Neuer Cloudflare-Bericht: Angemessener Umgang mit API-Cybersicherheitsrisiko fällt Unternehmen schwer
Neuer Cloudflare-Bericht: Angemessener Umgang mit API-Cybersicherheitsrisiko fällt Unternehmen schwer
API sind weitgehend ungeschützt, obwohl sie für einen Großteil des Internet-Traffics verantwortlich sind
API sind weitgehend ungeschützt, obwohl sie für einen Großteil des Internet-Traffics verantwortlich sind
San Francisco (Kalifornien), 9. Januar 2024 – Cloudflare, Inc. (NYSE: NET), der führende Anbieter im Bereich Connectivity Cloud, hat heute seinen ersten Bericht zu API-Sicherheit und -Verwaltung veröffentlicht. Daraus geht hervor, dass Unternehmen heute stärker auf API – einen technischen Grundpfeiler der aktuell am häufigsten genutzten Websites und Apps – zurückgreifen als je zuvor. Damit wird aber auch einer nie dagewesenen Zahl an Online-Bedrohungen Tür und Tor geöffnet. Der Report verdeutlicht die Schieflage zwischen der Allgegenwärtigkeit von API und der unzureichenden Fähigkeit von Unternehmen, die Daten zu schützen, die mit diesen API in Berührung kommen.
API sind der Motor der digitalen Welt – Handys, Smartwaches, Banksysteme und Shopping-Websites nutzen alle API zur Kommunikation. Sie können die Zahlungsabwicklung im Online-Geschäft erleichtern, zur sicheren Übertragung von Gesundheitsdaten beitragen oder Betreibern von Taxidiensten und öffentlichen Verkehrsmitteln Zugriff auf Echtzeit-Verkehrsdaten ermöglichen. So gut wie jedes Unternehmen verwendet heute API, um Websites, Anwendungen und Dienste zu entwickeln und für Verbraucherinnen und Verbraucher zu optimieren. Wenn diese Schnittstellen aber nicht verwaltet und abgesichert werden, sind sie eine Goldgrube für Kriminelle, die darüber sensible Informationen ausschleusen können.
„API sind für die Funktionsweise von Anwendungen und Websites maßgeblich. Das macht sie zu einem einträglichen, wenn auch relativ neuen Ziel von Hackern“, erklärt Matthew Prince, CEO und Mitgründer von Cloudflare. „Unternehmen müssen unbedingt alle ihre API aufspüren und absichern, um Datenlecks zu verhindern und ihr Geschäft zu schützen.“
Wichtige Erkenntnisse aus dem Cloudflare-Bericht zu API-Sicherheit und -Verwaltung 2024:
- Selbst Branchen, von denen man es nicht erwartet, verzeichnen einen starken Anstieg beim API-Traffic: Weil API eine nahtlose Integration ermöglichen, greifen Unternehmen aus verschiedenen Branchen zunehmend darauf zurück – manche allerdings schneller andere. Den höchsten Anteil am API-Datenverkehr hatten 2023 das Internet der Dinge, der Schienenverkehr, Busse und Taxen, Rechtsdienstleistungen, Multimedia und der Bereich Gaming sowie die Logistik- und Lieferkettenbranche.
- Auf API entfällt der größte Teil des Internet-Traffics: Weltweit wird der dynamische Internet-Traffic von API (57 Prozent) dominiert. In jeder Weltregion, die von Cloudflare geschützt wird, wurde im vergangenen Jahr eine Zunahme der API-Verwendung registriert. Die Regionen, in denen sich API explosionsartig verbreitet haben und bei denen API 2023 den höchsten Anteil am Datenverkehr hatten, waren jedoch Afrika und Asien.
- API sind einer Vielzahl an häufigen und wachsenden Bedrohungen ausgesetzt: Wie bei vielen anderen beliebten und geschäftstragenden Funktionen, die sensible Daten beherbergen, versuchen Kriminelle auch hier mit allen Mitteln, sich Zugang zu verschaffen. Daher hat die wachsende Beliebtheit von API auch zu einem Anstieg des Angriffsvolumens geführt. Bei den von Cloudflare abgewehrten Attacken wurden am häufigsten HTTP-Anomalien, Injection und File Inclusion genutzt.
- Mit Schatten-API haben Angreifer freie Bahn: Wissen Unternehmen nichts von der Existenz einer Bedrohung, können sie sich auch nicht dagegen schützen. Mittels Machine Learning konnten knapp 31 % mehr API REST-Endpunkte (über die sich eine API mit einer Software verbindet) ermittelt werden als anhand der von Kundinnen und Kunden angegebenen Identifizierungsmerkmale. Mit anderen Worten: Die Unternehmen haben keine klare Vorstellung von ihrem eigenen API-Bestand.
- DDoS-Abwehrlösungen gehören zu den effektivsten Mitteln zum Schutz von API: Unabhängig davon, ob ein Unternehmen vollständigen Überblick über alle seine API hat, können DDoS-Abwehrlösungen zur Blockierung potenzieller Bedrohungen beitragen. Ein Drittel (33 Prozent) aller gegen API-Bedrohungen angewandten Abwehrmaßnahmen wurden durch einen bereits implementierten DDoS-Schutz eingeleitet.
„API sind mächtige Werkzeuge, mit denen Entwicklerinnen und Entwickler umfassende, komplexe Anwendungen für Kundinnen und Kunden, Partner und Beschäftigte erschaffen können. Doch jede API ist auch ein mögliches Einfallstor für Angriffe, das abgesichert werden muss“, erklärt Melinda Marks, Practice Director, Cybersecurity bei der Enterprise Strategy Group. „Wie dieser neue Bericht zeigt, brauchen Unternehmen effektivere Möglichkeiten zur Gewährleistung der API-Sicherheit. Dazu gehören ein umfassenderer Überblick über vorhandene API, Wege für eine sichere Authentifizierung und bessere Mittel, um ihre Anwendungen vor Angriffen zu schützen.“
Methodik: Die Ergebnisse dieses Berichts, wozu auch die oben aufgeführten Statistiken gehören, leiten sich aus Traffic-Mustern ab, die im weltumspannenden Netzwerk von Cloudflare (einschließlich unserer Web Application Firewall, unseres DDoS-Schutzes, unseres Bot-Managements und unserer API Gateway-Dienste) zwischen dem 1. Oktober 2022 und dem 31. August 2023 beobachtet wurden. Während des am 30. September 2023 abgelaufenen Quartals hat Cloudflare im Schnitt mehr als 50 Millionen HTTP-Anfragen pro Sekunde verarbeitet und durchschnittlich 170 Milliarden Cyberbedrohungen am Tag blockiert.
Eingehender zu diesem Thema informieren können Sie sich hier:
- Bericht zu API-Sicherheit und -Verwaltung 2024
- Blogbeitrag: Vorstellung des Cloudflare-Berichts zu API-Sicherheit und -Verwaltung 2024
- API-Sicherheit von Cloudflare
- Was ist API-Sicherheit?
Über Cloudflare
Cloudflare, Inc. (NYSE: NET) ist der führende Anbieter im Bereich Connectivity Cloud. Mit Cloudflare können Unternehmen ihre Mitarbeitenden, Anwendungen und Netzwerke noch besser schützen, deren Performance steigern und gleichzeitig Komplexität und Kosten reduzieren. Die Connectivity Cloud von Cloudflare bietet die umfassendste konsolidierte Plattform für cloudnative Produkte und Entwicklertools am Markt. Mit dieser Lösung kann sich jedes Unternehmen die für die Arbeit, Produktentwicklung und schnellere Geschäftserfolge erforderliche Kontrolle verschaffen.
Aufbauend auf einem der größten und am stärksten verflochtenen Netzwerke der Welt schirmt Cloudflare Kunden täglich vor Milliarden von Online-Bedrohungen ab. Millionen von Organisationen bauen auf Cloudflare – darunter große Marken ebenso wie Unternehmerinnen und Unternehmer, kleine und mittelständische Betriebe, gemeinnützige Einrichtungen, Hilfsorganisationen und Behörden auf der ganzen Welt.
Weitere Informationen zur Connectivity Cloud von Cloudflare finden Sie unter cloudflare.com/de-de/connectivity-cloud. Bei https://radar.coudflare.com können Sie sich über die neuesten Trends und Erkenntnisse zum Thema Internet informieren.
Cloudflare folgen: Blog | X | LinkedIn | Facebook | Instagram
Zukunftsgerichtete Aussagen
Diese Pressemitteilung enthält zukunftsgerichtete Aussagen im Sinne von Abschnitt 27A des „Securities Act of 1933“ der Vereinigten Staaten in seiner geänderten Fassung und Abschnitt 21E des „Securities Exchange Act of 1934“ der Vereinigten Staaten in seiner geänderten Fassung, die mit erheblichen Risiken und Unsicherheiten behaftet sind. In einigen Fällen lassen sich zukunftsgerichtete Aussagen daran erkennen, dass sie Wörter wie „können“, „werden“, „sollten“, „erwarten“, „erkunden“, „planen“, „voraussehen“, „könnten“, „beabsichtigen“, „anstreben“, „prognostizieren“, „erwägen“, „glauben“, „schätzen“, „vorhersagen“, „potenziell“ oder „fortsetzen“ oder die Verneinung dieser Wörter oder ähnliche Begriffe oder Ausdrücke enthalten, die sich auf die Erwartungen, Strategien, Pläne oder Absichten von Cloudflare beziehen. Allerdings enthalten nicht alle zukunftsgerichteten Aussagen diese Signalwörter. Unter zukunftsgerichteten Aussagen, die in dieser Pressemitteilung direkt oder indirekt getätigt werden, sind unter anderem Aussagen über Produkte und Technologien von Cloudflare, über unsere technologische Entwicklung, zukünftigen Betriebstätigkeiten, unser Wachstum, unsere Initiativen oder Strategien, künftige Markttrends sowie Äußerungen unseres CEO zu verstehen. Die tatsächlichen Ergebnisse können erheblich von denjenigen abweichen, die in den zukunftsgerichteten Aussagen direkt oder indirekt angegeben wurden, was auf eine Reihe von Faktoren zurückzuführen ist – unter anderem auf die Risiken, die in den von Cloudflare bei der US-Börsenaufsicht SEC (Securities and Exchange Commission) eingereichten Unterlagen aufgeführt sind, einschließlich des Cloudflare-Quartalsberichts im Formular 10-Q, das am 2. November 2023 eingereicht wurde, sowie anderer Unterlagen, die Cloudflare gegebenenfalls bei der SEC einreicht.
Die in dieser Pressemitteilung getätigten zukunftsgerichteten Aussagen beziehen sich nur auf Ereignisse bis zu dem Datum, an dem sie gemacht wurden. Cloudflare übernimmt keine Verpflichtung, die in dieser Pressemitteilung getätigten zukunftsgerichteten Aussagen nachträglich zu aktualisieren, sodass sie Ereignisse, Umstände, neue Informationen oder unvorhergesehene Ereignisse berücksichtigen, die nach dem Datum dieser Pressemitteilung auftreten, sofern dies nicht gesetzlich vorgeschrieben ist. Es ist möglich, dass sich die dargelegten Pläne, Absichten oder Annahmen in den von Cloudflare getätigten zukunftsgerichteten Aussagen nicht realisieren, weshalb Sie sich nicht vorbehaltlos auf die zukunftsgerichteten Aussagen von Cloudflare verlassen sollten.
© 2024 Cloudflare, Inc. Alle Rechte vorbehalten. Cloudflare, das Cloudflare-Logo und weitere Cloudflare-Marken sind Marken und/oder eingetragene Marken von Cloudflare, Inc. in den USA und anderen Rechtsräumen. Alle anderen hier referenzierten Marken und Namen können Marken ihrer jeweiligen Eigentümer sein.