Viele API-Strategien sind alles andere als sicher Bericht: API-Angriffe nehmen dramatisch zu

Von Bernhard Lück

Anbieter zum Thema

Mangels eines ganzheitlichen Ansatzes für die API-Sicherheit leiden Unternehmen weiterhin unter Sicherheitsvorfällen und Verstößen während der Laufzeit. Einem aktuellen Bericht von Salt Security zufolge hat sich bösartiger API-Verkehr in den letzten zwölf Monaten sogar verdoppelt.

61 Prozent der von Salt Security Befragten gaben an, nicht über eine API-Sicherheitsstrategie zu verfügen bzw. nur einen Basisschutz zu haben.
61 Prozent der von Salt Security Befragten gaben an, nicht über eine API-Sicherheitsstrategie zu verfügen bzw. nur einen Basisschutz zu haben.
(Bild: Salt Security)

Wie aus dem Report State of API Security für das 3. Quartal 2022 hervorgeht, liegt der Anteil des bösartigen API-Verkehrs am Gesamtverkehr der Salt-Security-Kunden mittlerweile bei 2,1 Prozent. Im Schnitt ist die Zahl der API-Angriffsversuche im Juni 2022 innerhalb eines Jahres von 12,22 Mio. auf 26,46 Mio. angewachsen. Von den Salt-Kunden sind 44 Prozent mit durchschnittlich elf bis 100 Angriffsversuchen pro Monat konfrontiert, 34 Prozent mit mehr als 100 und acht Prozent mit mehr als 1000 Versuchen pro Monat, so der Bericht.

Die für den Report durchgeführte Umfrage unter IT- und Sicherheitsexperten hat ergeben, dass 94 Prozent der Befragten im vergangenen Jahr Sicherheitsprobleme bei Produktions-APIs hatten, wobei 20 Prozent angaben, dass ihre Unternehmen aufgrund von Sicherheitslücken in APIs eine Datenverletzung erlitten. Insgesamt 61 Prozent der Befragten gaben außerdem an, dass sie inzwischen mehr als 100 APIs verwalten. Mehr als die Hälfte (54 %) berichtete, dass sich die Einführung neuer Anwendungen aufgrund von API-Sicherheitsbedenken verzögert.

Der Bericht, so Salt Security, habe auch Positives zu vermelden: 64 Prozent der Befragten gaben an, dass die API-Sicherheit die Zusammenarbeit und sogar die Einbindung von DevOps-Teams erleichtert habe. Unternehmen nehmen auch häufiger Änderungen an APIs vor: Elf Prozent der Befragten aktualisieren ihre APIs täglich, 31 Prozent wöchentlich.

Im Allgemeinen fehle es aber meist an einer klaren Zuständigkeit für die API-Sicherheit: 53 Prozent der Befragten konzentrierten sich auf die Behebung von Lücken während der Entwicklung, 59 Prozent suchten nach API-Problemen beim Testen. Nur 30 Prozent der Befragten an, dass sie API-Sicherheitslücken während der Laufzeit identifizieren und beheben.

Sicherheitsbedenken und „Zombie“-APIs

Die wichtigsten API-Sicherheitsprobleme sind zu geringe Investitionen in die Sicherheit vor der Produktion (20 %) und unzureichende Maßnahmen zur Laufzeitsicherheit (18 %), so das Ergebnis der Umfrage. Auf die Frage nach den größten API-Sicherheitsrisiken nannten 42 Prozent veraltete oder „Zombie“-APIs. Die Übernahme von Konten und die versehentliche Offenlegung sensibler Informationen standen mit jeweils 15 Prozent an zweiter Stelle, gefolgt von der Sorge um „Schatten“- oder unbekannte APIs (11 %).

API-Gateways und WAFs übersehen API-Angriffe

Die Befragten gaben an, dass sie sich bei der Verwaltung von APIs und dem Schutz vor den Angriffen auf Anwendungen hauptsächlich auf API-Gateways (54 %) und Web Application Firewalls (WAFs, 44 %) verlassen. 82 Prozent der Befragten sind jedoch der Meinung, ihre vorhandenen Tools seien nicht sehr effektiv bei der Verhinderung von API-Angriffen.

Hürden für eine sichere API-Strategie

Eine beträchtliche Mehrheit der Befragten (61 %) gab zu, dass sie über keine oder nur eine grundlegende API-Sicherheitsstrategie verfügen. Nur neun Prozent gaben an, eine fortschrittliche API-Strategie zu verfolgen, die spezielle API-Tests und -Schutz beinhaltet. Die Hauptgründen für das Fehlen einer soliden API-Strategie seien Budget (24 %), Fachwissen (20 %), Ressourcen (19 %) und Zeit (11 %).

Konsequenzen für die API-Sicherheit

Die Umfrage, so Salt Security, hat es deutlich gemacht: Die Abhängigkeit von APIs nimmt weiter zu, da APIs für den Erfolg ihrer Unternehmen immer wichtiger werden. Gleichzeitig könnten die aktuellen Sicherheitstools und -prozesse aber nicht mit den neuen API-Protokollen und Angriffstrends Schritt halten. API-Verkehr und Nutzungstrends innerhalb der Salt-Kundenbasis hätten diese Beobachtungen bestätigt. Unternehmen müssten von traditionellen Sicherheitspraktiken und Tools der letzten Generation zu einer modernen Sicherheitsstrategie übergehen, die die Sicherheit in jeder Phase des API-Lebenszyklus berücksichtigt und ein breites Spektrum an Schutzmaßnahmen bietet, die die Zusammenarbeit zwischen den Teams fördern.

Über den Report

Der State of API Security Report, Q3 2022, wurde von Forschern von Salt Labs, der Forschungsabteilung von Salt Security, unter Verwendung von Umfragedaten von mehr als 350 Befragten aus verschiedenen Aufgabenbereichen, Branchen und Unternehmensgrößen erstellt. Fast die Hälfte der Befragten (49 %) sei im Security-Bereich tätig, 19 Prozent seien Sicherheits- oder IT-Führungskräfte auf Führungsebene, weitere 21 Prozent seien in Plattform-, DevOps- oder Produktteams tätig. Technologie- und Finanzdienstleistungsunternehmen – laut Salt Security Vorreiter bei der Nutzung von APIs – machen 47 Prozent der Befragten aus. Große und kleine Unternehmen seien gleichmäßig vertreten, zusätzlich zu den anonymisierten und aggregierten empirischen Daten von Salt-Security-Kunden, die über die Salt Security API Protection Platform gewonnen wurden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48524065)