Studie: Rund ein Drittel der APIs sind ungeschützt

Unternehmen verwalten durchschnittlich 421 APIs, so der 2024 SOAS-Report: API Security von F5. Wie kommt es zu dieser enormen Zahl?

Josh Goldfarb: APIs sind zunehmend wichtiger Bestandteil betrieblicher Abläufe und verbinden Microservices in modernen Anwendungen. API-Endpunkte sorgen dafür, dass externe Systeme nahtlos Daten mit dem Unternehmen austauschen können, um Serviceangebote und Innovationen zu erweitern. Die Schnittstellen werden inzwischen für nahezu jeden denkbaren Unternehmenszweck verwendet, vom Zugriff auf CRM-Daten über die Zahlungsabwicklung bis hin zur Verfolgung des Engagements in sozialen Medien.

Laut ihrer Studie sind fast ein Drittel dieser Schnittstellen völlig ungeschützt, warum dieser hohe Anteil?

Josh Goldfarb: Das liegt an zwei Gründen. Erstens konnten viele Unternehmen nicht mit den steigenden Sicherheitsanforderungen Schritt halten. Zweitens ist vielen Verantwortlichen die Bedeutung von APIs und die daraus resultierende Gefahr für die Sicherheit nicht bewusst. Die Schwachstellen erkennen auch Cyberkriminelle. Entsprechend ist die Anzahl der Angriffe auf APIs und Webanwendungen zwischen Januar 2023 und Juni 2024 von knapp 14 Milliarden auf über 26 Milliarden gestiegen. Das zeigt eine Studie von Akamai Research.

Wo liegen die größten Gefahren bei APIs?

Josh Goldfarb: Zu den APIs gehören viele kundenorientierte und damit öffentlich zugängliche Schnittstellen, die von Web- und Mobilanwendungen verwendet werden. Diese APIs sind grundsätzlich für Angriffe anfällig. Dies reicht von DDoS-Attacken (Distributed Denial of Service) und Kontoübernahmen bis hin zu neuen Bedrohungen wie Prompt Injection und Token Stuffing. Bei Prompt Injection gelangen böswillige Eingaben in GenAI-Modelle, damit diese vertrauliche Daten preisgeben oder Fehlinformationen verbreiten. Token Stuffing nutzt gestohlene Tokens für einen unbefugten Zugang.

Wie können APIs effektiv geschützt werden?

Josh Goldfarb: Zur Absicherung empfiehlt sich der Einsatz umfassender Security-Lösungen, die den gesamten API-Lebenszyklus von der Entwicklung bis zur Bereitstellung abdecken. Diese sollten dem klassischen Ansatz Security by Design folgen. Gleichzeitig sind die bisherigen Silos in den IT-Teams aufzulösen. Unsere Studie zeigt eine häufig aufgeteilte Verantwortung für die API-Sicherheit in Unternehmen. Diese Aufteilung kann zu Lücken in der Abdeckung und inkonsistenten Sicherheitsprozessen führen.

Welche Rolle spielen Echtzeitprüfung und -reaktion in Bezug auf den API-Datenverkehr?

Josh Goldfarb: Aufgrund der sich ständig verändernden und weiterentwickelnden Bedrohungen müssen Unternehmen den API-Verkehr und die Daten in Echtzeit flexibel prüfen und darauf reagieren können. Entsprechend sehen die Befragten unserer Studie Anpassungsfähigkeit als die wichtigste Funktion von API-Sicherheitslösungen. Damit können Unternehmen maßgeschneiderte Anforderungen in den Bereichen Sicherheit und Bereitstellung erfüllen sowie Zero-Day-Bedrohungen abwehren. Dies wird angesichts neuartiger, KI-gestützter Angriffe auf APIs in Zukunft noch wichtiger.

Worauf müssen sich Unternehmen mit Blick auf ihre API-Struktur für das Jahr 2025 einstellen?

Josh Goldfarb: Da APIs zunehmend mit KI-Diensten wie OpenAI, Google Gemini oder IBM Watson verbunden sind, muss das Sicherheitsmodell angepasst werden, um sowohl den eingehenden als auch den ausgehenden API-Verkehr abzudecken. Die derzeitigen Praktiken konzentrieren sich weitgehend auf den eingehenden Traffic und lassen die ausgehenden API-Aufrufe ungeschützt. Zudem können APIs tief im Code verborgen sein, sodass sie nicht auf dem Radar von Sicherheitsteams erscheinen.

Wird die Gefahr weiter steigen?

Josh Goldfarb: Ohne spezielle Schutzmaßnahmen könnten APIs zur größten Angriffsfläche im Internet werden. Denn die meisten Unternehmen gehen davon aus, dass ihr API-Bestand in den nächsten zwei bis drei Jahren um mindestens 10 Prozent wachsen wird. Die tatsächlichen Zahlen dürften weitaus höher liegen, da viele Unternehmen KI-Anwendungen implementieren, die deutlich mehr APIs nutzen.

Kommt es dann zum Kampf KI gegen KI?

Josh Goldfarb: Davon ist auszugehen. Cyberkriminelle können mit Hilfe von KI bald jederzeit Unternehmen über die jeweils optimale Methode angreifen. Entsprechend müssen diese selbst KI nutzen, um ungewöhnliche Aktivitäten zu entdecken sowie Richtlinien und Konfigurationen automatisch anzupassen. Zudem sind regelmäßige Sicherheitstrainings für Mitarbeitende, zeitnahe Software-Updates sowie die Ablösung oder Härtung veralteter Anwendungen für einen guten Schutz nötig.

Josh Goldfarb

ist Field CISO bei F5.

Roger Homrich

Recent Posts

KI-Modell verbessert Präzision der Wettervorhersage

Das KI-Modell von Alibaba prognostiziert mit stündlichen Aktualisierungen die Wetterbedingungen von einer Stunde bis zu…

4 Stunden ago

Autonom handelnde KI-Agenten

"Wir werden eine stärkere Integration von KI-Agenten sehen, die durch Prozessintelligenz neue Maßstäbe setzen", sagt…

4 Stunden ago

KI gegen Bürokratie

Maßgeschneiderte KI-Agenten eines deutschen Start-ups soll gegen überbordende Bürokratie und verklausuliertes Amtsdeutsch helfen.

1 Tag ago

Digitalisierung Deutschlands schreitet nur in kleinen Schritten voran

Cisco Digital Kompass 2025 zeigt: Chancen werden nicht überall konsequent genutzt und es scheint eine…

1 Tag ago

Subgruppen-Erkennung: Wendepunkt in der Malware-Abwehr

Ein von der Europäischen Kommission im Rahmen des ELSA-Netzwerks gefördertes Projekt, widmet sich der Malware-Erkennung.

2 Tagen ago

Von unterstützender zu autonomer KI

"Unsere AI Agents erledigen Aufgaben nicht mehr nur auf Anfrage, sondern agieren proaktiv und eigenständig",…

2 Tagen ago