend schwerer, API-Angriffe zu erkennen.

KI-Sicherheitslösungen ungenutzt

Eine Lösung für die Komplexität der API-Landschaft könnte eine neue Generation von KI-gestützten Cybersicherheitssystemen sein. Fastly fand allerdings heraus, dass es derzeit wenig Begeisterung für diese neuen Systeme gibt. Nur 14 Prozent der befragten Unternehmen betrachten den Einsatz von KI-Technologien in der API-Sicherheit als Priorität. Dennoch erwarten 58 Prozent, dass generative KI in einem Zeitfenster von etwa zwei bis drei Jahren einen „großen oder sehr großen“ Einfluss auf die API-Sicherheit haben wird.

Ein beunruhigender Aspekt der Umfrage ist, dass stark regulierte Sektoren, die mit sensiblen Daten umgehen, zu den schlimmsten Verursachern von API-Inaktivität gehören. Nur 80 Prozent der Befragten im Finanzdienstleistungssektor messen der API-Sicherheit eine hohe oder sehr hohe Bedeutung bei. Im Vergleich dazu sind es im Groß- und Einzelhandel sowie im E-Commerce 89 Prozent. 

Ausmaß der Bedrohung unterschätzt

Eine interessante Erkenntnis ist die Diskrepanz zwischen den Einstellungen innerhalb der Unternehmenshierarchien. 91 Prozent der C-Suite- und Compliance-Experten messen der API-Sicherheit eine „hohe oder sehr hohe“ Bedeutung bei, aber nur 74 Prozent der internen Sicherheitsexperten teilen diese Einschätzung. Dies könnte darauf hindeuten, dass Sicherheitsexperten das Ausmaß der Bedrohung unterschätzen – oder dass sie tagtäglich mit einer größeren Anzahl von Bedrohungen konfrontiert sind.