Programmierschnittstellen rücken ins Visier von Cyberattacken

Thales warnt vor Cyberangriffen auf APIs (Programmierschnittstellen). Wie der Cybersicherheitsanbieter mitteilt, seien diese Schnittstellen zum Hauptziel von Cyberkriminellen geworden.

Gemäss seinem "API Threat Report" für das erste Halbjahr 2025 verzeichnete Thales in dem Zeitraum über 40'000 API-Vorfälle. 44 Prozent des Advanced-Bot-Traffics richtete sich gegen APIs, während APIs nur 14 Prozent der gesamten Angriffsfläche bieten.

Einer der auffälligsten verzeichneten Angriffe während der Untersuchung war ein DDoS-Angriff auf den Application Layer mit 15 Millionen Anfragen pro Sekunde. Diese Attacke richtete sich gegen eine API für Finanzdienstleistungen. 27 Prozent des API-fokussierten DDoS-Verkehrs habe sich im Untersuchungszeitraum gegen Finanzdienstleistungen gerichtet, wie das Unternehmen schreibt. Dies zeige die starke Abhängigkeit des Sektors von APIs für Echtzeit-Transaktionen.

Cyberkriminelle nutzen massive Botnets und Headless-Browser, um legitime API-Anfragen nachzuahmen, wie Thales mitteilt. Dadurch werde es für die Verteidigung schwieriger, den echten Datenverkehr zu erkennen.

Die wichtigsten Ergebnisse des Berichts fasst Thales wie folgt zusammen:

• Es gab bei 40'000 Angriffen insgesamt durchschnittlich über 220 Vorfälle pro Tag, bis Ende Jahr sollen es insgesamt über 80'000 Angriffe werden.
• 37 Prozent der Angriffe fand auf Datenzugriff-APIs statt, 32 Prozent Checkout/Zahlung, 16 Prozent Authentifizierung, 5 Prozent Geschenkkarten-/Promo-Validierung und 3 Prozent Schatten- oder falsch konfigurierte Endpunkte.
• Bei APIs ohne adaptive Multi-Faktor-Authentifizierung sind Versuche von Credential Stuffing und Account Takeover um über 40 Prozent angestiegen.
• 31 Prozent der API-Bot-Aktivitäten sind Datenscraping. Dieses ziele oft auf Felder wie E-Mail-Adressen und Zahlungsdetails ab.
• 26 Prozent der Angriffe geschehen durch Coupon- und Zahlungsbetrug mit Promo-Loops und schwachen Checkout-Validierungen.
• 13 Prozent der Angriffe sind Remote Code Execution (RCE)-Probes. Dabei seien Log4j, Oracle Weblogic und Joomla am häufigsten betroffen.
• Finanzdienstleistungen sind mit 27 Prozent an der Spitze der Angriffe, Reisen folgen mit 14 Prozent, Unterhaltung und Kunst mit 13 Prozent und Telekommunikation und Internetdienstanbieter mit 10 Prozent.
• Shadow-APIs sind weiterhin ein kritischer blinder Fleck. Unternehmen hätten 10 bis 20 Prozent mehr aktive APIs, als es ihnen bewusst sei.

"Der beste Zeitpunkt zum Handeln war gestern - der zweitbeste Zeitpunkt ist jetzt", warnt Tim Chang, Vice President Application Security Products bei Thales. "Unternehmen müssen jeden aktiven Endpunkt identifizieren, seinen geschäftlichen Wert verstehen und ihn mit kontextbezogenen, adaptiven Abwehrmassnahmen schützen, wenn sie ihre Einnahmen, ihr Vertrauen und ihre Compliance sichern wollen."

Zur Methodik

Für den Thales API Threat Report 2025 des ersten Halbjahres untersuchte das Unternehmen mehr als 4000 Imperva-Kundenumgebungen weltweit. Erfasst wurden API-Vorfälle, Bot-Telemetrie und Fingerprinting, Analyse des Endpunktverhaltens, CVE-Exploit-Tracking sowie DDoS-Forensik. Es wurden Verhaltensanalysen, maschinelles Lernen und forensische Analysen verwendet, um Angriffe zu kategorisieren, Zielendpunkten zuzuordnen und um Trends zu identifizieren.

Im "State of Operational Technology and Cybersecurity Report 2025" zeigt Fortinet, wie die Führungsebene immer mehr Verantwortung für Operational Technology (OT) übernimmt. Mehr über den Bericht zu diesem Thema können Sie in diesem Artikel lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.