Heutzutage sind Anwendungen das Herzstück von Unternehmen, und APIs dienen als Bindegewebe zwischen den einzelnen Anwendungen, Websites oder Diensten. APIs ermöglichen es verschiedenen Softwarekomponenten, miteinander zu kommunizieren, was API-basierte Architekturen in der modernen Softwareentwicklung unverzichtbar macht. APIs bieten eine einfache Möglichkeit zum Austausch von Daten, und Softwareentwickler nutzen APIs, um Daten und Dienste von anderen Anwendungen ganz einfach in ihre eigenen Anwendungen zu integrieren.
Laut Edward Roberts, Senior Director of Marketing bei Akamai, spielen APIs heute eine kritische Rolle für die reibungslose Ausführung von Unternehmens-, Business-to-Business- und kundenorientierten Anwendungen.
„Anwendungen werden durch APIs miteinander verbunden. Egal ob man ein Hotel bucht, einen Fahrdienst bestellt, in einem Restaurant isst, einen Arzt aufsucht, das Wetter abfragt oder Social Media nutzt – alle zugehörigen Anwendungen verwenden APIs. Es ist ein Labyrinth von Verbindungen, die Daten zwischen Unternehmen, Partnern und Anbietern austauschen."
Roberts zufolge gibt es verschiedene Arten von APIs mit unterschiedlichen Funktionen. „Unternehmen haben in der Regel APIs, die interne Anwendungen miteinander verbinden, doch sie haben mit großer Wahrscheinlichkeit auch APIs, die mit der Außenwelt kommunizieren. Die Vorstellung, dass sich all Ihre Daten in Ihrem Netzwerk befinden und hinter Firewalls geschützt sind und dass es für Hacker eine Herausforderung darstellt, in das Netzwerk einzudringen, ist nicht mehr zeitgemäß. Denn die Unternehmen haben durch den Einsatz von APIs ihre Kernprozesse nach außen hin geöffnet und Zugang zu allen Daten gewährt, die innerhalb der einzelnen APIs fließen. Best Practice ist, dass man natürlich autorisiert und authentifiziert sein muss, um Zugang zu einer API zu erhalten. Nichtsdestotrotz enthalten diese Verbindungen wertvolle Daten. Wenn Daten das neue Öl sind, sind APIs die neuen Pipelines."
API-Sicherheit ist ein wachsendes Problem
Das exponentielle Wachstum von APIs hat eine enorme Angriffsfläche geschaffen und macht Unternehmenssysteme anfällig für Sicherheitsverletzungen, wenn die APIs nicht ordnungsgemäß konfiguriert und verwaltet werden. Und da APIs häufig sensible Daten verarbeiten, können Angreifer mit nur einer einzigen kompromittierten API Tausende oder Millionen wertvoller Datensätze abgreifen.
Laut dem „State of the Internet 2023"-Bericht von Akamai nahmen die Angriffe auf Anwendungen und APIs zwischen dem 1. Quartal 2023 und dem 1. Quartal 2024 um 49 Prozent zu. Insgesamt wurden in diesem Zeitraum 108 Milliarden API-Angriffe beobachtet.
Mangelhafte API-Transparenz, schwache Authentifizierung, inhärente Schwachstellen im Code oder Fehlkonfigurationen in der API-Geschäftslogik sind nur einige der Faktoren, die die API-Sicherheit schwächen und unbefugten Zugriff ermöglichen. Da die Zahl der bereitgestellten APIs täglich steigt, ist diese wachsende Angriffsfläche ein attraktives Ziel für Cyberkriminelle.
„Mit der zunehmenden Verbreitung von APIs steigen auch die Risiken. Es werden immer mehr APIs verwendet, um immer mehr Anwendungen, Unternehmen, Lieferanten und Kunden miteinander zu verbinden, und dieses Netzwerk von APIs hat sich im Laufe der Zeit weltweit exponentiell ausgedehnt und erstreckt sich auf jede digitale Experience."
Unternehmen sind von APIs abhängig, daher sollte die API-Sicherheit ein zentrales Anliegen der IT-Teams sein. Da es sich hierbei um einen relativ neuen Bereich der Sicherheit handelt, mangelt es an Wissen darüber, wie APIs geschützt werden sollen, und an dem Verständnis, dass herkömmliche Sicherheitstools nicht für die Sicherung moderner digitaler Umgebungen entwickelt wurden.
„Dieses Zusammentreffen von Aktivitäten führt zu mehr API-Angriffen", so Roberts. „Laut Gartner werden bei API-Angriffen zehnmal so viele Daten kompromittiert wie bei anderen Angriffen. Die Sicherheitsteams müssen verstehen, dass sich die Angriffe hierher verlagert haben, da APIs in vielen Unternehmen nur unzureichend geschützt sind. Jedes Unternehmen sollte sich Gedanken darüber machen, wie es die APIs seiner Kunden sichert."
„Vor nicht allzu langer Zeit sind die Sicherheitsteams vielleicht zu dem Schluss gekommen, dass API-Angriffe nur eine potenzielle Bedrohung darstellen. Die Realität sieht mittlerweile jedoch so aus, dass es immer häufiger zu Sicherheitsverletzungen im Zusammenhang mit APIs kommt, und die US-Regierung hat kürzlich damit begonnen, Geldstrafen für solche Verstöße zu verhängen. Das Problem ist real, und die Sicherheitsteams müssen sich darüber im Klaren sein, dass eine Lösung zwingend erforderlich ist."
In der Zukunft werden APIs durch den verstärkten Einsatz der künstlichen Intelligenz weiter an Bedeutung gewinnen. Insbesondere für generative KI und große Sprachmodelle (Large Language Models, LLMs) werden verstärkt APIs zum Einsatz kommen. Sämtliche Eingabeaufforderungen und Antworten werden durch ein Netzwerk von APIs gesteuert. „APIs sind das Herzstück der generativen KI, daher ist es wichtig, etwaige Sicherheitsbedenken in den Griff zu bekommen. KI verschärft das API-Sicherheitsproblem."
API-Verbreitung
Das alte Sicherheitssprichwort, dass man nur schützen kann, was man sieht, beschreibt das erste Problem, mit dem Sicherheitsteams konfrontiert sind. Aufgrund der kontinuierlich wachsenden Anzahl von APIs in jedem Unternehmen ist ihre unkontrollierte Verbreitung schmerzhafte Realität. Der erste Schritt bei der Erstellung eines modernen API-Sicherheitsprogramms besteht darin, sich einen Bestandsüberblick über alle APIs zu verschaffen.
„Während des API-Ermittlungsprozesses von Akamai kommt es nicht selten vor, dass wir bis zu 40 Prozent mehr APIs finden, als vom Sicherheitsteam geschätzt wurde", sagt Roberts. „Es gibt einen großen Unterschied zwischen dem, was unsere Kunden erwarten, und dem, was tatsächlich entdeckt wird. Die Bestände sind größer. Folglich ist auch die Angriffsfläche größer als erwartet. Und täglich werden neue APIs bereitgestellt und der Bestand ändert sich."
Kürzlich hat Akamai sein Engagement für die API-Sicherheit durch die Übernahme von Noname Security verstärkt. Diese Akquisition bereichert das aktuelle API-Sicherheitsangebot von Akamai und ermöglicht es dem Unternehmen, vor dem Hintergrund der wachsenden API-Nutzung effektiver auf die steigende Kundennachfrage und die sich entwickelnden Marktanforderungen zu reagieren.
„Durch die Übernahme von Noname wurde unser API-Sicherheitsangebot um Testing-Funktionen für APIs erweitert. Als Teil einer Shift-Left-Strategie können die Kunden von Akamai nun eine API vor der Bereitstellung testen, um sicherzustellen, dass alle Fehlkonfigurationen oder Schwachstellen bereits in der Vorproduktion behoben werden."
Während Web App and API Protection (WAAP) eine zusätzliche Sicherheitsebene über Web Application Firewalls hinaus bietet, reichen WAAP-Lösungen allein nicht aus, um einen umfassenden Schutz vor API-Missbrauch zu gewährleisten. API-Angriffe erstrecken sich in der Regel über einen längeren Zeitraum, und um sie zu unterbinden, muss der API-Datenverkehr genauer analysiert und überwacht werden.
Akamai bietet jetzt eine umfangreiche Suite für die API-Sicherheit an, die es Kunden ermöglicht, Schatten-APIs in jeder Umgebung zu entdecken, APIs vor der Bereitstellung zu testen, Schwachstellen zu erkennen und Laufzeitangriffe zu identifizieren.
Klicken Sie hier, um mehr über die Lösungen von Akamai zu erfahren.
