Zunehmende Angriffskomplexität

Die Edge-Cloud-Plattform Fastly Inc., eines der weltweit führenden Unternehmen für Content Delivery, Compute- und Sicherheitslösungen, hat in Zusammenarbeit mit der Informa TechTarget Enterprise Strategy Group (ESG) eine neue Studie veröffentlicht.

Der Bericht „Balancing Requirements for Application Protection“ basiert auf Erkenntnissen aus einer Befragung von 383 Cybersecurity- und IT-Experten aus Nordamerika und verdeutlicht die zunehmenden Schwierigkeiten bei der Absicherung von Web-Anwendungen und APIs in einer sich rasant verändernden Bedrohungslandschaft.

Exponentielles API-Wachstum und mehr Webanwendungen erfordern neue Sicherheitsstrategien

Unternehmen sind zunehmend auf Webanwendungen und APIs angewiesen, um Umsätze zu generieren. Dadurch wächst die digitale Angriffsfläche rapide: Die befragten Experten prognostizieren einen Anstieg der Webanwendungen und Websites um 39 Prozent in den nächsten zwei Jahren – von durchschnittlich 145 auf 201 pro Unternehmen. Noch rasanter entwickelt sich die API-Nutzung: Während derzeit 32 Prozent der Unternehmen APIs in mehr als der Hälfte ihrer Anwendungen nutzen, wird dieser Wert bis 2027 auf 80 Prozent steigen. Dadurch geraten Sicherheitsteams unter enormen Druck, agile Entwicklungszyklen und die Verbreitung von Cloud-Infrastrukturen mit robusten Sicherheitsmaßnahmen in Einklang zu bringen.

Die Risiken steigen entsprechend. Laut der Studie haben 57 Prozent der mittelständischen und großen Unternehmen in den letzten 24 Monaten Angriffe auf Webanwendungen und APIs erlebt, die bislang wenig bekannte Schwachstellen ausnutzten.

Konsolidierte Sicherheitslösungen statt Patchwork

Dem Bericht zufolge setzen 92 Prozent der Unternehmen mindestens eine Web Application Firewall (WAF) ein, 67 Prozent mehrere WAFs von unterschiedlichen Anbietern. Grund für diese Fragmentierung sind meist Multi-Cloud-Umgebungen und spezifische Funktionsanforderungen. Dies unterstreicht die dringende Notwendigkeit konsolidierter, moderner Sicherheitslösungen, die verschiedene Umgebungen abdecken können, egal ob Cloud, lokale oder hybride Infrastrukturen.

“Das explosionsartige Wachstum von APIs hat Anwendungsumgebungen grundlegend verändert und neue Sicherheits- und Governance-Herausforderungen geschaffen – von Fehlkonfigurationen bis hin zu API-Injections und volumetrischen DDoS-Angriffen", erklärt John Grady, Principal Analyst bei TechTarget’s Enterprise Strategy Group. "Doch mit jeder zusätzlichen WAF oder Bot-Management-Lösung, die Unternehmen zur Absicherung einsetzen, wächst die Komplexität. Wir stehen an einem Wendepunkt, an dem das bloße Hinzufügen weiterer Sicherheitstools immer weniger Mehrwert bringt. IT- und Security-Teams sollten daher nach Lösungen suchen, die ihre Abläufe vereinfachen und durch Automatisierung und spezialisierte Schutzmechanismen eine breite Palette von Bedrohungen abwehren."

Neue Angriffsmuster: Unternehmen müssen Sicherheitsmaßnahmen frühzeitig integrieren

Die Studie zeigt zudem eine alarmierende Entwicklung: 45 Prozent der Unternehmen, die DDoS-Angriffen ausgesetzt waren, berichteten, dass diese als Ablenkung für umfassendere, koordinierte Attacken genutzt wurden. In 70 Prozent dieser Fälle waren die Ablenkungsmanöver erfolgreich und führten zu erheblichen Betriebsstörungen oder Datenverlusten. Während Angreifer immer innovativer agieren, setzen Unternehmen verstärkt auf automatisierte Lösungen zur Abwehr dieser Bedrohungen. Doch es bleiben Bedenken: 59 Prozent der IT-Experten glauben, dass Cyberkriminelle beim Einsatz von KI für Angriffe im Vorteil sind.

"Geschwindigkeit ist entscheidend für die Sicherheit von Web-Anwendungen – und automatisierte Angriffe erfordern ebenso schnelle, automatisierte Abwehrmaßnahmen, um Datenschutz- und Sicherheitsvorgaben einzuhalten sowie Nutzerinformationen zu schützen", betont Fernando Medrano, Deputy Chief Information Security Officer bei Fastly. "Da Webanwendungen und APIs immer wichtiger werden, sollten Unternehmen Sicherheitsüberlegungen bereits früh in den Produktentwicklungsprozess integrieren, anstatt nachträglich als Reaktion auf Bedrohungen."

-PM Fastly-