Das müssen CISOs jetzt beachten4 große Herausforderungen der API-Sicherheit
Ein Gastbeitrag von
Andy Grolnick
6 min Lesedauer
In den letzten Jahren nahm die API-Nutzung explosionsartig zu, da API-bezogene Lösungen nahtlose Konnektivität und Interoperabilität zwischen Systemen ermöglichen. Von einem leichteren Datenaustausch bis hin zu plattformübergreifenden Funktionen erzielen Unternehmen mit einem API-first-Ansatz bessere finanzielle Ergebnisse.
In der sich entwickelnden Landschaft der API-Sicherheit im Jahr 2024 stehen CISOs vor einer Vielzahl von Herausforderungen. Das exponentielle Wachstum von APIs bringt finanzielle Vorteile, erhöht aber auch die Sicherheitsrisiken.
(Bild: alphaspirit - stock.adobe.com)
APIs tragen zur Umsatzgenerierung bei. Das sagen 66 Prozent der Teilnehmer beim Postman's 2023 State of the API Report. Von diesen benennen 43 Prozent sogar, dass APIs mehr als ein Viertel des Gesamtumsatzes ihres Unternehmens ausmachen. Darüber hinaus hat der Aufstieg der API-Wirtschaft Unternehmen dazu veranlasst, ihre Dienste zu öffnen, die Zusammenarbeit zu fördern und die Schaffung neuer Produkte und Dienstleistungen durch die Integration von Drittanbietern zu ermöglichen.
Mit der zunehmenden Beliebtheit von APIs sind auch die Sicherheitsrisiken gestiegen, die sie für Unternehmen darstellen. Eine kürzlich durchgeführte ESG-Umfrage zur API-Sicherheit ergab, dass 92 Prozent der teilnehmenden Unternehmen, die APIs nutzen, in den letzten 12 Monaten einen Sicherheitsverstoß erlitten haben. APIs enthalten wertvolle Daten wie persönliche Benutzerdaten, finanzielle Details oder geschäftskritische Informationen. In Sektoren wie den Finanzdienstleistungen können APIs ausgenutzt werden, um Finanztransaktionen zu manipulieren oder Anmeldeinformationen zu stehlen, um direkten finanziellen Gewinn zu erzielen. Was API-Angriffe zunehmend besorgniserregend macht, ist die niedrige Einstiegshürde. APIs haben eine öffentlich zugängliche Dokumentation. Die Ausnutzung von Schwachstellen ist für Hacker einfach. Sie können sich leicht unbefugten Zugang zur Manipulation von Endgeräten verschaffen, potenziellen Datenverletzungen herbeiführen und die Kontrolle von Systemen übernehmen.
Wer ist zuständig?
Es ist verwunderlich, dass APIs in vielen Unternehmen nach wie vor eine unzureichend geschützte Angriffsfläche darstellen. Schuld daran ist, dass die API-Sicherheit ins Niemandsland fällt, sprich die Verantwortlichkeiten nicht klar definiert sind. API-Sicherheit ist in der Regel die Aufgabe von Sicherheitsteams. Aber die APIs selbst werden von Produktteams entwickelt, die der Geschwindigkeit und Markteinführung Priorität einräumen. Daher sind die Sicherheitsteams darauf angewiesen, dass die Entwickler die Probleme während der Entwicklung der Produkte angehen.
Diese Achillesferse könnte im Jahr 2024 von bösartigen Akteuren verstärkt ausgenutzt werden. Es ist daher entscheidend, wie gut CISOs und ihre Teams das hohe Risiko verstehen, welches unzureichend geschützte APIs für das Unternehmen bedeuten, wenn sie eine API-Sicherheitsstrategie für die nächsten 12 Monate entwickeln. Es liegt an den CISOs, Initiativen zwischen Sicherheits- und Produktteams voranzutreiben, um die Transparenz von APIs zu gewährleisten und Strategien zur Eindämmung potenzieller Bedrohungen zu entwickeln.
Die vier die größten Herausforderungen 2024 und wie CISCOs ihnen begegnen können
Es zeigt sich bereits ein Wandel. Unternehmen werden sich der dringenden Notwendigkeit von API-Sicherheit bewusst, und CISOs spielen eine wichtige Rolle bei der richtigen Absicherung der Unternehmensumgebung.
1. Authentifizierte Angriffe
Der Schutz vor API-Bedrohungen stellt eine große Herausforderung dar, auf die sich CISOs einstellen sollten, da herkömmliche, Perimeter-basierte Lösungen bei der Erkennung solcher Bedrohungen unwirksam sind.
Hacker finden neue innovative Wege, um einen authentifizierten Benutzerzugang zu erhalten. Kostengünstige APIs sind auch von ihnen leicht zu erwerben und sie können sich als Kunden oder Partner ausgeben. Aber auch höhere Kosten schrecken viele Hacker nicht mehr ab. Cyberkriminelle, die von Staaten unterstützt werden und damit mehr Zugang zu finanziellen Mitteln und Ressourcen haben, sind auf dem Vormarsch. Einmal als Kunde akzeptiert, nutzen Hacker ihren autorisierten Zugang bewusst aus, um sensible Daten zu stehlen, API-Endpunkte zu manipulieren oder unbefugte Aktionen durchzuführen, was zu Datenschutzverletzungen, Serviceunterbrechungen oder Kompromittierung von Systemen führt.
Da WAFs (Web Application Firewall) nur HTTP-Anfragen überwachen, bieten neue Perimeter-basierte API-Sicherheitslösungen, die Benutzeranfragen und nicht Antworten verfolgen, keine vollständige Transparenz des API-Datenverkehrs. Die Aktionen von böswilligen Kunden oder Partnern erscheinen legitim, da sie von authentifizierten Benutzern stammen. Die Sicherung von APIs in einer modernen Bedrohungslandschaft erfordert einen Ansatz zur Erkennung von Bedrohungen und zur Reaktion auf Vorfälle (TDIR), der den Schutz innerhalb des Perimeters priorisiert, um sicherzustellen, dass selbst wenn böswillige Akteure Zugang erhalten, die Bedrohung schnell erkannt und die Berechtigungen entzogen werden.
CISOs müssen sicherstellen, dass ihre API-Sicherheitsstrategie einen mehrschichtigen Ansatz verfolgt, der den Schutz des Perimeters durch Sicherheit auf Anwendungsebene ergänzt. Die genauen und vollständigen Informationen über Anfrage- und Antwortdaten von APIs sind notwendig, um unbekannte Angriffe zu isolieren, da Hacker Wege finden, um von herkömmlichen Lösungen unentdeckt zu bleiben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
2. Akzeptanz durch die Geschäftsleitung
Der Markt für API-Sicherheit steckt noch in den Kinderschuhen. Die Bedrohung durch API-Angriffe ist in den letzten Jahren stetig gestiegen, was zeigt, dass eine erhebliche Bildungslücke in Sachen API-Sicherheit besteht. Die Wahrheit ist, dass die meisten Unternehmen keinen vollständigen Einblick in ihre API-Umgebung oder ihre API-Risiken haben. Die API-Bestände ändern sich außergewöhnlich schnell, was die Verfolgung von Änderungen und Risiken erschwert.
Die stetig steigenden Zahlen von API-Angriffen und daraus resultierenden Millardenschäden verdeutlichen, wie wichtig es ist, dass Budgetverantwortliche und anderen Mitgliedern der Führungsebene mehr in API-Sicherheit und entsprechende Lösungen investieren. CISOs brauchen diese Unterstützung, um den Herausforderungen im Schutz von APIs vor Angreifern effektiv begegnen zu können.
Es braucht eine umfassende Transparenz innerhalb der API-Umgebung, um das Ausmaß der API-Belastung in Echtzeit zu erkennen. Diese Transparenz ist entscheidend, um die Sicherheitsziele mit den Geschäftszielen in Einklang zu bringen.
Indem sie einen allumfassenden Überblick über alle APIs in Echtzeit haben, können CISOs die potenziellen Geschäftsrisiken, die mit unsicheren APIs verbunden sind, genau messen. Ein API-Angriff kann sich erheblich auf die finanzielle Gesundheit eines Unternehmens auswirken, den Ruf schädigen und zu Umsatzeinbußen aufgrund unterbrochener Dienste oder der Notwendigkeit, für die Wiederherstellung des Datenzugriffs zu zahlen, führen. Dank der Echtzeit-Transparenz von APIs können CISOs die Risiken quantifizieren und Sicherheitsmaßnahmen effektiv planen, da sie die direkten Auswirkungen auf das Endergebnis des Unternehmens verstehen.
3. Vorschriften einhalten mit dem richtigen Sicherheitstool
Die Datenschutz-Grundverordnung (DSGVO), der Payment Card Industry Data Security Standard (PCI-DSS) und der Health Insurance Portability and Accountability Act (HIPAA) sind nur einige der Vorschriften, die Unternehmen einhalten müssen, um zu verhindern, dass personenbezogene Daten über APIs offengelegt werden. Da Unternehmen international tätig sind, müssen sie sicherstellen, dass ihre API-Sicherheit den verschiedenen regionalen gesetzlichen Rahmenbedingungen entspricht.
Bei APIs sind die Risiken für Dritte aufgrund der sensiblen Informationen, die APIs verarbeiten, besonders hoch. SaaS-Sicherheitslösungen erfordern einen langwierigen und komplizierten Prozess, um konform zu sein, da die Daten gefiltert, redigiert und anonymisiert werden müssen, bevor sie in eine Cloud-Umgebung hochgeladen werden können. Organisationen in Sektoren wie den Finanzdienstleistungen oder dem Gesundheitswesen sind besonders vorsichtig, wenn es darum geht, Daten mit Dritten zu teilen.
Die Zahl der API-Endpunkte nimmt jedoch in einem nie dagewesenen Ausmaß zu, und herkömmliche On-Premise-Lösungen haben nicht die Kapazität, eine so große Datenmenge zu verarbeiten. Die Herausforderung für CISOs besteht darin, Sicherheitstools zu finden, die die Einhaltung von Vorschriften nicht zu einem Hindernis für Effizienz und Betrieb machen.
Eine Möglichkeit ist, On-Premise-Tools zu bevorzugen, bei denen die Daten nicht erst verarbeitet werden müssen, bevor sie analysiert werden. Diese Tools sind innerhalb weniger Tage einsatzbereit, da nicht sichergestellt werden muss, dass die Datenverarbeitung den Risikoanforderungen Dritter entspricht.
4. Proaktiver Ansatz als zentraler Bestandteil der API-Sicherheit
Angesichts der Bedrohung durch KI-gestützte (Künstliche Intelligenz) Angriffe und der zunehmenden Raffinesse von Hackern ist die proaktive Bedrohungsjagd zum zentralen Bestandteil aller TDIR-Strategien geworden. CISOs müssen ihre TDIR-Strategien überdenken, um Echtzeit-Scans des API-Verkehrs einzubeziehen und eine frühzeitige Erkennung von API-Bedrohungen sicherzustellen. Es reicht nicht mehr aus, sich auf Leitfäden wie die „OWASP Top 10 API Security Risks“ zu verlassen, da Angreifer bekannte Bedrohungserkennung leicht umgehen können. CISOs sollten ihre API-Sicherheitsstrategien auf der vollständigen Beobachtbarkeit des API-Datenverkehrs aufbauen. Ein proaktiver Ansatz für APIs stellt sicher, dass selbst ausgefeilte oder Insider-Bedrohungen als bösartiger Datenverkehr erkannt und gestoppt werden, bevor sie das Anwendungsverhalten stören können.
Umdenken in 2024
In der sich entwickelnden Landschaft der API-Sicherheit im Jahr 2024 stehen CISOs vor einer Vielzahl von Herausforderungen. Das exponentielle Wachstum von APIs bringt finanzielle Vorteile, erhöht aber auch die Sicherheitsrisiken, insbesondere im Hinblick auf Insider-Bedrohungen und sich entwickelnde Angriffsmethoden. Die Bewältigung dieser Herausforderungen erfordert einen mehrschichtigen Sicherheitsansatz, Verteidigungsmaßnahmen innerhalb der Grenzen und proaktive Strategien, um potenzielle Verstöße zu erkennen und schnell darauf zu reagieren. Die Zustimmung der Unternehmensleitung, die Einhaltung von Compliance-Standards und die Vereinbarkeit von Sicherheit und betrieblicher Effizienz sind entscheidende Hürden. Die Priorisierung von Echtzeit-API-Transparenz und der Einsatz proaktiver Maßnahmen gegen sich entwickelnde Bedrohungen werden für CISOs bei der Stärkung der API-Sicherheit und dem Schutz der organisatorischen Integrität in den kommenden Jahren von höchster Priorität sein.
Über den Autor: Andy Grolnick ist CEO vom Security-Anbieter Graylog.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/0c/35/0c35989d881c3899ad1c6055e254db11/0126203589v2.jpeg "Cyberkriminelle nutzen KI um einer Entdeckung zu entgehen und ihre Angriffe zu personalisieren. (Bild: © scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")