API Report 2024

Ohne effektiven Schutz keine Cybersicherheit

APIs (Application Programming Interfaces) haben in modernen IT-Infrastrukturen eine Schlüsselrolle inne: Diese Schnittstellen sind essenziell für die Kommunikation von Anwendungen untereinander und um Systeme reibungslos zu integrieren.

Darüber hinaus erleichtern sie den Zugriff auf externe Ressourcen wie Datenbanken, Dateien und Webdienste, ohne dass eine vollständige Neuprogrammierung erforderlich ist. Letztendlich bilden sie also die Grundlage dafür, dass Nutzer mühelos auf Funktionen wie die Abfrage von Wetterdaten auf ihren Smartphones zugreifen oder Einzelhändler ihren Lagerbestand in Echtzeit überwachen können.

Anzeige

Im Jahr 2023 machten APIs laut des neuesten Berichts von Imperva über 71 Prozent des gesamten Internetverkehrs aus. Mit durchschnittlich 1,5 Milliarden Aufrufen pro Jahr auf Unternehmenswebsites sind APIs zu einem zentralen Bestandteil der digitalen Landschaft geworden. Doch gleichzeitig stellen sie eine beträchtliche Angriffsfläche für Cyberkriminelle dar.

Störungen wichtiger Geschäftsprozesse

Dem Bericht zufolge zielen 27 Prozent der Angriffe auf APIs darauf ab, die Business Logic von Unternehmen zu untergraben. Das führt zur potenziellen Störung wichtiger Geschäftsregeln und -prozesse wie etwa der Preisberechnung oder der Benutzerverwaltung.

19 Prozent der Angriffe auf APIs waren das Werk sogenannter „Bad Bots“. Diese automatisierten Systeme haben das Ziel, Webseiten mit schädlichen Absichten anzugreifen. Unter den weltweit betroffenen Branchen waren vor allem Finanzdienstleister (20 Prozent) Ziel solcher Angriffe. 2023 entfielen 68,8 Prozent aller Bot-Aktivitäten in Deutschland auf Bad Bots, womit die Bundesrepublik international an der Spitze steht.

Anzeige

Besondere Risiken durch Schatten-APIs

Ein erhebliches Sicherheitsrisiko für Unternehmen stellen insbesondere Schatten-APIs dar, da sie oft Überbleibsel aus früheren Softwareversionen sind. Zwar sind sie möglicherweise noch für Tests neuer Funktionen nutzbar, doch sie sind auch anfällig für Manipulationen und Missbrauch durch böswillige Akteure.

Darüber hinaus können auch veraltete API-Endpunkte erhebliche Probleme verursachen, da sie keine Updates oder Patches mehr erhalten und somit anfällig für bekannte Sicherheitslücken sind, die in neueren Versionen behoben wurden. Wenn diese veralteten Endpunkte nicht erkannt und außer Betrieb genommen werden, steigt das Risiko von Daten-Kompromittierung. Daher ist es für Sicherheitsteams unerlässlich, die Systeme regelmäßig zu überprüfen, um solche potenziellen Risiken zu vermeiden.

Eine weitere Gefahr sind nicht authentifizierte Endpunkte. Diese werden von Entwicklern geschaffen, um den Entwicklungsprozess zu beschleunigen. So wird während der Entwicklungsphase der Funktionalität der Vorzug vor der Sicherheit gegeben, um Zeit zu sparen. Obwohl sich die Systeme im Laufe der Zeit weiterentwickeln, bleiben diese APIs oft ohne angemessene Sicherheitsmaßnahmen erhalten, was ein großes Risiko für Unternehmen darstellt. So könnten Daten unbefugten Benutzern zugänglich gemacht werden, was Hackern dann die Möglichkeit gibt, das System zu manipulieren. Regelmäßige Audits der Systeme durch Sicherheitsteams sind daher unerlässlich.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Schwachstellen

Neben den genannten Risiken gibt es noch weitere kritische Sicherheitslücken und Angriffsvarianten: An erster Stelle steht die so genannte „Broken Object Level Authorization“ (BOLA), auch bekannt als „Insecure Direct Object Reference“ (IDOR). Diese entstehen dadurch, dass APIs über ihre Endpunkte Objektidentifikatoren preisgeben, was zu großen Problemen bei der Zugriffskontrolle auf Objektebene führt. So können Angreifer API-Daten ohne entsprechende Autorisierung manipulieren oder darauf zugreifen. Durchschnittlich sind 1,6 API-Endpunkte dem Risiko eines BOLA-Missbrauchs ausgesetzt.

Es bedarf eines integrierten Ansatzes, um APIs effektiv zu schützen.

Stephan Dykgers, Imperva

Angreifer können auch API-Konten übernehmen (API Account Takeover, ATO), indem sie Schwachstellen in API-Authentifizierungsprozessen ausnutzen, um sich unberechtigten Zugriff auf Benutzerkonten zu verschaffen. Laut des Berichts zielten im Jahr 2023 45,8 Prozent aller von Imperva registrierten ATO-Angriffe auf API-Endpunkte ab. ATO-Angriffe können mit Hilfe von Advanced Bot Protection-Lösungen abgewehrt werden.

Ein weiteres Problem stellen Distributed Denial of Service (DDoS)-Angriffe auf API-Webseiten dar. Dabei entfielen 27,9 Prozent aller DDoS-Angriffe auf API-Webseiten des Finanzsektors, gefolgt vom Unternehmenssektor mit 18,5 Prozent und Telekommunikations- und Internetdienstleistern mit 9,8 Prozent.

Effektiven Schutz bietet nur ganzheitlicher Ansatz

Die Herausforderungen für die Sicherheit von APIs sind breit gefächert und anspruchsvoll, und sie überschreiten oft die Grenzen herkömmlicher Schwachstellen in Anwendungen. Darüber hinaus sind API-Interaktionen überaus dynamisch und die gewaltige Menge an legitimen Anfragen macht ihren Schutz zu einer großen Herausforderung. Daher sind generische Lösungen dafür häufig nicht ausreichend. Es ist entscheidend, dass Unternehmen sich auf konkrete Aktionen konzentrieren, um die Sicherheit ihrer APIs zu stärken:

➤ Unternehmen sollten zunächst eine umfassende Identifizierung, Klassifizierung und Katalogisierung aller APIs, Endpunkte, Parameter und Payloads durchführen. Anschließend sind diese kontinuierlich zu überwachen, um das API-Inventar stets aktuell zu halten. Da durch erhalten die Verantwortlichen Einblick in potenzielle Risiken und können festlegen, welche sensiblen Daten geschützt werden müssen.

➤ Es ist unerlässlich, risikoreiche und sensible APIs zu erkennen und zu sichern. Hierfür sollten Unternehmen spezifische Risikobewertungen durchführen, die sich auf API-Endpunkte konzentrieren, die anfällig für fehlerhafte Autorisierung und Authentifizierung sowie unangemessene Datenexposition sind.

➤ Empfehlenswert ist es außerdem, ein leistungsstarkes Überwachungssystem für API-Endpunkte zu implementieren, um verdächtige Verhaltensweisen und Zugriffsmuster aktiv zu erkennen und zu analysieren.

➤ Schließlich sollten Unternehmen einen umfassenden Ansatz zur API-Sicherheit verfolgen, der API-Sicherheit, Web Application Firewall (WAF), Bot-Schutz und Schutz vor Distributed Denial of Service (DDoS) umfasst. Nur durch eine ganzheitliche Strategie können Sicherheitsteams Bedrohungen, die von exponierten APIs ausgehen, effektiv erkennen und beseitigen.

Zusammenfassend ist es unerlässlich für Unternehmen, die Bedrohungen durch Angriffe auf APIs ernst zu nehmen, da andernfalls geschäftskritische Infrastrukturen gefährdet sind. Zusätzlich können Angriffe auf APIs zu erheblichen Folgekosten führen, darunter Betrugsfälle, Datendiebstähle und ein Verlust des Kundenvertrauens. Herkömmliche Sicherheitsmaßnahmen allein sind daher nicht ausreichend. Es bedarf eines integrierten Cybersicherheits-Ansatzes, um APIs effektiv zu schützen. API Security von Imperva beispielsweise erkennt und klassifiziert sensible Daten sowie sämtliche öffentliche, private und Schatten-APIs. So werden Security-Teams in die Lage versetzt, ein umfassendes Sicherheitsmodell zu implementieren.

Stephan_Dykgers

Stephan

Dykgers

Area Vice Presient DACH

Imperva

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.