Über 40.000 API-Vorfälle in der ersten Hälfte des Jahres 2025

Thales hat die Ergebnisse seines neuesten API Threat Reports (1. Halbjahr 2025) veröffentlicht und warnt davor, dass APIs – die hinter den Kulissen arbeitenden Verbindungselemente, die Apps, Zahlungen und Anmeldungen ermöglichen – zum Hauptziel für Cyberkriminelle geworden sind.

.

In mehr als 4.000 überwachten Umgebungen verzeichnete Thales allein im ersten Halbjahr 2025 über 40.000 API-Vorfälle. Obwohl APIs nur 14 Prozent der gesamten Angriffsfläche ausmachen, ziehen sie mittlerweile 44 Prozent des Advanced Bot-Traffics auf sich. Dies zeigt, dass Angreifer ihre ausgefeiltesten Automatisierungsverfahren auf die Workflows konzentrieren, die kritische Geschäftsabläufe unterstützen.

Rekordverdächtiger DDoS-Angriff auf Finanzdienstleistungen

Eine der auffälligsten Erkenntnisse aus dem Bericht ist das Ausmaß eines rekordverdächtigen DDoS-Angriffs auf den Application Layer mit 15 Millionen Anfragen pro Sekunde (Request per Second) gegen eine API für Finanzdienstleistungen.

Im Gegensatz zu herkömmlichen volumetrischen DDoS-Kampagnen, die darauf abzielen, die Netzwerkbandbreite zu überlasten, richtete sich dieser Angriff speziell gegen den Application Layer– wobei die API selbst ausgenutzt wurde, um Ressourcen zu erschöpfen und den Betrieb zu stören. 27 Prozent des gesamten API-fokussierten DDoS-Verkehrs im ersten Halbjahr 2025 betrafen Finanzdienstleistungen, was die starke Abhängigkeit des Sektors von APIs für Echtzeit-Transaktionen wie Abfragen des Kontostands, Überweisungen und Zahlungsautorisierungen widerspiegelt.

Dieser Vorfall zeigt, wie Angreifer mittlerweile Menge mit Tarnung kombinieren: Sie nutzen massive Botnets und Headless-Browser, um legitime API-Anfragen nachzuahmen, wodurch es für Verteidiger viel schwieriger wird, bösartigen Datenverkehr von echtem Datenverkehr zu unterscheiden.

Wichtige Ergebnisse des Berichts:

• Über 40.000 API-Vorfälle wurden im ersten Halbjahr 2025 verzeichnet, durchschnittlich über 220 pro Tag; Prognosen zufolge werden es bis Jahresende über 80.000 sein, wenn sich dieser Trend fortsetz
• Verteilung der Angriffe nach Endpunkten: 37 Prozent Datenzugriff-APIs, 32 Prozent Checkout/Zahlung, 16 Prozent Authentifizierung, fünf Prozent Geschenkkarten-/Promo-Validierung und drei Prozent Schatten- oder falsch konfigurierte Endpunkte.
• Versuche von Credential Stuffing und Account Takeover stiegen um 40 Prozent bei APIs ohne adaptive MFA.
• Datenscraping macht 31 Prozent der API-Bot-Aktivitäten aus und zielt häufig auf hochwertige Felder wie E-Mail-Adressen und Zahlungsdetails ab.
• Coupon- und Zahlungsbetrug macht 26 Prozent der Angriffe aus und nutzt Promo-Loops und schwache Checkout-Validierungen aus.
• Remote Code Execution (RCE)-Probes machen 13 Prozent der Angriffe aus, wobei Log4j, Oracle WebLogic und Joomla die am häufigsten angegriffenen CVEs sind.
• Nach Branchen führen Finanzdienstleistungen (27 %), gefolgt von Telekommunikation und Internetdienstanbieter (10 %), Reisen (14 %) sowie Unterhaltung und Kunst (13 %).
• Shadow-APIs bleiben ein kritischer blinder Fleck: Unternehmen haben in der Regel zehn bis 20 Prozent mehr aktive APIs, als ihnen bewusst ist.

„APIs sind das Bindeglied der digitalen Wirtschaft – aber das macht sie auch zu ihrer attraktivsten Angriffsfläche“, sagt Tim Chang, Vice President Application Security Products bei Thales . „Wir beobachten nicht nur eine Zunahme der Angriffe, sondern auch eine grundlegende Veränderung in der Vorgehensweise der Kriminellen: Sie müssen keine Malware einschleusen, sondern können einfach Ihre Geschäftslogik gegen Sie wenden. Die Anfragen sehen legitim aus, aber die Auswirkungen können verheerend sein. In den nächsten sechs Monaten werden API-Angriffe nur noch an Umfang und Raffinesse zunehmen. Der beste Zeitpunkt zum Handeln war gestern – der zweitbeste Zeitpunkt ist jetzt. Unternehmen müssen jeden aktiven Endpunkt identifizieren, seinen geschäftlichen Wert verstehen und ihn mit kontextbezogenen, adaptiven Abwehrmaßnahmen schützen, wenn sie ihre Einnahmen, ihr Vertrauen und ihre Compliance sichern wollen.“

Methodik

Der Thales API Threat Report (H1 2025) stützt sich auf reale Angriffsdaten aus mehr als 4.000 Imperva-Kundenumgebungen weltweit. Die Daten wurden zwischen Januar und Juli 2025 erhoben und umfassen:

• Über 40.000 API-Vorfälle in verschiedenen Branchen, darunter Finanzdienstleistungen, Telekommunikation, Reisen, Gesundheitswesen und E-Commerce.
• Bot-Telemetrie und Fingerprinting, wobei analysiert wird, wie Angreifer fortschrittliche Automatisierung sowohl über Web- als auch über mobile APIs einsetzen.
• Analyse des Endpunktverhaltens, einschließlich Datenverkehrsvolumen, Anomalien und Stealth-Mustern, die auf Missbrauch hindeuten.
• CVE-Exploit-Tracking, das sich auf persistente Schwachstellen wie Log4j, Oracle WebLogic und Joomla konzentriert.
• DDoS-Forensik, mit Schwerpunkt auf einer beispiellosen Flut von 15 Millionen Anfragen pro Sekunde gegen eine Finanzdienstleistungs-API.

Das Threat Research Team von Thales verwendete Verhaltensanalysen, maschinelles Lernen und forensische Analysen, um Angriffe zu kategorisieren, sie den Zielendpunkten zuzuordnen und Trends in verschiedenen Branchen zu identifizieren. Der Datensatz spiegelt zwar die Kundenbasis von Imperva wider, bietet jedoch einen robusten und repräsentativen Überblick darüber, wie APIs weltweit als Waffen eingesetzt werden.