Das Management von Application Programming Interfaces ist essentiellAPI im Fokus: Ursachen für Ausfallzeiten, Konsequenzen und Gegenmaßnahmen
Von
Sven Walther*
Im Juli dieses Jahres kam es in den USA in der digitalen Welt zu einem Stromausfall. Bei einer großen verteilten Edge-Computing-Plattform trat ein Softwarefehler auf, der zum Zusammenbruch des Domain Name System (DNS) führte, also der Art und Weise, wie das Internet die IP-Adressen den Domainnamen zuordnet. Die daraus resultierenden Kosten waren hoch.
Wo API-Management und Security zusammenwachsen, bieten sie belastbaren Schutz für Anwendungen.
(Bild: Darkmoon_Art auf Pixabay)
Auch der Ausfall des gesamten Facebook-Ökosystems im Oktober diesen Jahres (neben Facebook selbst auch Whatsapp und Instagram) hat die zunehmende Abhängigkeit von durchgehend erreichbaren System Eindrucksvoll demonstriert. Das Vertrauen in die Zuverlässigkeit wurde massiv geschädigt, Nutzer nutzten die Gelegenheit, sich bei der Konkurrenz umzuschauen und letztlich verlor Facebook auch erhebliche Einnahmen.
Wenn ein zentrales System wie DNS innerhalb einer weltweit anerkannten Edge-Plattform ausfällt, verursacht dies Ausfallzeiten für eine große Anzahl internationaler Unternehmen. Alle diese Organisationen sind aber auf eine kontinuierliche, unterbrechungsfreie Laufzeit für ihre Kunden angewiesen. Edge--Dienste sind auch für die Aufrechterhaltung der Sicherheit dieser Unternehmen verantwortlich, indem sie vor Cyber-Angriffen wie verteilten Denial-of-Service-Angriffen (DDoS) schützen.
Mein Fazit:
Der Autor ist Sven Walther, Principal Solutions Engineer EMEA bei Kong.
Ausfallzeiten sind nicht nur ärgerlich, sondern auch kostenintensiv und haben direkten Einfluss auf den geschäftlichen Erfolg. In jüngster Vergangenheit zeigte sich, dass die Schnittstellen für Anwendungsprogrammierung (API) immer mehr in den Fokus rücken.
Leider ist dies nicht nur bei den Dienstleistern und Anwendern der Fall, sondern auch bei den Angreifern. Die wichtigsten Aspekte in der API-Welt sind Sicherheit, Leistungsfähigkeit und Skalierbarkeit. Wer dem entsprechend Rechnung trägt, reduziert seine durch APIs ausgelösten Ausfallzeiten.
Ausfallzeiten schmälern das Geschäftsergebnis
Wenn diese Art von Ausfällen auftreten, kann es passieren, dass Nutzer nicht auf äußerst wichtige Daten zugreifen können, beispielsweise finanzielle und persönliche Informationen. Unternehmen verlieren an Glaubwürdigkeit, was zu einem Verlust von Kunden und Einnahmen führt. Und auch Regierungsbehörden sehen sich möglicherweise mit einer ernsthaften Katastrophe konfrontiert.
Eines der Hauptziele der IT- und Produktteams ist es deshalb, Anwendungen zu entwickeln, die Ausfallzeiten fast unmöglich machen. Das vielleicht wichtigste Element der Anwendungs- und Web-Konnektivität sind die Schnittstellen für Anwendungsprogrammierung (Application Programming Interfaces / APIs), das Rückgrat moderner Anwendungen. Was das DNS-System für Edge-Plattformen und Betriebszeiten ist, sind APIs für die Verbindung wichtiger Softwarekomponenten, die das Funktionieren aller online verfügbaren Dienste ermöglichen.
Wie alle Inhalte, auf die über das Internet zugegriffen wird, sind auch APIs anfällig für unzählige Bedrohungen, wenn sie nicht ordnungsgemäß gesichert sind. Ohne eine angemessene Authentifizierung und Autorisierung kann jeder, der sich damit auskennt, auf entsprechende Anwendung zugreifen.
Definitionsgemäß bieten APIs programmatischen Zugang zu Anwendungen. Das macht sie zu einem großen Angriffsvektor für böswillige Akteure. Mit Hilfe von Brute-Force-Angriffen beispielsweise können Angreifer Anmeldedaten ermitteln.
So erhalten sie Zugriff auf ein Benutzerkonto und schaffen sich damit eine Plattform für die Suche nach weiteren Schwachstellen. Durch Einfügen ungültiger Inhalte in eine API-Anfrage kann der Angreifer bösartigen Code direkt in ein System einschleusen: SQL-Injection und Cross-Site-Scripting sind die bekanntesten Formen dieses Angriffs. Denial-of-Service- und Distributed-Denial-of-Service-Angriffe können eine Anwendung komplett vom Netz zu nehmen.
API-Ausfallzeiten – Was sind die primären Ursachen?
API-Ausfallzeiten, also Zeiten, in denen APIs ihre Aufgabe nicht erfüllen, sind die größte Bedrohung für die Verfügbarkeit und Performance von Webseiten und Apps. Das Funktionieren der APIs im System hängt von vielen technischen Faktoren ab und erfordert Tools, die ihre Verfügbarkeit sicherstellen. In der Regel sind schlechte Leistung und unzureichende Sicherheit die beiden Hauptursachen für API-Ausfallzeiten:
1. Schlechte Leistung
Eine effektive Leistung von APIs erfordert sowohl Verfügbarkeit als auch geringe Latenzzeiten. Wenn eine API ständig zahlreiche Datenbankabfragen durchführt, anstatt zum Beispiel einen Cache zu nutzen, kann dies zu vermeidbaren und schädlichen Ineffizienzen in der Infrastruktur führen. Darüber hinaus können diese übermäßigen Abfragen den Server mit Anfragen überschwemmen – ein Problem, das sich bei Spitzenbelastungen der Website noch verschärft. Ausfälle sind in diesem Szenario keine Ausnahme.
Für viele Unternehmen jedoch ist die Verwaltung großer Mengen von Anfragen unvermeidlich. Die einfache Nutzung eines Cache-Systems reicht dabei möglicherweise nicht aus. Selbst ein System, das von perfekt gestalteten APIs unterstützt wird, kann darunter leiden. Dann muss die IT überlegen, wie sie die Geschwindigkeit und Zuverlässigkeit der Konnektivität erhöhen kann. Dies wird die Gesamtleistung verbessern und kritische Fehler vermeiden.
Die Unterstützung der APIs durch ein skalierbares und leistungsstarkes API-Gateway mit hoher Verfügbarkeit kann die Betriebszeit insgesamt erhöhen. Das Geheimnis dabei: den Website-Traffic schnell und effizient zu unterstützen und zu leiten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
2. Unzureichende Sicherheit
Sicherheit ist eines der wichtigsten Elemente bei der Entwicklung von APIs. Ohne sie kann es nicht nur zu Ausfallzeiten einer Internet-Dienstleistung kommen, sondern auch zu Datenschutzverletzungen und Wirtschaftspionage, die dem Ruf eines Unternehmens schwer schaden können. Die Herausforderung bei APIs besteht darin, ein Gleichgewicht zwischen den erforderlichen Richtlinien zum Schutz des Systems und einer einfachen Nutzung und Verwendung für Entwickler zu finden.
Die letztgenannten Anforderungen sind jene, die am anfälligsten für bösartige Akteure sind. Sie ermöglichen Cyber-Sicherheitsangriffe, die zu Ausfallzeiten und Umsatzeinbußen führen.
Einige der größten Schwachstellen in Bezug auf APIs sind Fehler bei der Datenfreigabe. Hauptursachen sind fehlende oder ineffektive Authentifizierung und Autorisierung sowie fehlende Anfragebeschränkungen. Eine API wird möglicherweise ohne jegliche Rücksicht auf die Sensibilität der Objekteigenschaften und der offengelegten Daten entwickelt. Injektionsangriffe böswilliger Akteure können dazu führen, dass diese auf sensible Daten zugreifen und eine schwerwiegende Sicherheitsverletzung verursachen.
Fehlende Beschränkungen in Hinblick auf die Anzahl der Anfragen, die ein Benutzer über eine API anfordern kann (Ratenbegrenzung), können ebenfalls zu einer Überlastung des Servers führen. Unerwünschte Konsequenzen sind der Ausfall der Website oder sogar unberechtigter Zugriff. Ein Praxisbeispiel ist die Verwendung eines sogenannten Brute-Force-Angriffs zur Ermittlung von gültigen Passwörtern – ein offensichtliches Sicherheitsrisiko.
Diese Fehler bei der API-Implementierung können sowohl zu Sicherheitsverletzungen als auch zu funktionalen Ausfallzeiten der Website führen.
Wesentliche Aufgaben bei der Verwendung von APIs
1. Optimierung der Leistung und Skalierbarkeit
Wenn APIs ausfallen oder auch nur zu langsam laufen, sind die Folgen genauso gravierend, wie die oben genannten Ausfälle im Juli und Oktober. Neben der Perfektionierung des API-Designs sollten sich IT-Teams verstärkt auf die Bereitstellung erstklassiger Konnektivität konzentrieren. Dazu gehören schnelle, stabile und skalierbare Systeme, welche die Ausfallzeiten der Website minimieren. Ziel muss eine Architektur für Zero-Downtime sein.
In puncto Sytemstabilität haben sich API-Gateways und breit angelegte Plattformen für Service-Konnektivität etabliert. Mit ihnen kann die IT zuverlässige, sichere und leistungsfähige Konnektivität für alle APIs, Dienste und Anwendungen im Unternehmen bereitstellen. Sie fungieren dabei als Reverse Proxy, der die APIs sicher zugänglich macht und einen Zugangspunkt zu den Diensten in den Anwendungen für interne Team schafft.
Der zusätzliche Vorteil von API-Management-Lösungen ist die Skalierbarkeit. Teams möchten, dass ihre API-Sicherheit mit der Größe ihrer Codebasis und Anwendung wächst. Die flexible und erweiterbare Natur der API-Gateways gewährleistet die notwendige Anpassungsfähigkeit in Hinblick auf Änderungen der Funktionalität und des Architekturdesigns, die im Lebenszyklus einer Anwendung normal sind.
2. Gewährleistung einer wirksamen API-Sicherheit
Die Folgen schlechter Sicherheitssysteme sind offensichtlich. Die Auswirkungen der Ausfallzeiten einer Website ist ein offensichtlicher Aspekt.
Für jedes Team, das der Sicherheit Priorität einräumt, ist es wichtig, sich dieser beiden Aufgaben bewusst zu sein: Management der Zugangskontrolle und des Traffic. Durch die einfache Konfiguration von Authentifizierungs-Modulen können die Entwickler unerwünschte Zugriffe auf ihre APIs verhindern und nur ausgewählten Benutzern mit entsprechender Berechtigung innerhalb ihrer Organisation Zugang gewähren.
Inzwischen sind Angriffe durch Bots hochgradig automatisiert. So lässt sich ein System mit Daten überschwemmen und letztlich überlasten. Die Entschärfung dieser Bots durch Ratenbegrenzung für Zugriffe kann die Bedrohung hinsichtlich DDoS-Angriffen verringern. Eine solche Verwaltung des Datenverkehrs kann das Risiko von Website-Fehlern und Ausfallzeiten reduzieren.
3. Modernisierung zur Vermeidung der Kosten von Ausfallzeiten
API-Leistung und -Sicherheit sind die Eckpfeiler für die Gewährleistung der allgemeinen Anwendungsverfügbarkeit für Kunden und Endnutzer. Dies gilt insbesondere auch für die generelle Modernisierung der Unternehmen, da moderne Microservice-Architekturen in großem Maße auf APIs beruhen.
Ein guter Ausgangspunkt ist die Frage, wie Unternehmen die Leistung von Anwendungen und Diensten mit einer dezentralen Architektur verbessern können. Indem Unternehmen die Stärke und Widerstandsfähigkeit der technologischen Infrastruktursysteme in den Vordergrund stellen, können alle einen Teil dazu beitragen, zukünftige digitale Katastrophen zu vermeiden.
* Sven Walther ist Ansprechpartner für alle technischen Fragen im Bereich API und Services und zeichnet sich im Solutions Engineering von Kong verantwortlich für Präsentationen und Installationen bei Interessenten. Dabei konzentriert er sich auf die Bereitstellung von Lösungen für APIs, Services und Developer Engagement. Sven Walther hat ein Studium der Wirtschaftswissenschaften absolviert und verfügt über eine mehr als 20-jährige internationale Erfahrung mit verschiedenen IT-Lösungen für Unternehmen, die APIs nutzen, bereitstellen und verwalten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/images.vogel.de/vogelonline/bdb/1867600/1867609/original.jpg "In Zeiten vermehrten Datenaustauschs über APIs werden Compliance und Sicherheit immer wichtiger. (geralt)")
:quality(80)/p7i.vogel.de/wcms/a2/fe/a2fe97b45af9e96b74f7c31cd24be14e/98553170.jpeg "Das Ausspionieren lauert immer und überall und ist dennoch nur eine der Gefahren im Cyberspace. Wer nur die Einfallstore im Netzwerk schützt, lässt viel größere Angriffsflächen ungesichert. (Bild: Gerd Altmann auf Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/90/779009939523b9c59d4e331af07ac6b5/0123156886v1.jpeg "Der Autor: Stephan Schulz ist Principal Solutions Engineer bei F5 (Bild: F5)")