Zusammenfassung
APIs sind zum Bindegewebe moderner digitaler Infrastrukturen geworden – und Angreifer wissen das. Zwischen Januar 2023 und Dezember 2024 dokumentierte Akamai 150 Milliarden API-Angriffe – eine Zahl, die einen grundlegenden Wandel in der Bedrohungslandschaft verdeutlicht. Obwohl APIs nur 14 % der Angriffsfläche durchschnittlicher Organisationen ausmachen, ziehen sie heute 44 % des fortgeschrittenen Bot-Traffics auf sich. Diese überproportionale Adressierung spiegelt den hohen Wert von API-Endpunkten wider: Sie bieten direkten Zugriff auf sensible Daten, Geschäftslogik und Backend-Systeme.
Die Zahlen sind ernüchternd. Salt Security berichtet, dass 99 % der Organisationen im letzten Jahr API-Sicherheitsvorfälle hatten, in über einem Drittel der Fälle mit Offenlegung sensibler Daten. Die monatlichen Angriffsvolumina haben sich seit Anfang 2023 mehr als verdoppelt – von 500 Milliarden Web-Angriffen auf über 1,1 Billionen Ende 2024. Die Verteidigungsfähigkeiten halten jedoch nicht Schritt: Nur 21 % der Organisationen können Angriffe auf API-Ebene wirksam erkennen, und nur 13 % können mehr als die Hälfte der Angriffsversuche verhindern.
Dieser Bericht untersucht die aktuelle API-Bedrohungslandschaft, analysiert Angriffsmuster und -techniken und gibt umsetzbare Empfehlungen für den Aufbau widerstandsfähiger API-Sicherheitsprogramme. Die Botschaft ist klar: APIs sind keine sekundäre Überlegung in der Sicherheitsarchitektur mehr. Sie sind die Frontlinie.
Die API-Bedrohung in Zahlen
Dokumentierte Angriffe in 24 Monaten
Hatten 2024 API-Vorfälle
Aller API-Angriffe nutzen BOLA aus
Können Angriffe auf API-Ebene erkennen
Verlauf des Angriffsvolumens
Die Beschleunigung API-bezogener Angriffe spiegelt sowohl die stärkere API-Verbreitung als auch die wachsende Raffinesse der Angreifer wider. Organisationen, die sich auf klassische Perimetersicherheit verlassen haben, sehen sich nun Bedrohungen gegenüber, die herkömmliche Abwehrmechanismen vollständig umgehen.
| Kennzahl | Anfang 2023 | Ende 2024 | Veränderung | Bedeutung |
|---|---|---|---|---|
| Monatliche Web-Angriffe | 500 Mrd. | 1,1 Bio. | +120 % | Verdopplung in unter 2 Jahren |
| API-Angriffe (24 Mon. gesamt) | - | 150 Mrd. | - | APIs sind heute Primärziel |
| Layer-7-DDoS | Basis | +94 % | +94 % | Fokus auf die Anwendungsschicht |
| OWASP-API-Top-10-Exploits | Basis | +32 % | +32 % | Bekannte Schwachstellen nehmen zu |
| Credential Stuffing (monatlich) | 18 Mrd. | 26 Mrd. | +44 % | Automatisierter Missbrauch von Zugangsdaten |
Warum APIs zum primären Ziel geworden sind
Direkter Datenzugriff
APIs bieten strukturierten, maschinenlesbaren Zugriff auf sensible Daten. Ein einziger kompromittierter Endpunkt kann Millionen Datensätze preisgeben – ohne die Auffälligkeiten klassischer Datenexfiltration.
Schwächen bei der Authentifizierung
89 % der KI-bezogenen APIs weisen unsichere Authentifizierung auf. Veraltete Authentifizierungsmechanismen wurden nicht für Volumen und Vielfalt moderner API-Traffic konzipiert.
Geschäftslogikfehler
APIs legen Geschäftslogik offen, die für Betrug, Datenmanipulation und Privilege Escalation missbraucht werden kann – Angriffe, die signaturbasierte Tools nicht erkennen.
Geringe Sichtbarkeit
Nur 37 % der Organisationen wissen, welche APIs sensible Daten preisgeben. Shadow APIs und nicht dokumentierte Endpunkte schaffen blinde Flecken, die Angreifer ausnutzen.
Automatisierungsfreundlich
APIs sind für den programmatischen Zugriff konzipiert, was sie zu idealen Zielen für automatisierte Angriffe macht. Was vor menschlichen Angreifern schützt, scheitert oft an Bots.
Vertrauensannahmen
78 % der API-Angriffe scheinen von legitimen, authentifizierten Nutzern auszugehen. Klassische Sicherheit setzt voraus, dass authentifizierte Nutzer vertrauenswürdig sind – eine gefährliche Annahme.
OWASP API Security Top 10: Was wird ausgenutzt
**Das Top-1-API-Risiko seit 2019.** BOLA tritt auf, wenn eine API nicht prüft, ob ein Nutzer berechtigt ist, auf ein bestimmtes Objekt zuzugreifen. Angreifer ändern einfach Objekt-IDs in Anfragen, um auf nicht autorisierte Daten zuzugreifen. Diese Schwachstelle ermöglichte die Vorfälle bei Uber (2016), Facebook (2018) und Trello (2024) und legte Millionen Nutzerdatensätze offen. BOLA macht rund 40 % aller API-Angriffe aus.
Schwache Authentifizierungsmechanismen erlauben Angreifern, Tokens zu kompromittieren, Sitzungsmanagement-Fehler auszunutzen oder die Authentifizierung gänzlich zu umgehen. Mit monatlich 26 Milliarden Credential-Stuffing-Versuchen stehen Authentifizierungs-Endpunkte unter permanentem Beschuss. APIs ohne adaptive MFA verzeichneten einen 40-prozentigen Anstieg bei Account-Takeover-Versuchen.
Eine Kombination der bisherigen Risiken 'Excessive Data Exposure' und 'Mass Assignment'. APIs liefern unter Umständen mehr Daten als nötig oder akzeptieren Property-Änderungen, die sie nicht sollten. Angreifer nutzen diese Fehler aus, um auf sensible Felder zuzugreifen oder geschützte Attribute zu verändern.
APIs ohne angemessene Rate-Limitierung oder Ressourcenkontrollen sind anfällig für Denial-of-Service-Angriffe und Ressourcenerschöpfung. Angreifer können Endpunkte überlasten, was zu Dienstverschlechterung führt oder andere bösartige Aktivitäten tarnt.
Komplexe Zugriffskontrollrichtlinien mit hierarchischen Rollen, Gruppen und Funktionen können zu Autorisierungsfehlern führen. Angreifer suchen gezielt nach administrativen Funktionen, die für reguläre Nutzer erreichbar sind, oder nutzen Rollenkonfusion zur Privilegienerhöhung.
APIs, die sensible Geschäftsabläufe – Kauf, Kontoerstellung, Tarifabfragen – ohne ausreichende Kontrollen offenlegen, ermöglichen automatisierten Missbrauch. Scalper, Betrüger und Wettbewerber nutzen diese Abläufe mit Maschinengeschwindigkeit aus.
Wenn APIs Remote-Ressourcen auf Basis von Nutzereingaben ohne Validierung abrufen, können Angreifer den Server dazu bringen, interne Ressourcen oder externe bösartige Inhalte abzufragen. SSRF kann interne Infrastruktur preisgeben oder weitere Angriffe ermöglichen.
Standardkonfigurationen, unnötige HTTP-Methoden, fehlende Sicherheits-Header, ausführliche Fehlermeldungen und unsachgemäße CORS-Einstellungen schaffen ausnutzbare Angriffsfläche. Fehlkonfigurationen sind oft der Einstiegspunkt für tiefer gehende Angriffe.
Organisationen verlieren den Überblick darüber, welche APIs existieren, welche Versionen laufen und welche eingestellt werden sollten. Shadow APIs und veraltete Endpunkte werden zu Angriffsvektoren, weil sie weder überwacht noch geschützt werden.
Entwickler vertrauen Drittanbieter-APIs oft ohne ausreichende Validierung. Bei der Nutzung externer APIs können Anwendungen Schwachstellen erben oder über kompromittierte Drittdienste angegriffen werden.
Verteilung der API-Angriffe nach Typ
Am häufigsten anvisierter Endpunkttyp
Endpunkte für Finanztransaktionen
Login- und Token-Endpunkte
Diverse funktionale Endpunkte
Analyse der Branchenwirkung
Die Intensität von API-Angriffen variiert erheblich nach Branche – getrieben vom Wert zugänglicher Daten und Transaktionsvolumina.
| Branche | Angriffsplatzierung | Primäre Bedrohungen | Bemerkenswerte Trends |
|---|---|---|---|
| Finanzdienstleister | #1 am stärksten betroffen | Credential Stuffing, Betrug | Höchster Wert pro erfolgreichem Vorfall |
| Telekommunikation | #2 | Fortgeschrittene Bots (50 % der Mobile-Logins) | Höchste Rate fortgeschrittener Automatisierung |
| Reise & Gastgewerbe | #3 | Account Takeover, Scraping | +400 % Angriffe (Hotellerie) |
| Einzelhandel & E-Commerce | #4 | Bot-Angriffe, Checkout-Betrug | +92 % bösartige Konfigurationen 2025 |
| Technologie | #5 | Datenexfiltration, IP-Diebstahl | 33,5 % bösartiger Login-Traffic |
Das Bot-Problem: Steigende Raffinesse
Automatisierte Angriffe auf APIs haben sich von einfachen Skripten zu hochentwickelten Operationen weiterentwickelt, die die Grenze zwischen menschlichem und maschinellem Traffic verwischen. F5 Labs berichtet, dass verhaltensbasierte Bots inzwischen den Großteil des Web-Traffics im Weihnachtsgeschäft ausmachen, früher in der Saison angreifen und mit beispielloser Geschwindigkeit operieren. Die Folgen für die API-Sicherheit sind tiefgreifend.
Account-Takeover-Angriffe (ATO) stiegen 2024 um 250 %, befeuert durch Credential-Stuffing-Kampagnen, die die 311 Millionen gestohlenen Konten auf Darknet-Marktplätzen nutzen. Kasada beobachtete in einem einzigen Monat über 1.100 Credential-Stuffing-Vorfälle bei 133 Einzelhändlern, wobei geschätzte 265.000 Konten kompromittiert wurden. Ein großer Einzelhändler verzeichnete am Black Friday einen 32-fachen Anstieg bot-getriebener Login-Versuche, wobei 72 % des gesamten Traffics aus bösartigen Bots stammten.
Der Grad der Raffinesse ist aussagekräftig: 62 % der beobachteten ATO-Angriffe nutzten fortgeschrittene Techniken, 3 % wurden als hochkomplex eingestuft. Dennoch können nur 21 % der Organisationen Bot-Traffic wirksam mitigieren, während 53 % bereits Bot-bezogene Angriffe erlebt haben. Diese Fähigkeitslücke ist eine kritische Schwachstelle in der API-Sicherheitslage.
Laut Untersuchungen von Traceable und dem Ponemon Institute berichten nur **21 % der Organisationen** von einer hohen Fähigkeit, Angriffe auf API-Ebene zu erkennen, und nur **13 % können mehr als 50 %** der API-Angriffe verhindern. Gleichzeitig sehen **65 % in generativer KI ein ernsthaftes Risiko** für die API-Sicherheit – die Einführung defensiver KI bleibt jedoch weit hinter den offensiven Anwendungen zurück. Organisationen verlieren nicht nur das Wettrüsten – viele haben es noch nicht einmal aufgenommen.
Regionaler Fokus: Asien-Pazifik
+73 % Angriffswachstum YoY
Asien-Pazifik und Japan verzeichneten den weltweit höchsten prozentualen Anstieg bei Web-Anwendungs-Angriffen.
85 % Vorfallsrate
85 % der APAC-Organisationen meldeten in den letzten 12 Monaten mindestens einen API-bezogenen Sicherheitsvorfall.
Australien: 95 % betroffen
Höchste Vorfallsrate weltweit, doch nur 6 % führen regelmäßig umfassende API-Schwachstellentests durch.
580.000 USD Durchschnittskosten
APAC-Unternehmen tragen pro API-Sicherheitsvorfall durchschnittlich über 580.000 USD an Kosten.
Aufbau eines wirksamen API-Sicherheitsprogramms
Vollständiges API-Inventar
Sie können nicht schützen, was Sie nicht kennen. Implementieren Sie kontinuierliche API-Discovery, um alle Endpunkte zu identifizieren – einschließlich Shadow APIs und veralteter Versionen. Nur 37 % der Organisationen wissen heute, welche APIs sensible Daten preisgeben.
Starke Authentifizierung implementieren
Setzen Sie adaptive Multi-Faktor-Authentifizierung für jeden API-Zugriff ein. Organisationen ohne adaptive MFA verzeichneten einen 40-prozentigen Anstieg bei Account-Takeover-Versuchen. Erwägen Sie OAuth 2.0 mit PKCE für öffentliche Clients.
Autorisierung auf jeder Ebene durchsetzen
Begegnen Sie BOLA-Schwachstellen durch Objekt-Level-Autorisierungsprüfungen bei jeder Anfrage. Verlassen Sie sich nicht auf die Unauffälligkeit von Objekt-IDs – validieren Sie, dass der authentifizierte Nutzer berechtigt ist, auf jede einzelne Ressource zuzugreifen.
Verhaltensanalyse einsetzen
Signaturbasierte Erkennung scheitert bei Geschäftslogik-Angriffen. Implementieren Sie Verhaltensanalysen, um anomale Muster zu identifizieren: ungewöhnliche Zugriffsabläufe, abnormale Volumina, geografische Unmöglichkeiten und automatisiertes Verhalten.
Rate-Limitierung und Ressourcenkontrollen
Implementieren Sie granulare Rate-Limitierung pro Nutzer, Endpunkt und Aktion. Verhindern Sie Ressourcenerschöpfungsangriffe und begrenzen Sie die Auswirkungen von Credential-Stuffing-Kampagnen.
Integration von Bot-Management
Da 44 % des fortgeschrittenen Bot-Traffics auf APIs abzielen, ist dediziertes Bot-Management unverzichtbar. Setzen Sie Lösungen ein, die hochentwickelte Automatisierung von legitimem Traffic unterscheiden, ohne die Nutzererfahrung zu beeinträchtigen.
Kontinuierliche Sicherheitstests
Die 6-prozentige API-Testrate Australiens korreliert mit der dortigen Vorfallsrate von 95 %. Integrieren Sie automatisierte API-Sicherheitstests in CI/CD-Pipelines und führen Sie regelmäßige Penetrationstests mit Fokus auf API-spezifische Schwachstellen durch.
API-Gateway mit WAAP-Integration
Zentralisieren Sie API-Traffic über ein Gateway, das WAAP-Funktionalität integriert. Das bietet Sichtbarkeit, Kontrolle und Schutz an einem einzigen Durchsetzungspunkt.
Wie TR7 Ihre APIs schützt
API-bewusste WAAP
Der Web-Anwendungs- und API-Schutz (WAAP) von TR7 enthält API-spezifische Schutzregeln gegen die OWASP API Top 10, darunter BOLA, Injection und Authentifizierungsangriffe.
Intelligentes Bot-Management
Fortschrittliche Verhaltensanalyse unterscheidet hochentwickelte Bots von legitimen API-Consumern. Mitigieren Sie Credential Stuffing, Scraping und automatisierten Missbrauch, ohne gültigen Traffic zu blockieren.
Rate-Limitierung & Zugriffskontrolle
Granulare Rate-Limitierung pro Endpunkt, Nutzer und Aktion. Verhindern Sie Ressourcenerschöpfung und begrenzen Sie die Auswirkungen automatisierter Angriffe auf Ihre API-Infrastruktur.
Echtzeit-Analysen
Umfassende Sichtbarkeit auf API-Verkehrsmuster, Angriffstrends und Sicherheitsereignisse. Erkennen Sie Anomalien und reagieren Sie auf Bedrohungen, bevor sie den Geschäftsbetrieb beeinträchtigen.
Application Gateway
Zentralisiertes API-Verkehrsmanagement mit integrierten Sicherheitskontrollen. Ein einziger Durchsetzungspunkt für Authentifizierung, Autorisierung und Bedrohungsschutz.
DDoS-Schutz
Layer-7-DDoS-Schutz für API-Workloads. Absorbieren Sie Angriffe auf Anwendungsebene und halten Sie gleichzeitig die API-Verfügbarkeit für legitime Consumer aufrecht.
Referenzen & Quellen
[Akamai 2025 Report](https://www.akamai.com/resources/state-of-the-internet) – Primärquelle für die Statistik von 150 Milliarden API-Angriffen, den 33-%-Anstieg bei Web-Angriffen und regionale Ergebnisse.
[Salt Security Report](https://content.salt.security/state-api-report.html) – Quelle für die 99-%-Vorfallsrate von Organisationen und Statistiken zur Offenlegung sensibler Daten.
[Traceable Report](https://www.traceable.ai/2025-state-of-api-security) – Statistiken zur Erkennungsfähigkeit (21 % Erkennung, 13 % Prävention) und Erkenntnisse zu GenAI-Risiken.
[OWASP API Security](https://owasp.org/API-Security/editions/2023/en/0x11-t10/) – Maßgebliche Referenz für API-Schwachstellenkategorien und ihre Beschreibungen.
[Kasada Report](https://www.kasada.io/4-takeaways-2025-account-takeover-trends/) – ATO-Statistiken, Credential-Stuffing-Vorfälle und branchenspezifische Angriffstrends.
[F5 Labs Report](https://www.f5.com/labs/articles/threat-intelligence/2025-advanced-persistent-bots-report) – Trends zur Bot-Raffinesse und Credential-Stuffing-Statistiken.
[APAC Study](https://www.akamai.com/newsroom/press-release/2025-api-security-impact-study) – Regionale Erkenntnisse, Vorfallskosten und Lücken in den organisatorischen Fähigkeiten.
Sichern Sie Ihre API-Infrastruktur
Mit 150 Milliarden dokumentierten API-Angriffen und 99 % betroffenen Organisationen ist API-Sicherheit nicht optional, sondern essenziell. Erfahren Sie, wie die integrierte Sicherheitsplattform von TR7 Ihre APIs vor sich entwickelnden Bedrohungen schützt.
Bot-Management entdecken