Grundrauschen im Cyberkrieg: InfoSec-Teams setzen auf API-Sicherheit

Die digitale Bedrohungslandschaft entwickelt sich rasant weiter. Unternehmen stehen vor der Herausforderung, sowohl interne als auch externe Angriffe abzuwehren und gleichzeitig ihre Applikationen sowie Daten in einer zunehmend vernetzten Welt zu schützen. Im LSZ-Webinar IT-Security Cyber Lounge vom 6. März 2025 wurde genau dieses Thema diskutiert. Unter der Moderation von Claudia Marx teilten zwei Experten von Thales, Martin Gegenleitner und Boris Lemer, wertvolle Einblicke und Strategien, um ein effektives InfoSec-Team als Verteidigungslinie zu etablieren.

Boris Lemer, Senior Sales Engineer bei Thales sowie CISSP und Ethical Hacker, verdeutlichte eindrucksvoll, wie sich IT-Sicherheitsbedrohungen durch die digitale Transformation verändert haben. Während früher hauptsächlich On-Premise-Systeme geschützt werden mussten, verlagern sich heute immer mehr Anwendungen und Daten in die Cloud. APIs sind das Rückrat moderner digitaler Services, stellen jedoch auch eine der größten Schwachstellen dar. "Unsere internen Systeme sind oft gut gesichert, aber der Zugriff von außen wächst stetig. Unternehmen müssen verstehen, dass ihre digitalen Assets heute anders geschützt werden müssen als noch vor wenigen Jahren", so Lemer.

Mit dem exponentiellen Anstieg von APIs nimmt auch die Angriffsfläche für Cyberkriminelle zu. Besonders API-gestützte Dienste wie Salesforce oder WhatsApp Cloud sind laut Lemer beliebte Ziele. Eine Analyse zeigt, dass mittlerweile knapp 40 % des gesamten Internet-Traffics durch bösartige Bots generiert werden. Diese setzen Techniken wie Credential Stuffing, Web Scraping oder Distributed Denial-of-Service (DDoS)-Angriffe ein, um Unternehmen zu schädigen.

Martin Gegenleitner, Technical Consultant bei Thales, betonte: "Viele Unternehmen unterschätzen die Bedrohung durch API-Sicherheitslücken. Diese Lücken entstehen oft durch schlecht konfigurierte Authentifizierungen oder unzureichende Zugriffskontrollen."

Die Experten plädierten für eine umfassende Sicherheitsstrategie, die bereits in der Entwicklung von Applikationen beginnt – das sogenannte "Shift Left"-Prinzip. Dabei wird Security frühzeitig in den Software Development Lifecycle (SDLC) integriert. "Sicherheit darf kein nachträglicher Fix sein, sondern muss von Anfang an mitgedacht werden", so Lemer.

Zusätzlich wurde das Imperva-Framework vorgestellt, das Unternehmen eine Lösung zur Absicherung ihrer Web-Applikationen und APIs bietet. Diese Technologie kombiniert DDoS-Schutz, API-Sicherheit und fortschrittliche Bot-Protection in einer einheitlichen Plattform. "Die Frage ist nicht, ob Sie Ihre Anwendungen schützen müssen, sondern ob Sie es selbst tun oder eine bewährte Lösung nutzen wollen", so Gegenleitner.

Anhand realer Fälle verdeutlichten die zwei Experten, welche Auswirkungen unzureichende Sicherheitsmaßnahmen haben können:

• Polyfill-Attacke: Eine populäre JavaScript-Bibliothek wurde missbraucht, um Schadcode auf zahlreichen Webseiten zu platzieren. Eine effektive Client-Side-Protection kann solche Angriffe verhindern.
• Pokémon-Karten-Scalping: Automatisierte Bots kauften massenhaft Sammelkarten innerhalb von Sekunden auf und verhinderten so den Kauf durch echte Kunden. Die Lösung: Warteschlangen-Mechanismen (Waiting Rooms) und Bot-Protection-Technologien.

Die Diskussion machte deutlich: Ein starkes InfoSec-Team ist heute essenzieller denn je. Unternehmen müssen sich nicht nur vor bekannten Bedrohungen schützen, sondern auch proaktiv neue Angriffsszenarien analysieren und abwehren.

• API-Sicherheit ist eine der größten Herausforderungen in der modernen IT-Landschaft.
• Bots generieren mittlerweile fast 40 % des Internet-Traffics – und nicht alle sind gutartig.
• DevSecOps und "Shift Left"-Ansätze helfen, Sicherheitslücken frühzeitig zu schließen.
• Sicherheitslösungen wie Imperva bieten einen umfassenden Schutzmechanismus.
• Praxisnahe Schutzmaßnahmen wie Warteschlangen-Mechanismen oder Bot-Protection können Geschäftsprozesse nachhaltig absichern.

Das Webinar zeigte eindrucksvoll, dass IT-Sicherheit kein isoliertes Thema ist, sondern tief in die gesamte Unternehmensstrategie integriert werden muss. Wer sich weiter über diese Themen informieren möchte, hat dazu die Gelegenheit beim Security & Risk Management Kongress in Kitzbühel vom 1. und 2. April, wo u. a. die Experten von Thales vor Ort für Fragen zur Verfügung stehen werden.