Ein wachsendes Nachschlagewerk rund um APIs und ihre Sicherheit: von den Grundlagen über die häufigsten Risiken bis zu digitaler Souveränität und dem, was Regulatorik wie DORA und NIS2 wirklich verlangt.
Der Einstieg: was eine API ist und warum ihre Sicherheit über alles andere entscheidet.
Die häufigsten Schwachstellen, allen voran die Berechtigungsfehler, die kein Signatur-Scanner sieht.
Die zehn häufigsten API-Risiken (2023), mit den drei Berechtigungsfehlern im Fokus.
Lesen → AngriffJWT-Angriffe nutzen aus, dass ein Server manipulierte JSON Web Tokens akzeptiert, weil die Signaturprüfung fehlerhaft oder gar nicht durchgeführt wird.
Lesen → AngriffGraphQL bietet Clients große Flexibilität beim Abfragen von Daten, doch genau diese Flexibilität schafft eigene Sicherheitsrisiken, die über die klassische OWASP API Top 10 hinausgehen.
Lesen → AngriffInjection-Angriffe entstehen, wenn eine API nicht vertrauenswürdige Eingaben (URL-Parameter, JSON-Felder, Header) ungeprüft in eine Abfrage oder einen Befehl einbaut, sodass die Eingabe als ausführbarer Code statt als reine Daten interpretiert wird.
Lesen → AngriffCredential Stuffing ist das automatisierte Durchprobieren gestohlener Benutzername-/Passwort-Paare (aus fremden Datenlecks) gegen die Login- bzw.
Lesen → AngriffCORS (Cross-Origin Resource Sharing) ist ein Browser-Mechanismus, der die strikte Same-Origin-Policy kontrolliert lockert, damit eine Web-Anwendung Ressourcen einer anderen Herkunft (Origin) lesen darf.
Lesen → AngriffEingehende Webhooks sind HTTP-POST-Anfragen, die ein externer Anbieter (z.B.
Lesen → AngriffAPI-Secrets und Key-Leakage bezeichnet die unbeabsichtigte Offenlegung von API-Schlüsseln, Tokens und Zugangsdaten - etwa hartkodiert im Client- oder Mobile-Code, eingecheckt in öffentliche Code-Repositories, in Logs geschrieben oder als Query-Parameter in URLs übertragen.
Lesen → API1Broken Object Level Authorization (BOLA) steht als API1:2023 an erster Stelle der OWASP API Security Top 10 2023.
Lesen → API2Broken Authentication (API2:2023) bezeichnet Schwachstellen in den Authentifizierungsmechanismen einer API, also bei der Prüfung, ob ein Nutzer tatsächlich der ist, für den er sich ausgibt.
Lesen → API3Broken Object Property Level Authorization (API3:2023) tritt auf, wenn eine API zwar prüft, ob ein Nutzer auf ein Objekt zugreifen darf, aber nicht prüft, ob er auf die einzelnen Eigenschaften (Properties) dieses Objekts zugreifen oder sie verändern darf.
Lesen → API4Unrestricted Resource Consumption (API4:2023) bezeichnet das Risiko, dass eine API keine oder unzureichende Grenzen für den Verbrauch von Ressourcen setzt - etwa CPU, Arbeitsspeicher, Bandbreite, Speicherplatz oder kostenpflichtige Drittanbieter-Dienste (z.
Lesen → API5Broken Function Level Authorization (BFLA) entsteht, wenn eine API nicht ausreichend prüft, ob der angemeldete Nutzer eine bestimmte Funktion (Aktion/Endpunkt) überhaupt ausführen darf.
Lesen → API6Unrestricted Access to Sensitive Business Flows (API6:2023) tritt auf, wenn ein API-Endpunkt einen geschäftskritischen Ablauf (z.
Lesen → API7Server Side Request Forgery (SSRF) tritt auf, wenn eine API eine entfernte Ressource anhand einer vom Nutzer gelieferten URL abruft, ohne diese URL ausreichend zu validieren.
Lesen → API8Security Misconfiguration (API8:2023) bezeichnet Sicherheitslücken, die durch fehlende oder fehlerhafte Konfiguration auf irgendeiner Ebene des API-Stacks entstehen - vom Netzwerk bis zur Anwendung.
Lesen → API9Improper Inventory Management (API9:2023) entsteht, wenn Organisationen den Überblick über ihre eigenen APIs und über Datenflüsse zu Drittanbietern verlieren.
Lesen → API10Unsafe Consumption of APIs (API10:2023) beschreibt ein Risiko, das entsteht, wenn eine API Daten von externen oder Drittanbieter-APIs konsumiert und diesen blind vertraut.
Lesen →Von Authentifizierung, Validierung und Rate Limiting über Discovery und Pentest bis zur Durchsetzung am Gateway.
Sicherheit entsteht aus drei Schritten: Bestand kennen, kontinuierlich testen und am Gateway durchsetzen.
Lesen → SchutzDer zentrale Eingangspunkt, der routet, authentifiziert und drosselt, aber Berechtigungsfehler nicht fängt.
Lesen → SchutzOAuth 2.0 ist ein Framework zur delegierten Autorisierung: Eine Anwendung erhält im Namen eines Nutzers begrenzten Zugriff auf eine API, ohne dessen Passwort zu kennen.
Lesen → SchutzTLS verschlüsselt den Transport und prüft die Identität des Servers, entscheidet aber nicht, wer auf welche Daten zugreifen darf.
Lesen → SchutzEingabevalidierung nach dem Positive Security Model prüft jede eingehende Anfrage gegen ein explizit definiertes Schema (OpenAPI oder JSON Schema) und akzeptiert nur, was ausdrücklich erlaubt ist.
Lesen → SchutzRate Limiting, Quotas und Throttling begrenzen, wie viele Anfragen ein Client innerhalb eines Zeitfensters an eine API stellen darf.
Lesen → SchutzSecrets-Management ist das Verteidigungs-Pendant zu Key-Leakage: API-Schlüssel, Tokens und Zertifikate werden zentral verwaltet, nach Least Privilege freigegeben, automatisiert rotiert und nirgends im Code, in Git oder in Logs hartkodiert.
Lesen → SchutzZero Trust verlegt die Verteidigung vom Netzperimeter zu jeder einzelnen Anfrage: kein impliziter Vertrauensvorschuss durch Netzwerkstandort, Identität und Autorisierung werden pro Request neu geprüft.
Lesen → BetriebOhne Protokollierung und Überwachung bleiben Angriffe auf APIs unsichtbar, bis der Schaden eingetreten ist.
Lesen → BetriebSicherheit als Quality Gate statt als Jahrestermin: Wie SAST, DAST, SCA, Spec-Diffing, Contract-Tests für Autorisierung und Secret-Scanning in die CI/CD-Pipeline gehören, was NIST SP 800-204D dazu vorgibt und warum OWASP den jährlichen Pentest für nicht ausreichend hält.
Lesen → TestingEin API-Pentest prüft eine Schnittstelle systematisch entlang einer Methodik: Recon und Endpunkt-Discovery, Analyse der Authentifizierung und Autorisierung, das gezielte Durchspielen von Berechtigungs- und Logikfehlern sowie Fuzzing.
Lesen → TestingAPI-Discovery und Inventarisierung beantworten die Frage, welche Schnittstellen eine Organisation tatsächlich betreibt, in welcher Version und mit welchem Owner.
Lesen → TestingCVSS liefert einen standardisierten Schweregrad-Wert von 0 bis 10 für technische Schwachstellen.
Lesen → KIWer eine LLM-Funktion ausliefert, betreibt eine API mit zwei Risikoschichten: den klassischen API-Risiken und den modellspezifischen Gefahren der OWASP Top 10 for LLM Applications.
Lesen →Was digitale Souveränität bringt, warum sie bei Sicherheit besonders zählt und wie das mit DORA, NIS2 und DSGVO zusammenhängt.
Was Souveränität ist und was sie konkret bringt.
Lesen → SouveränitätWarum Souveränität gerade bei Sicherheit entscheidend ist.
Lesen → ComplianceBelegbare Sicherheit statt Häkchen, für APIs erklärt.
Lesen → ComplianceBSI IT-Grundschutz, BSI C5 und ISO/IEC 27001 sind der deutsche und europäische Rahmen, mit dem sich API-Sicherheit nicht nur umsetzen, sondern gegenüber Prüfern belegen lässt.
Lesen →Begriffe, die immer wieder auftauchen, kurz erklärt.
Sehen Sie, wie Venedy diese Risiken an Ihrer eigenen Schnittstelle aufdeckt, belegbar.
Hinweis: Diese Inhalte dienen der Aufklärung und autorisierten Sicherheitsprüfung — nicht als Anleitung zu unbefugten Zugriffen. Beschriebene Techniken nur auf eigenen Systemen oder mit ausdrücklicher Genehmigung anwenden. Für Richtigkeit und Vollständigkeit übernehmen wir keine Gewähr. Mehr im Haftungsausschluss.