REST API und Webhooks sind die zwei meistgenutzten Integrationsmuster in modernen Produktionsumgebungen. Sie lösen dasselbe Grundproblem – Systeme sollen Daten austauschen – aber auf entgegengesetzte Weise.
Eine REST API funktioniert nach dem Pull-Prinzip: Ein System fragt aktiv an und bekommt eine Antwort. Typisch für Abfragen wie „Gib mir die aktuellen Auftragsdaten" oder „Schreibe diese Rückmeldung ins ERP."
Ein Webhook funktioniert nach dem Push-Prinzip: Ein System meldet aktiv, wenn ein Ereignis eingetreten ist – ohne dass der Empfänger ständig nachfragen muss. Typisch für Ereignisse wie „Auftrag gestartet", „Charge gesperrt" oder „Störung aufgetreten."
In stabilen Integrationen werden beide kombiniert: Der Webhook dient als Trigger, die REST API lädt die Details nach.
Typische Use Cases in der Produktion
REST APIs werden eingesetzt für den Auftragsabruf vom ERP ins MES, für Rückmeldungen von Mengen, Zeiten und Ausschuss, für den Datenaustausch zwischen MES und QMS oder LIMS sowie für definierte Report-Exporte in BI-Systeme.
Webhooks sind das passende Muster, wenn Ereignisse in Echtzeit verteilt werden sollen: Auftrag gestartet oder abgeschlossen, Charge gesperrt oder freigegeben, kritische Störung aufgetreten, Recipe geändert oder Schichtreport verfügbar.
Vorteile und Grenzen
REST APIs sind gut kontrollierbar und debuggbar – jede Anfrage ist nachvollziehbar. Sie eignen sich für Statusdaten und Szenarien mit klarer Ownership. Ihre Grenze: Hohes Polling erzeugt Last, und nahezu-Echtzeit ist nur mit hoher Abfragefrequenz erreichbar.
Webhooks reagieren schneller als Polling und entkoppeln Ereignis und Reaktion sauber. Ihre Grenze: Zustellung ist nicht automatisch garantiert – Retries, Idempotenz und Reihenfolgenbehandlung müssen eingeplant werden. Sicherheitsanforderungen (HMAC-Signaturen, TLS, Token-Validierung) sind zwingend.
Was bei der Integration wirklich zählt
Unabhängig vom gewählten Muster entscheiden sechs Punkte über die Stabilität einer Integration in der Praxis: erstens eine klare Source-of-Truth-Definition für jeden Datentyp, zweitens Idempotenz auf Empfängerseite, damit doppelte Events keinen Schaden anrichten, drittens eine definierte Retry-Strategie bei Ausfällen, viertens aktives Monitoring für stille Fehler und ausbleibende Events, fünftens eine Versionierungsstrategie für Payload-Änderungen und sechstens konsequente Absicherung mit Auth-Tokens, IP-Restriktionen und verschlüsselten Verbindungen.
Entscheidungshilfe
Wer Statusdaten bei moderater Änderungshäufigkeit braucht, ist mit REST gut bedient. Wer auf Ereignisse schnell reagieren will, wählt Webhooks. Wer beides braucht – was in der Produktion der Regelfall ist – kombiniert: Webhook als Trigger, REST für die Detaildaten.
Typische Fehler
Webhooks ohne Retry-Logik und Idempotenz führen zu doppelten Buchungen und inkonsistenten Zuständen. REST mit aggressivem Polling erzeugt unnötige Last und macht Systeme instabil. Fehlende Ownership-Definitionen führen dazu, dass Systeme sich gegenseitig überschreiben.
Keine Observability bedeutet: Die Integration „läuft" – bis sie leise nicht mehr läuft.
FAQ
Kann man REST API und Webhooks gleichzeitig verwenden? Ja, und das ist die empfohlene Praxis. Der Webhook signalisiert, dass etwas passiert ist. Die REST API liefert den vollständigen, aktuellen Datensatz dazu. Beide Muster ergänzen sich.
Ist eine REST API dasselbe wie eine Web API? Nicht zwingend. REST (Representational State Transfer) ist ein Architekturstil für HTTP-basierte Schnittstellen. Web API ist ein allgemeinerer Begriff – REST APIs sind eine verbreitete Ausprägung davon, aber nicht die einzige.
Was ist der Unterschied zwischen Webhooks und Message Queues wie Kafka? Webhooks sind einfache HTTP-Push-Nachrichten, direkt von System zu System. Message Queues wie Apache Kafka sind dedizierte Event-Broker mit Persistenz, Replay-Funktion und skalierbarem Routing. Für hohe Event-Volumina oder Multi-Consumer-Szenarien sind Message Queues die robustere Wahl.
Wie sichert man Webhooks ab? Mindeststandard sind HMAC-Signaturen zur Verifikation des Senders, TLS-Verschlüsselung der Verbindung, Token-basierte Authentifizierung und optional IP-Allowlisting. Unsecured Webhooks sind in OT/IT-Umgebungen ein relevantes Sicherheitsrisiko.
