API-Pentest: Pruefung von REST-, GraphQL- und SOAP-APIs 2026
83% aller Web-Traffic im Internet sind heute API-Aufrufe. Trotzdem behandeln viele Unternehmen ihre APIs noch wie "Black Boxes hinter dem Frontend" — und genau das ist 2026 das groesste Sicherheitsrisiko. Ein API-Pentest ist die spezialisierte Pruefung, die Schwachstellen findet, die ein klassischer Webapp-Pentest oft uebersieht.
Dieser Leitfaden erklaert, was ein API-Pentest leistet, was die OWASP API Security Top 10 fordern und was er kostet.
Warum APIs eine eigene Pruefung brauchen
APIs sind kein "kleiner Bruder" der Webapp. Sie haben fundamental andere Angriffsoberflaechen:
- Keine UI-Schicht als implizite Validierung — der Server muss alles selbst pruefen
- Vielzahl an Authentifizierungsmechanismen — JWT, OAuth, API-Keys, mTLS, kombiniert
- Object-Level-Berechtigungen auf jeder Ressource — leicht falsch implementiert
- Hohe Geschwindigkeit — Ratelimits oft nicht ausreichend
- Maschinen-zu-Maschinen-Verkehr — keine Captchas, keine Mensch-Heuristiken
- GraphQL-Spezifika — Introspection, Depth/Complexity-Attacks, Field-Level-Berechtigungen
OWASP API Security Top 10 (2023, gueltig 2026)
Die offizielle Referenz fuer API-Pruefungen:
| ID | Kategorie | Beispielproblem |
|---|---|---|
| API1 | Broken Object Level Authorization (BOLA / IDOR) | /users/123 liefert Daten von User 456 |
| API2 | Broken Authentication | JWT ohne Signaturpruefung, schwache Refresh-Tokens |
| API3 | Broken Object Property Level Authorization | Unerlaubtes Updaten von isAdmin per PATCH |
| API4 | Unrestricted Resource Consumption | Keine Rate-Limits, GraphQL-Depth-Attacks |
| API5 | Broken Function Level Authorization | Standard-User kann /admin/* aufrufen |
| API6 | Unrestricted Access to Sensitive Business Flows | Massen-Account-Erstellung, Scalping |
| API7 | Server Side Request Forgery (SSRF) | Server folgt Angreifer-URL in Webhook-Konfiguration |
| API8 | Security Misconfiguration | Debug-Endpunkte in Produktion, fehlende CORS |
| API9 | Improper Inventory Management | Vergessene v1-API neben v2 noch online |
| API10 | Unsafe Consumption of APIs | Vertrauen in Drittanbieter-APIs ohne Validierung |
API1 (BOLA) ist mit Abstand das haeufigste Finding. Bei Matproof-Pentests in 2025/26 in 71% aller API-Pruefungen vorhanden.
Scope eines API-Pentests
Was gehoert dazu?
- Alle Endpoints (sichtbar in OpenAPI/Swagger plus Hidden Endpoints durch Discovery)
- Alle HTTP-Methoden pro Endpoint (GET, POST, PUT, PATCH, DELETE — werden oft inkonsistent geschuetzt)
- Authentifizierungs- und Token-Refresh-Flows
- Rollen- und Berechtigungsmodelle (mindestens 2 Nutzer pro Rolle fuer IDOR-Tests)
- Webhook-Sender und -Empfaenger
- API-Konfiguration (CORS, Rate-Limits, Versioning)
- Auch: alte API-Versionen, die noch live sind (API9)
Discovery — der oft uebersehene Teil
Der erste Wert eines API-Pentests liegt oft im Auffinden von Endpoints, die niemand mehr auf dem Schirm hat. Werkzeuge:
- OpenAPI/Swagger-Dokumente
- Bruteforce gegen typische Pfade (
/api/v1/admin,/internal/,/debug/) - Subdomain-Discovery + Port-Scanning
- Mobile-App-Reverse-Engineering (oft enthalten Apps API-Endpoints, die nicht im Web sichtbar sind)
- JavaScript-Bundles parsen (oft enthuellt das Frontend-Bundle interne Endpoints)
REST-API-spezifische Tests
IDOR-Tests
Mit User A und User B authentifizieren, dann jeweils versuchen, auf Ressourcen des anderen zuzugreifen:
GET /orders/{order_id}mit User-A-Token auf eine Order von User BPATCH /users/{user_id}mit fremder ID- Datei-Downloads mit fremden Datei-IDs
Mass Assignment
Versuchen, ueber das Body-Schema "versteckte" Felder zu setzen:
PATCH /me { "isAdmin": true }POST /signup { "role": "admin", "email": "x@y.com" }
Method Confusion
DELETE /users/123ohne Auth-CheckPUT /admin/configvon User-Account
Rate-Limit-Bypass
- IP-Wechsel via Proxy-Header (
X-Forwarded-For) - API-Key-Rotation
- Distributed Bruteforce
GraphQL-spezifische Tests
GraphQL-APIs haben einzigartige Angriffsflaechen:
Introspection
Standard-mässig aktivierte Introspection erlaubt jedem, das gesamte Schema abzufragen. Sollte in Produktion deaktiviert sein.
Depth/Complexity Attacks
query Bomb {
user { friends { friends { friends { friends { ... } } } } }
}
Ohne Depth-Limit kann eine einzige Anfrage den Server lahm legen.
Batch-Attacken
GraphQL erlaubt mehrere Operationen pro Request — kann Rate-Limits umgehen.
Field-Level-Authorization
Jeder Field-Resolver muss eigene Berechtigungspruefung haben. Eine fehlende Pruefung auf einem einzigen Feld macht das ganze Schema durchlaessig.
Mutation Authorization
mutation { updateUser(id: 123, isAdmin: true) } — werden kritische Mutations geschuetzt?
SOAP-API-spezifische Tests
Bei aelteren Enterprise-APIs (Banken, Versicherer):
- WSDL-Discovery
- XXE (XML External Entity) Injection
- WS-Security-Token-Manipulation
- XSLT Injection
Authentifizierungs-Tests
Eigener Schwerpunkt — APIs verlassen sich vollstaendig auf Tokens:
JWT-Schwaechen
- Algorithmus-Wechsel auf "none"
- Schwache Signaturschluessel (Wordlist-Angriff)
- Fehlende
exp/nbf-Pruefung - Algorithmus-Verwirrung (RS256 vs HS256)
OAuth-Flows
- Authorization Code Interception
- Open Redirect in
redirect_uri - PKCE umgehen
- Refresh-Token-Diebstahl
API-Key-Management
- Key in URL statt Header (taucht in Logs auf)
- Lange Lebensdauer ohne Rotation
- Keine Scope-Begrenzung pro Key
Tools fuer API-Pentests
| Werkzeug | Zweck |
|---|---|
| Burp Suite Pro + Burp API Definitions | Manuelle Pruefung, OpenAPI-Import, fuzzing |
| Postman + Newman | Strukturierte Test-Suiten, CI/CD-Integration |
| OWASP ZAP | Open-Source-Alternative, gut fuer Discovery |
| MindAPI / APISec University | Methodik und Lernressource |
| Akto, ApiSec, StackHawk | DAST-Tools speziell fuer APIs |
| Matproof | Kontinuierlicher API-Scan + manuelle Tiefpruefung + Compliance-Mapping |
Kosten eines API-Pentests
| Scope | Dauer | Kosten |
|---|---|---|
| Kleine API (10-30 Endpoints, 1 Rollenmodell) | 5-7 PT | EUR 6.000-13.000 |
| Mittlere API (30-100 Endpoints, mehrere Rollen) | 8-12 PT | EUR 10.000-22.000 |
| Komplexe API (Multi-Tenant SaaS, Webhooks, Microservices) | 12-20 PT | EUR 15.000-36.000 |
| GraphQL Deep-Dive | 10-15 PT | EUR 13.000-28.000 |
Mehr Detailpreise: Pentest-Kosten in Deutschland.
API-Pentest in Compliance-Programmen
NIS2 Art. 21
Bei API-zentrierten Architekturen (SaaS, Plattform-Anbieter, Connected Products) ist ein jaehrlicher API-Pentest Mindeststandard.
DORA
Finanzinstitute mit Open-Banking-Schnittstellen (PSD2 / FIDA): API-Pentest verpflichtend, mindestens jaehrlich plus nach jeder signifikanten Aenderung.
ISO 27001:2022 Annex A 8.8
Fuer Unternehmen mit eigener API-Plattform: API-spezifische Tests erwartet, nicht nur Webapp-Tests.
PCI DSS 11.4
APIs, die Karteninhaberdaten verarbeiten, muessen jaehrlich getestet werden.
DSGVO
APIs, die personenbezogene Daten ausliefern, fallen unter Art. 32 — IDOR-/BOLA-Schwachstellen sind direkte DSGVO-Verstoesse.
Was Matproof anders macht
Matproof testet APIs als integralen Teil des Pentest-as-a-Service:
- Kontinuierliche Discovery — neue Endpoints werden automatisch erkannt
- OpenAPI-/Swagger-Import fuer strukturierte Testabdeckung
- OAuth-/JWT-/API-Key-Pruefung automatisiert plus menschliche Vertiefung
- GraphQL-spezifische Tests (Introspection, Depth, Field-Authorization)
- Compliance-Mapping der Findings auf NIS2, DORA, PCI, ISO 27001
- CI/CD-Integration — Pruefung bei jedem Deployment
Mehr zur Plattform | Kostenloser Pentest-Check
Fazit
API-Pentests sind 2026 keine Kuer mehr, sondern Pflicht — die Angriffsoberflaeche moderner Software ist die API. Ein klassischer Webapp-Pentest deckt das nicht vollstaendig ab. Mindestens jaehrlich pruefen, bei sich schnell aendernden APIs kontinuierlich.
Der wichtigste Hebel ist Authorization auf jeder Ebene — Object-Level (BOLA), Property-Level (Mass Assignment), Function-Level (Admin-Endpoints). Das sind die haeufigsten und teuersten Findings.
Weiter lesen: Webapp-Pentest Leitfaden | Pentest-Anbieter-Vergleich | Pentest-as-a-Service