Anders als rund 90 Prozent der Websites, die inzwischen HTTPS (Hypertext Transfer Protocol Secure) nutzen, sind mehr als 30 Prozent der kundenorientierten APIs nicht mit dem Netzwerk-Verschlüsselungsprotokoll gesichert - und damit völlig ungeschützt. Zu diesem und anderen Ergebnissen rund um die API-Sicherheit kommen die Security-Experten von F5 in ihrem Bericht "2024 State of Application Strategy Report: API Security" (Zugriff gegen Daten).
Überholte Best Practices
Was erschwerend hinzukommt: Durch die rasche Verbreitung von Programmierschnittstellen in der heutigen,digitalen Landschaft vergrößern sich diese Herausforderungen in Zukunft eher noch. So ergab die Studie unter anderem, dass Unternehmen heute durchschnittlich 421 verschiedene APIs verwalten, wovon die meisten in Public-Cloud-Umgebungen gehostet werden. Damit nicht genug, erwarten Experten, dass die Zahl der Programmierschnittstellen allein in den nächsten zwei Jahren um mindestens zehn Prozent steigen wird. Trotzdem bleibt eine beträchtliche Anzahl - vor allem kundenorientierter - APIs ungeschützt.
"APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen", erklärt Lori MacVittie, Distinguished Engineer bei F5. Die Studie zeige jedoch, dass viele Unternehmen nicht mit den Sicherheitsanforderungen zum Schutz dieser wertvollen Ressourcen Schritt halten könnten. "Dies gilt vor allem im Zusammenhang mit kommenden, KI-basierten Bedrohungen", fügt die Sicherheitsexpertin hinzu.
Die derzeitigen Praktiken konzentrierten sich weitgehend auf den eingehenden Traffic und ließen die ausgehenden API-Aufrufe ungeschützt, erklärt MacVittie. Da APIs jedoch zunehmend mit KI-Diensten wie OpenAI verbunden seien, müsse das Sicherheitsmodell angepasst werden, um sowohl den eingehenden als auch den ausgehenden API-Verkehr abzudecken.
Ein weiterer Knackpunkt ist laut F5 die geteilte Verantwortung für den API-Schutz. Wie die Studie ergab, verwalten sie 53 Prozent im Rahmen der Anwendungssicherheit und 31 Prozent über API-Management- und Integrationsplattformen. Diese Aufteilung könne jedoch zu Lücken in der Abdeckung und inkonsistenten Sicherheitsprozessen führen, warnt F5.
Lösungen für den gesamten API-Lebenszyklus
Zur Schließung dieser Sicherheitslücken empfehlen die Studienautoren den Einsatz umfassender Security-Lösungen, die den gesamten API-Lebenszyklus von der Entwicklung bis zur Bereitstellung abdecken. Durch die Integration der API-Sicherheit in die Entwicklungs- und Betriebsphase könnten Unternehmen ihre digitalen Ressourcen besser gegen eine wachsende Anzahl von Bedrohungen schützen.
"APIs sind ein integraler Bestandteil der KI-Ära, aber sie müssen geschützt werden, damit KI und digitale Dienste sicher und effektiv arbeiten", erklärt MacVittie. Sie empfiehlt Unternehmen deshalb, ihre API-Sicherheitsstrategien neu zu bewerten und die notwendigen Schritte zum Schutz ihrer Daten und Dienste durchzuführen.