Immer mehr Unternehmen setzen auf Cloud-Computing und es zeichnet sich ab, dass sich dieser Trend in naher Zukunft noch weiter verstärkt. Damit einhergehend müssen in Unternehmen jedoch auch erweiterte Sicherheitsvorkehrungen getroffen werden, da diese Entwicklung auch für Kriminelle neue Einfallstore bietet – zum Beispiel bei APIs.
Security-Expoerten schätzen, dass sich das Volumen von Cyber-Attacken auf APIs bis 2024 verdoppeln wird. Umso wichtiger ist es, dass Unternehmen die Gefahr erkennen und schon jetzt darauf reagieren.
APIs spielen in der nativen Cloud-Architektur jetzt und in Zukunft eine große Rolle. Doch bereits im vergangenen Jahr ist die Zahl der API-Schwachstellen in Unternehmen merklich gestiegen. In diesem Zusammenhang wird prognostiziert, dass sich das Volumen von Cyber-Attacken auf APIs bis 2024 bereits verdoppeln wird. Umso wichtiger ist es, dass sich Unternehmen dieser steigenden Gefahr bewusst sind und bereits jetzt mögliche Schwachstellen ausmerzen. In vielen Fällen liegt die Verantwortung für die Sicherheit der unternehmerischen Entwicklungs- und Produktionsumgebungen jedoch nicht allein beim Cybersecurity-Team, sondern auch bei den Entwicklern selbst. Daher müssen auch diese für mögliche API-Schwachstellen sensibilisiert werden.
Insbesondere die folgenden drei API-Einfallstore für Cyberkriminelle sollte man dabei im Blick haben:
1. Schatten-APIs
Im Durchschnitt gibt es in Unternehmen bis zu 620 verschiedene APIs. Die Untersuchungen der Aite Group zeigten jedoch, dass viele Unternehmen die genaue Anzahl gar nicht kennen – denn in schnelllebigen DevOps-Umgebungen kann die Erstellung von unbekannten APIs, sogenannten Schatten-APIs, leicht passieren.
Wenn APIs ohne Sicherheitsüberprüfung oder Kontrollen veröffentlicht werden, bleiben sie für das Sicherheitsteam und das API-Gateway meist unsichtbar. Auch solche, die außerhalb eines definierten Prozesses veröffentlicht wurden oder deren Struktur bei der Aktualisierung einer Anwendung verändert wurde, können zu Schatten-APIs werden. Möglicherweise ist sich der Entwickler auch nicht vollständig über den Veröffentlichungsprozess im Klaren und geht davon aus, dass er eine API eigenständig veröffentlichen kann. Dazu kommt: Sollte ein Entwickler das BFF-Muster (Backends for Frontends) in seinem Anwendungsdesign nutzen, kann dies dazu führen, dass Backend-Dienste – auf die normalerweise nur intern zugegriffen werden dürfte – dem direkten Zugriff von externen Client-API-Aufrufen ausgesetzt sind.
Das Problem bei Schatten-APIs ist, dass sie Zugriff auf dieselben sensiblen Informationen haben wie veröffentlichte, gesicherte APIs, aber niemand weiß, wo sie existieren oder mit was sie verbunden sind. Dies kann unter anderem zu Verstößen gegen die Compliance führen – und ermöglicht es im schlimmsten Fall Angreifern, auf die sensiblen Daten des Unternehmens und denen der Kunden zuzugreifen.
2. Automatisierte Bot-Angriffe
Automatisierter Bot-Verkehr ist ein weit verbreitetes Problem, das sich auf jedes Unternehmen auswirkt, das eine Website, eine mobile App oder eine öffentlich zugängliche API hat. Webanwendungen sind ein lohnendes Ziel für Botnets, da sie einen direkten Weg zu sensiblen Daten darstellen, die abgegriffen und im Dark Web weitergegeben oder verkauft werden können.
Diese Art von Angriffen ist schwieriger zu stoppen, da die Bots menschliches Verhalten imitieren und sich so der Erkennung entziehen können. Im Gegensatz zu anderen Arten von Angriffen arbeiten Botnets rund um die Uhr und sind absichtlich so konzipiert, dass sie sich wiederholende Aufgaben ausführen, die von Menschen nur schwer zu bewältigen sind. Werden APIs auf diese Weise attackiert, kann dies zum Verlust personenbezogener Daten, zu Datenlecks und mehr führen. Dennoch versäumen es viele Unternehmen, die Sicherheit ihrer APIs richtig zu verwalten und verlassen sich stattdessen ausschließlich auf einfache Authentifizierungs-Tokens oder IP-Ratenbegrenzungen. Im Gegensatz zur Identifikation menschlicher Benutzer durch eine Mehrfaktor-Authentifizierung sind diese API-Tokens jedoch oft nur eine Einfaktor-Authentifizierung, die einen Aufruf verifiziert. Für einen Entwickler, der also über keine richtige Cybersecurity-Ausbildung verfügt, ist es schwierig, diese Bedrohung zu stoppen.
3. Veraltete APIs (auch „Zombie-APIs“)
Die Ausmusterung von APIs ist Teil des natürlichen API-Lebenszyklus. Wenn eine API jedoch nicht ordnungsgemäß deaktiviert wurde, wird sie zu einer schlafenden Brutstätte für cyberkriminelle Aktivitäten – in der Regel außerhalb des Blickfelds von Entwicklern und der Cybersecurity-Verantwortlichen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Diese nicht überwachten APIs sind mit einem unverschlossenen Fenster vergleichbar: Cyber-Kriminelle können sich durch sie „hineinschleichen“ und so auf Daten zugreifen oder ausgeklügelte Angriffe starten – ohne, dass der Entwickler oder das Sicherheitsteam davon etwas mitbekommt. Das Problem: Veraltete APIs werden oft übersehen oder nicht beachtet und sind auch nicht mehr Teil der regelmäßigen Software-Updates. So können diese „Zombie-APIs“ für die Übernahme von Konten, betrügerische Transaktionen oder Datenextraktionen ausgenutzt werden.
Komplexität der Angriffe wird weiter steigen
Obwohl die meisten Unternehmen heute eine API-Gateway-Lösung verwenden, ist diese Technologie kein Allheilmittel für die wachsenden API-Sicherheitsrisiken. Gateways eignen sich zwar hervorragend für die Bereitstellung und das Zugriffsmanagement, sind aber nicht ausgereift genug, um komplexe Angriffe abzuwehren. Darüber hinaus werden Ansätze wie gRPC, MQTT und GraphQL immer beliebter, da die Unternehmen nach immer vielfältigeren technischen Modellen verlangen. Dies öffnet das Unternehmen jedoch für ausgefeiltere Angriffe auf APIs. Die Einführung von Governance-Standards und fortschrittlichen Sicherheitstools ist daher unerlässlich, wenn API-Protokolle mit noch flexibleren Strukturen als RESTful APIs genutzt werden.
Fazit
Unternehmen müssen nach Security-Tools suchen, die nicht nur Runtime-Protection bieten, sondern sich auch nahtlos in den Anwendungsentwicklungsprozess einfügen. Entwickler und Cybersecurity-Beauftragte sollten daher zunächst eine klare Bewertung der größten API-Risiken vornehmen. Das beginnt mit der automatischen Erkennung und der regelmäßigen Aktualisierung eines API-Katalogs. Da die Angriffe immer komplexer werden, sollte die Lösung auch eine Bot-Erkennung beinhalten, die einen guten von einem schlechten Bot sowie allgemein einen Bot von einem echten menschlichen Benutzer unterscheiden kann. Um schließlich auch das Problem der veralteten APIs angehen zu können, muss eine Lösung auch den Lebenszyklus der API-Tokens sowie die verschiedenen Versionen der APIs überwachen. Mit diesem Ansatz können Entwickler die größten API-Sicherheitsrisiken adäquat angehen, ohne dabei ihre Innovationsagenda verlangsamen zu müssen.
Über den Autor: Kai Zobel ist Area Vice President EMEA Central bei Imperva.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7b/73/7b7343b7425478b9cc7f85e6c1a4aabb/0123408780v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/c0/7dc03fef56ab6063de64910a4d9a1c02/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")