Thinkdigital Logo
Zurück zum Blog
#API #Sicherheit #DSGVO #KMU #Penetrationstest

Sicherheit bei APIs: Die 5 häufigsten Fehler, die KMUs machen (und wie Sie sie vermeiden)

API-Sicherheit ist für kleine und mittlere Unternehmen in der DACH-Region oft ein unterschätztes Risiko. Erfahren Sie, welche fünf typischen Fehler zu Datenlecks, Compliance-Verstößen oder Angriffen führen – und wie Sie diese mit praktischen Maßnahmen wie OAuth, Rate Limiting oder DSGVO-konformen Prozessen vermeiden. Mit Tipps für Penetrationstests und rechtssichere Umsetzung.

Sicherheit bei APIs: Die 5 häufigsten Fehler, die KMUs machen (und wie Sie sie vermeiden)

APIs sind das Rückgrat moderner Geschäftsanwendungen – ob für die Anbindung von Zahlungssystemen, die Integration von CRM-Tools oder die Kommunikation zwischen Mikroservices. Doch während große Konzerne oft ganze Teams für API-Sicherheit beschäftigen, wird das Thema in kleinen und mittleren Unternehmen (KMUs) in der DACH-Region häufig stiefmütterlich behandelt. Die Folgen sind verheerend: Datenlecks, Compliance-Verstöße nach DSGVO oder sogar vollständige Systemübernahmen durch Angreifer.

Der Grund für diese Lücken ist selten böser Wille, sondern schlichtweg Unwissenheit. Viele Unternehmer und Entwickler gehen davon aus, dass ihre APIs „irgendwie sicher“ sind, solange sie funktionieren. Doch genau diese Haltung macht KMUs zu einem beliebten Ziel für Cyberkriminelle – besonders in Deutschland, Österreich und der Schweiz, wo strenge Datenschutzgesetze hohe Strafen bei Verstößen vorsehen.

In diesem Artikel zeigen wir Ihnen die fünf häufigsten Sicherheitsfehler bei APIs, die wir in unserer Beratungspraxis immer wieder sehen – und vor allem: wie Sie sie mit überschaubarem Aufwand vermeiden. Denn API-Sicherheit muss nicht kompliziert sein, wenn man die richtigen Stellschrauben kennt.

1. Fehlende oder falsch implementierte Authentifizierung (OAuth & Co.)

Einer der gravierendsten Fehler ist die Annahme, dass eine einfache API-Schlüssel-Abfrage oder Basic Auth ausreicht, um sensible Daten zu schützen. In der Praxis sehen wir jedoch regelmäßig, dass KMUs entweder gar keine Authentifizierung implementieren („die API ist ja nur intern“) oder veraltete Methoden wie selbstgebaute Token-Systeme verwenden, die leicht zu knacken sind.

Warum das gefährlich ist: Ohne robuste Authentifizierung können Angreifer nicht nur Daten abgreifen, sondern auch im Namen Ihres Unternehmens Aktionen ausführen – etwa Bestellungen aufgeben, Konten ändern oder sogar Löschvorgänge initiieren. Besonders kritisch wird es, wenn die API mit Drittanbietern kommuniziert (z. B. Zahlungsgateways), da hier oft finanzielle Schäden entstehen.

Die Lösung: OAuth 2.0 richtig einsetzen OAuth 2.0 ist der De-facto-Standard für sichere API-Authentifizierung, wird aber oft falsch verstanden. Viele KMUs setzen es nur für „Login mit Google/Facebook“ ein, dabei ist es weitaus mächtiger:

  • Verwenden Sie immer Access Tokens mit kurzer Gültigkeit (z. B. 15–30 Minuten) und implementieren Sie Refresh Tokens für langlebige Sessions.
  • Nutzen Sie Scopes, um den Zugriff auf genau die Daten zu beschränken, die eine Anwendung wirklich benötigt (Prinzip der geringsten Rechte).
  • Vermeiden Sie „Implicit Flow“ – dieser ist veraltet und unsicher. Setzen Sie stattdessen auf Authorization Code Flow mit PKCE (besonders wichtig für mobile Apps).
  • Prüfen Sie Tokens auf Server-Seite und vertrauen Sie nie allein dem Client (z. B. JavaScript im Browser).

Praktischer Tipp für KMUs: Falls die Implementierung von OAuth zu komplex erscheint, gibt es verwaltete Dienste wie Auth0 oder Okta, die sich auch für kleinere Budgets eignen. Diese bieten vorgefertigte Integrationen für gängige Frameworks und entlasten Ihre Entwickler von der fehleranfälligen Eigenimplementierung.

2. Kein Rate Limiting – oder zu lasche Grenzen

APIs ohne Rate Limiting sind wie ein Laden ohne Tür: Jeder kann hereinspazieren und so viel mitnehmen, wie er will. Besonders Brute-Force-Angriffe (z. B. auf Login-Endpoints) oder Denial-of-Service-Attacken (DoS) nutzen genau diese Schwachstelle aus. Doch selbst wenn KMUs Rate Limiting einsetzen, sind die Limits oft so hoch angesetzt, dass sie keinen echten Schutz bieten.

Warum das gefährlich ist:

  • Account-Übernahmen: Angreifer können Millionen von Login-Versuchen in kurzer Zeit durchführen, um Passwörter zu knacken.
  • Kostenexplosion: Bei cloudbasierten APIs (z. B. AWS API Gateway) können künstlich generierte Anfragen Ihre Rechnung in die Höhe treiben.
  • Service-Ausfälle: Wenn Ihre API mit Anfragen geflutet wird, bricht sie für echte Nutzer zusammen – mit direkten Umsatzeinbußen.

Die Lösung: Intelligentes Rate Limiting Ein einfaches „100 Requests pro Minute“ reicht nicht aus. Stattdessen sollten Sie:

  • Dynamische Limits basierend auf Nutzerrollen setzen (z. B. 60 Requests/Minute für Gäste, 500 für zahlende Kunden).
  • IP-basierte und Token-basierte Limits kombinieren, um Angriffe über mehrere Accounts hinweg zu erschweren.
  • Burst-Schutz implementieren: Erlauben Sie kurzfristige Spitzen (z. B. 10 Requests/Sekunde), aber blockieren Sie bei anhaltend hohem Traffic.
  • 429-Statuscodes (Too Many Requests) mit klaren Headern (Retry-After) zurückgeben, um Clients zu steuern.

Praktischer Tipp für KMUs: Nutzen Sie die eingebauten Rate-Limiting-Funktionen Ihrer API-Gateway-Lösung (z. B. Kong, Apigee oder AWS API Gateway). Falls Sie eine eigene Backend-Lösung betreiben, sind Bibliotheken wie Express Rate Limit (Node.js) oder Django Ratelimit (Python) einfach zu integrieren.

3. DSGVO-Konformität: APIs als blinder Fleck im Datenschutz

Die DSGVO ist in der DACH-Region ein zentrales Thema – doch während viele KMUs ihre Websites und Datenbanken auf Compliance prüfen, wird die API oft vergessen. Dabei sind APIs häufig die Schnittstelle, über die personenbezogene Daten (z. B. Kundendaten, Bestellhistorien) übertragen werden. Ein typischer Fehler ist etwa, dass:

  • Daten unverschlüsselt übertragen werden (kein TLS/HTTPS).
  • Zu viele Daten zurückgegeben werden (z. B. vollständige Nutzerprofile statt nur der benötigten Felder).
  • Löschfristen nicht eingehalten werden, weil die API veraltete Daten weiter ausliefert.

Warum das gefährlich ist: Bußgelder der Datenschutzbehörden können für KMUs existenzbedrohend sein – besonders in Deutschland, wo die Aufsichtsbehörden zunehmend aktiv werden. Zudem riskieren Sie Reputationsschäden, wenn Kunden erfahren, dass ihre Daten über unsichere APIs abgegriffen wurden.

Die Lösung: DSGVO-konforme API-Designs

  • Datenminimierung: Geben Sie nur die Felder zurück, die der Client wirklich benötigt (z. B. statt user.id und user.email nicht auch user.address und user.phone).
  • Verschlüsselung erzwingen: Nutzen Sie TLS 1.2 oder höher und setzen Sie HSTS-Header, um Downgrade-Angriffe zu verhindern.
  • Löschroutinen automatisieren: Wenn ein Nutzer sein Konto löscht, müssen alle seine Daten auch aus den API-Antworten verschwinden. Implementieren Sie hierzu Soft Deletes (Markieren als gelöscht) mit regelmäßigen Bereinigungsjobs.
  • Logging ohne personenbezogene Daten: Speichern Sie in Logs niemals Klardaten wie E-Mail-Adressen oder IP-Adressen (außer für absolute Notfälle wie Betrugsprävention).

Praktischer Tipp für KMUs: Führen Sie ein API-Datenregister, in dem Sie dokumentieren, welche Endpoints welche personenbezogenen Daten verarbeiten. So behalten Sie den Überblick und können bei Anfragen der Datenschutzbehörde schnell reagieren.

4. Keine regelmäßigen Penetrationstests – besonders in der DACH-Region kritisch

Viele KMUs gehen davon aus, dass ihre APIs sicher sind, weil sie „noch nie angegriffen wurden“. Doch diese Haltung ist riskant: Laut dem BSI-Lagebericht 2025 sind API-Angriffe in Deutschland eine der am schnellsten wachsenden Bedrohungen – und die Studien zeigen, dass die meisten Vorfälle nie gemeldet werden.

Besonders in der DACH-Region gibt es jedoch eine zusätzliche Hürde: Strenge Compliance-Anforderungen (z. B. nach ISO 27001 oder dem deutschen IT-Sicherheitsgesetz 2.0) verlangen oft regelmäßige Sicherheitsprüfungen. Wer hier nachlässig ist, riskiert nicht nur Angriffe, sondern auch Vertragsstrafen mit Partnern oder Behörden.

Warum das gefährlich ist:

  • Unentdeckte Schwachstellen: Selbst einfache Fehler wie Injection-Lücken (SQL, NoSQL) oder Broken Object Level Authorization (BOLA) bleiben oft jahrelang unentdeckt.
  • Haftungsrisiko: Falls ein Angriff erfolgt und Sie keine Penetrationstests nachweisen können, haften Sie unter Umständen persönlich (besonders in Österreich und der Schweiz).
  • Vertrauensverlust: Kunden und Partner erwarten heute Nachweise über Sicherheitsaudits – besonders in Branchen wie FinTech oder Healthcare.

Die Lösung: Gezielte Penetrationstests für APIs Nicht jeder Test ist gleich wertvoll. Für KMUs empfehlen wir:

  1. Automatisierte Scans (z. B. mit OWASP ZAP oder Burp Suite) als Basis – diese decken Low-Hanging Fruits wie fehlende Header oder unsichere Konfigurationen ab.
  2. Manuelle Tests durch Experten, die gezielt nach API-spezifischen Schwachstellen suchen (z. B. Mass Assignment, JWT-Manipulation).
  3. Regelmäßigkeit: Mindestens einmal pro Jahr (besser quartalsweise), immer nach größeren Updates und vor der Einführung neuer Features.
  4. DACH-spezifische Anforderungen beachten: In Deutschland sind Penetrationstests nach BSI-Grundschutz empfehlenswert, in der Schweiz gelten die Vorgaben der FINMA für Finanzdienstleister.

Praktischer Tipp für KMUs: Nutzen Sie Bug-Bounty-Programme wie HackerOne oder Intigriti, um kostengünstig Sicherheitslücken zu finden. Viele Plattformen bieten spezielle Tarife für KMUs an. Alternativ können Sie mit lokalen IT-Sicherheitsfirmen in Ihrer Region zusammenarbeiten – diese kennen die spezifischen Anforderungen der DACH-Landesdatenschutzgesetze.

5. Fehlende Input-Validierung und Output-Encoding

Ein klassischer Fehler, der selbst bei erfahrenen Entwicklern vorkommt: Die API nimmt Daten entgegen oder gibt sie aus, ohne sie ausreichend zu prüfen oder zu bereinigen. Das führt zu Injection-Angriffen (SQL, NoSQL, Command Injection) oder Cross-Site Scripting (XSS), wenn die API-Daten später im Frontend angezeigt werden.

Warum das gefährlich ist:

  • Datenmanipulation: Angreifer können über manipulierte Inputs Datenbanken löschen oder ändern.
  • Schadcode-Einschleusung: Wenn API-Antworten unsauber in Webseiten eingebunden werden, kann Schadcode ausgeführt werden (z. B. Session-Hijacking).
  • Compliance-Verstöße: Ungefilterte Daten können zu DSGVO-Problemen führen, wenn etwa Schadcode Nutzerdaten an Dritte sendet.

Die Lösung: Defense in Depth

  • Input-Validierung:
    • Nutzen Sie strikte Whitelists (z. B. „Nur Zahlen zwischen 1 und 100“ statt „Alles, was keine Buchstaben enthält“).
    • Validieren Sie Datenformate (z. B. E-Mail-Adressen mit Regex, Datumsangaben mit ISO 8601).
    • Verwenden Sie dedizierte Bibliotheken wie Joi (Node.js) oder Pydantic (Python), statt manuelle Checks zu schreiben.
  • Output-Encoding:
    • Kodieren Sie Daten immer kontextabhängig (z. B. HTML-Encoding für Web-Antworten, JSON-Encoding für API-Calls).
    • Nutzen Sie Content Security Policy (CSP)-Header, um XSS-Angriffe einzudämmen.
  • Parameterisierte Abfragen:
    • Verwenden Sie niemals String-Konkatenation für SQL-Abfragen – nutzen Sie stattdessen Prepared Statements oder ORMs wie SQLAlchemy oder TypeORM.

Praktischer Tipp für KMUs: Integrieren Sie die Validierung direkt in Ihr API-Schema (z. B. mit OpenAPI/Swagger). Tools wie Spectral können dann automatisch prüfen, ob die Implementierung den Vorgaben entspricht.

Fazit: API-Sicherheit ist kein Hexenwerk – aber sie braucht Struktur

Die gute Nachricht: Die meisten API-Sicherheitsprobleme in KMUs lassen sich mit überschaubarem Aufwand beheben. Der Schlüssel liegt darin, proaktiv zu handeln, statt auf den ersten Vorfall zu warten. Beginnen Sie mit diesen fünf Schritten:

  1. Authentifizierung modernisieren (OAuth 2.0 mit PKCE).
  2. Rate Limiting sinnvoll konfigurieren (dynamisch, IP- und Token-basiert).
  3. DSGVO-konform gestalten (Datenminimierung, Löschroutinen, Verschlüsselung).
  4. Regelmäßige Penetrationstests durchführen (automatisiert + manuell).
  5. Input/Output streng validieren (Whitelists, Encoding, Prepared Statements).

Besonders in der DACH-Region lohnt es sich, hier früh zu investieren – nicht nur wegen der strengen Datenschutzgesetze, sondern auch, weil Kunden und Partner zunehmend Wert auf nachweisbare Sicherheit legen. Eine sichere API ist heute kein Nice-to-have mehr, sondern ein Wettbewerbsvorteil.

Brauchen Sie Unterstützung bei der Umsetzung?

API-Sicherheit ist komplex, aber Sie müssen sie nicht allein stemmen. In einem kostenlosen Beratungsgespräch analysieren wir Ihre aktuellen APIs, identifizieren die größten Risiken und zeigen Ihnen konkrete Lösungswege – angepasst an Ihr Budget und Ihre technische Infrastruktur.

➡ Beratungstermin vereinbaren

Nächster Artikel

Personalisierung mit KI: Wie Sie mit Tools wie Dynamic Yield die Conversion um bis zu 25 % steigern