API-Integration: Systeme zuverlässig verbinden
Eine API-Integration verbindet zwei Softwaresysteme über deren Programmierschnittstellen (APIs), sodass Daten automatisch und strukturiert ausgetauscht werden — statt per Hand, CSV-Export oder E-Mail. Technisch ruft ein System die dokumentierten Endpunkte des anderen auf, authentifiziert sich dabei (z. B. per API-Key oder OAuth 2.0) und übersetzt die Datenfelder zwischen beiden Welten. Umsetzen lässt sich das direkt per Code, über Middleware wie n8n oder über fertige Konnektoren.
Das Problem: Daten liegen in getrennten Systemen
Der Normalzustand in kleinen und mittleren Unternehmen sieht so aus: Die Aufträge stehen im ERP, die Kundendaten im CRM, die Rechnungen in der Buchhaltungssoftware, die Tickets im Helpdesk — und dazwischen sitzen Menschen, die Daten per Copy-and-paste, CSV-Export oder E-Mail von A nach B tragen. Das kostet nicht nur Arbeitszeit. Es erzeugt Tippfehler, veraltete Datenstände und die klassische Frage im Meeting: „Welches System stimmt denn jetzt?”
Dieser Artikel richtet sich an Geschäftsführung, Operations, IT und Fachbereiche, die dieses Problem lösen wollen — und wissen möchten, was eine API-Integration konkret ist, was bei der Umsetzung entschieden werden muss und wann sich Middleware wie n8n lohnt. Er ist Teil unserer Übersicht zu Automatisierungstools und Integrationen.
Eine ehrliche Einordnung vorweg: API-Integration ist kein KI-Thema und kein Hexenwerk. Es ist solides Handwerk, das seit Jahrzehnten funktioniert — und in vielen Unternehmen der Schritt mit dem besten Verhältnis von Aufwand zu Wirkung, lange bevor über KI-Agenten gesprochen wird. Gleichzeitig ist es die Grundlage für alles Weitere: Auch KI-Automatisierungen greifen am Ende über APIs auf eure Systeme zu.
Begriffe kurz geklärt
Damit wir über dasselbe reden:
- API (Application Programming Interface): Die dokumentierte Schnittstelle, über die ein Programm mit einem anderen spricht. Die meisten Business-APIs sind heute HTTP-basierte REST-APIs, die Daten als JSON austauschen.
- Endpunkt (Endpoint): Eine konkrete Adresse innerhalb einer API, z. B.
GET /customers/{id}zum Abrufen eines Kunden oderPOST /invoiceszum Anlegen einer Rechnung. - Webhook: Die umgekehrte Richtung. Statt dass ihr regelmäßig nachfragt („Polling”), meldet sich das Quellsystem selbst, sobald etwas passiert — etwa „neue Bestellung eingegangen”.
- Middleware / iPaaS: Eine Software-Zwischenschicht (Integration Platform as a Service), die Verbindungen zwischen Systemen zentral baut, ausführt und überwacht — z. B. n8n, Make, Zapier oder Power Automate.
- OpenAPI: Der verbreitete Standard, um HTTP-APIs maschinenlesbar zu beschreiben — herausgegeben von der OpenAPI Initiative unter dem Dach der Linux Foundation, aktuell in Version 3.2.0. Wenn ein Anbieter eine OpenAPI-Beschreibung liefert, ist das ein gutes Zeichen: Die Schnittstelle ist formal dokumentiert, und Werkzeuge können daraus Client-Code, Tests und Doku erzeugen.
Abgrenzung: API-Integration ist nicht dasselbe wie RPA (Roboter klicken durch Benutzeroberflächen) und nicht dasselbe wie Datenimport per CSV. RPA ist die Notlösung, wenn keine API existiert; CSV-Import ist eine manuelle oder halbautomatische Stapelübertragung. Eine echte API-Integration läuft kontinuierlich, strukturiert und ohne menschliches Zutun.
Was ist eine API-Integration?
Eine API-Integration ist die dauerhafte, automatisierte Verbindung zwischen zwei oder mehr Softwaresystemen über deren Programmierschnittstellen. Ein System (der „Client”) ruft Endpunkte des anderen Systems auf, um Daten zu lesen oder zu schreiben — authentifiziert, in einem definierten Format und nach abgestimmten Regeln, was bei Fehlern passiert.
Ein typisches Beispiel aus dem KMU-Alltag: Im Onlineshop geht eine Bestellung ein. Der Shop meldet das per Webhook an die Integration. Die Integration legt den Kunden im CRM an (falls er dort noch nicht existiert), erzeugt den Auftrag im ERP und schickt die Rechnungsdaten an die Buchhaltung. Was vorher drei manuelle Übertragungen mit drei Fehlerquellen war, ist jetzt ein Datenfluss.
Grob besteht jede API-Integration aus denselben vier Bausteinen:
- Auslöser: Woher weiß die Integration, dass etwas zu tun ist? (Webhook-Ereignis oder Polling in festem Intervall)
- Authentifizierung: Wie weist sich die Integration bei den Systemen aus?
- Mapping und Logik: Welche Felder werden wie übersetzt, welche Regeln gelten?
- Fehlerbehandlung und Monitoring: Was passiert, wenn ein System nicht antwortet — und wer erfährt davon?
Die schematische Übersicht der drei Umsetzungswege:
Weg 1: Punkt-zu-Punkt (Direktintegration per Code)
[Shop] ──────────► [ERP]
[Shop] ──────────► [CRM] jede Verbindung = eigener Code,
[ERP] ──────────► [Buchhaltung] eigenes Deployment, eigene Wartung
Weg 2: Middleware / iPaaS (z. B. n8n)
[Shop] ──┐ ┌──► [ERP]
├──► [Middleware]├──► [CRM]
[Web] ──┘ Mapping └──► [Buchhaltung]
Fehler-Log
Monitoring eine zentrale Stelle für alle Flüsse
Weg 3: Fertiger Konnektor des Herstellers
[Shop] ══ eingebaute Integration ══► [Buchhaltung]
(konfigurieren statt bauen, aber: nur was der
Hersteller vorgesehen hat)
In der Praxis kombiniert man diese Wege. Fertige Konnektoren, wo sie genau passen; Middleware für die individuellen Flüsse; direkter Code nur dort, wo Middleware an Grenzen stößt.
Wie plant man Datenmapping?
Datenmapping ist die Übersetzungstabelle zwischen den Systemen — und nach meiner Erfahrung der Punkt, an dem Integrationsprojekte gewonnen oder verloren werden. Nicht die Technik ist das Risiko, sondern ungeklärte fachliche Fragen, die erst beim Bauen auffallen.
So gehst du vor:
1. Führendes System pro Feld festlegen. Nicht pro System, pro Feld. Das CRM kann für die E-Mail-Adresse führend sein, das ERP für die Rechnungsadresse. Ohne diese Festlegung überschreiben sich Systeme gegenseitig, und niemand merkt es — bis eine Rechnung an die falsche Adresse geht.
2. Mapping-Tabelle schreiben, bevor Code entsteht. Eine simple Tabelle reicht:
| Quellfeld (Shop) | Zielfeld (ERP) | Transformation | Sonderfall |
|---|---|---|---|
customer.email | Kunde.EMail | Kleinschreibung | Pflichtfeld — fehlt es, Auftrag in Fehlerliste |
order.total | Auftrag.Brutto | String → Dezimal, Punkt statt Komma | Währung prüfen, nur EUR übernehmen |
order.country | Auftrag.Land | ISO-Code „DE” → „Deutschland” | unbekannter Code → Fehlerliste, nicht raten |
customer.phone | Kunde.Telefon | Format normalisieren | leer erlaubt |
3. Sonderfälle explizit klären. Die Standardfälle sind trivial. Teuer sind: leere Pflichtfelder, doppelte Kunden (Dublettenlogik!), unterschiedliche Wertelisten („Herr/Frau” vs. „m/w/d”), Zeitzonen, Umlaute in Alt-Systemen, gelöschte Datensätze. Meine Faustregel: Für jedes Feld die Frage stellen „Was passiert, wenn das leer, doppelt oder ungültig ist?” — und die Antwort in die Tabelle schreiben.
4. Richtung und Frequenz festlegen. Einweg oder bidirektional? Echtzeit per Webhook oder alle 15 Minuten per Polling? Bidirektionale Echtzeit-Synchronisation klingt attraktiv, ist aber die mit Abstand aufwendigste Variante — oft reicht eine klare Einbahnstraße plus ein täglicher Abgleichslauf.
5. Testdaten aus der echten Welt nehmen. Nicht drei saubere Musterdatensätze, sondern ein Export der letzten 500 echten Bestellungen. Echte Daten enthalten die Sonderfälle, die eure Integration später brechen.
Wie funktionieren Authentifizierung und Limits?
Authentifizierung
Jede ernstzunehmende API verlangt, dass sich der Aufrufer ausweist. Die drei gängigen Verfahren:
- API-Key: Ein statischer Schlüssel im Request-Header. Einfach einzurichten, aber ein Dauerschlüssel mit meist vollem Zugriff — er gehört in einen Geheimnisspeicher (Secrets Manager, Umgebungsvariablen), niemals in Code-Repositories oder geteilte Dokumente, und sollte turnusmäßig getauscht werden.
- OAuth 2.0: Der Standard für delegierte Zugriffe, spezifiziert in RFC 6749. Statt eines Dauerschlüssels bekommt der Client ein zeitlich befristetes Access Token für definierte Berechtigungen (Scopes) und optional ein Refresh Token, um nach Ablauf ein neues Access Token zu holen. Für Server-zu-Server-Integrationen ohne beteiligten Benutzer ist der Client-Credentials-Grant vorgesehen — einer von vier Grant-Typen, die die Spezifikation definiert. Praktisch heißt das: Deine Integration muss das Token-Handling können (holen, cachen, bei Ablauf erneuern). Middleware nimmt dir genau das ab.
- Basic Auth / Header Auth / JWT: Für selbst betriebene Webhook-Endpunkte üblich. n8n etwa bietet für eingehende Webhooks Basic Auth, Header Auth und JWT an — plus eine IP-Allowlist, bei der Anfragen von fremden Adressen mit HTTP 403 abgewiesen werden.
Wichtig unabhängig vom Verfahren: Minimalrechte. Ein Integrations-Account, der nur Aufträge lesen soll, braucht keine Admin-Rechte. Nicht ohne Grund führt OWASP „Broken Authentication” als eines der zehn größten API-Sicherheitsrisiken (API2:2023).
Rate Limits, Timeouts, Payload-Grenzen
APIs schützen sich vor Überlastung, und deine Integration muss damit umgehen können. Drei Arten von Grenzen begegnen dir praktisch immer:
- Rate Limits: Maximale Anfragen pro Zeitfenster. Die Größenordnungen sind sehr unterschiedlich — Power Automate erlaubt bei Custom Connectors z. B. 500 Requests pro Minute und Verbindung, und die täglichen Power-Platform-Request-Kontingente hängen von der Lizenz ab. Überschreitest du das Limit, antwortet die API typischerweise mit HTTP 429 („Too Many Requests”). Die richtige Reaktion: warten und mit steigendem Abstand erneut versuchen, nicht sofort weiterfeuern.
- Timeouts: Wie lange ein Aufruf dauern darf. Power Automate begrenzt synchrone ein- und ausgehende Requests auf 120 Sekunden — längere Operationen müssen asynchron gebaut werden (anstoßen, später Ergebnis abholen). Ähnliche Grenzen haben fast alle Plattformen.
- Payload-Grenzen: Wie groß eine einzelne Nachricht sein darf. Der n8n-Webhook-Node akzeptiert z. B. maximal 16 MB pro Payload. Wer Dokumente oder Bilder überträgt, plant besser mit Datei-Referenzen (URLs) statt eingebetteten Dateien.
Der Planungspunkt dahinter: Rechne dein Volumen durch, bevor du baust. 200 Bestellungen am Tag sind für jedes Limit irrelevant. Ein nächtlicher Abgleich von 50.000 Artikeln gegen eine API mit engem Rate Limit ist dagegen ein Architekturthema — dann brauchst du Batch-Endpunkte, Delta-Abgleiche (nur Änderungen übertragen) oder eine gestreckte Verarbeitung.
Wie behandelt man Fehler?
Der Unterschied zwischen einer Bastel-Integration und einer, der man Rechnungsdaten anvertraut, liegt fast vollständig in der Fehlerbehandlung. Systeme sind mal nicht erreichbar, APIs werden gewartet, Netzwerke haben Schluckauf — die Frage ist nie ob, sondern wie oft.
Erstens: Fehlerarten unterscheiden.
- Vorübergehend (transient): Timeout, HTTP 429, HTTP 5xx. Hier lohnt Wiederholen.
- Dauerhaft (permanent): HTTP 401/403 (Zugangsdaten falsch), HTTP 404 (Datensatz existiert nicht), HTTP 400/422 (Daten ungültig). Hier ist Wiederholen sinnlos — derselbe Aufruf schlägt wieder fehl. Diese Fälle gehören in eine Fehlerliste mit Benachrichtigung an einen Menschen.
Zweitens: Wiederholen mit steigenden Abständen (Exponential Backoff). Nicht sofort und nicht endlos. Als Referenz, wie Plattformen das selbst lösen: Die Standard-Retry-Policy von Power Automate versucht es (je nach Performance-Profil) bis zu 12-mal mit exponentiell wachsenden Intervallen bis etwa einer Stunde. Das Muster — wenige Versuche, wachsender Abstand, feste Obergrenze — ist der Industriestandard und in Middleware wie n8n pro Schritt konfigurierbar.
Drittens: Idempotenz sicherstellen. Das unterschätzte Thema. Wenn dein Aufruf „Auftrag anlegen” nach einem Timeout wiederholt wird, der erste Versuch aber serverseitig doch durchging, hast du zwei Aufträge. Lösung: Jeder Datensatz trägt eine eindeutige externe Referenz (z. B. die Shop-Bestellnummer), und vor dem Anlegen wird geprüft, ob sie schon existiert — oder die Ziel-API unterstützt Idempotency-Keys. Ohne Idempotenz erzeugt jede Retry-Logik Dubletten.
Viertens: Fehler sichtbar machen. Eine Integration, die still scheitert, ist gefährlicher als gar keine — denn alle verlassen sich darauf. Minimum: ein Fehler-Workflow, der fehlgeschlagene Datensätze samt Ursache ablegt (Dead-Letter-Prinzip) und das Team benachrichtigt (E-Mail, Slack, Teams). Dazu ein wöchentlicher Blick auf die Ausführungsstatistik: Häufen sich 429er, wird das Volumen zum Problem, bevor etwas ausfällt.
Fünftens: Den Wiederanlauf planen. Was passiert nach zwei Stunden API-Ausfall beim Zielsystem? Gute Antwort: Die Ereignisse wurden zwischengespeichert (Queue) und werden nachgeholt. Schlechte Antwort: Die Webhooks sind weg. Prüfe, ob dein Quellsystem Webhooks bei Nichterreichbarkeit erneut zustellt — viele tun das nur begrenzt.
Wann braucht man Middleware?
Die ehrliche Antwort: nicht immer. Eine einzelne, stabile Verbindung zwischen zwei Systemen mit gutem fertigen Konnektor braucht kein n8n. Middleware lohnt sich, wenn mindestens einer dieser Punkte zutrifft:
- Mehr als zwei Systeme sollen verbunden werden — Punkt-zu-Punkt-Verbindungen wachsen quadratisch, die Middleware-Variante linear.
- Anforderungen ändern sich regelmäßig — im visuellen Workflow ändert das (nach Einarbeitung) auch jemand aus dem Fachbereich, für angepassten Code brauchst du jedes Mal Entwicklung und Deployment.
- Transparenz gefordert ist — Ausführungshistorie, Fehler-Logs und Wiederholungen an einer zentralen Stelle statt in fünf verstreuten Skripten.
- Kein fertiger Konnektor existiert und trotzdem niemand eine eigene Codebasis pflegen will.
Meine Entscheidungsmatrix für den KMU-Kontext:
| Kriterium | Fertiger Konnektor | Middleware (z. B. n8n) | Individueller Code |
|---|---|---|---|
| Passt wenn | Standardfall, exakt 2 Systeme, Anbieter pflegt die Integration | 2+ Systeme, individuelle Logik, häufige Änderungen | Sehr hohe Volumen, Spezialprotokolle, harte Latenzanforderungen |
| Aufwand initial | Stunden | Tage bis wenige Wochen | Wochen bis Monate |
| Flexibilität | nur was der Hersteller vorsieht | hoch, per Nodes + eigenem Code erweiterbar | vollständig |
| Wartbarkeit im Fachbereich | hoch (Konfiguration) | mittel bis hoch (visuell, mit Einarbeitung) | gering (nur Entwickler) |
| Laufende Kosten | oft im Produktpreis enthalten | Plattform-Abo oder Self-Hosting + Betreuung | Entwicklerkapazität dauerhaft |
| Typische Falle | „fast passend” → Krücken drumherum | ungepflegter Workflow-Wildwuchs | Wissensmonopol bei einer Person |
| Exit-Szenario | Anbieterwechsel = Neubau | Workflows exportierbar (bei n8n als JSON) | Code gehört euch, Pflege auch |
Warum bei uns oft n8n herauskommt, steht ausführlicher im Artikel „Was ist n8n?” in dieser Kategorie — kurz: Self-Hosting-Option (relevant für Datenschutz), faires Lizenzmodell und die Möglichkeit, an jeder Stelle echten Code einzuschieben, wenn die visuellen Bausteine nicht reichen. Es gibt aber legitime Fälle für Make, Zapier oder Power Automate — vor allem, wenn ihr ohnehin tief im Microsoft-365-Ökosystem steckt.
Aus eigener Praxis: Unser Produkt Reality Graph spricht über eine REST-API mit den Systemen drumherum, und unsere Shopping-Intelligenz für Onlineshops ist im Kern ein API-Thema — Shopdaten so strukturiert bereitstellen, dass Maschinen (heute: KI-Agenten) sie zuverlässig konsumieren können. Die Muster in diesem Artikel — saubere Authentifizierung, dokumentierte Endpunkte, definierte Fehlerfälle — sind exakt die, die wir dort selbst anwenden. Das ist kein Beleg, dass es bei euch genauso aussieht, aber der Grund, warum ich bei diesen Punkten so insistiere.
Umsetzung: das Vorgehen in fünf Schritten
So läuft ein Integrationsprojekt, das nicht aus dem Ruder läuft:
1. Prozess vor Technik (½–1 Tag). Welcher Datenfluss, welches Volumen, welche Systeme, wer ist fachlich verantwortlich? Ergebnis: eine Seite Prozessbeschreibung plus die Antwort auf „Was kostet uns der Ist-Zustand pro Monat?” — als Bandbreite, nicht als Wunschzahl.
2. API-Fähigkeit prüfen (½–2 Tage). Haben beide Systeme eine dokumentierte API (idealerweise mit OpenAPI-Beschreibung)? Welche Authentifizierung, welche Limits, gibt es Webhooks? In welchem Tarif? Manche Anbieter schalten die API erst in höheren Preisstufen frei — das gehört in die Rechnung, bevor gebaut wird. Existiert keine brauchbare API, ist das die wichtigste Erkenntnis des Projekts, nicht sein Ende: Dann reden wir über Exportschnittstellen, RPA als Übergang oder einen Systemwechsel.
3. Mapping und Fehlerfälle dokumentieren (1–3 Tage). Die Mapping-Tabelle aus dem Abschnitt oben, plus: führendes System pro Feld, Verhalten bei jedem Fehlerfall, Dublettenregel. Dieses Dokument ist wichtiger als jeder Code — es überlebt Tool-Wechsel.
4. Klein bauen, mit echten Daten testen (2–10 Tage, je nach Umfang). Erst ein Datenfluss, eine Richtung. Test mit echten Exportdaten inklusive der hässlichen Sonderfälle. Parallelbetrieb: Die Integration läuft mit, der manuelle Prozess noch einige Tage weiter, Ergebnisse werden verglichen.
5. Betrieb organisieren (laufend, klein). Monitoring und Benachrichtigung einrichten, Zuständigkeit benennen („Wer schaut auf die Fehlerliste?”), Zugangsdaten-Rotation und API-Änderungsmitteilungen des Anbieters (Changelogs, Deprecation-Mails) abonnieren. Eine Stunde pro Woche ehrlich eingeplant schlägt jede „läuft schon”-Hoffnung.
Die Tagesangaben sind Erfahrungswerte aus KMU-Projekten unter zwei Annahmen: beide Systeme haben brauchbare APIs, und die fachlichen Fragen (führendes System, Dublettenregeln) sind entscheidbar. Kippt eine der Annahmen, kippt die Schätzung.
Risiken und Grenzen
Auch das gehört in einen ehrlichen Artikel:
- APIs ändern sich. Anbieter stellen API-Versionen ab, benennen Felder um, ändern Limits. Eine Integration ist nie „fertig”, sondern ein kleines Stück Betriebsverantwortung. Wer das nicht einplant, hat in zwei Jahren eine stillstehende Blackbox. OWASP führt mangelhafte Bestandsführung über eigene Schnittstellen („Improper Inventory Management”, API9:2023) nicht zufällig in den Top 10 — ein simples Verzeichnis, welche Integration welche API-Version nutzt, ist die billigste Versicherung.
- Fremddaten sind nicht vertrauenswürdig. Daten aus einer angebundenen API sind Eingaben wie jede Nutzereingabe und gehören validiert, bevor sie ins eigene System fließen. Blindes Vertrauen in Partner-APIs ist als „Unsafe Consumption of APIs” (API10:2023) ebenfalls ein Top-10-Risiko.
- Ausufernde Berechtigungen und vergessene Schlüssel. Der API-Key von 2023, den niemand mehr zuordnen kann, aber der noch Vollzugriff hat, ist ein realistischeres Risiko als jeder Hollywood-Hack.
- Datenschutz mitdenken. Sobald personenbezogene Daten durch eine Cloud-Middleware laufen, braucht es Auftragsverarbeitungsverträge und einen Blick auf den Serverstandort — für n8n haben wir das im Artikel zu n8n und DSGVO in dieser Kategorie aufgeschrieben. Das ist lösbar, aber keine Fußnote. (Keine Rechtsberatung; Stand Juli 2026.)
- Die Grenze der Automatisierung ist fachlich, nicht technisch. Eine Integration kann nur Regeln ausführen, die jemand entschieden hat. Wenn im Unternehmen unklar ist, welches System führend ist, macht die Integration diese Unklarheit nur schneller sichtbar.
Was kostet das? (Bandbreiten mit Annahmen)
Garantien gibt es hier keine, aber realistische Größenordnungen aus Projektpraxis:
- Ein Datenfluss zwischen zwei Systemen mit guten APIs (z. B. Shop → Buchhaltung), umgesetzt in Middleware: meist 2–8 Beratungs-/Umsetzungstage inklusive Mapping-Dokumentation, Tests und Fehlerbehandlung. Annahmen: APIs dokumentiert, fachliche Regeln entscheidbar, keine Altdaten-Migration.
- Laufende Kosten: Middleware-Hosting oder -Abo (je nach Plattform und Betriebsmodell von niedrigen zweistelligen bis zu einigen hundert Euro pro Monat) plus die ehrliche Betreuungsstunde pro Woche.
- Was die Schätzung sprengt: fehlende oder kostenpflichtig freizuschaltende APIs, bidirektionale Echtzeit-Synchronisation, Dublettenbereinigung in Altdaten, mehr als drei beteiligte Systeme im ersten Schritt.
Dem gegenüber steht die Rechnung, die nur ihr aufmachen könnt: Stunden manueller Übertragung pro Woche × Stundensatz × 52, plus die schwerer bezifferbaren Kosten aus Fehlern und veralteten Daten. Wenn diese Rechnung nicht deutlich über den Projektkosten liegt, lasst es — auch das ist ein valides Ergebnis. Für die Priorisierung, welche Prozesse sich zuerst lohnen, ist unsere KI- und Automatisierungsberatung da; wenn euer Team Integrationen künftig selbst bauen und betreiben soll, sind unsere Schulungen der nachhaltigere Weg.
Checkliste: Bevor ihr die erste Integration baut
- Prozess beschrieben? Datenfluss, Volumen pro Tag/Monat, fachlich Verantwortliche benannt.
- APIs geprüft? Dokumentation vorhanden (idealerweise OpenAPI), Auth-Verfahren bekannt, Rate Limits und Payload-Grenzen zum Volumen passend, API im gebuchten Tarif enthalten.
- Führendes System pro Feld festgelegt? Schriftlich, nicht mündlich.
- Mapping-Tabelle erstellt? Inklusive Transformationen und Sonderfällen (leer, doppelt, ungültig).
- Fehlerverhalten definiert? Transiente Fehler → Retry mit Backoff; permanente Fehler → Fehlerliste + Benachrichtigung; Idempotenz-Regel gegen Dubletten.
- Zugriffe minimal? Eigener Integrations-Account, minimale Rechte, Schlüssel im Geheimnisspeicher, Rotations-Termin im Kalender.
- Werkzeugentscheidung getroffen? Konnektor vs. Middleware vs. Code — anhand der Matrix oben, nicht anhand von Vorlieben.
- Testplan mit Echtdaten? Realer Datenexport, Parallelbetrieb, Abnahme durch den Fachbereich.
- Betrieb geklärt? Monitoring, Benachrichtigungskanal, Zuständigkeit, Anbieter-Changelogs abonniert.
- Exit bedacht? Mapping-Dokument toolunabhängig abgelegt, Workflows exportierbar.
Wer diese zehn Punkte beantworten kann, hat das eigentliche Projekt schon zur Hälfte hinter sich — der Rest ist Handwerk.
Häufige Fragen
Was ist eine API-Integration?
Die automatisierte Verbindung zweier Systeme über ihre Programmierschnittstellen: Ein System ruft die dokumentierten Endpunkte des anderen auf und tauscht Daten strukturiert aus. Das ersetzt manuelle Übertragung per Copy-and-paste oder CSV-Export und hält Daten in beiden Systemen konsistent.
Wie plant man Datenmapping?
Zuerst festlegen, welches System für welches Feld die führende Quelle ist, dann Feld für Feld dokumentieren, wie Werte übersetzt werden — inklusive Formaten, Pflichtfeldern und Sonderfällen wie leeren Werten. Eine simple Mapping-Tabelle vor dem ersten Code spart die teuersten Nacharbeiten.
Wie funktionieren Authentifizierung und Limits?
Übliche Verfahren sind API-Keys für einfache Fälle und OAuth 2.0 (RFC 6749) für delegierte Zugriffe, bei Server-zu-Server meist per Client-Credentials-Grant. Fast jede API begrenzt zusätzlich die Anfragen pro Zeitfenster (Rate Limits) — die Integration muss auf HTTP 429 mit Warten und Wiederholen reagieren.
Wie behandelt man Fehler bei API-Integrationen?
Vorübergehende Fehler (Timeouts, 429, 5xx) automatisch mit steigenden Wartezeiten wiederholen, dauerhafte Fehler (401, 404, Validierungsfehler) nicht — die gehören in eine Fehlerliste mit Benachrichtigung. Wichtig ist Idempotenz: Ein wiederholter Aufruf darf keinen doppelten Datensatz erzeugen.
Wann braucht man Middleware wie n8n?
Sobald mehr als zwei Systeme verbunden werden, sich Anforderungen häufiger ändern oder das Team Abläufe ohne Entwickler anpassen will. Für eine einzelne, stabile Verbindung zwischen zwei Systemen ist direkter Code oft schlanker; ab drei bis vier Verbindungen rechnet sich die zentrale Plattform fast immer.
Quellen
- IETF (2012): RFC 6749 — The OAuth 2.0 Authorization Framework — Grant-Typen, Access- und Refresh-Tokens
- OWASP (2023): API Security Top 10 — die zehn häufigsten API-Sicherheitsrisiken
- OpenAPI Initiative / Linux Foundation (2025): OpenAPI Specification 3.2.0 — Standard zur maschinenlesbaren API-Beschreibung
- Microsoft Learn (2026): Power Automate — Limits und Konfiguration (Timeouts, Retry-Policy, Request-Limits)
- n8n Docs: Webhook-Node — Authentifizierungsoptionen, Payload-Limit, IP-Allowlist