In der modernen Softwarearchitektur sind Application Programming Interfaces (APIs) der Klebstoff, der das Internet zusammenhält. Sie ermöglichen es Apps, Daten auszutauschen, Zahlungen abzuwickeln und Cloud-Dienste zu integrieren. Ob es sich um eine Wetter-App handelt, die Daten von einem Server zieht, oder um eine Gaming-Plattform wie Hitnspin, die im Hintergrund komplexe Transaktionen und Spielstände über sichere Schnittstellen synchronisiert – ohne APIs stünde die digitale Welt still.
Doch genau diese Ubiquität und die ständige Verfügbarkeit machen sie zum attraktivsten Ziel für Cyberkriminelle. Gartner prognostizierte bereits vor Jahren, dass API-Missbrauch der häufigste Angriffsvektor für Datenschutzverletzungen werden würde, und diese Vorhersage hat sich bewahrheitet. APIs sind von Natur aus darauf ausgelegt, Daten zugänglich zu machen und Systeme zu verbinden. Wenn sie nicht rigoros gesichert sind, öffnen sie Hackern Tür und Tor direkt in das Herz der Datenbanken.
Die Bedrohung: Shadow und Zombie APIs
Bevor man APIs sichern kann, muss man wissen, dass sie überhaupt existieren. Ein Hauptproblem in vielen Unternehmen ist der Mangel an Inventarisierung, was zur Entstehung unsichtbarer Angriffsflächen führt:
Shadow APIs: Dies sind Schnittstellen, die von Entwicklern „schnell mal“ gebaut und deployed wurden, aber nie die offiziellen Sicherheitsprozesse durchliefen. Das Sicherheitsteam weiß nicht einmal, dass sie existieren, und kann sie daher nicht schützen.
Zombie APIs: Alte, verwaiste Schnittstellen, die durch neue Versionen ersetzt wurden, aber nie abgeschaltet wurden. Hacker lieben diese, da sie oft Sicherheitslücken enthalten, die in neueren Versionen gepatcht wurden, aber im „Zombie“ noch offen stehen und leicht ausgenutzt werden können.
Das Kernproblem bei Shadow und Zombie APIs ist nicht technisches Unvermögen, sondern mangelnde Sichtbarkeit. Sie fungieren als unbewachte Hintertüren, die selbst die teuersten Sicherheitsmechanismen umgehen, schlicht weil niemand im Sicherheitsteam weiß, dass sie existieren.
Solange Unternehmen kein automatisiertes Bestandsverzeichnis (Inventory) führen, bleibt ihre Sicherheitsstrategie lückenhaft. Der effektivste Schutz beginnt daher nicht mit einer neuen Firewall, sondern mit dem rigorosen Abschalten veralteter Systeme und der lückenlosen Entdeckung (Discovery) jeder einzelnen, noch so kleinen Schnittstelle im Netzwerk. Man kann nicht verteidigen, was man nicht sieht.
OWASP Top 10 für APIs: BOLA ist König
Das Open Web Application Security Project (OWASP) führt eine eigene Liste der kritischsten API-Risiken. Das gefährlichste und am weitesten verbreitete Risiko ist BOLA (Broken Object Level Authorization).
Was ist BOLA?
Stellen Sie sich vor, Sie fragen Ihre Bank-API nach Ihren Kontodaten ab. Die URL sieht so aus: /api/account/12345. Die API antwortet korrekt. Nun ändern Sie die ID in der URL einfach manuell auf /api/account/12346.
Sichere API: Das System prüft, ob der eingeloggte Nutzer tatsächlich berechtigt ist, Konto 12346 einzusehen, und blockiert den Zugriff rigoros.
Unsichere API (BOLA): Das System liefert die Daten von Konto 12346 aus. Der Grund: Es prüft zwar, ob der Nutzer eingeloggt ist (Authentifizierung), vergisst aber zu prüfen, ob ihm das spezifische Objekt – in diesem Fall das fremde Konto – auch gehört (Autorisierung).
Dies ist der häufigste und gefährlichste Fehler, da er oft Massen-Datendiebstahl und unautorisierten Zugriff auf Millionen von Datensätzen ermöglicht, ohne dass komplexe Hacking-Tools notwendig sind.
Verteidigungsstrategien: Mehr als nur Firewalls
Herkömmliche Firewalls (Web Application Firewalls, WAFs) reichen zur Abwehr oft nicht aus, da API-Angriffe wie völlig legitimer Datenverkehr aussehen. Es sind spezialisierte Mechanismen notwendig, um die Schnittstellen effektiv zu härten:
API Gateways: Ein zentraler Kontrollpunkt, der den gesamten Verkehr regelt. Hier können Rate Limiting (Drosselung) und starke Authentifizierung zentral erzwungen werden, bevor Anfragen das Backend überhaupt erreichen.
Shift Left: Sicherheit muss bereits im Designprozess der API beginnen, nicht erst nach dem Deployment. Automatisierte Tests (SAST/DAST) müssen BOLA-Schwachstellen und Injections bereits während der Entwicklung finden.
Starke Authentifizierung: Proprietäre Eigenlösungen sind fehleranfällig. Stattdessen sollten Industriestandards wie OAuth 2.0 und OpenID Connect genutzt werden. Einfache API-Keys sind oft unsicher, da sie leicht gestohlen werden können und selten rotieren.
Diese Strategien zeigen, dass API-Sicherheit nicht durch ein einzelnes Tool erreicht wird, sondern eine Verteidigung in der Tiefe (Defense in Depth) erfordert. Nur wenn Authentifizierung, Gateway-Management und sicherer Code ineinandergreifen, kann das Backend vor der wachsenden Bedrohung durch API-basierte Angriffe geschützt werden.
📊 Die Top-Bedrohungen im Fokus
Um API-Sicherheit ganzheitlich zu verstehen, muss man über den Tellerrand einzelner Schwachstellen hinausblicken. Die OWASP-Liste deckt verschiedene Angriffsvektoren ab, die von logischen Fehlern bis hin zur Ressourcenerschöpfung reichen. Die folgende Übersicht fasst die häufigsten Risiken und die notwendigen Gegenmaßnahmen zusammen:
Risiko
Beschreibung
Gegenmaßnahme
BOLA
Zugriff auf fremde Daten durch simples Ändern der Objekt-ID.
Strenge Prüfung der Objekt-Berechtigung bei jedem einzelnen Aufruf.
Broken User Auth
Schlechte Implementierung von Logins, Tokens oder Session-Management.
Nutzung von bewährten Standard-Protokollen (OAuth2), keine „Eigenbauten“.
Unrestricted Resource Consumption
Überlastung der API durch zu viele Anfragen (simulierter DDoS).
Konsequentes Rate Limiting und Throttling am API Gateway.
Die Gemeinsamkeit dieser Risiken liegt in ihrer Natur: Es sind oft logische Fehler und keine reinen Software-Bugs. Ein Virenscanner kann BOLA nicht finden, da der Code technisch funktioniert – er tut nur etwas, was er nicht tun sollte. Die Abwehr erfordert daher ein tiefes Verständnis der Geschäftslogik und eine Architektur, die Misstrauen als Standard („Zero Trust“) implementiert.
Sichtbarkeit ist der Schlüssel
Man kann nicht schützen, was man nicht sieht. Der erste und wichtigste Schritt zur API-Sicherheit ist eine lückenlose Discovery aller Schnittstellen im Unternehmen, einschließlich der Shadow und Zombie APIs. In einer vernetzten Welt ist die API nicht mehr nur ein technisches Detail, sondern die Vordertür zum Unternehmen – und diese Tür muss rigoros abgeschlossen sein.
