BLOG | BÜRO DES CTO

WAAP-Entwicklung: Von Web-App und API zum Web-, API- und KI-Schutz

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 29. April 2025

Wenn ich mich eingehender mit unserer jährlichen Forschung befasse, komme ich zu mehreren unausweichlichen Schlussfolgerungen, die größtenteils von den Auswirkungen der KI auf, nun ja, alles bestimmt werden.

Eine dieser unausweichlichen Schlussfolgerungen ist, dass es für WAAP an der Zeit ist, von „Web-App- und API-Schutz“ zu „Web-, API- und KI-Schutz“ überzugehen.

Ich habe gesagt, was ich gesagt habe.

Es gibt viele Gründe für diese Aussage, der wichtigste davon ist, dass „Web“ und „App“ redundant sind. Während die Schätzungen je nach Methode und Zeitraum variieren können, gehen mehrere Branchenquellen davon aus, dass etwa 80 % des Internetverkehrs über HTTP-Protokolle (einschließlich HTTP und HTTPS) abgewickelt werden . So haben beispielsweise die Berichte des Cisco Visual Networking Index (VNI) und ähnliche Analysen von Content Delivery Networks wie Akamai durchweg gezeigt, dass der Webverkehr – der überwiegend über HTTP/HTTPS übertragen wird – den größten Teil des weltweiten Internetverkehrs ausmacht.

Aus Sicht der Bereitstellungs- und Sicherheitsdienste wird jeglicher über „HTTP/S“ bereitgestellter Datenverkehr im Allgemeinen als „App“ betrachtet. Ob der generierte Inhalt aus einer modernen oder traditionellen Application stammt, statisch oder dynamisch ist, ist für die Vielzahl der Dienste, die zu seiner Bereitstellung und Sicherung verwendet werden, weitgehend irrelevant. Sogar der Anteil von Infrastrukturdiensten wie DNS, die über HTTP/S bereitgestellt werden, wächst. Branchenschätzungen von Cloudflare gehen allgemein davon aus, dass heute etwa 10–20 % des DNS-Verkehrs über HTTPS (DoH) abgewickelt werden .

Lassen wir also das Wort „Web-App“ weg und sagen wir einfach „Web“.

Die API in WAAP bleibt wichtig. Der API-Verkehr hat zugenommen. Es ist nicht nötig, alle Quellen zu zitieren, die besagen, dass APIs heute dominieren. Aber falls Sie mich fragen: Es war bereits im Jahr 2021, als der RapidAPI State of APIs Report darauf hinwies, dass jeden Monat Milliarden von API-Aufrufen über eine Vielzahl von Diensten hinweg getätigt wurden. Im Durchschnitt eines Monats (der ungefähr 2,6 Millionen Sekunden umfasst) implizieren diese Zahlen einen Durchschnitt von etwa 400.000 API-Aufrufen pro Sekunde weltweit.

Und das war vor vier Jahren, bevor die generative KI auf der Bildfläche erschien. 

Das bringt uns zum eigentlichen Thema dieses Beitrags, nämlich der Integration von KI in WAAP.

Ich weiß, ich habe gerade gesagt, wir sollten uns nicht überschneiden, und angesichts der Tatsache, dass die Nutzung von KI fast überall über APIs erfolgt, erscheint es unnötig. Aber die Unterschiede in der Art und Weise, wie Bereitstellungs- und Sicherheitsdienste mit nicht-deterministischen, größtenteils textbasierten Inhalten umgehen müssen, sind wichtig genug, um darauf hingewiesen zu werden. Zumindest für jetzt.

Denn die wichtigsten Bereitstellungs- und Sicherheitsdienste, die zum Schutz der KI-Inferenz vorgesehen sind, sind, Moment mal, weitgehend dieselben wie die in WAAP enthaltenen.

Diagramm „Sicherheitsdienste“

Die Verwendung der in der WAAP-Definition enthaltenen Technologien zum Schutz von KI-Inferenzen ist weit verbreitet.

Wir dürfen nicht außer Acht lassen, dass im vergangenen Jahr ein neuer Sicherheitsdienst auf den Markt gekommen ist: AI Gateway. KI-Gateways fügen KI-spezifischen Schutz für Eingabeaufforderungen und Antworten hinzu, die zur Behebung einiger der vorhandenen KI-spezifischen Schwachstellen erforderlich sind, wie z. B. Prompt-Injection, Jailbreaking und sogar Halluzinationen.

KI-Gateway-Diagramm

Durch die Nutzung und geplante Verwendung von KI-Gateways werden Bereitstellungs- und Sicherheitsdienste zusammengeführt, die traditionell für Web- und API-Verkehr verwendet werden.

Allerdings reichen KI-Gateways allein nicht aus, um Modelle zu schützen, da auch APIs einzigartige Bedrohungen darstellen. Und Komponenten von WAAP wie Bot-Management und DDoS-Schutz stammen aus dem guten alten Web (das ist HTTP/S), über das wir zuvor gesprochen haben.

Aber schauen wir uns die Daten an. Weil wir die Leute nach dem Einsatz von Liefer- und Sicherheitsdiensten gefragt haben (natürlich haben wir das getan).

Wir haben festgestellt, dass 94 % der Befragten alle vier traditionellen WAAP-Technologien einsetzen.

Und der Prozentsatz der Befragten, die alle vier herkömmlichen WAAPs und ein KI-Gateway einsetzen, beträgt – warten Sie, Sie wissen es … ja, 94 %.

Mit anderen Worten: Unternehmen setzen diese Technologien bereits gemeinsam ein, weil sie wissen, dass der Schutz von KI-Modellen und Inferenzservern den Schutz des gesamten Stacks von Schicht 4 bis Schicht 7 erfordert. Und das bedeutet, dass alle fünf Dienste notwendig sind:

  1. Web-Anwendungs-Firewall
  2. API-Sicherheit
  3. Bot-Verwaltung
  4. DDoS-Schutz
  5. KI-Gateway

Daher ist meine unausweichliche Schlussfolgerung, dass sich WAAP von der Konzentration auf Apps und APIs auf die Einbeziehung von KI weiterentwickeln muss.