Schwachstellen in Programmierschnittstellen (APIs) kosten Unternehmen weltweit jährlich zwischen 41 und 75 Milliarden US-Dollar. Das zeigt ein Report des Cyber Risk Analytics Center der Marktforschungsfirma Marsh McLennan im Auftrag des IT-Sicherheitsanbieters Imperva. Zudem seien 4,1 bis 7,5 Prozent aller Cybersecurity-Vorfälle und -Schäden auf Sicherheitslücken in APIs zurückzuführen. Die Einschätzungen stützt Marsh McLennan auf 117.000 untersuchte Vorfälle. Als großes Risiko beschreibt Imperva die direkte Verbindung von API und Backend: Damit ließen sich bei unrechtmäßigen Zugriffen direkt vertrauliche Daten oder kritische Informationen abschöpfen. Firmen wie Steuerkanzleien, Unternehmensberatungen, Wirtschaftsprüfungsgesellschaften und der Online-Einzelhandel, aber auch IT-Unternehmen seien am häufigsten von Angriffen auf nicht ausreichend gesicherte APIs betroffen. Im Mittelfeld der Angriffsziele sieht der Bericht die Fertigungsindustrie, das Transportwesen, Versorgungsunternehmen und das Finanz- und Versicherungswesen. Die wenigsten Vorfälle mit schlecht gesicherten APIs gebe es dagegen im Bildungssektor und Gesundheitswesen. Den gesamten Report hat Imperva als PDF veröffentlicht. Der Trend zu Low- oder No-Code kommt zwar Nicht-Programmierern beim Erstellen von Anwendungen entgegen. Um die im Imperva-Bericht genannten Schwachstellen zu vermeiden, sollten aber weiterhin erfahrene Entwickler komplexere Programmteile wie API-Anbindungen oder Sicherheitsfeatures erstellen. Warum gerade APIs ein Sicherheitsrisiko sein können, beschreibt Sicherheitsberater Frank Ully im iX-Interview. Mehr Informationen zu unterschiedlichen API-Schwachstellen, zu Werkzeugen und wie man sichere APIs entwickelt, finden sich in der Titelstrecke der aktuellen iX 7/2022 und bei heise+.

Quelle: Heise