APIs (Application Programming Interface) fehlen Strategien zur Cybersicherheit

Die Nutzung von APIs (Application Programming Interface) als Mittel zur Förderung der digitalen Transformation hat in den letzten Jahren stark zugenommen. Dieser Trend wird sich voraussichtlich auch bis 2022 fortsetzen. Laut einer Umfrage von RapidAPI, einem Hub, der es Entwicklern und Unternehmen ermöglicht, Tausende von APIs zu finden und zu verwalten, erwarten 68,4 % von mehr als 2.200 Befragten aus 130 Ländern und über alle Funktionen hinweg, dass sie 2022 mehr APIs nutzen werden als in diesem Jahr. Darüber hinaus gab die Mehrheit (75,5 %) der Entwickler an, dass die Teilnahme an der API-Wirtschaft für ihre Unternehmen jetzt oder in naher Zukunft eine Priorität darstellt.

Interne APIs werden immer noch am häufigsten von Entwicklern genutzt (74,3 %), allerdings gaben mehr Befragte (49,1 %) an, mit APIs von Drittanbietern zu arbeiten. Partner-APIs verzeichneten 2021 den stärksten Anstieg (44,3 % gegenüber 34,6 % im Jahr 2020).

Sicherheit, Datenschutz und Tests bleiben wichtige Schwerpunktbereiche (für über 90 % der Entwickler). Die drei beliebtesten Testarten, die im Jahr 2021 durchgeführt wurden, waren funktionale Tests (29,5 %), Integrationstests (26,8 %) und Akzeptanztests (16,3 %).

Trotz der Relevanz von Tests für fast alle API-Entwickler haben API-bezogene Sicherheitsvorfälle in den letzten Jahren zugenommen. In einem Fall im August wurden beispielsweise bei Dutzenden von Unternehmen, die Microsoft Power Apps verwenden, aufgrund von API-Konfigurationsproblemen versehentlich 38 Millionen Datensätze offengelegt, so die Forscher von UpGuard. “Dieses Problem ist systemisch, es trat nicht nur bei Microsoft Power Apps auf, sondern auch bei Amazon Web Services S3, Elasticsearch und MongoDB”, so Radu Crahmaliuc von Bitdefender.

In einem weiteren aktuellen Fall von Anfang Dezember wurde eine Schwachstelle in einer auf der GraphQL-Spezifikation basierenden API aufgedeckt, die von einer großen B2B-Plattform (Fintech) implementiert wurde und Finanzdienstleistungen in Form von mobilen Apps und Software as a Service (SaaS) für kleine und mittlere Unternehmen anbietet. Durch die Ausnutzung dieser beiden Schwachstellen könnte jede beliebige Person nicht autorisierte Transaktionen durchführen und auch sensible Kundendaten sammeln. Mit anderen Worten: Angreifer konnten ohne Wissen und Zustimmung der Kunden Geld von deren Konten überweisen. Die Finanzplattform wies außerdem eine weitere Sicherheitslücke auf, durch die API-Aufrufe auf Endpunkte zugreifen konnten, ohne dass eine Authentifizierung erforderlich war.

Cyberkriminelle greifen APIs an, weil ihre Entwickler in der Regel über wenig oder gar kein Wissen über Cybersicherheit verfügen, erklärt ein Bericht von Salt Security. Dieser zeigt, dass 62 % der Unternehmen keine Sicherheitsstrategie für APIs haben, oder wenn sie eine haben, dann nur eine sehr einfache. In einem Zeitraum von sechs Monaten (Dezember 2020 bis Juni 20210) stieg der API-Verkehr insgesamt um 141 %, während das Volumen bösartiger APIs um 348 % zunahm.

Die von Salt Security gesammelten Daten zeigen auch, dass in diesen Fällen WAFs (Web Application Firewalls) und API-Gateways eingesetzt wurden, was bedeutet, dass Angriffe über APIs die traditionellen Cybersecurity-Kontrollen umgangen haben.

Veraltete oder “Zombie”-APIs sind für 40 % der Befragten die größte Sorge, fast dreimal so groß wie die zweitgrößte Sorge, die Aneignung von Konten. Laut Salt Security sind häufige App-Updates die Hauptursache für die Entstehung von Zombie-APIs, die zu Risiken und der Offenlegung von nicht überwachten Daten führen können.

Probleme im Zusammenhang mit der API-Sicherheit verzögern bei zwei Dritteln der Befragten (64 %) von Salt Security die Einführung von Geschäftsanwendungen. APIs sind aber von entscheidender Bedeutung, da sie Daten bewegen und Dienste in großem Umfang ausführen, die für Geschäftsprozesse oft entscheidend sind. Wenn sich die Verfügbarkeit von Anwendungen verzögert oder Sicherheitsprobleme auftreten, kann dies finanzielle Verluste, Rufschädigung, verlorene Kunden oder alles zusammen bedeuten.

Der Fachkräftemangel ist eine weitere Herausforderung

In der RapidAPI-Umfrage ist der Mangel an Softwareingenieuren oder anderen Fachleuten, die mit dem API-Universum in Verbindung stehen, die größte Herausforderung, die für 2022 vorhergesagt wird. 56,8 % der Entwickler sehen dieses Problem voraus.

“Alle Unternehmen beschleunigen den Übergang zu digitalen Kanälen und investieren in die Entwicklung, um diesen Wandel zu ermöglichen. Auf der anderen Seite werden die Entwickler knapp – wir sehen eine große Lücke zwischen der Verfügbarkeit von Arbeitskräften und dem Angebot an offenen Stellen, was die Unternehmen dazu veranlasst, sich Ressourcen zuzuwenden, die die Entwicklung produktiver machen – insbesondere APIs”, erklärt Iddo Gino, CEO und Gründer von RapidAPI.

Doch während sie für Unternehmen vielversprechend sind, stellen APIs auch ein großes Sicherheitsrisiko dar und müssen entsprechend behandelt werden. Gartner warnt, dass API-Angriffe bis 2022 der häufigste Angriffsvektor sein werden, der zu größeren Datenverletzungen bei Webanwendungen von Unternehmen führt.