Die letzten Wochen des Jahres 2025 haben eindrucksvoll demonstriert, was passiert, wenn API-Sicherheit zur Nebensache wird. Während sich viele Unternehmen auf Firewalls und Endpoint Security konzentrieren, nutzen Angreifer systematisch die Achillesferse moderner Infrastruktur aus: schlecht abgesicherte APIs. Zwei Vorfälle aus dem Dezember 2025 zeigen exemplarisch, warum kontinuierliches API Security Testing keine Option, sondern eine Notwendigkeit ist.
Der 700Credit-Vorfall: Anatomie eines vermeidbaren Datendiebstahls
Am 25. Oktober 2025 entdeckte das Finanzdienstleistungsunternehmen 700Credit, dass über fünf Monate hinweg systematisch Kundendaten exfiltriert wurden. Die Bilanz: 5,8 Millionen Verbraucherdatensätze – rund 20% der gesamten Datenbank. Namen, Adressen, Sozialversicherungsnummern und vollständige Finanzhistorien lagen nun bei Kriminellen. Der eigentliche Skandal: Die Schwachstelle war ein Lehrbuchbeispiel für einen der am längsten bekannten API-Sicherheitsfehler.
Wie der Angriff ablief
Im Juli 2025 kompromittierten Angreifer zunächst ein Partnerunternehmen von 700Credit. In dessen Logdateien fanden sie technische Details über die API-Zugriffe. Die Schwachstelle war simpel: Die API nutzte “Consumer Reference IDs” zur Identifikation von Verbrauchern. Wer eine solche ID an den entsprechenden Endpoint schickte, bekam die kompletten Daten zurück – ohne dass geprüft wurde, ob der Anfragende überhaupt berechtigt war, auf diese spezifischen Daten zuzugreifen.
Zwischen Mai und Oktober 2025 starteten die Angreifer einen Velocity Attack: Sie probierten systematisch verschiedene IDs durch und luden die zugehörigen Daten herunter. Das System hatte weder vernünftige Rate Limits noch eine Anomalie-Erkennung. Fünf Monate lang dauerte es, bis jemandem auffiel, dass etwas nicht stimmte – fünf Monate, in denen ein einfacher API-Test den gesamten Vorfall hätte verhindern können.
Das Problem: Broken Object Level Authorization
In der API-Sicherheit nennt sich das “Broken Object Level Authorization” (BOLA) und steht nicht umsonst auf Platz 1 der OWASP API Security Top 10. Das Prinzip ist simpel: Jede API-Anfrage muss nicht nur prüfen “ist der Nutzer eingeloggt?”, sondern auch “darf dieser spezifische Nutzer auf diese spezifische Ressource zugreifen?”. Die Authentifizierung allein reicht nicht – ohne Autorisierung auf Objektebene ist jede eingeloggte Person ein potenzieller Datendieb.
Ein systematischer API Security Test hätte diese Schwachstelle in Minuten identifiziert: Man erstellt zwei Testaccounts, authentifiziert sich mit Account A und versucht, auf Ressourcen zuzugreifen, die Account B gehören. Automatisierte API Security Testing-Plattformen – wie das bei Venedy entwickelte System – gehen genau dieses Problem an: Sie erstellen automatisch verschiedene User-Kontexte und testen systematisch, ob Account-Separation funktioniert. Der entscheidende Vorteil: Diese Tests laufen kontinuierlich, nicht nur einmalig vor dem Release.
React2Shell: Wenn die Zeit zwischen Disclosure und Exploitation verschwindet
Während der 700Credit-Vorfall ein Problem mangelhafter Tests offenlegt, zeigt die React2Shell-Schwachstelle ein anderes Dilemma: Selbst wenn man seine APIs testet, reicht das nicht mehr aus, wenn die Zeit zwischen Veröffentlichung einer Schwachstelle und ihrer massenhaften Ausnutzung auf wenige Stunden zusammenschrumpft.
Die Schwachstelle
Am 3. Dezember 2025 wurde CVE-2025-55182 veröffentlicht – eine kritische Remote Code Execution-Schwachstelle in React Server Components mit der maximal möglichen Severity-Score von 10.0. Die Schwachstelle nutzt aus, wie Server-Komponenten Daten deserialisieren. Angreifer senden speziell präparierte Daten, die eine selbstreferenzielle Schleife erzeugen und den Server dazu bringen, Angreifer-Code auszuführen. Das Resultat: vollständige Server-Kompromittierung mit einer einzigen HTTP-Anfrage.
Exploitation in Stunden
Bereits wenige Stunden nach Veröffentlichung beobachteten Security-Forscher erste Exploitation-Versuche. Innerhalb von 24 Stunden waren verschiedene Angreifergruppen aktiv, darunter das RondoDox-Botnet und chinesische APT-Gruppen. GreyNoise identifizierte über 362 eindeutige Angreifer-IPs, die aktiv nach verwundbaren Systemen suchten. Die Schwachstelle wurde in Mirai-Botnet-Varianten integriert und von Ransomware-Gruppen genutzt.
Ende Dezember 2025 waren noch immer etwa 90.300 verwundbare Instanzen im Internet erreichbar – 68.400 in den USA, 4.300 in Deutschland. Über 30 Organisationen hatten bereits bestätigte Kompromittierungen erlitten, mit Schäden von Datenverlust über Ransomware-Erpressungen bis hin zu vollständiger Infrastruktur-Kompromittierung.
Das neue Paradigma: Continuous API Security
React2Shell macht deutlich, warum traditionelle Ansätze – “wir testen vor jedem Release” – nicht mehr ausreichen. Die Schwachstelle lag in React selbst, nicht im Code der betroffenen Unternehmen. Als die Schwachstelle bekannt wurde, hatten sie buchstäblich Stunden, nicht Tage, um zu reagieren.
API Security muss kontinuierlich sein, nicht episodisch. APIs ändern sich ständig – neue Dependencies, Framework-Updates, geänderte Third-Party-Services. Jede Änderung kann neue Schwachstellen einführen. Wenn eine kritische Schwachstelle in einer weit verbreiteten Komponente bekannt wird, muss man innerhalb von Stunden wissen: “Sind wir betroffen? Wo genau?”
Hier zeigt sich der Vorteil agentenbasierter API-Testing-Systeme. Ein Agent kann eine API automatisch erkunden, neue Endpoints entdecken, Beziehungen verstehen und intelligente Testcases generieren. Wenn eine neue Schwachstelle bekannt wird, kann er automatisch prüfen, ob die getesteten APIs betroffen sind – ohne dass ein Mensch erst neue Testskripte schreiben muss.
Was diese Vorfälle bedeuten
Die Kombination aus 700Credit und React2Shell zeichnet ein klares Bild der aktuellen Bedrohungslandschaft. Einerseits haben wir bekannte Schwachstellenklassen wie BOLA, die seit Jahren in den OWASP Top 10 stehen und trotzdem in Produktion landen. Andererseits haben wir Zero-Day-Schwachstellen in weit verbreiteten Frameworks, die innerhalb von Stunden massenhaft ausgenutzt werden.
Die traditionelle Antwort – mehr manuelle Tests, mehr Code Reviews, mehr Security-Awareness-Training – ist notwendig, aber nicht hinreichend. Was wir brauchen, ist intelligentes, kontinuierliches Testing, das:
- Automatisch versteht, wie eine API funktioniert
- Relevante Schwachstellenklassen kontextbewusst testet
- Kontinuierlich läuft, nicht nur vor Releases
- Schnell auf neue Bedrohungen reagieren kann
Genau diese Fähigkeiten sind es, die bei Venedy entwickelt werden. Das Ziel ist nicht, Penetration Tester zu ersetzen – deren Expertise bleibt unverzichtbar. Aber für die kontinuierliche, systematische Absicherung von APIs gegen bekannte Schwachstellenklassen und für die schnelle Reaktion auf neue Bedrohungen brauchen wir automatisierte, intelligente Systeme.
Die Vorfälle vom Dezember 2025 sind keine Anomalie. Sie sind der neue Normal. APIs sind die Angriffsfläche moderner Software, und diese Angriffsfläche wächst täglich. Die Frage ist nicht, ob wir bessere API Security brauchen – die Frage ist, wie schnell wir sie aufbauen können.
Quellen
700Credit Data Breach:
- SecureMyOrg: How to Identify and Fix BOLA Vulnerabilities in Your APIs
- Qodex: Common API Security Vulnerabilities & Solutions
React2Shell (CVE-2025-55182):
- Bleeping Computer: React2Shell flaw exploited to breach 30 orgs
- Cloudflare: WAF proactively protects against React vulnerability
Ihre APIs testen?
Erfahren Sie, wie Venedy kontextbezogene Schwachstellen automatisch aufdeckt.