Stephan Dykgers, Regional Sales Director, Data and Application Security, Thales
Das API-Wachstum ist ungebrochen, denn Unternehmen verlassen sich zunehmend auf die Schnittstellen bei der digitalen Transformation, der KI-gestützten Automatisierung und dem plattformunabhängigen Management. APIs stellen das Rückgrat moderner Anwendungen dar und ermöglichen es Unternehmen, Dienste zu verbinden, Abläufe zu optimieren und personalisierte Kundenerlebnisse zu schaffen.
Anwendungsfälle lassen sich bei der Zahlungsabwicklung oder dem Lieferkettenmanagement finden. APIs helfen bei KI-gesteuerten Analysen und der Integration von Drittanbietern. Kurzum sie sind für Agilität, Innovation und deren Wettbewerbsvorteile unerlässlich. Doch die schöne neue Welt gerät auch immer mehr ins Visier von Angreifern und dies halten Security-Analysten jedes Jahr im Imperva Bad Bot Reports 2025 fest.
Für dieses Jahr haben sie einen signifikanten Anstieg der auf APIs gerichteten Angriffe festgestellt. 44 Prozent des Advanced-Bot-Traffics zielt im Untersuchungszeitraum auf APIs ab. Die Analyse stellt außerdem eine Verlagerung von Angreifern auf API-Endpunkte dar, die sensible und hochwertige Daten verarbeiten. Bemerkenswert ist außerdem eine verstärkte Nutzung von KI-Tools wie ChatGPT, ByteSpider Bot, ClaudeBot, Google Gemini, Perplexity AI, Cohere AI und dem Apple Bot. Eine Auswertung der erfassten Attacken ergab, dass der ByteSpider Bot für 54 Prozent aller KI-gestützten Angriffe verantwortlich war. Auf den Plätzen folgen der AppleBot mit 26 Prozent, ClaudeBot mit 13 Prozent und der ChatGPT User Bot mit 6 Prozent.
Betroffen sind vor allem die Branchen, die eine hohe Anzahl von APIs nutzen und dadurch eine große Angriffsfläche darstellen. Organisationen aus der Finanzdienstleistungsbranche, der Telekommunikation, dem Gesundheitswesen und dem Einzelhandel gehören zu den zehn Branchen, die am häufigsten Ziel von Bot-Angriffen sind.
Cyberkriminelle gehen hierbei durchaus variantenreich vor, ihr Werkzeugkoffer enthält Payment Fraud, das klassische Account Take Over (ATO), Scalping (Ankauf vieler Produkte zur gleichen Zeit), Datei-Upload, Geschenkkartenbetrug, das Session Hijacking was besonders im Online-Banking gefährlich ist oder beispielsweise das Carding (Kreditkartenbetrug). Das Perfide dabei ist, dass nicht alle diese Angriffe notwendigerweise auf eine Organisation abzielen, sondern auch auf seine Kunden, die zumeist schlechter geschützt werden. Fallen sie jedoch einer Attacke zum Opfer, leidet auch das Image des Unternehmens, in dessen Namen die Betrüger vermeintlich agieren oder aber dessen Infrastruktur sie sich zu Nutze machen.
Abhilfe und Absicherung können Organisationen dann schaffen, wenn sie sich zunächst einmal ihrer API-Herausforderung bewusst werden. Sicherheitsverantwortliche müssen wissen, was sie wo schützen können. Eine Inventarisierung sollte also an erster Stelle stehen. API-Sicherheit sollte bewährte Authentifizierungsverfahren und strenge Zugangskontrollen durchsetzen, um Token-Missbrauch und unbefugtes Auslesen von Daten zu verhindern. Darüber hinaus können mehrschichtige Bot-Abwehrtechniken wie Proof-of-Work-Mechanismen und Tarpit-Strategien (Verzögerungstaktik durch Zuschaltung eines Überprüfungsservices, auch als Teergruppe für Hacker bekannt) Bots verlangsamen.
