APIs sind eine wichtige Technologie der Zukunft. Doch sie bergen auch Sicherheitsrisiken.

puitlov_denis – stock.adobe.com

29.06.22
Risiko Management

Unsichere APIs sorgen für Milliardenschäden

Von Jakob Eich
Drucken Bei LinkedIn teilen Bei Xing teilen
Bei Facebook teilen Bei Twitter teilen Bei Google+ teilen Per E-Mail teilen

Viele Treasury-Abteilungen beschäftigen sich derzeit mit der Schnittstellentechnologie API. Das Potential ist riesig, allerdings nutzen Hacker die Schnittstellen gerne aus.

Schwachstellen bei den auch für das Treasury wichtiger werdenden Programmierschnittstellen (APIs) kosten Unternehmen weltweit zwischen 41 und 75 Milliarden US-Dollar. Das schätzt ein Report der Marktforschungsfirma Marsh McLennan im Auftrag des IT-Sicherheitsanbieters Imperva.

Zudem seien mittlerweile 4,1 bis 7,5 Prozent aller Cybersecurity-Vorfälle und -Schäden auf Sicherheitslücken in APIs zurückzuführen, schreiben die Autoren. Die Einschätzungen stützt Marsh McLennan auf 117.000 untersuchte Vorfälle. Die Spanne dürfte so groß sein, weil nicht immer eindeutig nachweisbar ist, wie ein Angriff entstanden ist. Neben klassischen Maschen wie Phishing oder dem weiterhin beliebten Erpressungstrojaner Ransomware haben Hacker nun offenbar eine weitere Angriffsfläche aufgetan, die für das Treasury relevant ist.

Rasantes Wachstum bei APIs

Treasury-Abteilungen sollten diese Entwicklung genau beobachten, denn immer mehr Unternehmen nutzen APIs. So sei die Nutzung der Schnittstellen im Healthcare-Bereich allein 2020 um 400 Prozent gestiegen, schreibt Imperva. In den Financial Services betrug das Wachstum 125 Prozent.

Derzeit konzentrierten sich die Sicherheitsvorfälle noch größtenteils auf technologische Industrien wie den IT-Sektor. Imperva warnt aber, dass auch andere Branchen folgen könnten, wenn sie ihre Sicherheitsstandards nicht entsprechend anpassen, obwohl sie verstärkt APIs einsetzen. Zudem können Unternehmen auch beeinträchtigt werden, wenn einer ihrer IT-Dienstleister über eine API gehackt wird. 

Bei einem sogenannten Supply-Chain-Angriff auf einen Dienstleister sind auch die Daten und Systeme all seiner Kunden in Gefahr. Das bekannteste Beispiel ist hier der US-amerikanische IT-Dienstleister Kaseya, der im vergangenen Jahr mutmaßlich von der Ransomware-Gruppe „Revil“ gehackt wurde. Dadurch wurde eine Kettenreaktion ausgelöst, schätzungsweise 1.500 Kaseya-Kunden standen danach vor verschlüsselten Rechnern.

Laut Imperva sind vor allem große Konzerne von der API-Gefahr betroffen, da diese die Programmierschnittstellen schon vermehrt im Einsatz haben. Die mit Abstand meisten Vorfälle verzeichnete der Sicherheitsanbieter in den Vereinigten Staaten. Auf Platz zwei folgte Europa.

Deutsche Treasurer sind noch zögerlich

Deutsche Treasurer sind momentan noch zögerlich bei der Nutzung von APIs, wie der TMS-Anbieter Kyriba in einer vor wenigen Wochen veröffentlichten Befragung herausgefunden hat. Demnach liegt Deutschland im internationalen Vergleich unter dem Schnitt, wenn es um die Anwendung von APIs geht.

Als Grund führen die Studienautoren Datenschutzbedenken an, die in Europa insbesondere bei Cloud-Anwendungen ausgeprägt sind. Zudem bevorzugen deutsche Treasurer etablierte und vergleichsweise sichere Kommunikationskanäle wie Ebics oder Swift. Bezüglich der Sicherheit müssen APIs wohl noch nachlegen, um die Finanzverantwortlichen zu überzeugen.

Eich[at]derTreasurer.de

mehr zum Thema
PSD2: Offene APIs für die Bankanbindung?
Das Monopol der Banken auf den Konten- und Datenzugriff steht vor dem Aus: In dieser Woche beginnt die Testphase für die offenen Schnittstellen (APIs) gemäß der Z
So reagieren TMS-Anbieter bisher auf APIs
Im Zuge der Zahlungsdiensterichtlinie PSD2 und der Instant Payments werden APIs an Bedeutung gewinnen. Wie gehen die Systemanbieter damit um? DerTreasurer hat die Di
Zahlungsverkehr: APIs sind (noch) kein Erfolg
Instant Payments stehen derzeit nur für einen kleinen Anteil im Zahlungsverkehr. Das liegt auch daran, dass APIs bislang noch kein Erfolgsmodell sind.
API könnte eine Schlüsseltechnologie sein. Doch deutsche Unternehmen nutzen die Schnittstellen nicht so stark.
Deutsche Corporates hinken bei API-Nutzung hinterher
Deutsche Unternehmen nutzen APIs deutlich weniger als die internationale Konkurrenz. Der Nutzen wäre groß, dennoch zögern Treasurer noch.