APIs sind die neue Angriffsfläche — und die meisten Unternehmen sind blind

Die Front hat sich verschoben

„Wir haben früher über Defense-in-Depth und Endpoint Protection gesprochen. Dann kam Identity. Jetzt ist die API das neue Perimeter.“ So beschreibt Sean Murphy, CISO bei BECU, einem der größten US-Kreditinstitute, die aktuelle Lage. Und er steht mit dieser Einschätzung nicht allein.

In einer aktuellen Erhebung von CSO Online berichten mehrere CISOs übereinstimmend: APIs haben Endpoints als primäre Angriffsfläche abgelöst. Sie sind die Eingangstür zu Backend-Systemen, Partnerschnittstellen und Kundendaten — und in vielen Unternehmen weder inventarisiert noch ausreichend geschützt.

Die Zahlen: Jede dritte Organisation betroffen

Ein Salt Security Report von 2025 zeigt:

Jede dritte Organisation wurde in den letzten 12 Monaten über eine API kompromittiert
95 % der API-Angriffe kommen von authentifizierten Quellen — über gestohlene API-Keys oder Credentials

Laut einer Studie von Enterprise Management Associates haben rund 70 % der Unternehmen nur 30 % ihrer APIs dokumentiert. Der Rest? Shadow-APIs, die außerhalb jeder Sicherheits-Governance existieren.

Konservative Schätzungen gehen davon aus, dass ein Großunternehmen zwischen 250 und 500 APIs betreibt. In der Realität sind es oft Tausende.

Warum EDR und WAF versagen

Das Kernproblem: Traditionelle Sicherheitswerkzeuge wie EDR, XDR und WAF sind für API-Angriffe schlicht nicht gebaut. Sie erkennen Malware auf Endpoints und einfache Web-Exploits — aber API-Missbrauch sieht für diese Systeme wie normaler, valider Traffic aus.

Elliott Franklin, CISO bei Fortitude Re, bringt es auf den Punkt: EDR und WAFs wurden für die Probleme von gestern gebaut. Ohne ein tiefes Verständnis von Business Logic und Identity Context übersehen traditionelle Tools Credential Stuffing, Token-Diebstahl oder Data Scraping.

API-Angriffe nutzen keine Payload-Patterns, die eine WAF erkennen würde. Sie missbrauchen Business Logic: gebrochene Authentifizierung, übermäßig permissive Autorisierung, exzessive Datenexposition. Einzeln betrachtet sind die Requests valide — erst in der Sequenz entsteht der Angriff.

James Faxon, Principal Advisor bei der Risk & Insight Group, erklärt: Ein Angreifer braucht keinen Laptop zu kompromittieren und keine Malware zu deployen. Mit einem gestohlenen Token und einer fehlerhaften Autorisierungslogik kann er sich lateral bewegen und Daten extrahieren, ohne traditionelle Endpoint-Controls auszulösen.

KI verschärft das Problem — auf beiden Seiten

Chaim Mazal, Chief AI and Security Officer bei Gigamon, warnt: KI hat die Demokratisierung offensiver Tools ermöglicht. Jeder kann jetzt API-Schwachstellen ausnutzen, unabhängig vom Skill-Level — ohne eine einzige Zeile Code zu schreiben.

Gleichzeitig vergrößert KI die Angriffsfläche von innen: Agentic AI, die autonom über APIs mit Systemen interagiert — einschließlich Model Context Protocol (MCP), Agent-to-Agent-Workflows und automatisierter Integrationen — schafft neue, schwer kontrollierbare Zugriffspfade.

Eine Studie von Software Finder (2025) zeigt: 56 % der IT-Entscheider erwarten, dass ihr Software-Stack bis 2030 KI-gesteuert sein wird. Mehr KI bedeutet mehr API-Aufrufe, mehr nicht-menschliche Identitäten, mehr Angriffsfläche.

Die Lieferkette als API-Risiko

Laut Gartner nutzen 71 % der Unternehmen APIs von Drittanbietern — SaaS-Plattformen, Cloud-Dienste, Partner-Integrationen. Jede dieser Verbindungen ist ein potenzieller Angriffsvektor.

Patrick Opet, CISO von JPMorganChase, veröffentlichte 2025 einen offenen Brief, in dem er warnte, dass das SaaS-Modell „stillschweigend Cyber-Angreifer ermöglicht“ und eine „substanzielle Schwachstelle schafft, die das globale Wirtschaftssystem schwächt“.

In der Praxis heißt das: API-Keys und Tokens landen in Repositories, werden nicht rotiert, haben übermäßige Berechtigungen und sind teilweise offen im Web auffindbar. Escape entdeckte 2024 über 18.000 API-Secrets und Tokens im offenen Internet.

Was CISOs empfehlen

1. API-Inventar aufbauen

„Was man nicht sieht, kann man nicht schützen“, sagt Andreas Gaetje, CISO bei Körber. Der erste Schritt ist ein vollständiges Inventar aller APIs — intern, extern, und von Drittanbietern. Jede API braucht einen Owner, eine Dokumentation und eine Threat-Model-Bewertung.

2. API Governance einführen

BECU implementierte eine einheitliche API-Policy für alle Entwickler — noch bevor die Technologie ausgerollt wurde. Jeder API-Builder unterliegt derselben internen Richtlinie. Das reduziert Fehlkonfigurationen, die laut OWASP Top 10 das größte API-Risiko darstellen.

3. Identity-basierte Absicherung

APIs als „nicht-menschliche Identitäten“ behandeln: Least-Privilege-Prinzip, zeitgebundene RBAC, regelmäßige Token-Rotation. Fortitude Re integriert API-Sicherheit direkt in die IAM-Strategie und trackt aktiv nicht-menschliche Identitäten.

4. Security in die CI/CD-Pipeline

API-Spezifikationen müssen automatisierte Sicherheitsvalidierung durchlaufen, bevor sie deployed werden. Infinite Computer Solutions hat Security-Checks direkt in die CI/CD-Pipeline eingebettet.

5. Verhaltensbasiertes Runtime-Monitoring

Wenn ein API-Consumer außerhalb seines erwarteten Musters agiert, ist das ein Security Event, keine technische Anomalie. Runtime-Erkennung ist die einzige Verteidigung, die bei Zero-Day-Exploitation funktioniert.

6. Third-Party-APIs wie Risiken behandeln

Credentials von Drittanbietern zentralisieren und verschlüsseln. Niemals rohe API-Keys an Entwicklungsteams verteilen. Regelmäßig rotieren und auf Behavioral Drift überwachen.

J. Benjamin Espagné

Ihre APIs sind Ihre Angriffsfläche — behandeln Sie sie auch so

Warum API-Sicherheit kein Entwickler-Thema ist, sondern Chefsache

Die Aussagen der CISOs in diesem Artikel decken sich mit unserer täglichen Praxis bei NEOSEC: APIs sind der blinde Fleck der meisten Sicherheitsarchitekturen. Unternehmen investieren in EDR, WAF und Perimeter-Schutz — aber die eigentliche Angriffsfläche liegt längst woanders. Jede SaaS-Integration, jeder Cloud-Dienst, jede KI-Pipeline kommuniziert über APIs. Und in den meisten Fällen weiß niemand genau, wie viele APIs es gibt, wer sie nutzt, und welche Daten sie exponieren.

Die Zahl, die uns am meisten beschäftigt: 95 % der API-Angriffe kommen von authentifizierten Quellen. Das bedeutet: Der Angreifer hat einen validen Token — gestohlen, übermäßig permissiv, oder nie rotiert. Für eine WAF sieht das aus wie normaler Traffic. Für ein SIEM mit Verhaltensanalyse nicht.

Genau hier setzen wir bei NEOSEC an: Unser SIEM-basiertes Monitoring korreliert API-Zugriffsmuster mit Identity-Kontext. Wenn ein Service-Account plötzlich Daten aus einem Endpoint abfragt, den er nie zuvor genutzt hat — oder ein API-Key aus einer unbekannten Geografie zugreift — erkennen wir das. Nicht weil wir die spezifische Schwachstelle kennen, sondern weil das Verhalten vom Normalzustand abweicht.

Für Unternehmen, die unter NIS2 fallen, ist das besonders relevant: Die Richtlinie verlangt technische und organisatorische Maßnahmen zur Erkennung und Reaktion — und APIs sind Teil dieser Angriffsfläche, ob dokumentiert oder nicht.

Wissen Sie, wie viele APIs in Ihrem Unternehmen laufen? Wir helfen Ihnen, Sichtbarkeit zu schaffen.

CSO Online – APIs are the new perimeter: Here’s how CISOs are securing them
Salt Security – State of API Security Report 2025
OWASP – API Security Top 10
Escape – 18,000 API Secrets Found on the Open Web (2024)

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

Hacks Sicherheitslücken

CVE-2026-33017: Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt

J. Benjamin Espagné 30. März 202630. März 2026

CISA schlägt Alarm: Eine kritische Code-Injection-Schwachstelle in der KI-Workflow-Plattform Langflow (CVE-2026-33017, CVSS 9.3) wurde innerhalb von 20 Stunden nach Veröffentlichung aktiv ausgenutzt — ganz ohne öffentlichen Exploit-Code. Was das für Unternehmen mit KI-Tooling bedeutet.

lesen CVE-2026-33017: Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt
Supply-Chain-Angriffe: Wenn die Lieferkette zum Einfallstor wird

J. Benjamin Espagné 27. März 202627. März 2026

Supply-Chain-Angriffe haben sich seit 2022 um das 3,8-Fache erhöht. Das Handelsblatt berichtet über die wachsende Bedrohung — und NIS2 macht Lieferkettensicherheit zur Pflicht. Was Unternehmen jetzt tun müssen.

lesen Supply-Chain-Angriffe: Wenn die Lieferkette zum Einfallstor wird
Hacks Sicherheitslücken

Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet

J. Benjamin Espagné 25. März 2026

Eine kritische Zero-Day-Lücke in Cisco Secure Firewall Management Center wird aktiv für Ransomware-Angriffe genutzt — ohne dass ein Angreifer auch nur ein Passwort braucht. Was das bedeutet und warum schnelles Handeln jetzt entscheidend ist.

lesen Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet
KI MDR Sicherheitslücken

KI beschleunigt Exploits – die Lücke zwischen Bekanntwerden und Angriff schrumpft drastisch

J. Benjamin Espagné 19. Januar 202625. März 2026

Künstliche Intelligenz verändert die Sicherheitslandschaft in einem Tempo, dem viele Unternehmen kaum hinterherkommen. Aktuelle Analysen des SANS Institute zeigen, dass KI nicht…

lesen KI beschleunigt Exploits – die Lücke zwischen Bekanntwerden und Angriff schrumpft drastisch
In eigener Sache Research

Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec

J. Benjamin Espagné 22. Oktober 202525. März 2026

Seit dem 1. September 2025 verstärkt Dr. rer. nat. Anatolii Nazarko das Team von Neosec als Security Analyst & Head of Research bei Neosec. Mit…

lesen Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec
Hacks KEV Sicherheitslücken

Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame

J. Benjamin Espagné 21. Oktober 202525. März 2026

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog…

lesen Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame