APIs im Visier: Warum Ihre digitale Infrastruktur das Hauptziel von Cyberkriminellen ist

Die digitale Wirtschaft basiert auf APIs (Application Programming Interfaces). Sie sind die unsichtbaren Verbindungselemente, die mobile Apps, Online-Zahlungen und Anmeldeprozesse ermöglichen. Doch der jüngste Thales API Threat Report für das erste Halbjahr 2025 schlägt Alarm: APIs sind nicht nur ein Ziel, sie sind zum Hauptziel für Cyberkriminelle aufgestiegen.

In unserem Beitrag beleuchten wir die alarmierenden Zahlen des Berichts, erklären die fundamentalen Verschiebungen in der Angriffstaktik und zeigen auf, welche kritischen blinden Flecken Unternehmen jetzt schließen müssen.

Qualität statt Quantität: Die verschobene Angriffsfläche

Die Daten von Thales aus über 4.000 überwachten Umgebungen sind eindeutig: Im ersten Halbjahr 2025 wurden über 40.000 API-bezogene Sicherheitsvorfälle verzeichnet – durchschnittlich mehr als 220 pro Tag. Hochrechnungen zufolge könnte sich diese Zahl bis Jahresende verdoppeln.

Das beunruhigendste Ergebnis ist jedoch die Verschiebung der Angriffsstrategie. Obwohl APIs nur 14 Prozent der gesamten Angriffsfläche ausmachen, ziehen sie mittlerweile 44 Prozent des gesamten Advanced-Bot-Traffics auf sich. Dies zeigt, dass Angreifer ihre ausgefeiltesten Automatisierungsverfahren gezielt auf Workflows mit kritischen Geschäftsprozessen konzentrieren.

Angreifer kombinieren dabei Masse mit Tarnung. Sie nutzen massive Botnets und Headless-Browser, um legitime API-Anfragen nachzuahmen. Die Anfragen sehen perfekt harmlos aus, doch die Absicht ist bösartig, was die Unterscheidung von echtem und feindlichem Datenverkehr extrem schwierig macht.

Logik-Missbrauch und Rekord-Angriffe auf Finanzdienstleistungen

Die neue Taktik der Kriminellen nutzt nicht mehr nur volumetrische Angriffe, um die Netzwerkbandbreite zu überlasten. Stattdessen zielen sie direkt auf die Geschäftslogik der Application Layer.

Ein beispielloser Fall aus dem Bericht ist ein DDoS-Angriff auf eine Finanzdienstleistungs-API mit rekordverdächtigen 15 Millionen Anfragen pro Sekunde (RPS). Dieser Angriff nutzte die API selbst aus, um Ressourcen zu erschöpfen und den Betrieb gezielt zu stören.

Der Finanzsektor ist mit 27 Prozent des gesamten API-fokussierten DDoS-Verkehrs besonders betroffen. Dies ist ein direktes Resultat der starken Abhängigkeit von APIs für Echtzeit-Transaktionen wie Kontostandsabfragen, Überweisungen und Zahlungsautorisierungen.

Die kritischen Schwachstellen, die Sie nicht sehen

Der Bericht liefert eine Fülle von Daten, die die Dringlichkeit des Handelns unterstreichen:

• Credential Stuffing und Account Takeover stiegen bei APIs ohne adaptive Multi-Faktor-Authentifizierung (MFA) um 40 Prozent.

• Datenscraping macht 31 Prozent der Bot-Aktivitäten aus und zielt auf hochwertige Daten wie E-Mail-Adressen und Zahlungsdetails ab.

• Shadow APIs (Schatten-APIs) sind ein kritischer blinder Fleck: Unternehmen haben in der Regel zehn bis 20 Prozent mehr aktive APIs, als ihnen bewusst ist. Diese unentdeckten Endpunkte sind für Angreifer ein leichtes Ziel.

Wie Tim Chang, Vice President Application Security Products bei Thales, bemerkt: „Sie müssen keine Malware einschleusen, sondern können einfach Ihre Geschäftslogik gegen Sie wenden.“

Fazit: Höchste Zeit zum Handeln

Die Erkenntnisse sind alarmierend: API-Angriffe werden in den kommenden Monaten an Umfang und Raffinesse zunehmen. Um Einnahmen, Kundenvertrauen und Compliance zu sichern, muss jedes Unternehmen seine Strategie anpassen.

Der beste Zeitpunkt zum Handeln war gestern – der zweitbeste Zeitpunkt ist jetzt. Unternehmen müssen:

• Jeden aktiven Endpunkt identifizieren (insbesondere die Schatten-APIs).

• Den geschäftlichen Wert jeder API verstehen.

• Die Endpunkte mit kontextbezogenen, adaptiven Abwehrmaßnahmen schützen, die legitime Anfragen von böswilligem Logik-Missbrauch unterscheiden können.

FAQ - Oft gestellte Fragen