Übermäßiges Vertrauen in den API-Schutz macht Banken anfällig für Cyberattacken

Branchenübergreifend haben Unternehmen in Bezug auf den API-Schutz ein falsches Sicherheitsempfinden. Das hat der Bericht 2022 State of API Security ergeben, den Radware in Zusammenarbeit mit Enterprise Management Associates veröffentlicht hat. Die Umfrage umfasst Antworten von CIOs, CTOs, VPs of IT und IT-Direktoren aus globalen Unternehmen in Nordamerika, EMEA und APAC.

Die Umfrage zeigt, dass die Nutzung von APIs weiterhin steigt. 92 % der befragten Unternehmen haben ihre API-Nutzung erheblich oder etwas erhöht, wobei 59 % bereits die meisten ihrer Anwendungen in der Cloud ausführen. Darüber hinaus nutzen fast 97 % der Unternehmen APIs für die Kommunikation zwischen Workloads und Systemen, was die wachsende Abhängigkeit von APIs im täglichen Geschäftsbetrieb unterstreicht.

Unterschätzte Bedrohung durch undokumentierte APIs

Während mehr als neun von zehn Befragten glauben, dass sie ihre APIs angemessen schützen, und 70 % davon ausgehen, dass sie genügend Einblick in ihre Anwendungen haben, die sensible Daten verarbeiten, geben 62 % an, dass ein Drittel oder mehr ihrer APIs undokumentiert sind. Undokumentierte APIs würden Unternehmen anfällig für Cyber-Bedrohungen, wie z. B. die Exposition von Datenbanken, Datenschutzverletzungen und Scraping, machen.

In vielen Unternehmen besteht eindeutig ein falsches Sicherheitsgefühl, dass sie ausreichend vor Cyberangriffen geschützt sind. In Wirklichkeit haben sie erhebliche Schutzlücken bei unbekannten und undokumentierten APIs. API-Sicherheit ist kein ‘Trend, der verschwinden wird. APIs sind ein grundlegender Bestandteil der meisten aktuellen Technologien, und ihre Absicherung muss für jedes Unternehmen eine Priorität sein.“

Gabi Malka, COO bei Radware

Auch Bot-Angriffe bleiben eine Bedrohung

Fast ein Drittel der befragten Unternehmen (32 %) gab an, dass automatisierte Bot-Angriffe eine der häufigsten Bedrohungen für APIs darstellen. Bei der Erkennung von API-Angriffen verlässt sich die Hälfte auf Warnungen von einem API-Gateway (29 %) oder auf Web Application Firewalls (21 %).

Eine umfassende Lösung für den Schutz von APIs-Schutzlösung, die auch die Abwehr bösartiger Bots beinhaltet, könne solche Bedrohungen abwehren. Allerdings gaben nur sehr wenige der Befragten an, dass sie über Lösungen verfügen, die tatsächlich einen wirksamen Schutz bieten oder wenigstens dazu in der Lage wären. So gab die Hälfte der befragten Unternehmen an, dass ihre vorhandenen Tools nur einigermaßen oder minimal wirksam beim Schutz ihrer APIs sind, und 7 % sagten sogar, dass die bei ihnen eingesetzten Lösungen überhaupt keine Angriffe erkennen. Die Unfähigkeit der vorhandenen Tools, APIs angemessen vor häufigen Bedrohungen zu schützen, setzt Cloud-Implementierungen erheblichen Risiken aus.

Open Source trägt zum Sicherheitsmythos bei

Eine weitere gefährliche Fehlannahme sei die, dass Open-Source-Code sicherer sei als proprietärer. Das glauben fast zwei Drittel der Befragten, und nahezu drei Viertel gehen davon aus, dass Container-basierte Deployments und Microservice-Architekturen standardmäßig sicherer sind als monolithische Architekturen und Bereitstellungen.

Die Umfragedaten zeigen, dass der API-Schutz nicht mit der API-Nutzung Schritt hält. Viele Unternehmen stützen ihre API-Sicherheitsstrategien auf falsche Annahmen – zum Beispiel, dass API-Gateways und herkömmliche WAFs ausreichenden Schutz bieten. Dadurch bleiben APIs anfällig und sind häufigen Bedrohungen wie Bot-Angriffen ausgesetzt.“

Michael Gießelbach, Regional Director DACH bei Radware

Zur Methodik der Studie

Im Rahmen des Berichts wurden 203 CIOs, CTOs, VPs of IT und andere IT-Führungskräfte in Europa, Asien und dem Norden Amerikas befragt. Die Befragten stammten dabei aus verschiedenen Branchen, darunter ein Großteil von Banken und Finanzdienstleistern sowie Versicherern.

Den Bericht können Sie nach Angabe der Kontaktdaten hier herunterladen.ft