Schwachstellen in Programmierschnittstellen

Programmierschnittstellen (Application Programming Interfaces, APIs) sind das Mittel der Wahl, um Anwendungen miteinander zu verbinden, aber auch Gefahren ausgesetzt. Imperva, Inc., hat in der neuen Studie „Quantifying the Cost of API Insecurity“ gemeinsam mit dem Marsh McLennan Cyber Risk Analytics Center aufgezeigt, dass die Kosten aufgrund anfälliger oder unsicherer APIs (Application Programming Interfaces, Programmierschnittstellen) stark zugenommen haben. Die Studie untersucht 117.000 Cybersicherheits-Vorfälle und kommt zu der Schätzung, dass fehlende API-Sicherheit für Unternehmen jährliche Verluste in Höhe von 41 bis 75 Milliarden US-Dollar verursacht.

Eine API ist das unsichtbare Band, das es Anwendungen ermöglicht, Daten auszutauschen, um die Erfahrungen und Ergebnisse für die Endbenutzer zu verbessern. Die Anzahl der von Unternehmen genutzten APIs nimmt rapide zu; fast die Hälfte aller Unternehmen hat zwischen 50 und 500 intern oder öffentlich bereitgestellte APIs, wobei einige über tausend aktive APIs haben.

Viele APIs sind direkt mit Backend-Datenbanken verbunden, in denen vertrauliche Informationen gespeichert sind. Infolgedessen zielen Hacker zunehmend auf APIs als Zugang zur zugrunde liegenden Infrastruktur ab, um sensible Daten zu entwenden. Heute kann einer von 13 Cybersecurity-Vorfällen auf vernachlässigte API-Sicherheit zurückgeführt werden. Da sich mit der digitalen Transformation die Anzahl der APIs in der Produktion vervielfacht, wird diese Zahl in den kommenden Jahren voraussichtlich noch steigen.

API-Sicherheitsrisiko unterscheidet sich zwischen den Branchen

Die Studie zeigt auch erhebliche Unterschiede zwischen den Branchen auf. IT-Unternehmen (18 – 23%) und Anbieter wissensintensiver Dienstleistungen (Professional Services) wie Steuerkanzleien, Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften (10 – 15%) sowie der Online-Einzelhandel (6 – 12%) sind im Verhältnis am häufigsten von API-Sicherheitsverletzungen betroffen. Mit je vier bis sechs Prozent der Sicherheitsvorfälle, die auf Schwachstellen in APIs zurückgehen, liegen Fertigungsindustrie, Transportwesen und Versorgungsunternehmen im Mittelfeld, gefolgt vom Finanz- und Versicherungswesen mit zwei bis vier Prozent. Bildungsdienstleister erleiden geschätzt nur zwei bis drei Prozent der Cybersicherheitsvorfälle aufgrund von Sicherheitslücken in APIs, das Schlusslicht bildet das Gesundheitswesen mit 0,5 bis einem Prozent.

Ziel muss sein, alle APIs zu kennen und die relevanten Unternehmensdaten zu schützen

„Ohne eine Strategie und gezielte Maßnahmen werden Unternehmen auf der ganzen Welt weiterhin jährlich große Verluste durch API-Sicherheitslücken erleiden“, sagt Kai Zobel, Area Vice President bei Imperva. „Um die zunehmenden API-Sicherheitsbedrohungen zu entschärfen, müssen Unternehmen alle ihre APIs kennen, und verstehen, welche relevanten Daten durch jede API fließen.“

Nach Schätzungen der Experten stehen in Deutschland rund neun bis zehn Prozent aller Cybersicherheitsvorfälle in Zusammenhang mit API-Schwachstellen. Grund dafür könnten komplexe Software-Lieferketten in den Unternehmen sein. Auch eine hohe Anzahl an APIs und ein großes Datenvolumen, das durch sie hindurchfließt, erhöhen die Wahrscheinlichkeit eines API-bedingten Sicherheitsvorfalls.

Drei Empfehlungen für die API-Security:

• Relevante Daten aller APIs identifizieren und klassifizieren: Transparenz ist entscheidend, um das komplette Schema jeder API zu verstehen und die Daten, die durch sie fließen, zu identifizieren und zu klassifizieren. Nur so können Risiken bewertet werden.
• Erkennung von APIs automatisieren: APIs werden schnell erstellt und häufig geändert, was sie für viele Unternehmen zu einem blinden Fleck macht. Durch Automatisierung können Unternehmen unseriöse APIs oder APIs aus der sogenannten Schatten-IT verhindern. Darüber hinaus erhält das Sicherheitsteam durch die automatisierte API-Bestandsaufnahme einen Überblick darüber, wann Entwickler APIs in der Produktion ändern.
• APIs systematisch verwalten: Für Unternehmen in stark regulierten Branchen ist ein API-Verwaltungsmodell entscheidend. In einer solchen API-Governance werden die Programmierschnittstellen inventarisiert. Dies erfordert eine Überwachung, die über den API-Endpunkt hinausgeht und die zugrundeliegende Nutzlast miteinbezieht, sodass sensible Daten angemessen geschützt werden können.

„Am Ursprung jeder API-Sicherheitsverletzung stehen Daten“, fügt Kai Zobel hinzu. „Der Schutz von APIs erfordert einen Bewusstseinswandel. Es geht darum, sich auf die Klassifizierung von Daten zu konzentrieren und zu verstehen, wie jede API in der Produktion auf Daten zugreift. Diese Herangehensweise erfordert, dass Sicherheits- und Entwicklungsteams zusammenarbeiten, um die Sicherheit in den Entwicklungslebenszyklus einzubinden. Bis das geschieht, werden Cyberkriminelle weiterhin anfällige APIs ausnutzen, um sensible Daten in größerem Umfang zu entwenden.“