Angreifer nehmen APIs ins Visier
Immer häufiger versuchen Cyberkriminelle gezielt APIs anzugreifen und sich über die Schnittstellen Zugriff auf die dahinterliegenden Systeme und Daten zu verschaffen, oder diese lahmzulegen. Besonders viele Attacken richten sich gegen Finanzdienstleister, Telekommunikationsanbieter und die Reisebranche.
Als Verbindungselemente zwischen zentralen Funktionen und Systemen wie Apps, Datenbanken, Bezahlsystemen und Authentifizierungslösungen sind APIs nicht nur ein praktischer und allgegenwärtiger Helfer, sondern ziehen durch ihre zentrale Schnittstellenfunktion zugleich wachsende Aufmerksamkeit der Cyberkriminellen auf sich. Nicht nur steigt die Anzahl entsprechender Angriffe auf APIs beständig, auch ihre Art und Weise verändert sich. So verzeichnete der Security-Anbieter Thales in seinem API Threat Report im ersten Halbjahr 2025 den rekordverdächtigen Wert von über 40.000 API-Vorfälle in den mehr als 4.000 überwachten Umgebungen und einen Durchschnitt von 220 Angriffen pro Tag. Tendenz weiter steigend. Für die Erhebung nutzte das Research Team von Thales Methoden wie Verhaltensanalysen, maschinelles Lernen und forensische Analysen, um die Angriffe zu kategorisieren und den Zielendpunkten zuzuordnen und darüber detaillierte Trends, etwa zu den Angriffen auf verschiedene Branchen, zu identifizieren.
"APIs sind das Bindeglied der digitalen Wirtschaft – aber das macht sie auch zu ihrer attraktivsten Angriffsfläche", folgert Tim Chang, Vice President Application Security Products bei Thales. "Wir beobachten nicht nur eine Zunahme der Angriffe, sondern auch eine grundlegende Veränderung in der Vorgehensweise der Kriminellen: Sie müssen keine Malware einschleusen, sondern können einfach Ihre Geschäftslogik gegen Sie wenden." Damit sind die API-Angriffe besonders perfide und zugleich nur schwer zu erkennen und abzuwehren. "Die Anfragen sehen legitim aus, aber die Auswirkungen können verheerend sein", fasst Chang zusammen.
API-Attacken: Von Datenklau über Kontodiebstahl bis Zahlungsbetrug
Zwar machen APIs trotz der erneuten Steigerung demnach nur etwa 14 Prozent der Angriffsfläche aus, allerdings entfallen zugleich 44 Prozent des Advanced Bot-Traffics auf sie. Das belegt, dass die Angreifer ihre ausgefeiltesten Automatisierungsverfahren auf diese Ziele konzentrieren. Sie erhoffen sich dadurch Zugriff auf wichtige Workflows, die kritische Geschäftsabläufe verbinden und unterstützen. Häufig haben sie es dabei direkt auf die übermittelten Informationen abgesehen, mehr als 30 Prozent der Bot-Aktivitäten gegen APIs zielen auf Datenscraping ab. Besonders interessant sind für die Cyberkriminellen hier beispielsweise hochwertige Felder, die etwa E-Mail-Adressen und Zahlungsdetails enthalten. Damit einhergehend sind Thales zufolge Angriffe mit dem Ziel der Account-Übernahme und des Credential Stuffing bei APIs ohne zusätzliche MFA-Absicherung um 40 Prozent häufiger geworden.
Weitere 26 Prozent der Bot-gestützen API-Attacken versuchten Ansatzpunkte wie Promo-Loops und schwache Checkout-Validierungen auszunutzen, um darüber direkt Vergehen wie Coupon- und Zahlungsbetrug zu begehen. Gerade hier kann der finanzielle Schaden schnell geschäftsgefährdende Dimensionen erreichen. Weniger unmittelbar, aber dennoch nicht minder gefährlich sind zudem Attacken über Remote Code Execution (RCE)-Probes. Sie machen dem Bericht zufolge aktuell 13 Prozent der Angriffe auf APIs aus, am stärksten richten sich diese gegen CVE-Schwachstellen in Log4j, Oracle WebLogic und Joomla.
Relativ neu, bei den Cyberkriminellen aber zunehmend beliebt, ist die Möglichkeit, APIs als Angriffsweg für spezielle DDoS-Angriffe einzusetzen. Ein eindrückliches Beispiel dafür lieferte im ersten Halbjahr eine rekordverdächtige DDoS-Attacke mit etwa 15 Millionen Anfragen pro Sekunde (Request per Second), deren Ziel eine API für Finanzdienstleistungen war. Während klassische DDoS-Angriffe darauf setzen, die Netzwerkbandbreite über das Anfragevolumen zu überlasten, richten sich Angriffe wie dieser gezielt gegen den Application Layer. Die API wird dabei von den Angreifern dazu missbraucht, die Ressourcen zu erschöpfen und so den Betrieb zu stören und unterbrechen.
Durch die Kombination von Masse und Tarnung, etwa in Form massiver Botnetze und der Nutzung von Headless-Browsern wird es zusätzlich erschwert, bösartigen Datenverkehr zu erkennen und isolieren. Gerade in Branchen wie dem Finanzbereich, die von Echtzeit-Transaktionen wie Abfragen des Kontostands, Überweisungen und Zahlungsautorisierungen leben, werden solche Angriffe DDoS-Angriffe über APIs schnell zu einem ernsthaften Problem.
Diese Branchen und APIs sind besonders gefährdet
Hinsichtlich der Verteilung der Angriffe nach Endpunkten liegen APIs für den Datenzugriff an vorderster Stelle, 37 Prozent der Attacken waren gegen sie gerichtet. In 32 Prozent der Fälle waren APIs für Checkout- und Zahlungsvorgänge betroffen. Ferner zielten 16 Prozent auf Authentifizierungs-APIs und fünf Prozent auf solche zur Validierung von Geschenkkarten und Promos.
Auf eine häufig unterschätzte Gefahr weisen drei Prozent der Angriffe hin, die gegen Schatten- oder falsch konfigurierte Endpunkte gefahren wurden. Die Experten von Thales gehen davon aus, dass Unternehmen im Durchschnitt zwischen 10 und 20 Prozent mehr aktive APIs haben, als ihnen bewusst ist. Solche nicht beaufsichtigten Schatten-APIs sind in der Verteidigung ein kritischer blinder Fleck. "Unternehmen müssen jeden aktiven Endpunkt identifizieren, seinen geschäftlichen Wert verstehen und ihn mit kontextbezogenen, adaptiven Abwehrmaßnahmen schützen, wenn sie ihre Einnahmen, ihr Vertrauen und ihre Compliance sichern wollen", empfiehlt Chang deshalb.
Neben der Art der genutzten APIs und Angriffswege haben die Angreifer auch bei ihren Zielen klare Präferenzen. Mehr als ein Viertel (27 Prozent) ihrer Attacken richten sich gegen Finanzdienstleistungen. Damit sind sie deutlicher Spitzenreiter vor Reisen (14), Unterhaltung und Kunst (13 %) sowie Telekommunikation (10 Prozent).
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden