Thales, weltweit agierender Technologie- und Sicherheitsanbieter, veröffentlicht den Bericht „Economic Impact of API and Bot Attacks“.
Die Analyse von mehr als 161.000 einzelnen Cybersicherheitsvorfällen deckt die steigenden globalen Kosten anfälliger oder unsicherer APIs und des automatisierten Missbrauchs durch Bots auf, zwei Sicherheitsbedrohungen, die zunehmend miteinander verbunden und weit verbreitet sind. Der Bericht schätzt, dass API-Unsicherheit und Bot-Angriffe zu Verlusten von bis zu 186 Milliarden US-Dollar[1] für Unternehmen auf der ganzen Welt führen.
Der Bericht „Economic Impact of API and Bot Attacks“ basiert auf einer Studie des Marsh McLennan Cyber Risk Intelligence Center, die ergab, dass größere Organisationen statistisch gesehen häufiger einen höheren Prozentsatz an Sicherheitsvorfällen aufweisen, die sowohl unsichere APIs als auch Bot-Angriffe betreffen. Unternehmen mit einem Umsatz von mehr als 1 Milliarde US-Dollar sind zwei- bis dreimal häufiger von automatisiertem API-Missbrauch durch Bots betroffen als kleine oder mittelgroße Unternehmen. Die Studie legt nahe, dass große Unternehmen aufgrund komplexer und weit verbreiteter API-Ökosysteme, die oft ungeschützte oder unsichere APIs enthalten, besonders anfällig für Sicherheitsrisiken im Zusammenhang mit dem automatisierten API-Missbrauch durch Bots sind.
Unternehmen sind in hohem Maße auf APIs angewiesen, um eine nahtlose Kommunikation zwischen verschiedenen Anwendungen und Diensten zu ermöglichen. Daten des Imperva Threat Research-Teams zeigen, dass ein durchschnittliches Unternehmen im vergangenen Jahr 613 API-Endpunkte in der Produktion verwaltet hat. Diese Zahl steigt rapide an, da Unternehmen zunehmend unter Druck stehen, digitale Dienste mit größerer Agilität und Effizienz bereitzustellen.
Aufgrund dieser zunehmenden Abhängigkeit und ihres direkten Zugriffs auf sensible Daten sind APIs zu attraktiven Zielen für Bot-Betreiber geworden. Im Jahr 2023 machten automatisierte Bedrohungen, die von Bots generiert wurden, 30 Prozent aller API-Angriffe aus, wie Daten von Imperva Threat Research belegen. Heute kosten Unternehmen durch den automatisierten API-Missbrauch durch Bots jährlich bis zu 17,9 Milliarden US-Dollar an Verlusten. Da sich die Anzahl der APIs in der Produktion vervielfacht, werden Cyberkriminelle zunehmend automatisierte Bots einsetzen, um API-Geschäftslogik zu finden und auszunutzen, Sicherheitsmaßnahmen zu umgehen und sensible Daten zu exfiltrieren.
„Unternehmen auf der ganzen Welt müssen sich unbedingt mit den Sicherheitsrisiken befassen, die von unsicheren APIs und Bot-Angriffen ausgehen, da sie sonst mit erheblichen wirtschaftlichen Belastungen rechnen müssen“, sagt Nanhi Singh, General Manager of Application Security bei Imperva, einem Unternehmen von Thales. „Die Vernetzung dieser Bedrohungen erfordert, dass Unternehmen einen ganzheitlichen Ansatz verfolgen und umfassende Sicherheitsstrategien für Bot- und API-Angriffe integrieren.“
Zu den wichtigsten Trends, die in dem Bericht identifiziert wurden, gehören:
- Die zunehmende Akzeptanz und Nutzung von APIs vergrößert die Angriffsfläche: Die rasche Akzeptanz von APIs, die Unerfahrenheit vieler API-Entwickler und die mangelnde Zusammenarbeit zwischen Sicherheits- und Entwicklungsteams haben dazu geführt, dass unsichere APIs inzwischen zu jährlichen Verlusten von bis zu 87 Milliarden US-Dollar führen, was einem Anstieg von 12 Milliarden US-Dollar gegenüber 2021 entspricht.
- Bots wirken sich negativ auf das Geschäftsergebnis von Unternehmen aus: Die weit verbreitete Verfügbarkeit von Angriffswerkzeugen und generativen KI-Modellen hat die Techniken zur Umgehung von Bots verbessert und es selbst wenig qualifizierten Angreifern ermöglicht, ausgeklügelte Bot-Angriffe zu starten. Jährliche Verluste in Höhe von bis zu 116 Milliarden US-Dollar können auf automatisierte Angriffe durch Bots zurückgeführt werden.
- API- und Bot-bezogene Sicherheitsvorfälle treten immer häufiger auf: Im Jahr 2022 stiegen API-bezogene Sicherheitsvorfälle um 40 Prozent und Bot-bezogene Sicherheitsvorfälle um 88 Prozent Diese Zunahmen wurden durch einen Anstieg digitaler Transaktionen, die zunehmende Nutzung von APIs und geopolitische Spannungen wie den Russland-Ukraine-Konflikt begünstigt. Im darauffolgenden Jahr 2023, als sich der digitale Datenverkehr zu stabilisieren begann und der durch die Pandemie ausgelöste Anstieg der Internetaktivität nachließ, ging die Häufigkeit dieser Vorfälle zurück. API-bezogene Sicherheitsvorfälle nahmen um 9 Prozent zu, während Bot-bezogene Sicherheitsvorfälle um 28 Prozent zunahmen. Der allgemeine Aufwärtstrend bei Angriffen verdeutlicht die zunehmende Hartnäckigkeit und Häufigkeit dieser Bedrohungen.
- Unsichere APIs und Bot-Angriffe stellen eine erhebliche Bedrohung für große Unternehmen dar: Unternehmen mit einem Umsatz von mindestens 100 Milliarden US-Dollar sind am ehesten von Sicherheitsvorfällen im Zusammenhang mit unsicheren APIs oder Bot-Angriffen betroffen. Diese Bedrohungen machen bis zu 26 Prozent aller Sicherheitsvorfälle aus, mit denen solche Unternehmen konfrontiert sind.
Länder auf der ganzen Welt sind anfällig für API- und Bot-Angriffe: Brasilien verzeichnete den höchsten Prozentsatz an Vorfällen im Zusammenhang mit unsicheren APIs oder Bot-Angriffen, wobei die Bedrohungen bis zu 32 Prozent aller beobachteten Sicherheitsvorfälle ausmachten. Dicht darauf folgten Frankreich (bis zu 28 %), Japan (bis zu 28 %) und Indien (bis zu 26 %). Obwohl der Anteil der sicherheitsrelevanten Vorfälle im Zusammenhang mit APIs und Bots in den Vereinigten Staaten im Vergleich zu den Vorjahren zurückging, entfielen dennoch 66 Prozent aller gemeldeten Fälle auf anfällige APIs oder den automatisierten Missbrauch durch Bots in den USA.
„Die Abhängigkeit von APIs wird weiterhin exponentiell zunehmen und die Verbindungen zu generativen KI-Anwendungen und großen Sprachmodellen vorantreiben“, fügt Singh hinzu. „Gleichzeitig wird die generative KI es auch Cyberkriminellen ermöglichen, in zunehmend schnellerem Tempo ausgeklügelte Bots zu entwickeln. Da API-Ökosysteme expandieren und Bots immer fortschrittlicher werden, sollten Unternehmen mit einem erheblichen Anstieg der wirtschaftlichen Auswirkungen des automatisierten API-Missbrauchs durch Bots rechnen, sofern keine proaktiven Maßnahmen ergriffen werden."
(Foto: Thales)