API Penetrationstest: OWASP API Security Top 10 (2023), nachgewiesen

APIs sind der Ort, an dem moderne Anwendungen tatsächlich leben — und an dem moderne Breaches tatsächlich geschehen. Eine Single-Page-App oder ein Mobile-Client ist nur eine dünne Hülle über REST- und GraphQL-Endpunkten, die die gesamte Logik und alle Daten halten. Ein API-Penetrationstest prüft diese Endpunkte direkt gegen die OWASP API Security Top 10 (2023), wobei Broken Object Level Authorization (BOLA) und Broken Authentication die dominierenden Risiken sind. Matproof Sentinel testet Ihre APIs so, wie es ein Angreifer tut, bestätigt jeden Befund mit Proof-of-Exploit und liefert einen audit-tauglichen Bericht mit Mapping auf ISO 27001, SOC 2, NIS2 und DORA. Kostenloser 3-Minuten-Scan, vollständiger Bericht ab €149.

Kostenlosen API-Scan starten
MW
Geschrieben von Malte Wagenbach
Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).
Zuletzt überprüft: 17. Mai 2026

Warum API-Sicherheit eine eigene Disziplin ist — und warum Scanner sie verfehlen

Das Testen des Frontends einer Anwendung ist längst nicht mehr dasselbe wie das Testen der Anwendung. Der Browser oder die Mobile-App ist eine Komfortebene; die echte Angriffsfläche ist die API dahinter, und APIs versagen auf eine Weise, die spezifisch für APIs ist. Die OWASP API Security Top 10 existieren genau deshalb, weil die Web-Application Top 10 nicht erfassen, wie APIs brechen. Das API-Risiko Nummer eins — Broken Object Level Authorization (BOLA, API1:2023) — ist ein Autorisierungsfehler, der es einem Benutzer erlaubt, die Objekte eines anderen Benutzers durch Ändern einer ID zu lesen oder zu modifizieren, und es ist die häufigste Einzelursache großflächiger API-Datenlecks. Automatisierte Scanner sind dagegen nahezu nutzlos, weil jeder bösartige Request wie ein völlig valider, authentifizierter 200-Response aussieht; nur ein Test, der versteht, welcher Benutzer auf welches Objekt zugreifen darf, kann ihn finden. Ergänzen Sie GraphQLs Introspection- und Query-Depth-Probleme, Broken Function Level Authorization, Mass Assignment und Unrestricted Resource Consumption, und API-Testing wird zu einer eigenen Disziplin. Da Enterprise-Käufer und ISO-27001-/SOC-2-Auditoren zunehmend explizit nach API-Sicherheit fragen, ist ein API-Pentest für jedes Produkt, das Endpunkte exponiert, keine Option mehr.

  • Broken Object Level Authorization (API1:2023, BOLA/IDOR) ist die dominierende API-Breach-Ursache — und für Scanner unsichtbar, weil Exploit-Requests valide, authentifizierte Calls sind; nur autorisierungs-bewusstes Testing findet sie.
  • Broken Authentication (API2:2023): schwache JWT-Validierung (CWE-347), fehlendes Token-Ablaufdatum, Erreichbarkeit für Credential-Stuffing und Refresh-Token-Missbrauch sind Routine in APIs, die nur am Gateway 'abgesichert' wurden.
  • Broken Object Property Level Authorization (API3:2023): Excessive Data Exposure (die API liefert mehr Felder, als der Client anzeigt) und Mass Assignment (die API akzeptiert Felder, die der Client nicht setzen sollte, z.B. isAdmin=true).
  • GraphQL-spezifische Risiken: in Produktion aktiv gelassene Introspection, unbegrenzt verschachtelte Queries als Denial-of-Service-Vektor und fehlende Autorisierungsprüfungen auf einzelnen Resolvern.
  • Unrestricted Resource Consumption (API4:2023): fehlendes Rate-Limiting und fehlende Pagination-Limits, die Scraping, Brute-Force und Cost-Amplification-Angriffe ermöglichen.
  • Auditoren und Enterprise-Käufer verlangen heute explizit den Nachweis von API-Sicherheit — nur das gerenderte Frontend zu testen lässt die eigentliche Datenebene ungetestet und die Frage unbeantwortet.

Was Matproof in einem API-Penetrationstest prüft

  • Broken Object Level Authorization (API1:2023, BOLA): kann Benutzer A die Objekte von Benutzer B durch Manipulation von Identifiern lesen/modifizieren — getestet über jeden objektreferenzierenden Endpunkt
  • Broken Authentication (API2:2023): JWT-Signatur- und Algorithmus-Validierung (CWE-347), Token-Ablauf und -Widerruf, Refresh-Token-Missbrauch, Credential-Stuffing-Exposition
  • Broken Object Property Level Authorization (API3:2023): Excessive Data Exposure in Responses, Mass Assignment eingeschränkter Properties (CWE-915)
  • Broken Function Level Authorization (API5:2023): kann ein Standard-Benutzer admin-only Endpunkte durch Erraten oder Ändern von Routen/Methoden aufrufen
  • Unrestricted Resource Consumption (API4:2023): Durchsetzung von Rate-Limits und Pagination, Query-Cost-Limits, Brute-Force-Resistenz
  • Server-Side Request Forgery (API7:2023, CWE-918) erreichbar über API-Parameter; Injection (SQL/NoSQL/Command) auf API-Ebene
  • GraphQL-Spezifika: Introspection-Exposition, Query-Depth-/Complexity-Limits, Autorisierung pro Resolver, Batching-Missbrauch
  • Security Misconfiguration (API8:2023): ausführliche Fehler, permissive CORS, fehlende Security-Header auf API-Responses, ungeschützte Debug-Endpunkte
  • Improper Inventory Management (API9:2023): undokumentierte, veraltete und Schatten-API-Versionen, die in Produktion noch erreichbar sind
  • Befunde risikobewertet mit CVSS 3.1 und gemappt auf MITRE ATT&CK sowie ISO-27001-/SOC-2-/NIS2-/DORA-Controls für audit-taugliche Evidenz

Beispiel-Befund

Kritisch

BOLA in der Orders-API ließ jeden Benutzer die Bestellung jedes Kunden lesen

Sentinel stellte fest, dass GET /api/v2/orders/{orderId} die vollständige Bestellung zurückgab — Kundenname, Lieferadresse, Artikel und die letzten vier Stellen der Zahlungsmethode — sobald der Aufrufer irgendein gültiges Access-Token vorlegte, ohne zu prüfen, ob der Token-Eigentümer diese Bestellung tatsächlich aufgegeben hatte. Durch Iterieren der orderId-Werte enumerierte ein authentifiziertes Konto mit niedrigen Rechten die gesamte Bestellhistorie jedes Kunden. Dies ist OWASP API1:2023 Broken Object Level Authorization, die häufigste und schädlichste API-Schwachstelle, und sie erzeugt ausschließlich valide 200-Responses — ein automatisierter Scanner meldet daher nichts.

Behebung: Implementieren Sie Autorisierung auf Objektebene in der Datenzugriffsschicht: jeder API-Handler, der ein Objekt per ID lädt, muss verifizieren, dass das authentifizierte Principal dieses Objekt besitzt oder explizit dazu berechtigt ist, und für unautorisierte Referenzen 404 (nicht 403) zurückgeben, um deren Existenz nicht zu bestätigen. Ergänzen Sie automatisierte Contract-Tests, die für jeden objektreferenzierenden Endpunkt prüfen, dass kontoübergreifender Zugriff verweigert wird, und führen Sie sie in CI aus. Sentinel testet die Endpunkt-Familie nach der Behebung erneut und dokumentiert die Verifikation im audit-tauglichen Bericht.

Referenz: OWASP API1:2023 Broken Object Level Authorization · CWE-639 Authorization Bypass Through User-Controlled Key · ISO 27001:2022 A.8.3 Information Access Restriction · MITRE ATT&CK T1530 Data from Cloud Storage

API-Pentest: kostenloser Scan vs Matproof Sentinel vs klassische Beratung

Kostenloser ScanMatproof SentinelKlassische Beratung
Automatisierte Scan-Engine✓ (3-min Vorschau)✓ Vollständiger Scan✗ Nur manuell
OWASP Top 10 AbdeckungPartiell✓ Vollständig✓ Vollständig
Proof-of-Exploit-Evidenz✓ Pro Befund✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)✓ Automatisiert✓ Manuell
Audit-tauglicher PDF-Bericht✓ Sofort✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans✓ Pro Deploy✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis~3 Min.~30 Min. Vollscan2–4 Wochen
Preis€0Ab €149€8.000–€25.000
Quellcode-Review (SAST)✓ Im Growth-Plan✓ Im Scope
API-Testing (REST/GraphQL)✓ Automatisiert✓ Manuell

Preise für API-Penetrationstests

Einzel-Scan
€149 einmalig
  • 1 vollständiger Pentest-Scan
  • KI-priorisierte Befunde mit CVSS 3.1
  • Proof-of-Exploit für jedes Finding
  • PDF-Bericht (audit-tauglich)
  • Regulatorisches Mapping (DORA, NIS2, BSI)
Einzel-Scan kaufen
Empfohlen
Starter
€299 / Monat
  • Unbegrenzte Scans (bis 3 Domains)
  • Kontinuierliches Monitoring
  • CI/CD-Integration (GitHub, GitLab)
  • Alle Regulierungs-Mappings
  • Prioritäts-Support
Starter starten
Growth
€799 / Monat
  • Unbegrenzte Scans + Domains
  • White-Box / Authenticated Testing
  • API- & Cloud-Infrastruktur-Tests
  • Dedizierter Security-Account-Manager
  • SLA 24h Reaktionszeit
Growth anfragen

Häufige Fragen zum API-Penetrationstest

Was ist ein API-Penetrationstest?

Ein API-Penetrationstest ist die Prüfung von REST- und GraphQL-Endpunkten direkt — statt nur des Web- oder Mobile-Frontends — gegen API-spezifische Angriffsklassen, vorrangig die OWASP API Security Top 10 (2023). Da APIs die eigentliche Logik und die Daten halten, deckt das direkte Testen Autorisierungs- und Geschäftslogik-Fehler auf, die reines Frontend-Testing übersieht.

Warum reicht ein Web-Application-Test nicht aus, um die API abzudecken?

Das Frontend nutzt nur die API-Pfade, die die UI zufällig verwendet, in der Reihenfolge, in der die UI sie verwendet. Ein Angreifer ruft die API direkt auf, in beliebiger Reihenfolge, mit beliebigen Werten, inklusive Endpunkten und Parametern, die die UI nie berührt. Die schädlichsten API-Fehler — BOLA, Mass Assignment, Broken Function Level Authorization — werden erreicht, indem man die API außerhalb des von der UI vorgesehenen Flows aufruft, was genau das ist, was dediziertes API-Testing tut.

Testen Sie GraphQL ebenso wie REST?

Ja. GraphQL hat eigene Fehlermodi — in Produktion exponierte Introspection, unbegrenzt verschachtelte Queries, die Denial-of-Service verursachen, auf einzelnen Resolvern fehlende Autorisierungsprüfungen und Batching-Missbrauch — und Sentinel testet auf all diese, zusätzlich zu den Standard-OWASP-API-Top-10-Kategorien, die sowohl für REST als auch GraphQL gelten.

Was kostet ein API-Penetrationstest?

Eigenständige API-Pentests von Beratungshäusern fallen typischerweise in eine ähnliche Spanne wie Webanwendungs-Engagements — etwa £4.000–£12.000 je nach Anzahl der Endpunkte und Komplexität — über 2–4 Wochen geliefert. Matproof Sentinel testet Ihre APIs als Teil eines audit-tauglichen Berichts ab €149 (Einzel-Scan) oder €299/Monat kontinuierlich, wobei API-Testing in jedem Plan enthalten ist.

Überzeugt der API-Pentest-Bericht meinen Auditor?

Ja. Der Bericht mappt API-Befunde auf ISO 27001:2022 A.8.3 (Information Access Restriction), A.8.8 (Technical Vulnerability Management) und A.8.26 (Application Security Requirements), auf SOC-2-CC6/CC7-Kriterien sowie auf NIS2 Art. 21 und DORA Art. 24 — mit Proof-of-Exploit und Re-Test-Evidenz pro Befund — sodass er als Compliance-Nachweis dient, nicht nur als technisches Dokument.

Verwandte Themen

Vertiefen — verwandte Artikel aus unserem Blog

Testen Sie Ihre APIs gegen die OWASP API Top 10

Starten Sie jetzt einen kostenlosen 3-Minuten-Scan oder erhalten Sie einen vollständigen API-Penetrationstest-Bericht — BOLA, Broken Auth, GraphQL und mehr, Proof-of-Exploit pro Befund, gemappt auf Ihre Compliance-Controls — ab €149.

Kostenlosen API-Scan starten