Application Security 2021 Report - Ein Überblick - Wie bösartige Bots und fehlerhafte APIs europäische Unternehmensdaten gefährden

Druckfreundlich, PDF & E-Mail

Fast drei Viertel (72%) der mittelständischen bis großen Unternehmen geben zu, dass sie in den letzten 12 Monaten mindestens eine Sicherheitsverletzung erlitten haben, die durch eine Schwachstelle in einer Anwendung verursacht wurde.

Das geht aus einer weltweiten Umfrage unter 750 Entscheidern im Bereich der Anwendungssicherheit hervor, die im April 2021 von Vanson Bourne und Barracuda Networks durchgeführt wurde. Laut der Umfrage zählen zu den größten Herausforderungen für Unternehmen Bot-basierte Angriffe, Schwachstellenerkennung, API-Sicherheit und Angriffe auf die Lieferkette.

Da im Zuge der COVID-19-Lockdowns viele Unternehmen auf externes Arbeiten umgestiegen sind und dadurch ihre üblichen Prozesse gestört wurden, haben sich die Angriffsflächen für anwendungsbasierte Cyberangriffe vergrößert. Diese Angriffe sind heute nicht nur aggressiver geworden, sondern verbreiten sich auch weitreichender als zuvor.

Europäische Unternehmen konnten sich in einem Bereich der Anwendungsentwicklung und -sicherheit besonders hervortun: bei der Bedrohungsabwehr. Die Erfolgsstrategie wurde vor allem durch Frankreich und die Länder der DACH-Region (Österreich, Deutschland, Schweiz) vorangetrieben und ist wohl auf die strengen Datenschutz- und Compliance-Gesetze der EU, wie die Datenschutz-Grundverordnung (DSGVO), zurückzuführen. Die Nachrichten berichteten von heftigen Bußgeldern für Unternehmen, die nicht DSGVO-konform handelten. So musste beispielsweise die Modekette H&M eine Strafe in Höhe von 35 Millionen Euro für die nicht ordnungsgemäße Speicherung von Mitarbeiterdaten zahlen.

In den letzten zwei Jahren wurde mangelhafte API-Sicherheit von mindestens 70 % der Befragten weltweit und sogar von 77 % der europäischen Befragten als wesentlicher Faktor für erfolgreiche Datenschutzverletzungen genannt. Dies zeigt, wie wichtig es ist, dass Unternehmen ihre APIs schützen.

Und tatsächlich ist die API-Sicherheit für die große Mehrheit der Befragten ein wichtiges Anliegen. Viele der Umfrageteilnehmer stellen öffentlich zugängliche APIs für ihre Kunden und Partner bereit, und die meisten Unternehmen streben eine API-orientierte Entwicklung an. Während APIs die Entwicklung neuer App-Versionen beschleunigen und deren Funktionalität erweitern, schaffen sie auch eine weitreichende und wachsende Angriffsfläche für Cyberkriminelle.

Mangelhafte API-Sicherheit wurde von mindestens 70 % der Befragten weltweit und sogar von 77 % der europäischen Befragten als wesentlicher Faktor für erfolgreiche Datenschutzverletzungen genannt. @CudaWAFmanTwittern

Die befragten Unternehmen gaben an, dass sie durchschnittlich 33 öffentliche APIs verwenden. Dadurch eröffnen sich für Angreifer zusätzliche Angriffspunkte und sie erhalten direkten Zugriff auf sensible anwendungsrelevante Daten. Obwohl die meisten Unternehmen mehr als ein Tool zur Sicherung ihres API-Datenverkehrs verwenden, bieten diese Tools keine angemessene Sicherheit. Zwar wenden sie mehrschichtige Schutzmaßnahmen für APIs an, wie Firewalls, Gateways und RASP-Lösungen, doch es gibt noch viel Verbesserungspotenzial.

Aus den Zahlen geht zudem hervor, dass in der deutschsprachigen DACH-Region immer noch Firewalls der nächsten Generation bevorzugt werden, die leider nur sehr wenig Schutz für Web-Applikationen und APIs bieten. Das ist vielleicht auch der Grund, warum in diesem Bereich der Eurozone erhebliche Probleme gemeldet werden.

Fast zwei Drittel (64%) der europäischen Befragten haben in den letzten 12 Monaten aufgrund einer Schwachstelle in einer Web-Applikation eine Datenschutzverletzung erlebt. Dabei stammen 75% der Befragten, die Opfer eines Angriffs wurden, aus Deutschland oder aus der größeren DACH-Region. Knapp die Hälfte der europäischen Befragten gab an, dass Bot-Angriffe auf Anwendungen die wahrscheinlichste Quelle für erfolgreiche Datenschutzverletzungen in den letzten 12 Monaten waren, verglichen mit 40% der Befragten in der Asien-Pazifik-Region.

Bot-basierte Angriffe machten zwei der drei bedeutendsten Risiken für die App-Sicherheit aus. Unternehmen in allen Regionen werden durch Scraping, Spam, Carding und andere Betrugsmaschen getroffen.

Obwohl Bot-Spam eher ein Ärgernis als ein wirkliches Risiko darstellt, dient er doch häufig zur Verschleierung von gezielteren Angriffen. Genau diese Strategie wurde auch bei der TalkTalk-Datenschutzverletzung angewendet: Ein Denial-of-Service-Angriff diente als Ablenkungsmanöver für einen SQL-Injektionsangriff, der wiederum zum Verlust von Kundendaten führte.

Es gibt immer mehr Onlinemarktplätze, auf denen man solche Bots kaufen kann. Automatisierte Angriffe, die von diesen Bots initiiert werden, erfolgen über viele verschiedene Vektoren. Werden gleich mehrere Arten solcher Bots in Kombination miteinander eingesetzt, sind sie umso erfolgreicher. Interessanterweise sind Bot-Protection und API-Gateways die zwei wichtigsten Lösungen, die die Befragten in den nächsten 12 Monaten implementieren wollten.

Obwohl die Implementierung von Sicherheitsmaßnahmen bereits in den frühesten Phasen der Softwareentwicklung ein Thema ist, sorgen sich viele darum, dass diese Maßnahmen die Anwendungsentwicklung unnötig verlangsamen.

Wenn man bedenkt, wie vielen Angriffen unsere Umfrageteilnehmer ausgesetzt waren, besteht kein Zweifel daran, dass nun effektivere Lösungen hermüssen, um Anwendungen vor Bot-Angriffen und API-basierten Datenschutzverletzungen zu schützen. Die meisten Unternehmen sind sich dessen bewusst und viele von ihnen suchen aktiv nach neuen Lösungen für dieses Problem. Jedoch ist es so, dass ihre Anwendungsschutzkonzepte durch neue Lösungen immer weitschichtiger werden, sodass natürlich auch die Verwaltung dieser Schutzmaßnahmen an Komplexität gewinnt. Das bekommen nicht zuletzt auch die Endbenutzer zu spüren.

Unsere Umfrage deckte einen weiteren besorgniserregenden Trend auf: 28 % der Befragten gaben zu, dass die Bot-basierten Angriffe auf ihre Unternehmen unter anderem auf menschliche Fehler zurückzuführen waren. Selbst wenn Unternehmen viele Sicherheitsmaßnahmen implementieren, können Bot-Angriffe dennoch erfolgreich sein, wenn Mitarbeiter durch einen Fehler eine Schwachstelle hinterlassen. In Anbetracht dieser Faktoren sollte der Schutz von Anwendungen vor Bot-basierten und API-Angriffen für Unternehmen oberste Priorität haben.

Ein plattformbasierter Ansatz für die Anwendungssicherheit bietet einen effektiven Schutz gegen traditionelle und neuartige Bedrohungen und überzeugt darüber hinaus durch eine benutzerfreundliche Implementierung und Verwaltung. Unternehmen benötigen die Hilfe von Drittanbietern, um Bot-Aktivitäten zu verhindern und aufzuspüren und sich vor Angriffen auf ihre Anwendungen zu schützen. Andernfalls werden sie unweigerlich Opfer von Angriffen – oder wie die meisten Unternehmen, Opfer eines erneuten Angriffs.

Barracuda kann Ihrem Unternehmen dabei helfen – mit unserem Web Application Firewall Service. Testen Sie unser Angebot kostenlos aus und planen Sie eine Demo.

Nach oben scrollen
Twittern
Teilen
Teilen