Kurz vorweg: Wer 2026 eine Mobile-App, Partner-Integration oder Webshop betreibt, hat APIs. Die müssen abgesichert werden – nicht nur die Website.
- • OWASP API Top 10 (2023): BOLA, Broken Auth, Object Property Authorization, Unrestricted Resource Consumption.
- • API-Gateway als zentraler Choke-Point: Cloudflare, Kong, Tyk, Azure APIM, AWS API Gateway, Apigee.
- • Scanner für CI/CD: 42Crunch (OpenAPI-Audit), Akto (BOLA-Tests), StackHawk (DAST).
- • Pflicht-Massnahmen: Authentifizierung (OAuth2/JWT), Rate-Limiting, Schema-Validation, Object-Ownership-Checks.
- • Roll-out in 12 Wochen, Kosten CHF 15'000–60'000 plus laufende Tool-Kosten CHF 0–25'000/Jahr.
Warum APIs das Lieblingsziel 2026 sind
Jedes moderne KMU-Backend produziert Dutzende APIs: Die Bexio-Anbindung, die Mobile-App, das Partner-Portal, der Webshop-Checkout, die Auswertungen für Power BI, der ERP-Webhook, das HR-Self-Service, die KI-Integration. Diese Endpoints sind oft nur intern dokumentiert – wenn überhaupt – und laufen häufig ohne zentrale Sicherheits-Policy. Angreifer scannen das Internet systematisch nach offenen JSON-APIs, die Daten ohne sauberen Object-Owner-Check herausgeben.
Während für klassische Webseiten ein WAF eingespielt ist und ein Brute-Force-Detector greift, fehlen API-Endpunkten oft alle drei Disziplinen: keine zentrale Authentifizierung, kein Rate-Limit, keine Schema-Validation. Ein 50-Personen-KMU mit eigener Software hat 2026 typischerweise 20–80 produktive API-Endpoints – jeder davon ein potenzielles Datenleck.
OWASP API Security Top 10 (2023) im KMU-Kontext
| Risiko | Was | Gegenmittel |
|---|---|---|
| API1: Broken Object Level Authorization (BOLA) | /api/order/123 ohne Check, ob Order zum User gehört | OPA / Cedar Policy, Object-Ownership-Tests |
| API2: Broken Authentication | Schwache JWT-Signatur, Token ewig gültig | OAuth2 + kurzlebige Tokens, Refresh-Rotation |
| API3: Broken Object Property Authorization | User kann Felder ändern, die er nicht ändern dürfte | Whitelist erlaubter Felder, DTO-Pattern |
| API4: Unrestricted Resource Consumption | Massen-Anfragen oder grosse Payloads erlauben DoS | Rate-Limit, Max-Body-Size, Timeout |
| API5: Broken Function Level Authorization | Admin-Endpoint mit normalem User-Token erreichbar | Role/Scope-Check pro Endpoint |
| API6: Unrestricted Access to Sensitive Business Flows | Bot-Käufe, Coupon-Abuse, Massen-Account-Erstellung | Bot-Detection (Cloudflare Turnstile), Anomaly-Detect |
| API7: Server Side Request Forgery (SSRF) | API holt URL, die der User mitgibt, aus internem Netz | URL-Allowlist, kein Localhost |
| API8: Security Misconfiguration | Debug-Mode in Prod, offener CORS, default Credentials | CI/CD-Check, Konfig-Lint, OWASP ZAP |
| API9: Improper Inventory Management | Alte v1-API noch aktiv, Test-API öffentlich erreichbar | API-Discovery (Akto), regelmässiges Deprecation |
| API10: Unsafe Consumption of APIs | Vertrauen in externe API ohne Validierung | Input-Validation auch von Drittsystemen |
API-Gateway-Vergleich 2026
| Gateway | Stärke | Kosten | Eignung |
|---|---|---|---|
| Cloudflare API Gateway / Shield | Edge-Schutz, Bot-Mgmt, Schema-Validation | in Cloudflare Pro/Business | KMU mit Cloudflare-Setup |
| Kong (Open Source + Enterprise) | Plugins, OIDC, JWT, RBAC | OSS gratis, Enterprise CHF 25'000+ | Self-Host KMU & Tech-Stack |
| Tyk | Open Source, gute UI, Multi-Cloud | CHF 5'000–15'000 | Mittlere KMU |
| Azure API Management | Native Entra-Integration, Developer Portal | ab CHF 60/Monat (Consumption) | Azure-Stack |
| AWS API Gateway | Serverless mit Lambda, IAM | pay-per-call | AWS-Stack |
| Apigee (Google) | Marketplace, Developer Portal, Analytics | ab CHF 500/Monat | Premium / Public APIs |
| Traefik / Caddy + OPA | Light, Open Source, schnell | gratis | Kleine Setups, Side-Projects |
API-Scanner und Test-Stack
- 42Crunch Audit: OpenAPI-Spec wird auf Best Practices und OWASP-API-Compliance geprüft – ideal in CI/CD vor jedem Merge.
- Akto: Auto-Discovery aus Traffic-Mirror, generiert BOLA-Testcases automatisch, Free-Tier für KMU sehr brauchbar.
- StackHawk: DAST-Tool, läuft direkt in GitHub/GitLab-Pipelines, gut für REST/GraphQL/SOAP.
- OWASP ZAP: Klassiker, Open Source, ideal als Smoke-Test im CI – steile Lernkurve.
- Burp Suite Pro: Manueller Penetration-Test (Standard für ausgelagerte Pentests).
- Schemathesis: Property-based Testing aus OpenAPI-Spec, findet Edge-Cases ohne manuelle Pflege.
- Salt Security / Noname / Wiz: Enterprise-Suite mit Behavioral Analytics – ab CHF 30'000+/Jahr.
12-Wochen-Roadmap: KMU-APIs absichern
Woche 1–3: API-Inventur & OpenAPI-Specs
Alle produktiven APIs auflisten (auch alte v1-Endpoints und interne). Wo möglich OpenAPI-Specs aktualisieren oder mit Akto/Postman aus Traffic generieren. Klassifizieren: öffentlich, partner, intern, admin. Default-Klassifizierung "öffentlich" = Hochrisiko.
Woche 4–6: Gateway + Authentifizierungs-Baseline
API-Gateway vor produktive APIs setzen (Cloudflare, Kong, Tyk, APIM, je nach Stack). OAuth2/JWT als Default-Auth, kurzlebige Tokens (15 Min), Refresh-Rotation. Rate-Limit pro Endpoint (z. B. 60 req/min/User). Schema-Validation für Top-10-Endpoints.
Woche 7–9: BOLA & Authorization-Tests in CI
Object-Ownership-Checks in den Top-Risiko-Endpoints (Bestellungen, Rechnungen, HR-Daten) erzwingen. 42Crunch oder Akto in CI/CD integrieren – Pull Requests bekommen Security-Score. Manuelle Penetration-Tests für die 5 wichtigsten APIs.
Woche 10–12: Observability, Anomalie-Erkennung, Pen-Test
Logs ins SIEM (Sentinel, Elastic) streamen, Anomaly-Detection für Massen-Aufrufe oder ungewöhnliche Patterns. Klassischen Penetration-Test als Final-Abnahme. Deprecation-Plan für alte v1-Endpoints. Dokumentierte API-Governance.
Häufige Anti-Patterns in der Praxis
- API-Key in der App fest verdrahtet: Reverse-Engineering einer Mobile-App reicht – damit hat der Angreifer den Key. Lösung: Token-Exchange mit kurzlebigen Tokens.
- JWT ohne Expiry oder mit "alg: none": Klassische Lücke. JWT immer mit Expiry, RS256/EdDSA signiert, Server prüft Signatur strikt.
- Internal API ohne Auth, "weil nur intern": Sobald ein Pod kompromittiert ist, ist die ganze interne API offen. Service-to-Service-Auth (mTLS oder JWT) ist Pflicht.
- CORS auf *: Damit kann jede Website im Browser des Users die API ansprechen. Allowlist mit konkreten Domains.
- GraphQL ohne Depth-Limit: Verschachtelte Queries können den Server lahmlegen. Depth + Cost-Limits konfigurieren.
- Test-API noch produktiv erreichbar: Häufigste API-Discovery-Quelle für Angreifer. Test-/Staging-APIs hinter VPN oder Cloudflare Access.
- Logging mit sensitiven Daten: Authorization-Header, Passwörter und PII landen im Log. Strikte Allowlist für loggable Felder.
Compliance: revDSG, NIS2, CRA und PCI DSS
revDSG verlangt "dem Risiko angemessene technische Massnahmen" – für eine API, die personenbezogene Daten liefert, ist BOLA-Schutz Stand der Technik. NIS2 (über ISG) verlangt Lieferketten-Risikomanagement: Partner-APIs sind Lieferanten und müssen entsprechend abgesichert werden – siehe auch unser NIS2-Leitfaden.
Der EU Cyber Resilience Act (CRA) ab 11.12.2027 fordert für vernetzte Produkte (auch Web-APIs für IoT) eine Konformitätsbewertung, SBOM und Vulnerability-Disclosure. PCI DSS 4.0.1 enthält explizit API-Sicherheits-Anforderungen – speziell für Zahlungs-APIs ist BOLA-Schutz, Rate-Limiting und MFA Pflicht. Details: PCI DSS 4.0.1.
Cyber-Versicherer fragen 2026 nach API-Inventar, BOLA-Test-Pipeline und Gateway-Setup – ohne diese drei Kriterien gibt es bei mehreren Schweizer Anbietern Einschränkungen in der Deckung.
Fazit: API-Security ist 2026 das fehlende Element der KMU-AppSec
Während Webseiten-Sicherheit und Endpoint-Schutz bei den meisten Schweizer KMU in den letzten fünf Jahren auf Niveau gekommen sind, ist API-Security das offene Feld. Wer 2026 nicht systematisch an OWASP-API-Top-10, Gateway-Schutz und BOLA-Tests arbeitet, wird mit hoher Wahrscheinlichkeit Opfer eines Datenklau-Vorfalls über eigene oder Partner-APIs.
Der gute Pfad ist erstaunlich pragmatisch: Inventar, Gateway, OAuth2/JWT-Baseline, BOLA-Tests in CI/CD, jährlicher Pentest. In 12 Wochen erreicht ein KMU ein API-Security-Niveau, das vor 80% der typischen Angriffe schützt – und das die regulatorischen und versicherungsseitigen Anforderungen 2026 erfüllt.
API-Security-Programm für Ihr KMU
Wir machen API-Inventur, setzen Gateway, OAuth2/JWT und BOLA-Tests auf, integrieren 42Crunch/Akto in Ihre CI/CD und liefern Pentest plus Dokumentation. Erste Sichtbarkeit in 4 Wochen, voll abgesichert in 12.
Beratung anfragen