Krimi: Das Einfallstor

Was dieser Krimi zeigt

Warum Legacy-APIs nach Startup-Übernahmen geprüft werden müssen – und APIs keine Schnittstellen, sondern Einfallstore sind. Basierend auf DORA Art. 17 und Art. 28.

Unternehmen	NovaByte Software GmbH, Berlin
Branche	Software – FinTech-Integration nach Startup-Übernahme
Schaden	6 Millionen Euro in 168 Stunden
Regulierung	DORA Art. 17 & Art. 28 – Code-Ketten & Incident Response
Kern des Fehlers	Legacy-API aus Startup-Übernahme nicht geprüft, Sub-Drittanbieter unbekannt
Lernpunkt	APIs sind keine Schnittstellen. Sie sind Einfallstore.

Prolog – 3 Tage vor dem Einbruch

Die Lead Developerin Maren zoomte in die Log-Dateien. Kleine Latenzspitzen. Uneinheitliche Requests. Kein Alarm – aber ein Gefühl.

Sie schrieb dem CTO:

„Die alte API macht mir Sorgen. Ich traue dem Merge nicht.“

Der CTO antwortete nach einer Minute:

„Wir haben den Go-Live versprochen. Wir ziehen das durch.“

Es war der Moment, an dem aus einer Warnung ein Kipppunkt wurde.

1 Der unsichtbare Code

Das Berliner Softwarehaus NovaByte hatte gerade ein Startup übernommen. Name: FastLayer. Klein, agil, kreativ – aber technisch wild gewachsen. Die Integration sollte die Produktpalette erweitern.

Architekturpläne sahen sauber aus: Containerisiert. API-gesteuert. Dokumentiert. Angeblich „DORA-ready“.

Doch eine Komponente war ein blinder Fleck: Eine alte REST-API, die FastLayer nie modernisiert hatte. Gehostet bei einem Sub-Drittanbieter, von dem niemand bei NovaByte je gehört hatte. Die Logs zeigten Latenzspitzen. Die Entwickler hielten es für einen Nebeneffekt der Migration. Ein klassischer Fall von Selbsttäuschung.

2 Der Kipppunkt

Einen Tag vor dem Release warnte Maren erneut:

„Der Code ist nicht isoliert. Die API öffnet Ports, die keiner braucht.“

Doch der CTO stand unter Druck. Kunden warteten. Der Markt erwartete. Der Vorstand drängte. Er entschied:

„Wir shippen. Danach patchen wir.“

Gleichzeitig spielte der Sub-Drittanbieter ein automatisches Update ein – ungetestet, ohne Info an NovaByte, ohne Security-Check. Ein klarer Verstoß gegen Art. 17 DORA.

Der Compliance Officer markierte den Merge im System als „integrated“. Ohne Code-Review. Ohne Scan. Nur ein Klick. Es war das digitale Äquivalent zu „Wird schon nichts passieren“.

3 Der Crash

24 Stunden später.

Ein Hacker entdeckte die ungeschützte API schneller als irgendein Mensch. Attack-Vektor: trivial. Schadenpotenzial: maximal. Die API erlaubte unautorisierte Datenabfragen. Finanzdaten flossen ab – unbemerkt.

Weder SIEM noch Monitoring schlugen an. Kein funktionierender Alert. Kein Rollback-Pfad. Keine Resilienztests. Die perfekte Dunkelzone.

4 Der Tsunami

Freitag, 21:47 Uhr. Das gesamte System brach ein.

Banken meldeten Datendiebstahl

Kunden konnten nicht mehr auf ihre Konten zugreifen

Partner verweigerten API-Zugriffe

Sub- und Hauptprovider schoben sich gegenseitig die Schuld zu

Der Auditbericht am Montag war vernichtend:

Kein Security-Review der übernommenen Codebasis

Keine API-Kontrolle (DORA Art. 28 – Sub-Kette ungeprüft)

Kein Incident Response (Art. 17)

Ungetestete Integrationspfade

Fehlendes Monitoring der Third-Party-API

Der Schaden: 6 Millionen Euro in 168 Stunden. Der CTO trat zurück. Der Compliance Officer ebenso.

5 Die Wende

NovaByte rekonstruierte das System mit chirurgischer Präzision.

1	Code-Ketten prüfen	Alle APIs, alle Endpunkte, alle Sub-Prozesse. Zero-Trust. Jede Übernahme erhält ein Security-Review als Pflichtschritt.
2	Automatisierte Tests	Jeder Merge → automatisierter Security-Scan. Jede Abhängigkeit → geprüft auf CVEs. Kein manueller Bypass.
3	Warnrunden etablieren	Technical Resilience Meetings. Wöchentliche Red Line Reviews, bei denen Entwickler Bedenken eskalieren dürfen und müssen.
4	Rollback-Pläne üben	Statt Panik: 30-Minuten-Rollback-Drills. Recovery-Pfade dokumentiert und regelmässig getestet.
5	Reporting skalieren	4h- und 72h-Meldesystem an alle relevanten Stellen. Transparente Pipeline ohne Schuldzuweisungen zwischen Providern.

Das Ergebnis: Datenleck in 12 Stunden gestoppt. Keine regulatorische Strafe. Neuer Sub-Provider-Vertrag – 700.000 € Ersparnis jährlich.

Epilog – Der unsichtbare Bruch

Der grösste Fehler war nicht die fehlerhafte API. Er war der Glaube, dass alter Code „schon noch funktioniert“. Dass eine Übernahme nur eine Vermögensfrage ist, keine Sicherheitsfrage.

DORA zwingt dazu, diese Illusion zu beenden. Jede Integration ist ein neues Risiko. Und jedes ignorierte Risiko ist eine Entscheidung – auch wenn niemand sie so nennt.

Praxis-Impuls

Bei jedem Update, jeder Akquisition, jedem Merge: „Welcher Code ist unsichtbar – und wer prüft ihn wirklich?“ Ein Merge-Dashboard ist kein Luxus. Es ist Lebensversicherung. Und: Warnungen von Entwicklerinnen sind Governance-Ressourcen, keine Störfaktoren.

NBK Legal ·

Die vorliegende Geschichte ersetzt keine Rechtsberatung.

Was hier schief lief – und wie Sie es vermeiden

Leitfaden Leitfaden CRA Cyber Resilience Act – Produktsicherheit im Detail. Lesen → Self-Check Self-Check DORA Prüfen Sie Ihre DORA-Readiness. Lesen → Deep Dive Deep Dive: CRA-Konformität Technische Tiefe zu Code-Sicherheit. Lesen →

← Krimi 4: Der Kapital-GAU Krimi 6: Die Compliance-Fassade →