Studie belegt API-Sicherheitsvorfälle bei 84 Prozent der deutschen Sicherheitsexperten im vergangenen Jahr

13. November 2024

Nur 27 Prozent der Befragten wissen, welche APIs vertrauliche Daten zurückgeben, auf die es Angreifer abgesehen haben

Akamai Technologies, Inc.  hat heute die Ergebnisse einer neuen Forschungsstudie veröffentlicht. Daraus geht hervor, dass der Einblick in API-Risiken mit Gefahrenpotenzial abnimmt, während gleichzeitig eine Zunahme von API-Angriffen zu beobachten ist. Die bereits im dritten Jahr durchgeführte API Security Impact Study (ehemals API Security Disconnect) untersucht den Stand des API-Schutzes basierend auf einer Befragung von 1.207 Sicherheitsexperten aus den USA, dem Vereinigten Königreich und in diesem Jahr erstmals auch aus Deutschland.

Die Studie ergab, dass 84 Prozent der Befragten (sowohl in Deutschland als auch im Schnitt aller untersuchten Länder) in den letzten zwölf Monaten einen API-Sicherheitsvorfall erlebt haben. Damit ist dies das dritte Jahr in Folge, in dem die Zahl der Angriffe zugenommen hat, und zugleich ein Rekordhoch gegenüber dem Vergleichswert von 78 Prozent aus dem Jahr 2023. Die Zahl stimmt auch mit den jüngsten Studien von Akamai überein, die einen Anstieg der API-Angriffe belegen.

API-Sicherheit besonders wichtig – und besonders oft vernachlässigt

Obwohl API-Angriffe zugenommen haben, ist der Prozentsatz der Befragten gesunken, die über ein vollständiges API-Inventar verfügen und wissen, welche APIs sensible Daten austauschen – und zwar von bereits niedrigen 40 Prozent im Jahr 2023 auf nur 27 Prozent im Jahr 2024. Der im Mai 2024 erschienene Gartner Market Guide für API-Schutz stellt fest: „Aktuelle Daten zeigen, dass eine durchschnittliche API-Verletzung zu mindestens zehnmal mehr geleakten Daten führt als eine durchschnittliche Sicherheitsverletzung.“ Daraus lässt sich schlussfolgern, dass API-Sicherheit auf absehbare Zeit ein Thema von enormer Bedeutung bleiben wird.

Im Rahmen der API Security Impact Study wurden Sicherheitsexperten aus den Bereichen Finanzdienstleistungen, Einzelhandel/E-Commerce, Gesundheitswesen, Behörden/öffentlicher Sektor, Fertigung, Energie/Versorgung, Automobilindustrie und Versicherungen befragt. Die Energie- und Versorgungsbranche meldete dabei mit 91 Prozent die höchste Anzahl an API-Sicherheitsvorfällen. Gleichzeitig wurde die API-Sicherheit als niedrigste Priorität unter den 13 verfügbaren Optionen eingestuft. Im Gegensatz dazu verzeichneten Einzelhandel und E-Commerce mit 68 Prozent die geringste Anzahl von API-Vorfällen und nannten die API-Sicherheit als oberste Priorität (21,3 Prozent) – der höchste Wert unter den untersuchten Branchen.

Weitere Erkenntnisse der Studie:

• Die durchschnittlichen Kosten für die Behebung von API-Vorfällen betrugen in Deutschland 403.453 Euro. In Sektoren wie Finanzdienstleistungen lag der Wert noch deutlich höher.
• In allen Regionen besteht ein allgemeiner, rollenübergreifender Konsens, dass sich API-Sicherheitsvorfälle vor allem auf das Sicherheitspersonal auswirken. Die Befragten stuften den Stress und/oder Druck, der durch das Thema API-Sicherheit auf ihren Teams lastet, als etwas höher ein als die Belastung durch Kosten für die Problembehebung und Geldstrafen.
• Die wichtigsten Sicherheitsprioritäten für CISOs in den nächsten zwölf Monaten sind die Bekämpfung von Bedrohungen im Zusammenhang mit generativer KI (25,5 Prozent) und der Schutz von APIs (24,8 Prozent).
• Im Jahr 2023 gaben 18 Prozent der Befragten in den USA und im Vereinigten Königreich an, APIs in Echtzeit zu testen. Innerhalb der gleichen Gruppe sank dieser Wert im Jahr 2024 auf 13 Prozent. Dabei zählen viele der von den Befragten genannten Ursachen für API-Vorfälle zu genau den Arten von Problemen, die durch Echtzeittests behoben werden können.
• Zu den häufigsten Ursachen für API-Vorfälle gehören die in den OWASP Top 10 API-Sicherheitsrisiken aufgeführten Schwachstellen und das offene Eingeständnis, dass gängige API-Tools die Probleme nicht erkannt haben.

Studie bietet Unternehmen Impulse, um Sicherheitsmaßnahmen zu verbessern

„Unsere Untersuchungen zeigen, dass die API-Sicherheit noch immer nicht als Schlüsselelement einer umfassenden Sicherheitsstrategie wahrgenommen wird“, so Rupesh Chokshi, Senior Vice President und General Manager, Application Security bei Akamai. „Unternehmen sehen API-Angriffe meist als neu entstehende Bedrohung, obwohl die Angriffsdaten ebenso wie die finanziellen Auswirkungen und der Stress für die Sicherheitsteams zeigen, dass diese Art der Bedrohung konstant zunimmt. Wir sind überzeugt, dass die API Security Impact Study Unternehmen dabei helfen kann, den Schutz ihrer APIs realistischer zu bewerten und ihn bei Bedarf zu verbessern.“

Neben den Erkenntnissen aus der Umfrage umfasst die Studie zudem eine Reihe von Empfehlungen, die Sicherheitsteams zur Verbesserung ihrer API-Sicherheitsstrategien nutzen können. Dazu gehören eine vollständige Bestandsaufnahme der APIs, regelmäßige Tests zur Sicherstellung eines korrekten Codes und die Einführung einer Laufzeiterkennung, die zwischen normaler und ungewöhnlicher API-Aktivität unterscheiden kann.

Die API Security Impact Survey wurde vom 12. Juni 2023 bis 7. Juli 2024 von Opinion Matters durchgeführt.