Der KI-gestützte Neustart: Umdenken bei der Verteidigung von Webanwendungen und APIs

Wissen ist in Zeiten des Wandels entscheidend. Und um dieses Wissen zu teilen, haben wir einen neuen „State of the Internet“-Bericht (SOTI) mit dem Titel Zustand der Anwendungs- und API-Sicherheit 2025: Wie künstliche Intelligenz das digitale Terrain verändert veröffentlicht. Der Bericht enthält die Analyse von Akamai der Trends, die sich auf Webanwendungen und APIs auswirken. Wir untersuchen die Konturen dieser neuen Umgebung und erklären, wie Sicherheitsexperten in der Zwischenzeit ihre kritischen Systeme und Daten schützen können.

Obwohl Angriffe auf Webanwendungen und APIs miteinander verbunden sind, sind sie nicht voneinander abhängig. Es gibt zahlreiche Angriffe Webanwendungen, die keine APIs betreffen, und umgekehrt. Methoden und Taktiken zur Ausnutzung sind abhängig von der Motivation und den technischen Fähigkeiten des Angreifers.

• Angriffe auf Webanwendungen zielen auf nutzerseitige Komponenten von Webanwendungen ab, z. B. öffentliche Anmeldeseiten, und setzen häufig weniger ausgeklügelte Techniken ein.

• API-Angriffe konzentrieren sich auf die Ausnutzung von Schwachstellen in den API-Endpunkten von Anwendungen, wie System-zu-System-Verknüpfungen, und erfordern ein tieferes Verständnis der Struktur und des Verhaltens jeder API.

Wenn die Angriffe selbst nicht wechselseitig abhängig sind, dürfen Ihre Verteidigungsmaßnahmen es auch nicht sein. Moderne Anwendungen sind in puncto Funktionalität zunehmend auf APIs angewiesen. Daher ist es wichtig, zukunftsorientierte Cybersicherheitsstrategien zu entwickeln, die sowohl Web- als auch API-Angriffe berücksichtigen.

Wenn Sie diese Aspekte vernachlässigen, sind Sie anfällig für ausgeklügelte Angriffe mit mehreren Vektoren, die Schwachstellen sowohl im Frontend als auch im Backend einer Anwendung ausnutzen. Die Automatisierungsfunktionen von Large Language Models (LLMs) und generativer KI machen es Angreifern einfacher als je zuvor, einen Angriff mit einem umfangreichen Botnet oder eine Phishing-Kampagne auszuführen.

Wir von der Akamai Security Intelligence Group (SIG) sind uns bewusst, dass eine ordnungsgemäße Arbeit im Bereich Data Science und Forschung eine gründliche Überprüfung der Datenausgaben und eine Untersuchung der Quelle der Rohdaten erfordert. Zudem ist uns nur zu klar, dass APIs derzeit ein beliebtes Ziel für Angreifer darstellen. Diese beiden Erkenntnisse führten uns zu der neuesten Entwicklung unserer Berichtsdatensätze – der erweiterten Recherche und Analyse von API-Bedrohungen – und brachten einige interessante Erkenntnisse. Im Jahr 2024:

• Gab es einen Anstieg von 32 % der Vorfälle mit Bezug auf die OWASP-Top-10 der API-Sicherheitsrisiken, bei denen Authentifizierungs- und Autorisierungsfehler aufgedeckt wurden, durch die vertrauliche Daten und Funktionen offengelegt werden.

• Es gab eine Zunahme von 30 % bei den Sicherheitswarnungen im Zusammenhang mit dem Sicherheits-Framework MITRE, da Angreifer KI und Automatisierung verwenden, um APIs auszunutzen.  

• 37 % der 116 Milliarden Webangriffe in der Region Europa, Naher Osten und Afrika (EMEA) zielten auf APIs ab. Das war mehr als in allen anderen Regionen der Welt.

KI-gestützte APIs haben sich als noch weniger sicher erwiesen als diejenigen, die menschliches Eingreifen erfordern. Die meisten dieser APIs sind extern zugänglich, verfügen nur über schwache Authentifizierungsmechanismen und wurden nicht ordnungsgemäß getestet, was sie anfälliger für Angriffe macht.

Je nachdem, mit welcher API eine Verbindung hergestellt wird, kann das schwerwiegende Folgen haben. Erinnern Sie sich noch daran, wie Cyberkriminelle die API eines Anbieters für elektronische Signaturen ausnutzten, um Rechnungen als Teil eines Betrugs zu versenden? Die Konsequenzen sind tatsächlich nicht zu unterschätzen.😬

Was API-Angriffe betrifft, befinden wir uns noch in der Lernphase, aber in der Praxis nutzen wir die Lernmethode „Test in der Produktion“. Verbraucher verlangen Innovation, und Gewinne erfordern schnelle Innovation. 

Die Sicherheit sollte der anspruchsvollste Teil eines Code-Prüfungsprozesses sein, wodurch sie zu größten Hemmfaktor bei der Markteinführung eines Produkts werden kann. Leider führt dies häufig dazu, dass weniger Tests durchgeführt werden, und immer mehr Code, die auf nicht getesteten Codes basieren. 

Sicherheitsprüfungen stehen naturgemäß im Widerspruch zum Zweck des Entwicklers, aber die Minimierung von Tests kann einige suboptimale Szenarien zur Folge haben.  

• Verbesserter Sicherheitswarnungen: Unsere Analyse ergab, dass Sicherheitswarnungen in Bezug auf den Payment Card Industry Data Security Standard (PCI DSS), die Datenschutzgrundverordnung (DSGVO) und die International Organization for Standardization (ISO)-27001 um 16 %, 21 % bzw. 22 % zugenommen haben.

• Herausforderungen beim Erkennen von API-Missbrauch: Diese Herausforderungen unterstreichen die Notwendigkeit einer Echtzeitüberwachung von Anomalien und Verhalten, um Bedrohungen präventiv zu identifizieren.

• Nicht verwaltete Zombie- und Shadow-APIs: Diese beiden Hauptursachen für API-Sicherheitsvorfälle führen dazu, dass Sicherheitsteams Schwierigkeiten haben, eine umfassende API-Bestandsaufnahme durchzuführen.

Wie bereits erwähnt, stehen Angriffe auf Webanwendungen und APIs zwar miteinander in Verbindung, sind jedoch nicht voneinander abhängig. Hier nun mehr darüber, was sie verbindet: Unsere Untersuchungen haben gezeigt, dass die Anzahl der Webangriffe, die sowohl auf Webanwendungen als auch auf APIs abzielen, in den letzten zwei Jahren weltweit erheblich zugenommen hat.

Da es an unterschiedlichen Orten zu unterschiedlichen Problemen kommt, haben wir bestimmte Branchen, Regionen und Angriffstrends analysiert, um mehrere Ansichten der Auswirkungen von Layer-7-Missbrauch aufzuführen. Zu den wichtigsten Ergebnissen des Berichts gehören Folgende Fakten:

• Zwischen Q1 2023 und Q4 2024 stieg die Anzahl der Webangriffe, die auf Webanwendungen und APIs abzielten, um 65 % an – von 14 Milliarden auf über 29 Milliarden Angriffe.

• Es gab einen Anstieg von 94 % der Layer-7-DDoS-Angriffe (Distributed Denial-of-Service) im selben Zeitraum – von knapp über 500 Milliarden monatlichen Angriffen auf über 1,1 Billionen.

• Es gab eine Zunahme der Webangriffe im Asien-Pazifik-Raum und Japan um 73 % – von 29 Milliarden im Jahr 2023 auf 51 Milliarden im Jahr 2024.

• Der Handel ist nach wie vor ein Hauptziel und erlebte im Jahr 2024 mehr als 230 Milliarden Webangriffe – fast das Dreifache im Vergleich zum zweithäufigsten Ziel, der Hightech-Branche. 

Es wird viel darüber gesprochen, was Angreifer mit KI tun können. Wenn es um die böswillige Nutzung von KI-Systemen geht, gibt es im Wesentlichen folgendes Menü à la Carte an Optionen:

• Automatisiertes Schwachstellenscans mit einer Geschwindigkeit, die bisher nicht vorstellbar war
• KI-generierter Schadcode
• Automatisierte Angriffe mit KI-basierten Bots
• Automatisierte volumetrische DDoS-Angriffe
• Verhaltensbasierte Angriffe (Low-and-Slow-Angriffe, die der Erkennung entgehen und auf häufige API-Schwachstellen abzielen)

Das Gute daran ist, dass nicht nur die Kriminellen Ihren Spaß mit KI haben. KI hilft uns auch dabei, die Bedrohung mit neuen, auf KI basierten WAF-Systemen (Web Application Firewall) zu bekämpfen, um Cyberbedrohungen wie Bots, DDoS-Angriffe, Scraper und Scanner zu identifizieren und abzuwehren.

Compliance hat einen großen Einfluss auf das gesamte Risikomanagement eines Unternehmens, daher haben wir in diesem SOTI-Bericht auch die gesetzliche Regulierung angesprochen. Nicht alle Bedrohungen für ein Unternehmen sind Cyberbedrohungen – die Einhaltung der unzähligen, sich ständig weiterentwickelnden Sicherheitsbestimmungen auf der ganzen Welt ist allein ein Vollzeitjob.

In diesem SOTI-Bericht thematisieren wir auch neue und aktualisierte Anforderungen an die Cybersicherheit für verschiedene Regionen, beispielsweise den Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) in den USA und die Richtlinie zu Netzwerk- und Informationssystemen (NIS2) in Europa. Die verschiedenen geografischen Regionen haben unterschiedlich strenge gesetzliche Auflagen, was zu Nuancen führt, die sich global auswirken.

Während in Nordamerika beispielsweise der Fokus auf einem umfassenden Risikomanagement und einer Meldepflicht für Sicherheitsvorfälle liegt, erweitert Europa die Vorschriften auch auf mobile Dienste.

• Verteidiger müssen die Automatisierung und Innovation auf dem Niveau und in der Geschwindigkeit der Angreifer durchführen und gleichzeitig die gesetzlichen Standards einhalten, Angriffe abwehren und alle anderen Aufgaben des Teams erfüllen.  

• Die Regulierungsbehörden reagieren aktiv auf die zunehmende Bedrohung von Anwendungen und APIs. Es gilt also: je zukunftssicherer Ihre Systeme sind, desto besser. Aus diesem Grund können Sie durch die Konzentration auf proaktive Verteidigung auch Compliance und Sicherheit gewährleisten (natürlich nur, wenn die gesetzlichen Vorgaben entsprechend gestaltet sind).

Um im Zeitalter der KI Sicherheit zu gewährleisten, müssen Sie einen umfassenden Sicherheitsplan erstellen, dessen Fokus darauf liegt, von einem Angriff auszugehen und Ihre Grundlagen zu schützen. Auch wenn Sie nicht von den erforderlichen Regulierungsbehörden vorgeschrieben sind, gab es noch nie einen besseren Zeitpunkt, um die aktuellen Praktiken zur Überprüfung zu überdenken und die Grundlagen zu verstärken.

Wie viele groß angelegte Sicherheitsverletzungen und Angriffe wurden durch das Klicken auf eine Phishing-E-Mail verursacht? Angreifer nutzen Lücken in grundlegenden Schutzmechanismen aus, weil sie damit nach wie vor erfolgreich sind.

Sich auf Input Validation, sichere Entwicklungspraktiken und regelmäßige Sicherheitsaudits zu konzentrieren ist eine gute Vorgehensweise und bietet langfristige Sicherheit, anders als radikale und trendige Schutzmaßnahmen, die zu unerwarteten Ergebnissen führen können.