Die größten Warnsignale für die API-Sicherheit

API-Sicherheitslücken sind mittlerweile weit verbreitet und öffentlich bekannt. KI-Apps und vernetzte Ökosysteme erhöhen Risiken und Komplexität. Es ist kein Zufall, dass Angreifer ihr Augenmerk nun auf API-Endpunkte richten.

Unternehmen müssen ihre API-Sicherheitsstrategie neu bewerten, um sicherzustellen, dass sie zum Schutz ihrer API-basierten Anwendungen bereit sind. Aber wo sollen sie anfangen?

In dieser Infografik gehen wir auf die fünf wichtigsten Warnsignale für die API-Sicherheit ein, die jedes Unternehmen kennen sollte. Durch ein besseres Verständnis dieser Anzeichen können Unternehmen die größten Risiken erkennen und proaktiv angehen, um ihren ganzheitlichen Ansatz zur API-Sicherheit zu verbessern.

Klicken Sie auf die Registerkarten, um mehr über Warnsignale bei der API-Sicherheit zu erfahren
Sie wissen nicht, wo sich alle Ihre APIs befinden
  • Die Ausbreitung von APIs ist erschreckend weit verbreitet. Laut dem Datos API Security Solution Evaluation Guide wird die Zahl der genutzten APIs bis 2030 zwei Milliarden übersteigen. Dabei verwenden Unternehmen bereits jetzt durchschnittlich mehr als 20.000 APIs.
  • API-Endpunkte stellen eine besondere Herausforderung dar. Laut dem „2024 State of Application Strategy Report “ von F5 „kann eine einzelne API Dutzende oder Hunderte Endpunkte haben.“ Um die Sache noch komplizierter zu machen, verfügt ein Unternehmen möglicherweise nicht über die vollständige Kontrolle über alle APIs, die mit seinen Systemen in Kontakt treten.
  • Der „State of the API“-Bericht 2023 von Postman identifizierte die folgenden Hindernisse für die Nutzung von APIs:
    • Fehlende Dokumentation (52 %)
    • Schwierigkeiten beim Entdecken von APIs (32 %)
Welt mit Sicherheitszeichen
Die Angriffsfläche Ihres Unternehmens ist unklar
  • Der Datos API Security Solution Evaluation Guide erklärt das Kernproblem: „Die Aufzählung der API-Angriffsfläche ist für die Sicherung von APIs von entscheidender Bedeutung. CISOs können nicht schützen, was nicht bekannt ist. Die API-Erkennung ist erforderlich, um Schatten-APIs, verwaiste APIs, veraltete APIs und nicht mehr verfügbare APIs zu identifizieren.“
  • APIs sind für jedes moderne Unternehmen von entscheidender Bedeutung. Wie Venture Beat beschreibt, „machen APIs 91 % des gesamten Webverkehrs aus und sie passen zum Trend zu Microservices-Architekturen und der Notwendigkeit, dynamisch auf sich schnell ändernde Marktbedingungen zu reagieren.“
  • Und weil sie eine Schlüsselrolle spielen, sind APIs ein beliebtes Ziel für Cyberkriminelle. 90 % der webbasierten Cyberangriffe zielen auf API-Endpunkte ab und die Zahl der kompromittierten Angriffsdatensätze mit API-Ursprung hat 1 Milliarde überschritten.
Digitale Verwaltung / Digitale Dienste
Ihr Sicherheits-Stack ist zu komplex
  • Heutige Apps und APIs werden in einer hybriden Multicloud-Landschaft bereitgestellt. Wie im „State of Application Strategy Report 2024“ berichtet wird, arbeiten fast 90 % der Organisationen mit hybriden Bereitstellungsmodellen, darunter SaaS, Public Cloud/IaaS, On-Premises (traditionell), On-Premises (Private Cloud), Colocation und Edge.
  • Aus demselben Bericht geht hervor, dass die Zahl der Organisationen, die sechs verschiedene Modelle verwenden, von 2023 bis 2024 um fast 20 % gestiegen ist.
  • 66 % der großen Unternehmen (mit mehr als 10.000 Mitarbeitern) verwenden typischerweise 60–80 Sicherheitstools – teilweise aufgrund der dedizierten Tools, die erforderlich sind, um spezifische Anforderungen in mehreren Cloud-Umgebungen zu erfüllen.
Wolke Dreieck
Die Aufrechterhaltung Ihrer Sicherheitslage ist zu manuell
  • Bei so vielen APIs und Endpunkten sind manuelle Sicherheitsupdates nicht nachhaltig. Durch die Automatisierung der API-Sicherung kann der Bedarf an manuellen Aktualisierungen drastisch reduziert werden, wie diese Fallstudie von McGraw Hill zeigt, die die Bemühungen des Unternehmens dokumentiert, die Komplexität der Verwaltung von 18 Millionen monatlichen API-Anfragen zu reduzieren.
  • Die Teilnehmer der Umfrage „State of Application Strategy“ geben an, dass manuelle Patches und Updates bei der Reaktion auf Zero-Day-Angriffe nicht schnell genug sind. Viele Entscheidungsträger geben an, dass die Automatisierung der App- und API-Sicherheit aufgrund der hohen Kosten erfolgreicher Angriffe unabdingbar ist. Zu diesem Zweck stieg die App- und API-Automatisierung im vergangenen Jahr von 33 % auf 43 %. Die Anzahl der veröffentlichten CVEs nimmt zu und die Forscher von F5 Labs gehen davon aus, dass im Jahr 2025 in einer typischen Woche 500 neue CVEs veröffentlicht werden .
  • Die zunehmende Nutzung generativer KI wirkt sich auch auf die App- und API-Sicherheit aus. Der wichtigste Anwendungsfall für generative KI im Sicherheitsbereich ist die automatische Anpassung von Sicherheitsrichtlinien und die Generierung von Sicherheitskonfigurationen bei erkannten Bedrohungen.
Legacy-Modernisierung
Sie machen sich Sorgen um die Sicherheit von KI-Apps
  • Die Sicherung generativer KI beginnt mit einer Grundlage guter App- und API-Sicherheit. Mete Atamel, Cloud-Entwickler-Befürworter bei Google, beschreibt dies prägnant : „Egal, wie Sie KI der Generation nutzen, letztendlich rufen Sie einen Endpunkt entweder mit einem SDK, einer Bibliothek oder über eine REST-API auf.“
  • Zwei Monate nach dem Start des OpenAI GPT Store haben Benutzer bereits über 3 Millionen benutzerdefinierte Versionen von ChatGPT erstellt, was das Ausmaß der Sicherheitsherausforderung verdeutlicht, die mit der Absicherung von Drittanbietern verbunden ist.
  • IDC berichtet, dass „66 % der Befragten GenAI und allgemein öffentliche und private KI-Workloads als einen ihrer wichtigsten Anwendungsfälle angeben.“ Sie fanden heraus, dass „die Implementierung der meisten KI-gestützten Unternehmensanwendungen stark verteilt ist und Dutzende bis Hunderte von API-Interaktionen erfordert, die auf hochverfügbare und sichere Weise eine Vielzahl von öffentlichen Clouds, spezialisierten Clouds und lokalen Infrastruktur- und Anwendungsumgebungen durchlaufen müssen. Die Forscher von F5 fanden außerdem heraus, dass die meisten Organisationen die Bereitstellung von KI-Apps in Hybrid- und Multicloud-Umgebungen planen. Die Teilnehmer der „State of Application Strategy“-Umfrage gaben an, dass sie KI-Apps in der öffentlichen Cloud (80 %) und vor Ort (54 %) verwalten würden.  
Identitäts- und Zugriffsverwaltung

Erfahren Sie, wie F5 dazu beitragen kann, den ganzheitlichen Ansatz Ihres Unternehmens zur API-Sicherheit zu verbessern.