Cybersicherheit : Unternehmen unterschätzen die Gefahr von APIs

Programmierschnittstellen (APIs, Application Programming Interfaces) sind nicht nur eine technische Herausforderung, sondern ein potenzielles Geschäftsrisiko, das Unternehmen weltweit jährlich schätzungsweise bis zu 75 Milliarden Dollar kostet. Zu dieser Schätzung kommt eine Studie des Marsh McLennan Cyber Risk Analytics Center.

APIs sind die Bindeglieder, die den meisten modernen digitalen Entwicklungen zugrunde liegen: Erst durch sie können verschiedene Anwendungen miteinander kommunizieren und Daten austauschen. Auch Autos, Smartphones und Waschmaschinen kommunizieren über APIs mit Apps und Anwender:innen. APIs sind also ein Eckpfeiler der digitalen Wirtschaft.

Rund die Hälfte der Betriebe setzt bis zu 500 APIs ein – entweder intern oder öffentlich verfügbar. Über eine interne API können beispielsweise Beschäftigungsdaten in einer internen Anwendung der Personalabteilung abgerufen werden.

Keinen vollständigen Überblick über die Risiken

Eine Trendumkehr ist nicht erkennbar: In einer von Yougov durchgeführten und von Imperva in Auftrag gegebenen Umfragegibt die Mehrheit (51 Prozent) der befragten deutschen Unternehmen im Dezember 2021 an, dass sich die Anzahl der APIs, die sie nutzen, in den kommenden zwölf Monaten erhöhen wird.

Gleichzeitig geht laut der Studie weniger als die Hälfte (44 Prozent) der Befragten davon aus, dass sie einen vollständigen Überblick darüber besitzen, welche Risiken für Daten mit den Schnittstellen in ihrem Netzwerk verbunden sind. 51 Prozent haben entweder keinen klaren, konsistenten Prozess zur Erstellung, Überwachung und zum Schutz von APIs während ihres Lebenszyklus, oder sie kennen ihn nicht.

APIs als Einfallstore auch zu vertraulichen Daten

Viele APIs stellen, um zu funktionieren, auch Verbindungen zu Datenbanken im Backend her. Wer diese Schnittstellen hackt, verschafft sich somit Zugriff auf die zugrundeliegende Infrastruktur sowie vertrauliche und geschäftskritische Informationen.

Dieser Dreiklang aus großer Verbreitung, fehlender Überwachung und Zugriff auf sensible Daten sowie Infrastrukturen macht APIs zu attraktiven Angriffszielen für Cyberkriminelle. Das zeigen auch die Umfrageergebnisse von Imperva und Yougov: Fast ein Drittel (30 Prozent) glaubt oder hat konkrete Beweise dafür, dass es in den vergangenen zwölf Monaten zu einem Sicherheitsvorfall im Zusammenhang mit APIs gekommen ist.

Die Folgekosten gehen in die Milliarden; in Deutschland sind etwa zehn Prozent aller Cybersicherheitsvorfälle auf mangelhafte Programmierschnittstellen-Sicherheit zurückzuführen, schätzt das Marsh McLennan Cyber Risk Analytics Center. Es geht davon aus, dass global betrachtet einer von dreizehn Hacks auf API-Sicherheitslücken zurückzuführen ist.

Die Führungsebene in Unternehmen sollte APIs daher nicht als technisches Detailthema abtun, sondern sich bewusst werden, dass dem wirtschaftlichen Potenzial der Schnittstellen auch ein Geschäftsrisiko gegenübersteht und entsprechend reagieren. Das ist rein ökonomisch gesehen essenziell.

Drei Schritte zum Schutz vor API-Hacks

Drei wichtige Maßnahmen können Unternehmen ergreifen, um sich vor diesen Hacks zu schützen: Zunächst ist es notwendig zu wissen, welche Daten durch eine Schnittstelle hindurchfließen, um das von ihr ausgehende Sicherheitsrisiko zu kennen. Diese Daten zu identifizieren und zu klassifizieren, ist daher ein wichtiger Schritt.  

Im Unternehmen sollte es zudem keine sogenannten Schatten- oder Schurken-APIs geben. Von diesen Schnittstellen weiß die Security-Abteilung nichts und kann sie daher auch nicht überwachen. Sie entstehen beispielsweise, wenn Entwickler:innen neue Schnittstellen programmieren, ohne ihre Existenz dem Security-Team zu melden. Um sicherzustellen, dass stets alle APIs bekannt sind, sind Lösungen notwendig, die diese selbstständig erkennen. Diese sollten mit einem automatisch aktualisierten API-Inventar gekoppelt sein, damit Anpassungen, die Entwickler:innen während der Produktion vornehmen, ebenfalls aufgezeichnet werden.

An dieser Stelle kommt der dritte Schritt ins Spiel: die API-Governance, in der die Programmierschnittstellen inventarisiert werden. Wie in einem Katalog ist darin verzeichnet, welche API sich wo befindet, worauf sie Zugriff hat und wo sie sich in der Veröffentlichung befindet. Unternehmen benötigen dafür Einblick über den Endpunkt hinaus, um zu sehen, ob sich eine Schnittstelle wie erwartet verhält oder ob sie manipuliert wurde, so dass Daten missbraucht oder herausgeschleust werden können. Zudem ist es wichtig, dass sie die übertragenen Daten einsehen können, um zu wissen, welche Daten ausgetauscht werden und auf welche Datenspeicher die API Zugriff hat. Diese Informationen helfen Unternehmen, sich besser vor potenziellen Sicherheitslücken und Angriffen zu schützen.

Schutz von APIs verhindert Milliardenschäden

Je mehr vernetzte Geräte es gibt – von Laptops über Smart-Home-Devices und Fahrzeugen bis zu Maschinen in der produzierenden Industrie –, desto lohnender wird es für Cyberkriminelle, sie anzugreifen. Ihre Gemeinsamkeit sind APIs als mögliches Einfallstor für Schadsoftware. Die bereits erwähnten 75 Milliarden Dollar vermeidbarer wirtschaftlicher Schaden sind ein Weckruf an die Führungsebene, APIs als Geschäftsrisiko einzustufen und entsprechende Gegenmaßnahmen zu ergreifen.

Kai Zobel ist Area Vice President EMEA Central bei Imperva. Imperva ist ein Unternehmen für Cybersicherheitssoftware und -dienste, das Schutz für Unternehmensdaten und APIs bietet.