F5 State of Application Strategy Report: API Security 2024 Ungesicherte APIs sind Sicherheits- und Betriebsrisiko

Anbieter zum Thema

F5 Networks GmbH

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Ein Drittel der APIs sind nicht mit HTTPS gesichert. Damit gibt es erhebliche Lücken im API-Schutz, die sowohl die Sicherheit als auch den Betrieb von Unternehmen gefährden können, das bestätigt der 2024 State of Application Strategy Report: API Security.

Durchschnittlich verwaltet ein Unternehmen 421 verschiedene APIs (Application Programming Interface), wovon die meisten in Public-Cloud-Umgebungen gehostet werden. API-Endpunkte legen die Geschäftslogik offen, sodass externe Systeme nahtlos Daten mit dem Unternehmen austauschen können, um Serviceangebote und Innovationen zu erweitern. Sie werden für nahezu jeden denkbaren Geschäftszweck eingesetzt, vom Zugriff auf CRM-Daten über die Zahlungsabwicklung bis hin zur Verfolgung von Social-Media-Aktivitäten. Infolgedessen kann eine einzige solche Programmierschnittstelle tausende von Endpunkten haben.

Steigende Zahl an APIs zu KI-Inferenz-Services birgt komplexe Sicherheitsanforderungen

„APIs werden immer mehr zum Rückgrat der digitalen Transformation. Sie verbinden wichtige Services und Anwendungen“, sagt Lori MacVittie, Distinguished Engineer bei F5. „Unsere Studie zeigt, dass viele Unternehmen nicht mit den Sicherheitsanforderungen Schritt halten, die zum Schutz dieser entscheidenden Anbindungen erforderlich sind. Dies gilt vor allem mit Blick auf die wachsenden KI-basierten Bedrohungen.“

Denn zunehmend werden APIs mit KI-Inferenz-Services wie OpenAI, Google Gemini und IBM Watson verknüpft. Diese Verbindungen, bei denen es sich um ausgehende API-Aufrufe handelt, stellen eine besondere Sicherheitsherausforderung dar.

Bisher haben Unternehmen die Sicherheit in erster Linie für eingehende API-Aufrufe und die damit verbundenen Anwendungsfälle konzipiert. Jetzt müssen sie ihre Sicherheitsmodelle erweitern, um auch die Risiken des ausgehenden API-Verkehrs zu berücksichtigen. Diese Umstellung auf ein Sicherheitsmodell, das sowohl den eingehenden als auch den ausgehenden API-Traffic berücksichtigt, ist für viele Sicherheitsteams eine große Herausforderung. Da die API-Anbindungen in den nächsten zwei bis drei Jahren voraussichtlich um zehn Prozent oder mehr ansteigen werden, wird sich diese Herausforderungen verschärfen.

Lücken in der API-Sicherheit schließen

Die Studie „State of Application Strategy Report: API Security“ erhebt F5 jährlich weltweit zum Status der Anwendungs-Strategien bei API-Verantwortlichen auf C-Level. Die aktuellen Ergebnisse für 2024 zeigen, dass weniger als 70 Prozent der kundenorientierten APIs mit HTTPS gesichert sind. Damit ist fast ein Drittel dieser Schnittstellen völlig ungeschützt. Ein krasser Gegensatz zum Sicherheitsstandard bei Webseiten – diese sind inzwischen zu 90 Prozent durch HTTPS geschützt.

Darüber hinaus belegt die Studie aufgesplitterte Verantwortungsebenen für API-Sicherheit in den Unternehmen: 53 Prozent planen und verwalten APIs im Rahmen der Anwendungssicherheit und 31 Prozent über API-Management- und Integrationsplattformen. Diese Aufteilung kann zu Lücken in der Abdeckung und inkonsistenten Sicherheitsprozessen führen.

Um diese Sicherheitslücken zu schließen, ist der Einsatz umfassender Security-Lösungen empfehlenswert, die den gesamten API-Lebenszyklus von der Entwicklung bis zur Bereitstellung abdecken. Durch die Integration der API-Sicherheit in die Entwicklungs- und Betriebsphase (DevOPs) sind Unternehmen in der Lage, ihre digitalen Assets besser gegen eine wachsende Anzahl von Bedrohungen zu schützen. „APIs sind ein integraler Bestandteil und Baustein der KI-Ära. Sie müssen stark geschützt werden, damit KI-Anwendungen und digitale Services sicher und effektiv arbeiten“, erklärt MacVittie. Daher sollten Unternehmen ihre API-Sicherheitsstrategien neu bewerten und die notwendigen Schritte zum Schutz ihrer Daten und Dienste einleiten.

(ID:50210708)