„State of the Internet“-Bericht von Akamai APIs als Angriffsfläche

Redakteur: Stephan Augsten

Unter dem Titel „API: Die Angriffsfläche, die uns alle verbindet“ hat Akamai Technologies einen neuen Sicherheitsbericht verfasst. Dieser befasst sich mit der Frage, ob Programmierschnittstellen tatsächlich zum häufigsten Angriffsvektor werden.

Firma zum Thema

Im jüngsten API-Sicherheitsbericht versucht Akamai, die Bedrohungen für und durch Programmierschnittstellen näher zu erörtern.
Im jüngsten API-Sicherheitsbericht versucht Akamai, die Bedrohungen für und durch Programmierschnittstellen näher zu erörtern.
(Bild: Akamai Technologies)

Wie steht es wirklich um die (Un-)Sicherheit von APIs, sprich Application Programming Interfaces? Mit dieser Frage befasst sich Akamai Technologies in der jüngsten Veröffentlichung der „State of the Internet“-Sicherheitsberichtsreihe; Gartner zufolge könnten Programmierschnittstellen bis 2022 zum häufigsten Online-Angriffsvektor avancieren. Der Bericht „API: Die Angriffsfläche, die uns alle verbindet“ wurde in Zusammenarbeit mit Veracode-Forschern erstellt.

Wie Akamai konstatiert, ist der Vorteil der unkomplizierten und schnellen Integration gleichzeitig auch die Achillesferse, die sie zu beliebten Zielen für Cyberkriminelle macht. Bei den Schwachstellen seien wiederkehrende Muster zu erkennen. „Häufig wird der API-Sicherheit zugunsten einer schnellen Veröffentlichung nur wenig Zeit gewidmet“, bemängelt Akamai beispielsweise.

Zwar gebe es mit Blick auf Software Developement Lifecycles (SDLCs) und Testtools durchaus Verbesserungen. Beim nachgelagerten Schutz aber setzten viele Unternehmen auf herkömmliche Netzwerksicherheitslösungen. „Diese aber sind zum Schutz der breiten Angriffsfläche, die APIs bieten, nicht ausgelegt“, warnt Akamai.

Im jüngsten API-Sicherheitsbericht versucht Akamai, die Bedrohungen für und durch Programmierschnittstellen näher zu erörtern.
Im jüngsten API-Sicherheitsbericht versucht Akamai, die Bedrohungen für und durch Programmierschnittstellen näher zu erörtern.
(Bild: Akamai Technologies)

Steve Ragan, Sicherheitsforscher bei Akamai und Autor des „State of the Internet“-Sicherheitsberichts, spricht von zahlreichen Risiken – angefangen bei fehlerhaften Au​thenti​fizierungs​mecha​nismen über und Sicherheitslücken bis hin zu einfachen Fehlkonfigurationen. Und noch schlimmer: „API-Angriffe werden häufig weder erkannt noch gemeldet, wenn sie erkannt werden,“ so Ragan.

Nicht immer sei eindeutig, wo sich API-Schwachstellen befinden. APIs sind beispielsweise oft in Apps verborgen, was zu dem Fehlschluss führt, sie wären immun gegen Manipulation. Entwickler gehen davon aus, dass Nutzer nur über die mobile Nutzeroberfläche (UI) mit den APIs interagieren. Der Akamai-Report verdeutlicht, dass dies nicht der Fall ist.

Wer sich den Bericht zu Gemüte führt, bekommt auch aufgezeigt, wie Akamai den Angriffstraffic auf Webanwendungen über 18 Monate überprüft hat. Allerdings sei es schwierig, aus den über 11 Milliarden versuchten Angriffen den Anteil der reinen API-Angriffe zu ermitteln, gibt der Anbieter zu.

Interessierte finden den Bericht „API: Die Angriffsfläche, die uns alle verbindet“ auf der „State of the Internet“-Seite von Akamai.

(ID:47765821)