APIs sind unverzichtbar für moderne Anwendungen und zugleich zur größten Angriffsfläche im Internet geworden. KI-Integration, fehlende Transparenz und komplexe Hybrid-Clouds erhöhen das Risiko. So machen Unternehmen ihre Schnittstellen und Anwendungen resilient.
APIs sind heute das bevorzugte Ziel von Angreifern. Transparenz, Governance und Laufzeitschutz sind entscheidend, um Anwendungen und Daten zuverlässig zu schützen.
Ohne spezielle Schutzmaßnahmen können APIs zur größten Angriffsfläche im Internet werden – verschärft durch die aktuellen Entwicklungen im Bereich KI. Denn immer mehr Unternehmen binden KI-Dienste wie OpenAI, Gemini oder Watson in ihre Anwendungen ein und öffnen damit ungewollt neue Einfallstore für Angreifer.
Cyber-Sicherheit ist eine komplexe Herausforderung für Unternehmen. Häufig tendieren sie dazu, bestimmte Bereiche besonders gut zu schützen, die gerade viel Aufmerksamkeit erhalten. Dafür vernachlässigen sie den Schutz in anderen Bereichen. Ein Beispiel ist die Abwehr von DDoS-Attacken. Da diese Angriffsmethode durch lahmgelegte Webseiten immer wieder für Schlagzeilen sorgt, haben viele Unternehmen mit dem DDoS-Schutz ihres Netzwerk-Layers reagiert. Allerdings bleibt die Anwendungsebene meist ungeschützt. Doch auch hier initiieren Cyberkriminelle DDoS-Angriffe, um verschiedene Komponenten einer Anwendung zu überlasten.
Eine umfassende Absicherung von Anwendungen erfordert neben Überlastungs- und Zugriffsschutz aber auch den Schutz von APIs. Denn diese Schnittstellen bilden für Microservices-basierte moderne Anwendungen die Basis zur Kommunikation und Zusammenarbeit. Zusätzlich dienen sie dazu, KI-Modelle zu trainieren und zu verwenden.
Cyberkriminelle nutzen APIs, um darüber Daten zu stehlen oder KI-Modelle zu manipulieren. Diese Erkenntnis setzt sich auch in Unternehmen zunehmend durch: Viele Verantwortliche erkennen inzwischen, dass sie keine gute Übersicht über ihre APIs besitzen. Transparenz in diesem Bereich ist der erste wichtige Schritt hin zu mehr API Security. Denn nur was bekannt ist, lässt sich auch schützen.
Der zweite Schritt liegt in einer engeren Zusammenarbeit zwischen Entwicklungsteams und den Besitzern von APIs und Anwendungen. Dies erfordert Daten, die zeigen, dass es Probleme bei Sicherheit und Inventarisierung sowie im Verständnis der Infrastruktur gibt. Das bildet die Grundlage für gemeinsame Prozesse, um Sicherheit viel früher im Lebenszyklus der Softwareentwicklung einzubauen.
Eine weitere wichtige Anforderung ist der Laufzeit-Schutz. Dieser muss in Echtzeit und inline gewährleistet sein. Zum Beispiel ermöglichen es Sensoren, dass ein laufendes Programm kontinuierlich analysiert wird, um Schwachstellen im Code zu erkennen und zu melden. RASP (Runtime Application Self-Protection) kann sogar in den Programmablauf eingreifen, um Exploits solcher Schwachstellen zu verhindern.
Nicht zuletzt ist auch für KI-Sicherheit zu sorgen. Nicht zuletzt ist auch für KI-Sicherheit zu sorgen. KI-Anwendungen basieren häufig auf APIs. Deshalb reichen klassische Schutzmaßnahmen für Anwendungen und APIs allein nicht aus. Ergänzend ist eine eigene Sicherheitsschicht für KI-Systeme erforderlich. Investitionen in diesem Bereich sollten sich am tatsächlichen Risiko und der konkreten Bedrohungslage orientieren – nicht an der öffentlichen Aufmerksamkeit für das Thema. Denn die darf nicht auf Kosten bewährter Best Practices gehen.
Aufgrund zunehmender Automatisierung und KI-Unterstützung steigt jedoch die Gefahr durch intelligente Bot-Angriffe. Daher reichen die bisher installierten Schutzmaßnahmen in der Regel nicht aus. Sie müssen hochskaliert und an aktuelle Angriffsmethoden angepasst werden.
Sonst merken Unternehmen gar nicht, dass sie von Bots angegriffen werden. Sie spüren zwar die Symptome wie Betrug, geringere Performance ihrer Anwendungen oder gar Abbrüche, aber können die Ursache nicht erkennen. Daher benötigen sie entsprechende Schutzmechanismen, um diese automatisierten Angriffe auf ihre Anwendungen und APIs zu blockieren. Dafür ist eine starke Sicherheitsbasis erforderlich, die für die Zukunft auch mit Post-Quanten-Kryptographie abgesichert sein muss.
Komplexität ist der Feind der Sicherheit
CISOs sollten hier eine Gesamtstrategie für die Anwendungssicherheit verfolgen. Oberstes Ziel ist es, Sicherheitsrisiken wie Schwachstellen und Bedrohungen frühzeitig im Software-Lebenszyklus zu erkennen und wirksam zu adressieren. Dazu zählen auch Laufzeitschutz, Inventarisierung und Transparenz. Dafür ist mit einem breiten Ansatz umfassender Schutz zu bieten. Dieser besteht aus präventiver Abwehr, der Erkennung von Gefahren und die angemessene Reaktion darauf sowie der Untersuchung und Analyse der Angriffe. Unternehmen müssen ihre Fähigkeiten dazu realistisch ermitteln und kontinuierlich verbessern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dabei sollten sie die fünf grundlegenden Schritte für die Reaktion auf Angriffe berücksichtigen: identifizieren, schützen, erkennen, reagieren und wiederherstellen. Für jeden dieser Schritte gibt es wiederum eine Reihe von notwendigen Maßnahmen, um sicherzustellen, dass ein Unternehmen auf einen Sicherheitsvorfall vorbereitet ist.
Verwaltung von Richtlinien in vielen Umgebungen
Eine große Herausforderung ist dabei der umfassende Anwendungsschutz in der Cloud, insbesondere der Hybrid-Cloud. Durch die Migration sind viele Analyse- und Reaktionsmöglichkeiten auf Basis von Telemetrie-Daten in der lokalen Umgebung verloren gegangen. Aber auch in der Cloud benötigen Unternehmen für einen aktiven Schutz alle Komponenten der fünf grundlegenden Schritte sowie die entsprechende Richtlinien-Implementierung und -Durchsetzung.
Wer in der Cloud aber keine Visibilität seiner APIs besitzt, kann auch keine Richtlinien durchsetzen. So benötigen Unternehmen Lösungen, die Visibilität in hybriden Umgebungen bieten. Dies gelingt nur mit einer verteilten Lösung, die in allen Umgebungen funktioniert. Dann können Unternehmen auch Anwendungen flexibel zwischen verschiedenen Cloud-Umgebungen und on-Premises migrieren, ohne den Schutz zu gefährden.
Allerdings erhöht sich die Komplexität des Managements in der Regel, je mehr Umgebungen genutzt werden. So verwenden laut einer aktuellen Studie Security-Teams im Durchschnitt 17 verschiedene Konsolen, um Daten, Warnmeldungen und Vorfälle in unterschiedlichen Umgebungen zu kontrollieren. Diese Komplexität führt häufig zu einer Überlastung der Teams und dazu, dass kritische Events übersehen werden.
Entsprechend sollten Unternehmen die Anzahl der genutzten Tools auf weniger Anbieter reduzieren. Zur Konsolidierung stehen Lösungen zur Verfügung, die zumindest in Teilbereichen eine einheitliche Sicht ermöglichen. So kann zum Beispiel F5 mit einer Konsole Transparenz über die Sicherheit von Anwendungen in allen Umgebungen bieten und damit mehrere Einzellösungen ersetzen.
Eine solche Konsolidierung erleichtert nicht nur die täglichen Arbeitsprozesse, sondern auch das Training für die Mitarbeitenden, die nicht mehr verschiedene Konsolen bedienen müssen. Sie führt zu effizienteren Prozessen, besserer Übersicht und einheitlichen Sicherheitsrichtlinien. Durch die reduzierte Komplexität erhöht sich wiederum die Sicherheit für das Unternehmen.
Zum Schutz von APIs sind somit Transparenz, Sicherheit und Governance frühzeitig in den Entwicklungsprozess und über den gesamten Lebenszyklus hinweg zu integrieren. Dazu gehören erlaubte Nutzungsmuster, Datenbereinigung und Ratenbegrenzungen.
Gleichzeitig sollten Unternehmen umfassende und anpassungsfähige Lösungen für den API-Schutz einsetzen, um schnell auf neue Gefahren zu reagieren. Da immer mehr APIs mit externen Diensten vernetzt sind, haben Sicherheitsmaßnahmen neben eingehenden auch den ausgehenden API-Verkehr zu kontrollieren.
Nur mit einem solchen umfassenden Ansatz für den API-Schutz in allen Umgebungen lassen sich Anwendungen ausreichend absichern. Denn eines sollte Unternehmen immer bewusst sein: Angreifer suchen sich meist das schwächste Glied in der Sicherheitsarchitektur aus, um darüber in die Systeme einzudringen. Daher müssen alle Schwachstellen behoben werden – vom Netzwerk über Anwendungen bis zu den APIs.
Dieser Beitrag basiert auf einem Gespräch mit Josh Goldfarb, Field CISO bei F5.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/45/3b/453bde2c957cd85f090377089a3c4dd2/0102888048.jpeg "Security-Expoerten schätzen, dass sich das Volumen von Cyber-Attacken auf APIs bis 2024 verdoppeln wird. Umso wichtiger ist es, dass Unternehmen die Gefahr erkennen und schon jetzt darauf reagieren. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/8a/e08a544e614b0062046e8321bd2d52c9/0121760751v1.jpeg "Die Zahl der API-Angriffe ist das dritte Jahr in Folge gestiegen. (Bild: © Who is Danny – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/a1/bba15577c3ff5c71b4c77ea486970094/0117658925v2.jpeg "API-Security dient dazu, APIs regelmäßig zu überwachen und zu testen, um Schwachstellen zu finden und diese zu entschärfen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/1d/751d113829e4de0c6fb625fa30431c77/0120237461v2.jpeg "Der Akamai „State of the Internet“-Bericht zeigt, dass im vergangenen halben Jahr monatlich durchschnittlich 40 Prozent aller Webangriffe auf APIs abzielen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/c5/4bc51ca114528780db74ecd7c82db9e5/0125728493v2.jpeg "Eine umfassende API-Sicherheitsstrategie ist für Unternehmen nicht nur eine proaktive Maßnahme, sondern eine strategische Investition zum Schutz von Integrität, Verfügbarkeit und Vertraulichkeit. (Bild: © AndSus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/52/7b52230bbdec43c4435d11e6b037f294/0123359449v2.jpeg "Im Schach gilt: Wer den König nicht schützt, ist schachmatt. Ebenso brauchen Unternehmen zum Schutz ihrer wichtigsten Daten und Systeme eine starke Verteidigung gegen Cyberangriffe. (Bild: DIgilife - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/90/779009939523b9c59d4e331af07ac6b5/0123156886v1.jpeg "Der Autor: Stephan Schulz ist Principal Solutions Engineer bei F5 (Bild: F5)")
:quality(80)/p7i.vogel.de/wcms/c3/2c/c32cab1a3c15a588915c47e6cd5ac624/0123239508v2.jpeg "Je mehr Lösungen und Anwendungen ein Unternehmen betreibt, desto mehr Lücken in der Verteidigung können entstehen. (Bild: Andrey Popov - stock.adobe.com)")