Jährlich bis zu 75 Mrd. US-Dollar Achtung, Kostenfalle: Sicherheitslücken in APIs

Von Bernhard Lück

Anbieter zum Thema

Die Kosten aufgrund unsicherer APIs haben stark zugenommen. Das geht aus einer von Imperva veröffentlichten Studie hervor. Diese hat 117.000 Cybersicherheitsvorfälle untersucht und schätzt, dass API-Schwachstellen pro Jahr Verluste in Höhe von 41 bis 75 Mrd. US-Dollar verursachen.

Hacker zielen zunehmend auf APIs als Zugang zur zugrunde liegenden Infrastruktur ab, um sensible Daten zu entwenden.
Hacker zielen zunehmend auf APIs als Zugang zur zugrunde liegenden Infrastruktur ab, um sensible Daten zu entwenden.
(Bild: © – kentoh – stock.adobe.com)

Eine API ist das unsichtbare Band, das es Anwendungen ermöglicht, Daten auszutauschen, um die Erfahrungen und Ergebnisse für die Endbenutzer zu verbessern. Die Anzahl der von Unternehmen genutzten APIs nimmt rapide zu; fast die Hälfte aller Unternehmen hat zwischen 50 und 500 intern oder öffentlich bereitgestellte APIs, wobei einige über tausend aktive APIs haben.

Viele APIs sind direkt mit Backend-Datenbanken verbunden, in denen vertrauliche Informationen gespeichert sind. Infolgedessen zielen Hacker zunehmend auf APIs als Zugang zur zugrunde liegenden Infrastruktur ab, um sensible Daten zu entwenden. Heute kann einer von 13 Cybersecurity-Vorfällen auf vernachlässigte API-Sicherheit zurückgeführt werden. Da sich mit der digitalen Transformation die Anzahl der APIs in der Produktion vervielfacht, wird diese Zahl in den kommenden Jahren voraussichtlich noch steigen.

API-Sicherheitsrisiko unterscheidet sich zwischen den Branchen

Die vom Marsh McLennan Cyber Risk Analytics Center durchgeführte Studie „Quantifying the Cost of API Insecurity“ zeigt erhebliche Unterschiede zwischen den Branchen auf. IT-Unternehmen (18 bis 23 %) und Anbieter wissensintensiver Dienstleistungen (Professional Services) wie Steuerkanzleien, Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften (10 bis 15 %) sowie der Online-Einzelhandel (6 bis 12 %) sind im Verhältnis am häufigsten von API-Sicherheitsverletzungen betroffen. Mit je vier bis sechs Prozent der Sicherheitsvorfälle, die auf Schwachstellen in APIs zurückgehen, liegen Fertigungsindustrie, Transportwesen und Versorgungsunternehmen im Mittelfeld, gefolgt vom Finanz- und Versicherungswesen mit zwei bis vier Prozent. Bildungsdienstleister erleiden geschätzt nur zwei bis drei Prozent der Cybersicherheitsvorfälle aufgrund von Sicherheitslücken in APIs, das Schlusslicht bildet das Gesundheitswesen mit 0,5 bis einem Prozent.

Ziel muss sein, alle APIs zu kennen und die relevanten Unternehmensdaten zu schützen

„Ohne eine Strategie und gezielte Maßnahmen werden Unternehmen auf der ganzen Welt weiterhin jährlich große Verluste durch API-Sicherheitslücken erleiden“, sagt Kai Zobel, Area Vice President bei Imperva. „Um die zunehmenden API-Sicherheitsbedrohungen zu entschärfen, müssen Unternehmen alle ihre APIs kennen und verstehen, welche relevanten Daten durch jede API fließen.“

Nach Schätzungen der Experten stehen in Deutschland rund neun bis zehn Prozent aller Cybersicherheitsvorfälle in Zusammenhang mit API-Schwachstellen. Grund dafür könnten komplexe Softwarelieferketten in den Unternehmen sein. Auch eine hohe Anzahl an APIs und ein großes Datenvolumen, das durch sie hindurchfließt, erhöhen die Wahrscheinlichkeit eines API-bedingten Sicherheitsvorfalls.

Drei Empfehlungen für die API-Security:

  • Relevante Daten aller APIs identifizieren und klassifizieren: Transparenz ist entscheidend, um das komplette Schema jeder API zu verstehen und die Daten, die durch sie fließen, zu identifizieren und zu klassifizieren. Nur so können Risiken bewertet werden.
  • Erkennung von APIs automatisieren: APIs werden schnell erstellt und häufig geändert, was sie für viele Unternehmen zu einem blinden Fleck macht. Durch Automatisierung können Unternehmen unseriöse APIs oder APIs aus der sogenannten Schatten-IT verhindern. Darüber hinaus erhält das Sicherheitsteam durch die automatisierte API-Bestandsaufnahme einen Überblick darüber, wann Entwickler APIs in der Produktion ändern.
  • APIs systematisch verwalten: Für Unternehmen in stark regulierten Branchen ist ein API-Verwaltungsmodell entscheidend. In einer solchen API-Governance werden die Programmierschnittstellen inventarisiert. Dies erfordert eine Überwachung, die über den API-Endpunkt hinausgeht und die zugrunde liegende Nutzlast miteinbezieht, sodass sensible Daten angemessen geschützt werden können.

„Am Ursprung jeder API-Sicherheitsverletzung stehen Daten“, fügt Kai Zobel hinzu. „Der Schutz von APIs erfordert einen Bewusstseinswandel. Es geht darum, sich auf die Klassifizierung von Daten zu konzentrieren und zu verstehen, wie jede API in der Produktion auf Daten zugreift. Diese Herangehensweise erfordert, dass Sicherheits- und Entwicklungsteams zusammenarbeiten, um die Sicherheit in den Entwicklungslebenszyklus einzubinden. Bis das geschieht, werden Cyberkriminelle weiterhin anfällige APIs ausnutzen, um sensible Daten in größerem Umfang zu entwenden.“

(ID:48482381)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung