Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

APIs im Visier der Angreifer : API-Sicherheit 2025: Risiken und Schutzstrategien : Interview mit Josh Goldfarb, Field CISO bei F5

APIs stehen zunehmend im Fadenkreuz von Angreifern. Laut Josh Goldfarb, Field CISO bei F5, sind fehlende Sicherheitsmaßnahmen und Schatten-APIs eine wachsende Gefahr. Unternehmen müssen 2025 ihre API-Sicherheit strategisch stärken, um der evolutionären Bedrohung zu begegnen.

Bedrohungen
Lesezeit 3 Min.

Beim Thema Sicherheit stehen derzeit unter anderem Application Programming Interfaces (APIs) im Fokus. Was müssen Unternehmen für das Jahr 2025 beachten?

Goldfarb: APIs machen einen immer größeren Teil des Internetverkehrs aus. Es ist daher davon auszugehen, dass Angreifer auch in Zukunft APIs ins Visier nehmen werden. Sehr wahrscheinlich werden wir im Jahr 2025 mehr und ausgefeiltere Angriffe auf APIs erleben können. Aus diesem Grund müssen Unternehmen geeignete Sicherheitsmaßnahmen ergreifen, um sich adäquat zu schützen.

Wie groß ist die Bedrohung?

Goldfarb: Da APIs sensible Daten offenlegen und Zugang zu kritischen Systemen bieten, besteht ein erhebliches Potenzial für die unbeabsichtigte Offenlegung zu vieler Daten und den unbefugten Zugang zu Back-End-Systemen. Grundsätzlich sollen APIs offen und zugänglich sein, um Innovationen schnell zu ermöglichen. Leider birgt dies auch Risiken, da Angreifer Schwachstellen im API-Ökosystem erkennen und ausnutzen können.

Welche konkreten Gefahren gibt es bei APIs?

Goldfarb: Da sind durchaus einige zu nennen. Zu den größten Risiken für Unternehmen gehören Fehler im API-Code, die versehentliche Offenlegung sensibler Daten, die unbefugte Offenlegung von oder der unbefugte Zugriff auf Backend-Systeme, die Manipulation von Daten und der unbefugte Zugriff auf bestimmte Objekte oder Funktionen innerhalb von APIs.

Wie lassen sich APIs absichern?

Goldfarb: API-Sicherheit sollte ganzheitlich als Teil der gesamten Defense-in-Depth-Sicherheitsstrategie eines Unternehmens betrachtet werden.  Zu den Kernbereichen der API-Sicherheit gehören die codebasierte Erkennung (bei der Schwachstellen im API-Code vor der Bereitstellung identifiziert werden), die crawlerbasierte Erkennung (bei der Schwachstellen durch Crawlen der exponierten API-Infrastruktur identifiziert werden) und die verkehrsbasierte Erkennung (bei der Sicherheitsprobleme und -vorfälle durch kontinuierliche Sicherheitsüberwachung identifiziert und behoben werden).

Wie stark verändert sich die Sicherheitslage?

Goldfarb: Die Sicherheitslage ändert sich nicht radikal, sondern entwickelt sich weiter. Da APIs für Geschäftsprozesse immer wichtiger werden, bieten sie eine immer größere Angriffsfläche. Angreifer müssen daher neue Wege finden, um ihre Ziele zu erreichen. Dies führt zu immer raffinierteren Angriffen, gegen die sich Unternehmen verteidigen müssen.

Wie viele APIs nutzen Unternehmen durchschnittlich?

Goldfarb: Unsere aktuelle Studie, der 2024 SOAS-Report: API Security zeigt, dass Unternehmen im Durchschnitt 421 APIs verwalten. In einigen Unternehmen ist diese Zahl natürlich deutlich höher. APIs sind mittlerweile weit verbreitet und zu einem wichtigen Bestandteil der technologischen Infrastruktur von Unternehmen geworden.

Wie viele davon sind abgesichert?

Goldfarb: Unsere Studie belegt, dass etwa ein Drittel der APIs ohne jeglichen Schutz öffentlich zugänglich sind. In vielen Fällen handelt es sich bei diesen APIs sogar um Schatten-APIs, das heißt, die Sicherheitsorganisation ist sich ihrer Existenz nicht einmal bewusst und kann sie daher nicht inventarisieren, verwalten und absichern. Mit der zunehmenden Verbreitung von APIs dürfte sich dieser Trend noch verstärken.

Wie haben sich die Angriffe auf APIs zuletzt entwickelt?

Goldfarb: API-Angriffe werden immer raffinierter und komplexer. Dies ist keine Überraschung, da APIs aufgrund ihrer zunehmenden Bedeutung und Verbreitung ein immer attraktiveres Ziel für Angreifer darstellen. Es gibt keine revolutionären Sprünge bei API-Angriffen an sich, sondern eher eine kontinuierliche evolutionäre Steigerung der Raffinesse.

Was bedeutet das für Unternehmen?

Goldfarb: Unternehmen müssen die Sicherheit ihrer APIs mit Blick auf die nächsten Jahre signifikant verbessern. Die Herausforderung der API-Sicherheit muss strategisch angegangen werden, indem bewährte Verfahren eingesetzt werden, die sich bei der Erhöhung des Sicherheitsniveaus als wirksam erwiesen haben.

Josh ist als Field CISO bei F5 tätig. Zuvor war Josh als Vice President und Chief Technology Officer bei FireEye sowie als Chief Security Officer bei nPulse Technologies tätig, bis das Unternehmen von FireEye übernommen wurde.

 

Diesen Beitrag teilen: