Risiko für Unternehmen und Einzelpersonen

Das ist komfortabel und verspricht ein gutes Nutzererlebnis und führt dazu, dass APIs für viele Unternehmen von entscheidender Bedeutung sind. Genau das macht sie aber auch zu beliebten Zielen für Cyberkriminelle. Der Bericht von Akamai identifiziert die wiederkehrenden Muster in API-Schwachstellen, die trotz Verbesserungen in Softwareentwicklungslebenszyklen (SDLCs) und Testtools bestehen.

Häufig wird der API-Sicherheit zugunsten einer schnellen Veröffentlichung nur wenig Zeit gewidmet. Viele Unternehmen setzen auf herkömmliche Netzwerksicherheitslösungen. Diese aber sind zum Schutz der breiten Angriffsfläche, die APIs bieten, nicht ausgelegt.

«Von fehlerhaften Authentifizierungs- und Sicherheitslücken bis hin zu einfachen Fehlkonfigurationen gibt es zahlreiche API-Sicherheitsbedenken für jeden, der eine internetfähige Anwendung erstellt», erklärt Steve Ragan, Sicherheitsforscher bei Akamai und Autor des «State of the Internet»-Sicherheitsberichts.

«API-Angriffe werden häufig weder erkannt noch gemeldet, wenn sie erkannt werden. Anders als DDoS-Angriffe und Ransomware erhalten Angriffe auf APIs nicht das gleiche Mass an Aufmerksamkeit. Der hauptsächliche Grund: Kriminelle nutzen APIs auf eine weniger auffällige Art und Weise als es etwas bei einem gut ausgeführten Ransomware-Angriff der Fall wäre. Das bedeutet jedoch nicht, dass solche Angriffe ignoriert werden sollten.»