Fast ein Drittel aller APIs ungeschützt

04.10.2024 von Manfred Bremmer
Einer aktuellen Studie von F5 zufolge, weist der API-Schutz von Unternehmen gravierende Lücken auf. Diese könnten im KI-Zeitalter weitere Probleme bringen.
Wie F5 herausfand, haben IT-Teams Schwierigkeiten, APIs in den heutigen hybriden Multi-Cloud-Deployments zu entdecken, zu sichern, zu aktualisieren und zu verwalten.
Foto: Photon photo - shutterstock.com

Anders als rund 90 Prozent der Websites, die inzwischen HTTPS (Hypertext Transfer Protocol Secure) nutzen, sind mehr als 30 Prozent der kundenorientierten APIs nicht mit dem Netzwerk-Verschlüsselungsprotokoll gesichert - und damit völlig ungeschützt. Zu diesem und anderen Ergebnissen rund um die API-Sicherheit kommen die Security-Experten von F5 in ihrem Bericht "2024 State of Application Strategy Report: API Security" (Zugriff gegen Daten).

Überholte Best Practices

Was erschwerend hinzukommt: Durch die rasche Verbreitung von Programmierschnittstellen in der heutigen,digitalen Landschaft vergrößern sich diese Herausforderungen in Zukunft eher noch. So ergab die Studie unter anderem, dass Unternehmen heute durchschnittlich 421 verschiedene APIs verwalten, wovon die meisten in Public-Cloud-Umgebungen gehostet werden. Damit nicht genug, erwarten Experten, dass die Zahl der Programmierschnittstellen allein in den nächsten zwei Jahren um mindestens zehn Prozent steigen wird. Trotzdem bleibt eine beträchtliche Anzahl - vor allem kundenorientierter - APIs ungeschützt.

"APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen", erklärt Lori MacVittie, Distinguished Engineer bei F5. Die Studie zeige jedoch, dass viele Unternehmen nicht mit den Sicherheitsanforderungen zum Schutz dieser wertvollen Ressourcen Schritt halten könnten. "Dies gilt vor allem im Zusammenhang mit kommenden, KI-basierten Bedrohungen", fügt die Sicherheitsexpertin hinzu.

Die derzeitigen Praktiken konzentrierten sich weitgehend auf den eingehenden Traffic und ließen die ausgehenden API-Aufrufe ungeschützt, erklärt MacVittie. Da APIs jedoch zunehmend mit KI-Diensten wie OpenAI verbunden seien, müsse das Sicherheitsmodell angepasst werden, um sowohl den eingehenden als auch den ausgehenden API-Verkehr abzudecken.

Ein weiterer Knackpunkt ist laut F5 die geteilte Verantwortung für den API-Schutz. Wie die Studie ergab, verwalten sie 53 Prozent im Rahmen der Anwendungssicherheit und 31 Prozent über API-Management- und Integrationsplattformen. Diese Aufteilung könne jedoch zu Lücken in der Abdeckung und inkonsistenten Sicherheitsprozessen führen, warnt F5.

Lösungen für den gesamten API-Lebenszyklus

Zur Schließung dieser Sicherheitslücken empfehlen die Studienautoren den Einsatz umfassender Security-Lösungen, die den gesamten API-Lebenszyklus von der Entwicklung bis zur Bereitstellung abdecken. Durch die Integration der API-Sicherheit in die Entwicklungs- und Betriebsphase könnten Unternehmen ihre digitalen Ressourcen besser gegen eine wachsende Anzahl von Bedrohungen schützen.

"APIs sind ein integraler Bestandteil der KI-Ära, aber sie müssen geschützt werden, damit KI und digitale Dienste sicher und effektiv arbeiten", erklärt MacVittie. Sie empfiehlt Unternehmen deshalb, ihre API-Sicherheitsstrategien neu zu bewerten und die notwendigen Schritte zum Schutz ihrer Daten und Dienste durchzuführen.