Studie: Rund ein Drittel der APIs sind ungeschützt
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14 Milliarden auf über 26 Milliarden gestiegen.
Unternehmen verwalten durchschnittlich 421 APIs, so der 2024 SOAS-Report: API Security von F5. Wie kommt es zu dieser enormen Zahl?
Josh Goldfarb: APIs sind zunehmend wichtiger Bestandteil betrieblicher Abläufe und verbinden Microservices in modernen Anwendungen. API-Endpunkte sorgen dafür, dass externe Systeme nahtlos Daten mit dem Unternehmen austauschen können, um Serviceangebote und Innovationen zu erweitern. Die Schnittstellen werden inzwischen für nahezu jeden denkbaren Unternehmenszweck verwendet, vom Zugriff auf CRM-Daten über die Zahlungsabwicklung bis hin zur Verfolgung des Engagements in sozialen Medien.
Laut ihrer Studie sind fast ein Drittel dieser Schnittstellen völlig ungeschützt, warum dieser hohe Anteil?
Josh Goldfarb: Das liegt an zwei Gründen. Erstens konnten viele Unternehmen nicht mit den steigenden Sicherheitsanforderungen Schritt halten. Zweitens ist vielen Verantwortlichen die Bedeutung von APIs und die daraus resultierende Gefahr für die Sicherheit nicht bewusst. Die Schwachstellen erkennen auch Cyberkriminelle. Entsprechend ist die Anzahl der Angriffe auf APIs und Webanwendungen zwischen Januar 2023 und Juni 2024 von knapp 14 Milliarden auf über 26 Milliarden gestiegen. Das zeigt eine Studie von Akamai Research.
Wo liegen die größten Gefahren bei APIs?
Josh Goldfarb: Zu den APIs gehören viele kundenorientierte und damit öffentlich zugängliche Schnittstellen, die von Web- und Mobilanwendungen verwendet werden. Diese APIs sind grundsätzlich für Angriffe anfällig. Dies reicht von DDoS-Attacken (Distributed Denial of Service) und Kontoübernahmen bis hin zu neuen Bedrohungen wie Prompt Injection und Token Stuffing. Bei Prompt Injection gelangen böswillige Eingaben in GenAI-Modelle, damit diese vertrauliche Daten preisgeben oder Fehlinformationen verbreiten. Token Stuffing nutzt gestohlene Tokens für einen unbefugten Zugang.
Wie können APIs effektiv geschützt werden?
Josh Goldfarb: Zur Absicherung empfiehlt sich der Einsatz umfassender Security-Lösungen, die den gesamten API-Lebenszyklus von der Entwicklung bis zur Bereitstellung abdecken. Diese sollten dem klassischen Ansatz Security by Design folgen. Gleichzeitig sind die bisherigen Silos in den IT-Teams aufzulösen. Unsere Studie zeigt eine häufig aufgeteilte Verantwortung für die API-Sicherheit in Unternehmen. Diese Aufteilung kann zu Lücken in der Abdeckung und inkonsistenten Sicherheitsprozessen führen.
Welche Rolle spielen Echtzeitprüfung und -reaktion in Bezug auf den API-Datenverkehr?
Josh Goldfarb: Aufgrund der sich ständig verändernden und weiterentwickelnden Bedrohungen müssen Unternehmen den API-Verkehr und die Daten in Echtzeit flexibel prüfen und darauf reagieren können. Entsprechend sehen die Befragten unserer Studie Anpassungsfähigkeit als die wichtigste Funktion von API-Sicherheitslösungen. Damit können Unternehmen maßgeschneiderte Anforderungen in den Bereichen Sicherheit und Bereitstellung erfüllen sowie Zero-Day-Bedrohungen abwehren. Dies wird angesichts neuartiger, KI-gestützter Angriffe auf APIs in Zukunft noch wichtiger.
Worauf müssen sich Unternehmen mit Blick auf ihre API-Struktur für das Jahr 2025 einstellen?
Josh Goldfarb: Da APIs zunehmend mit KI-Diensten wie OpenAI, Google Gemini oder IBM Watson verbunden sind, muss das Sicherheitsmodell angepasst werden, um sowohl den eingehenden als auch den ausgehenden API-Verkehr abzudecken. Die derzeitigen Praktiken konzentrieren sich weitgehend auf den eingehenden Traffic und lassen die ausgehenden API-Aufrufe ungeschützt. Zudem können APIs tief im Code verborgen sein, sodass sie nicht auf dem Radar von Sicherheitsteams erscheinen.
Wird die Gefahr weiter steigen?
Josh Goldfarb: Ohne spezielle Schutzmaßnahmen könnten APIs zur größten Angriffsfläche im Internet werden. Denn die meisten Unternehmen gehen davon aus, dass ihr API-Bestand in den nächsten zwei bis drei Jahren um mindestens 10 Prozent wachsen wird. Die tatsächlichen Zahlen dürften weitaus höher liegen, da viele Unternehmen KI-Anwendungen implementieren, die deutlich mehr APIs nutzen.
Kommt es dann zum Kampf KI gegen KI?
Josh Goldfarb: Davon ist auszugehen. Cyberkriminelle können mit Hilfe von KI bald jederzeit Unternehmen über die jeweils optimale Methode angreifen. Entsprechend müssen diese selbst KI nutzen, um ungewöhnliche Aktivitäten zu entdecken sowie Richtlinien und Konfigurationen automatisch anzupassen. Zudem sind regelmäßige Sicherheitstrainings für Mitarbeitende, zeitnahe Software-Updates sowie die Ablösung oder Härtung veralteter Anwendungen für einen guten Schutz nötig.
ist Field CISO bei F5.