Rate-Limiting begrenzt die Anzahl von Anfragen, die ein Client innerhalb einer definierten Zeitspanne an einen Dienst senden darf. Wird das Limit überschritten, antwortet der Server typischerweise mit HTTP 429 (Too Many Requests). Du schützt damit APIs und Webanwendungen vor Brute-Force-Angriffen, Credential Stuffing und unbeabsichtigter Überlastung. Gängige Algorithmen sind Token Bucket und Sliding Window. Im ISMS-Kontext gehört Rate-Limiting zu den technischen Kontrollen für Verfügbarkeit und Zugriffssicherheit. Achte darauf, Limits so zu wählen, dass legitime Nutzer nicht beeinträchtigt werden.