APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. [...]
Weniger als 70 Prozent der kundenorientierten Programmierschnittstellen (APIs) sind mit HTTPS (Hypertext Transfer Protocol Secure) gesichert. Das lässt fast ein Drittel dieser Schnittstellen völlig ungeschützt – und steht in krassem Gegensatz zu den 90 Prozent an Webseiten, die inzwischen HTTPS nutzen. Diese beunruhigende Wahrheit über den aktuellen Stand der API-Sicherheit in verschiedenen Branchen zeigt der „2024 State of Application Strategy Report: API Security“ von F5.
Die Studie weist damit auf erhebliche Lücken im API-Schutz hin, welche die Sicherheit und den Betrieb von Unternehmen gefährden können. Diese Herausforderungen vergrößern sich weiter durch die rasche Verbreitung von APIs in der heutigen digitalen Landschaft.
„APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen“, sagt Lori MacVittie, Distinguished Engineer bei F5. „Unsere Studie zeigt jedoch, dass viele Unternehmen nicht mit den Sicherheitsanforderungen Schritt halten, die zum Schutz dieser wertvollen Ressourcen erforderlich sind. Dies gilt vor allem im Zusammenhang mit kommenden KI-basierten Bedrohungen.“
Die wichtigsten Ergebnisse der Studie
- Schnelles Wachstum und vielfältige Umgebungen: Unternehmen verwalten heute durchschnittlich 421 verschiedene APIs, wovon die meisten in Public-Cloud-Umgebungen gehostet werden. Trotz dieses Wachstums bleibt eine beträchtliche Anzahl vor allem kundenorientierter APIs ungeschützt.
- Neue API-Anwendungen und Sicherheitsanforderungen: Da APIs zunehmend mit KI-Diensten wie OpenAI verbunden sind, muss das Sicherheitsmodell angepasst werden, um sowohl den eingehenden als auch den ausgehenden API-Verkehr abzudecken. Die derzeitigen Praktiken konzentrieren sich weitgehend auf den eingehenden Traffic und lassen die ausgehenden API-Aufrufe ungeschützt.
- Geteilte Verantwortung für den API-Schutz: Die Studie zeigt eine aufgeteilte Verantwortung für die API-Sicherheit in Unternehmen: 53 Prozent verwalten sie im Rahmen der Anwendungssicherheit und 31 Prozent über API-Management- und Integrationsplattformen. Diese Aufteilung kann zu Lücken in der Abdeckung und inkonsistenten Sicherheitsprozessen führen.
- Hohe Nachfrage nach programmierbaren Sicherheitslösungen: Die Befragten sehen Programmierbarkeit als die wichtigste API-Sicherheitsfunktion. Dies unterstreicht den Bedarf an Echtzeitüberprüfung und -reaktion in Bezug auf API-Datenverkehr und Bedrohungen.
Behebung der Lücken in der API-Sicherheit
Zur Schließung dieser Sicherheitslücken empfiehlt die Studie den Einsatz umfassender Security-Lösungen, die den gesamten API-Lebenszyklus von der Entwicklung bis zur Bereitstellung abdecken. Durch die Integration der API-Sicherheit in die Entwicklungs- und Betriebsphase können Unternehmen ihre digitalen Ressourcen besser gegen eine wachsende Anzahl von Bedrohungen schützen.
„APIs sind ein integraler Bestandteil der KI-Ära, aber sie müssen geschützt werden, damit KI und digitale Dienste sicher und effektiv arbeiten“, so MacVittie weiter. „Diese Studie ruft Unternehmen dazu auf, ihre API-Sicherheitsstrategien neu zu bewerten und die notwendigen Schritte zum Schutz ihrer Daten und Dienste durchzuführen.“
Be the first to comment