Milliardenschäden durch unsichere Programmierschnittstellen

Datendiebe nutzen zunehmend Schwachpunkte in APIs aus. Mit der Zahl der Schnittstellen nehmen Risiko und Schäden zu, wie ein aktueller Bericht zeigt.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen

(Bild: TierneyMJ / Shutterstock.com)

Lesezeit: 2 Min.

Schwachstellen in Programmierschnittstellen (APIs) kosten Unternehmen weltweit jährlich zwischen 41 und 75 Milliarden US-Dollar. Das zeigt ein Report des Cyber Risk Analytics Center der Marktforschungsfirma Marsh McLennan im Auftrag des IT-Sicherheitsanbieters Imperva. Zudem seien 4,1 bis 7,5 Prozent aller Cybersecurity-Vorfälle und -Schäden auf Sicherheitslücken in APIs zurückzuführen. Die Einschätzungen stützt Marsh McLennan auf 117.000 untersuchte Vorfälle.

Als großes Risiko beschreibt Imperva die direkte Verbindung von API und Backend: Damit ließen sich bei unrechtmäßigen Zugriffen direkt vertrauliche Daten oder kritische Informationen abschöpfen. Firmen wie Steuerkanzleien, Unternehmensberatungen, Wirtschaftsprüfungsgesellschaften und der Online-Einzelhandel, aber auch IT-Unternehmen seien am häufigsten von Angriffen auf nicht ausreichend gesicherte APIs betroffen.

Im Mittelfeld der Angriffsziele sieht der Bericht die Fertigungsindustrie, das Transportwesen, Versorgungsunternehmen und das Finanz- und Versicherungswesen. Die wenigsten Vorfälle mit schlecht gesicherten APIs gebe es dagegen im Bildungssektor und Gesundheitswesen.

(Bild: Imperva)

Den gesamten Report hat Imperva als PDF veröffentlicht. Der Trend zu Low- oder No-Code kommt zwar Nicht-Programmierern beim Erstellen von Anwendungen entgegen. Um die im Imperva-Bericht genannten Schwachstellen zu vermeiden, sollten aber weiterhin erfahrene Entwickler komplexere Programmteile wie API-Anbindungen oder Sicherheitsfeatures erstellen.

Warum gerade APIs ein Sicherheitsrisiko sein können, beschreibt Sicherheitsberater Frank Ully im iX-Interview. Mehr Informationen zu unterschiedlichen API-Schwachstellen, zu Werkzeugen und wie man sichere APIs entwickelt, finden sich in der Titelstrecke der aktuellen iX 7/2022 und bei heise+.

(pst)