Programmierschnittstellen (Application Programming Interfaces, APIs) sind das Mittel der Wahl, um Anwendungen miteinander zu verbinden, aber auch Gefahren ausgesetzt. Imperva, Inc., hat in der neuen Studie „Quantifying the Cost of API Insecurity“ gemeinsam mit dem Marsh McLennan Cyber Risk Analytics Center aufgezeigt, dass die Kosten aufgrund anfälliger oder unsicherer APIs (Application Programming Interfaces, Programmierschnittstellen) stark zugenommen haben. Die Studie untersucht 117.000 Cybersicherheits-Vorfälle und kommt zu der Schätzung, dass fehlende API-Sicherheit für Unternehmen jährliche Verluste in Höhe von 41 bis 75 Milliarden US-Dollar verursacht.
Eine API ist das unsichtbare Band, das es Anwendungen ermöglicht, Daten auszutauschen, um die Erfahrungen und Ergebnisse für die Endbenutzer zu verbessern. Die Anzahl der von Unternehmen genutzten APIs nimmt rapide zu; fast die Hälfte aller Unternehmen hat zwischen 50 und 500 intern oder öffentlich bereitgestellte APIs, wobei einige über tausend aktive APIs haben.
Viele APIs sind direkt mit Backend-Datenbanken verbunden, in denen vertrauliche Informationen gespeichert sind. Infolgedessen zielen Hacker zunehmend auf APIs als Zugang zur zugrunde liegenden Infrastruktur ab, um sensible Daten zu entwenden. Heute kann einer von 13 Cybersecurity-Vorfällen auf vernachlässigte API-Sicherheit zurückgeführt werden. Da sich mit der digitalen Transformation die Anzahl der APIs in der Produktion vervielfacht, wird diese Zahl in den kommenden Jahren voraussichtlich noch steigen.
API-Sicherheitsrisiko unterscheidet sich zwischen den Branchen
Die Studie zeigt auch erhebliche Unterschiede zwischen den Branchen auf. IT-Unternehmen (18 – 23%) und Anbieter wissensintensiver Dienstleistungen (Professional Services) wie Steuerkanzleien, Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften (10 – 15%) sowie der Online-Einzelhandel (6 – 12%) sind im Verhältnis am häufigsten von API-Sicherheitsverletzungen betroffen. Mit je vier bis sechs Prozent der Sicherheitsvorfälle, die auf Schwachstellen in APIs zurückgehen, liegen Fertigungsindustrie, Transportwesen und Versorgungsunternehmen im Mittelfeld, gefolgt vom Finanz- und Versicherungswesen mit zwei bis vier Prozent. Bildungsdienstleister erleiden geschätzt nur zwei bis drei Prozent der Cybersicherheitsvorfälle aufgrund von Sicherheitslücken in APIs, das Schlusslicht bildet das Gesundheitswesen mit 0,5 bis einem Prozent.
Ziel muss sein, alle APIs zu kennen und die relevanten Unternehmensdaten zu schützen
„Ohne eine Strategie und gezielte Maßnahmen werden Unternehmen auf der ganzen Welt weiterhin jährlich große Verluste durch API-Sicherheitslücken erleiden“, sagt Kai Zobel, Area Vice President bei Imperva. „Um die zunehmenden API-Sicherheitsbedrohungen zu entschärfen, müssen Unternehmen alle ihre APIs kennen, und verstehen, welche relevanten Daten durch jede API fließen.“
Nach Schätzungen der Experten stehen in Deutschland rund neun bis zehn Prozent aller Cybersicherheitsvorfälle in Zusammenhang mit API-Schwachstellen. Grund dafür könnten komplexe Software-Lieferketten in den Unternehmen sein. Auch eine hohe Anzahl an APIs und ein großes Datenvolumen, das durch sie hindurchfließt, erhöhen die Wahrscheinlichkeit eines API-bedingten Sicherheitsvorfalls.
Drei Empfehlungen für die API-Security:
„Am Ursprung jeder API-Sicherheitsverletzung stehen Daten“, fügt Kai Zobel hinzu. „Der Schutz von APIs erfordert einen Bewusstseinswandel. Es geht darum, sich auf die Klassifizierung von Daten zu konzentrieren und zu verstehen, wie jede API in der Produktion auf Daten zugreift. Diese Herangehensweise erfordert, dass Sicherheits- und Entwicklungsteams zusammenarbeiten, um die Sicherheit in den Entwicklungslebenszyklus einzubinden. Bis das geschieht, werden Cyberkriminelle weiterhin anfällige APIs ausnutzen, um sensible Daten in größerem Umfang zu entwenden.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…