Eine neue Studie von Fastly zeigt, dass neun von zehn Entscheidern wissen, dass APIs ein trojanisches Pferd für Cyberangriffe sind. Allerdings investieren die meisten nicht in fortschrittliche Anwendungen für API-Sicherheit. Im internationalen Vergleich identifizieren Unternehmen in der DACH-Region API-Schwachstellen mit am häufigsten.
(Bild: Song_about_summer - Adobe Stock)
Eine große Mehrheit der Entscheidungsträger ignoriert das wachsende Riisiko von APIs (Application Programming Interfaces) durch Cyberangriffe für ihr Unternehmen. Zu diesem Ergebnis kommt eine neue Umfrage von Fastly, einem Anbieter von Edge-Cloud-Plattformen, für die 235 IT- und Cybersicherheits-Experten befragt wurden. APIs sind seit langem als einer der Grundpfeiler der digitalen Wirtschaft anerkannt.
Jüngste Zahlen zeigen, dass mittlerweile der Großteil des gesamten Internetverkehrs über APIs abgewickelt wird. Die Allgegenwärtigkeit von APIs bedeutet, dass sie zu einem der beliebtesten Einfallstore für Cyber-Angriffe geworden sind. In der Fastly-Umfrage gaben 84 Prozent der Befragten zu, dass sie über keine fortschrittlichen Anwendungen für API-Sicherheit verfügen.
Unzureichende Maßnahmen gegen API-Missbrauch
Der Mangel an Maßnahmen gegen API-Missbrauch tritt auf, obwohl die große Mehrheit der Entscheidungsträger weiß, dass es diesbezüglich Probleme gibt. 95 Prozent der von Fastly befragten Unternehmen gaben an, in den letzten zwölf Monaten Probleme mit der API-Sicherheit gehabt zu haben. Mehr als drei Viertel (79 Prozent) haben die Einführung oder Integration einer neuen Anwendung aufgrund von API-Sicherheitsbedenken verzögert. Darüber hinaus sagten 79 Prozent, dass sie der API-Sicherheit eine hohe oder sehr hohe Bedeutung beimessen. Auf die Frage, warum nichts davon umgesetzt wurde, waren „unzureichendes Budget“ und „fehlendes Fachwissen“ die am häufigsten genannten Gründe.
API-Sicherheit: Risiko von Betriebsunterbrechungen
Jay Coley ist Senior Security Architect bei Fastly.
(Bild: Fastly)
Jay Coley, Senior Security Architect bei Fastly, erklärt: „Die Ergebnisse unserer breit angelegten Umfrage zeigen, dass Entscheidungsträger wissen, dass die zunehmende Abhängigkeit von APIs ein Risiko für schwere Cyberangriffe darstellt. Aber bisher unternehmen sie nicht genug, um dem entgegenzuwirken. Dies ist überraschend, wenn man bedenkt, dass die operativen Kosten und Reputationsschäden infolge einer Sicherheitsverletzung die Kosten für die Bereitstellung einer konsolidierten Webanwendungs- und API-Sicherheitslösung bei weitem übersteigen."
Auf die Frage, welche Eigenschaften einer Plattform für API-Sicherheitsplatt für ihr Unternehmen am wichtigsten wären, nannten die Befragten an erster Stelle die Identifizierung von APIs, die personenbezogene oder sensible Daten preisgeben (43 Prozent). Weitere Hauptanliegen waren die Identifizierung aller APIs, einschließlich der nicht dokumentierten (40 Prozent), sowie die Protokollierung und Überwachung (28 Prozent). Aufgrund der hohen Anzahl von Meldungen herkömmlicher Sicherheitslösungen fällt es Unternehmen jedoch zunehmend schwerer, API-Angriffe zu erkennen.
Credential Stuffing, Missbrauch von Geschäftslogik und DDoS-Angriffe sind nur einige der bösartigen automatisierten Bot-Angriffe, die eingesetzt werden, um Konten zu übernehmen und Identitätsdiebstahl und Betrug zu begehen. Leicht verfügbare Skripte und Tools machen es einfacher denn je, API-Angriffe zu orchestrieren, und herkömmliche Bot-Abwehrtechniken haben Schwierigkeiten, diese potenziell verheerenden Angriffe zu erkennen.
KI-Sicherheitslösungen sind im Kommen
Eine Lösung für die Komplexität der API-Landschaft könnte eine neue Generation von KI-gestützten Cybersicherheits-Systemen sein. Fastly fand allerdings heraus, dass es derzeit wenig Begeisterung für diese neuen Systeme gibt. Nur 14 Prozent der befragten Unternehmen betrachten den Einsatz von KI-Technologien in der API-Sicherheit als Priorität. Dennoch erwarten 58 Prozent, dass generative KI in einem Zeitfenster von etwa zwei bis drei Jahren einen „großen oder sehr großen“ Einfluss auf die API-Sicherheit haben wird. Im regionalen Vergleich gehen die Befragten aus den DACH-Ländern und aus Spanien am meisten von einem hohen bis sehr hohen Einfluss von KI auf die API-Sicherheit aus (65 Prozent).
Sektorale und regionale Unterschiede bei API-Sicherheit
Ein beunruhigender Aspekt der Umfrage ist, dass stark regulierte Sektoren, die mit sensiblen Daten umgehen, zu den schlimmsten Verursachern von API-Inaktivität gehören. Nur 80 Prozent der Befragten im Finanzdienstleistungssektor messen der API-Sicherheit eine hohe oder sehr hohe Bedeutung bei. Im Vergleich dazu sind es im Groß- und Einzelhandel sowie im E-Commerce 89 Prozent.
API-Schwachstellen werden in den untersuchten Regionen unterschiedlich häufig entdeckt. Unternehmen aus der DACH-Region sowie aus Spanien melden mit 47 Prozent die meisten Schwachstellen. Gleichzeitig sind nur 13 Prozent der Befragten in der DACH-Region der Ansicht, dass ihre API-Sicherheit fortschrittlich genug ist. Die Manipulation von APIs ist in der DACH-Region das häufigste Problem, während in Großbritannien und Skandinavien Zombie-APIs die größte Herausforderung darstellen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Sicherheitsexperten unterschätzen Ausmaß der Bedrohungen
Eine interessante Erkenntnis ist die Diskrepanz zwischen den Einstellungen innerhalb der Unternehmenshierarchien. 91 Prozent der C-Suite- und Compliance-Experten messen der API-Sicherheit eine „hohe oder sehr hohe“ Bedeutung bei, aber nur 74 Prozent der internen Sicherheitsexperten teilen diese Einschätzung. Dies könnte darauf hindeuten, dass Sicherheitsexperten das Ausmaß der Bedrohung unterschätzen - oder dass sie tagtäglich mit einer größeren Anzahl von Bedrohungen konfrontiert sind.
Im Rahmen der Studie zur API-Sicherheit wurden 235 wichtige Entscheidungsträger für IT und Cybersicherheit in Großunternehmen verschiedener Branchen in Großbritannien, Frankreich, Spanien, Skandinavien (Dänemark, Norwegen, Schweden, Finnland) und der DACH-Region befragt. Die Edge-Cloud-Plattform von Fastly unterstützt Unternehmen bei der Bereitstellung bestmöglicher Online-Erlebnisse. Fastly bietet Edge Computing, Content Delivery sowie Cybersecurity- und Observability-Produkte zur Verbesserung ihrer Website-Performance, Erhöhung der Sicherheit und Förderung von Innovationen auf globaler Ebene.
:quality(80)/p7i.vogel.de/wcms/85/6d/856d85b787661e67159bda79b02f8ee5/inform-logimat-16-9-1297x729v1.jpeg "Inform zeigt auf der LogiMAT 2026 KI-Lösungen für Supply Chain, Produktion und Logistik. (Bild: Inform)")
:quality(80)/p7i.vogel.de/wcms/e3/25/e32536b242117b780ffc6d423542458e/hahnenkamm-stubn-streif-kitzbuehel-wine-oclock-aufmacher-640x360v1.jpeg "(Bild: WIN-Verlag/Heiner Sieger)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/96/8e9643920d40ef4c56b89ed9db46399e/vertragsmanagement-chaylek-adobestock-552515632-neu-900x506v1.jpeg "(Bild: © chaylek/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/ef/1def8868f8b42a11d18bd5e94167fd5e/adobestock-216443774-peterschreiber-media-hosting-plattformen-889x500v1.jpeg "(Bild: © peterschreiber.media/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/0e/860e222f7a06559b87d280c18d4a9132/cloud-kosten-zongyi-adobestock-1173924342-mitki-1200x675v1.jpeg "(Bild: © zongyi/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/62/d762f723c8f5836ff32165315e26529b/oracle-trends-oci-3-2-1400x788v1.jpeg "(Bild: © nurionstudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/8d/798d7510066a8b2838dd1555729f6353/rechenzentrum-real-adobestock-587469792-neu-900x506v1.jpeg "(Bild: © Real/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/90/1c/901c1c145f6408431c9d1ed47ae9a26d/quantencomputing-riverland-20studio-adobestock-829503049-mitki-1197x673v1.jpeg "(Bild: Riverland Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/b0/3ab031df7e7752b407e7228c769d3b3d/quantum-echoes-google-willow-999x562v1.jpeg "(Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/e6/ce/e6cecfa23e7a86aa1f4233bbf642a823/trend-20vision-20one-plattform-16-9-1287x724v1.jpeg "Die Konsole von Trend Vision One visualisiert die gesamte Ereigniskette über alle Sicherheitsstufen hinweg. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/f7/ad/f7adeaeebb22c641e8ac7223a4bc6b31/ki-nirusmee-adobestock-845057742-neu-1200x675v1.jpeg "(Bild: © Nirusmee/stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/59/9c/599c1b87712102a3adafd071642dc39e/cybersecurity-janniklas-adobestock-593901574-16-9-1100x618v1.jpeg "(Bild: © JanNiklas/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/d2/6ed25e8d3b980b1560d45aaa3d816fec/soc-vadym-adobestock-1337750513-mitki-1200x675v1.jpeg "(Bild: © Vadym/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/01/dc/01dce703d7aa4721610687fe395fce7d/quadient-gettyimages-16-9-1200x675v1.jpeg "(Bild: GettyImages)")
:quality(80)/p7i.vogel.de/wcms/89/39/8939bc93a42d35c013fedfc22670cab7/db-deutsche-20telekom-zentrale-16-9-1200x674v1.jpeg "(Bild: Deutsche Telekom Quantum Systems)")
:quality(80)/p7i.vogel.de/wcms/a9/91/a9910a7fe66c44a729a92994d01334c9/ki-sam-20richter-adobestock-836690625-neu-1197x673v1.jpeg "(Bild: © sam richter/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/eb/94eb9f2fa3eda7c475bbc15ab0a37d7e/digital-20health-sdecoret-adobestock-178705480-neu-999x562v1.jpeg "(Bild: © sdecoret/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/b6/24b68cce7fa55a4602ba4e9fd2745640/telekom-fraunhofer-20iais-schockraum-16-9-1208x679v1.jpeg "Deutsche Telekom, Fraunhofer IAIS und Kliniken der Stadt Köln entwickeln einen KI-Agenten für Unterstützung im Schockraum. (Bild: Generiert mit GPT-5)")
:quality(80)/p7i.vogel.de/wcms/ac/6a/ac6a24bddb3ad60f9ebfaf7de90c571c/doctolib-gesundheitserinnerung-screenshot-2380x1338v1.jpeg "Doctolib unterstützt die Gesundheitserinnerung für Früherkennungs- und Vorsorgetermine. (Bild: Doctolib)")
:quality(80)/p7i.vogel.de/wcms/d4/7d/d47d4cd98fc5638a2130e5e6f23ba905/ki-sutthiphong-adobestock-657414716-neu-841x473v1.jpeg "(Bild: © Sutthiphong/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/3c/ae/3caedaaf36a91e48aaa438039a0d6ce4/the-20world-20of-20work-202026-204-1280x720v1.jpeg "(Bild: International Workplace Group)")
:quality(80)/p7i.vogel.de/wcms/a1/4b/a14ba6248cece276c72650e7b96590ec/arbeitsplatz-iftikhar-20alam-adobestock-1202424560-mitki-1200x675v1.jpeg "(Bild: © Iftikhar alam/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/4c/94/4c943f22c4957342715dff520ecd4205/retarus-adobestock-westend61-1904x1072v1.jpeg "Das Update von Retarus IDP beschleunigt komplexe Supply-Chain-Prozesse. (Bild: Retarus)")
:quality(80)/p7i.vogel.de/wcms/9f/2a/9f2a3502c54a540fa0bd37cad207a258/adobestock-1834271706-zerbor-compliance-2026-686x386v1.jpeg "(Bild: © Zerbor/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/fe/67fe14a4d78d3/esker-corporate-logo-c--002-.jpeg "esker-corporate-logo-c--002- (Esker Software)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/94/0e/940e8fddc31fbe0be1482449d5b41775/it-administrator-on-dmytro-zinkevych-shutterstock-1009636378.jpeg "it-administrator-on-dmytro-zinkevych-shutterstock-1009636378 (Quelle: Dmytro Zinkevych/Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/61/49/614995bba51085082a45fe9f351fa1e7/cloud-deemerwha-20studio-adobestock-573175243-neu-900x506v1.jpeg "cloud-deemerwha-20studio-adobestock-573175243-neu-900x506v1 (Bild: © Deemerwha studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/1a/5c1a291bdd960958d084a1993d2110fc/ransoware-exquisine-adobestock-605698536-neu-939x528v1.jpeg "ransoware-exquisine-adobestock-605698536-neu-939x528v1 (Bild: ExQuisine/Adobe Stock)")