Leistungen
Contract-First-APIs, die ausgeliefert werden und ausgeliefert bleiben. OpenAPI 3.1 für öffentliche REST-APIs, GraphQL Federation für Multi-Team-Frontends, gRPC + Protobuf für interne Service-to-Service-Kommunikation. Wir entwerfen die Spec, bevor ein Handler geschrieben wird, verdrahten OAuth 2.1 / OIDC korrekt, generieren typisierte SDKs für 7+ Sprachen und setzen OpenTelemetry-Instrumentierung auf jeden Endpunkt von Tag eins. Versionierung mit expliziten Abkündigungs-Fenstern (RFC 8594), Gateway und WAF davor, SLOs pro Endpunkt mit Burn-Rate-Alerts. Senior-Backend-Entwickler im MEZ-Arbeitstag mit Überlappung mit der US-Ostküste. Ab 12.000 EUR/Monat pro dediziertem Team; 6–8 Wochen API-Design-Sprint ab 35.000 EUR Festpreis.
Eine API ist ein Vertrag, den Sie nicht zurücknehmen können. Sobald ein zahlender Kunde gegen Ihren /v1 integriert, besitzen Sie diese Oberfläche für Jahre. Die meisten API-Fehler sind keine Implementierungsfehler — es sind Vertragsentscheidungen, die zu schnell getroffen wurden, von Menschen, die niemals eine v2-Migration pflegen mussten. Wir entwerfen Contract-First: OpenAPI 3.1, GraphQL SDL oder Protobuf lebt in einem versionierten Spec-Repo, wird von Produkt, Frontend, Mobile und externen Konsumenten per PR-Review bestätigt, bevor ein Handler existiert, und wird von Spectral gegen einen Style-Guide gelint. openapi-diff blockiert Breaking Changes in CI. Mock-Server werden automatisch pro Branch bereitgestellt, damit Konsumenten sofort entsperrt werden. Versionierung, Abkündigung, Auth, Rate Limiting und Observability werden vor der ersten Codezeile entworfen, nicht beim Launch nachgerüstet, wenn es zu spät ist.
OpenAPI 3.1 / GraphQL SDL / Protobuf in einem versionierten Spec-Repo, Spectral-Linting, openapi-diff Breaking-Change-CI-Gate, Prism / Mockoon Mock-Server automatisch pro Branch bereitgestellt, Design-Review mit Frontend + Mobile + externen Konsumenten.
REST + OpenAPI 3.1 für öffentliche Oberflächen. GraphQL mit Apollo Federation 2 oder Hot Chocolate für Multi-Team-Frontends. gRPC + Protobuf für internen Hochdurchsatz- / Niedriglatenz-Service-to-Service. Richtiges Werkzeug pro Konsument, keine technischen Vorlieben.
OAuth 2.1 + OIDC, mTLS + SPIFFE für Service-to-Service, JWT mit RS256/EdDSA. Gateway über Kong / Tyk / API Gateway / APIM / Apigee. Sliding-Window- oder GCRA-Rate-Limiting, WAF davor, Partner-HMAC-signierte API-Keys.
Automatisch generierte typisierte SDKs (TS, Python, Go, Java, C#, Swift, Kotlin, Ruby) über openapi-generator oder stainless.com, veröffentlicht auf npm / PyPI / Maven / NuGet mit Semver-Disziplin und CI-Release-Pipeline.
OpenTelemetry von Tag eins (Traces, Metriken, Logs), Trace-ID in jeder Fehlerantwort, RED-Metriken-Dashboards, SLOs pro Endpunkt mit Burn-Rate-Alerts, synthetisches Monitoring über k6 Cloud oder Checkly von US-East und EU-West.
N-2-Support-Vertrag, RFC-8594-Sunset/Deprecation-Header, 12-monatige Abkündigungs-Fenster mit E-Mail-Kadenz-Erinnerungen, öffentliches Changelog, Protobuf-Evolutionsregeln durchgesetzt, GraphQL @deprecated mit Nutzungstelemetrie von Apollo Studio oder Hive.
Wochen 1–4: Konsumenten-Workshops, Ressourcenmodell, OpenAPI 3.1 / SDL / Proto-Entwurf, Error-Envelope, Paginierungsvertrag, Auth-Design, Versionierungsrichtlinie. Spec per PR-Review bestätigt.
Mock-Server pro Branch live, CI-Lint + Breaking-Change-Gates verdrahtet, Gateway bereitgestellt, OAuth/OIDC-Integration, Observability-Baseline, SDK-Pipeline für 3 Launch-Sprachen konfiguriert.
Handler-Implementierung gegen die Spec, Pact-Contract-Tests in CI, k6-Load-Tests gegen SLO-Ziele, SDK-Alpha-Releases an erste Beta-Integratoren, wöchentliche Demo mit Produkt- + Design-Partnern.
GA-Cutover mit abgestimmten WAF + Rate-Limit-Richtlinien, öffentliches Changelog, SDK-GA über Launch-Sprachen, synthetisches Monitoring live, On-Call-Rota dokumentiert, Post-Launch-SLO-Review nach 30/60/90 Tagen.
6–8 Wochen, Festpreis. OpenAPI-3.1-Spec, Auth-Design, Gateway-Wahl, SDK-Pipeline, Versionierungsrichtlinie, MVP-Referenzimplementierung. Ergebnis ist eine boardreife API-Oberflächen-Entscheidung. Ab 35.000 EUR Festpreis.
3-Personen-Pod (TPM + 2 Senior-Backend-Entwickler), der die API end-to-end entwickelt und ausliefert. Co-Delivery mit Ihrem Team, wöchentliche Demo, monatliches Steuerungsmeeting. Ab 12.000 EUR/Monat pro Team.
Post-Launch-SLO-Verantwortung, SDK-Release-Rhythmus, Partner-Support-Eskalation, vierteljährliche Vertragsüberprüfung, 24/7-On-Call für die API-Oberfläche. Ab 6.500 EUR/Monat.
NDA, DSGVO-konformer DPA mit SCCs, IP-Abtretung an den Kunden vor Kickoff unterzeichnet. Spec, Code und CI leben von Tag eins in Ihren Repos.
Native iOS- und Android-E-Signatur-Clients mit einem Symfony + React CRM für eine grenzüberschreitende Anwaltskanzlei — KYC-Onboarding und eine rechtssichere Beweiskette für US- und EU-Angelegenheiten.
Produktive Social-Plattform — App Store + Google Play, aktiv in den USA und der EU — mit Geo-Radar, verschlüsseltem Messaging und einer virtuellen Wirtschaft.
Android- und iOS-Refactoring und Neuentwicklung für einen deutschen Last-Mile-Logistikanbieter — Mehrpunkt-Routenplanung, Echtzeit-Fahrerverfolgung und In-App-Rechnungsstellung in der EU.
DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · CCPA-berücksichtigt
Spec wird vor dem ersten Handler geprüft und bestätigt. CI bricht den Build bei jeder rückwärtsinkompatiblen Änderung. Mock-Server pro Branch. Ergebnis: null “wir haben versehentlich eine Breaking Change ausgeliefert”-Vorfälle in der Kundenproduktion.
Frankfurt / Irland / Paris Regionen als Standard für EU-Verbraucherdaten, DSGVO-konformer DPA mit SCCs, Schrems-II-konforme Datenflüsse, Audit-Logs verschlüsselt mit kundenverwalteten Keys und nur innerhalb der EU repliziert.
SDKs werden aus derselben Spec generiert, gegen die der Server validiert, sodass Docs und Laufzeit nicht auseinanderdriften können. Wir liefern für 7+ Sprachen mit einer CI-Release-Pipeline, Semver-Disziplin und einem Changelog, den der Kunde tatsächlich lesen kann.
Für FinTech- / HealthTech-APIs liefern wir gegen PSD2 / Open Banking, HL7 FHIR R5, ISO 20022 und andere Domain-Verträge — mit Beispiel-Integrationen und Conformance-Test-Suites im Spec-Repo enthalten.
Die Entscheidung wird durch das Konsumentenprofil getrieben, nicht durch technische Vorlieben. Öffentliche APIs und Drittanbieter-Integrationen gehen mit REST und OpenAPI 3.1 — das ist der universelle Vertrag, jeder SDK-Generator unterstützt ihn, jedes API-Gateway spricht ihn, jeder Kunde kann ihn mit curl aufrufen. GraphQL, wenn Sie ein Multi-Team-Frontend (Web + iOS + Android) haben, das auf einen tiefen Objektgraphen zugreift und das Under-/Over-Fetching-Problem real ist, föderiert über Apollo Federation 2 oder Hot Chocolate, wenn mehrere Teams verschiedene Subgraphen besitzen. gRPC für interne Service-to-Service-Kommunikation, wo Latenzbudgets knapp sind (<10 ms p99) und beide Seiten Ihnen gehören — Protobuf gibt Ihnen typisierte Verträge, Streaming und Connection-Multiplexing. Wir verwenden GraphQL nie für Service-to-Service und gRPC nie für öffentliche APIs.
OpenAPI 3.1 (oder Proto-Datei oder GraphQL SDL) lebt in einem versionierten Spec-Repo getrennt von der Implementierung. PR-Review der Spec findet statt, bevor eine Zeile Handler-Code geschrieben wird — Produkt, Frontend, Mobile und mindestens ein externer Konsument (falls zutreffend) bestätigen den Vertrag. Spectral lintet die Spec gegen Ihren Style-Guide (camelCase vs. snake_case, Error-Envelope-Form, Paginierungsvertrag usw.). Spec-Änderungen fließen durch openapi-diff mit einem Breaking-Change-CI-Gate — ein PR, der den Vertrag bricht, erfordert ein explizites Version-Bump-Label. Mock-Server (Prism für REST, Mockoon, Mock-Subgraphen für GraphQL) werden automatisch pro Branch bereitgestellt, damit Frontend-Teams sofort entsperrt werden.
REST: URI-Pfad-Versionierung (/v1, /v2) für öffentliche APIs (am deutlichsten für Dritte), Header-basiert für intern, wo Konsumenten kontrolliert sind. Wir verpflichten uns zu N-2-Support: wenn v3 ausgeliefert wird, tritt v1 in ein 12-monatiges Abkündigungs-Fenster mit Sunset- und Deprecation-Headern (RFC 8594), 90-Tage-, 30-Tage- und 7-Tage-Erinnerungs-E-Mails an API-Key-Inhaber und ein öffentliches Changelog. GraphQL: @deprecated-Direktiven auf Feldebene mit Begründung und Migrations-Hinweis, Nutzungstelemetrie von Apollo Studio oder Hive zur Bestätigung von null Traffic vor der Entfernung. gRPC: Protobuf-Evolutionsregeln strikt durchgesetzt (Felder nie umnummerieren, Feldnummern nie wiederverwenden, nur additive Änderungen ohne einen Major-Version-Bump).
OAuth 2.1 + OIDC für nutzerorientierte Authentifizierung (Auth0, WorkOS, Clerk oder Ihr eigenes Keycloak/Ory Hydra bei erforderlichem Self-Hosting). mTLS + SPIFFE/SPIRE für Service-to-Service. API-Keys mit HMAC-Signing für Partner-Integrationen, JWT mit RS256 oder EdDSA (niemals HS256 mit shared secret in 2026, und niemals RSA unter 2048 Bit). Gateway-Wahl hängt vom Stack ab: Kong oder Tyk für self-hosted, AWS API Gateway / Azure APIM / Apigee für cloud-managed, Cloudflare Workers + Hyperdrive für edge-first. Rate Limiting am Gateway (Sliding Window oder GCRA, niemals naives Fixed-Window), mit per-Key-, per-IP- und globalen Obergrenzen. WAF immer davor.
OpenTelemetry von Tag eins — Traces, Metriken und Logs mit konsistenten semantischen Konventionen, in Ihr Backend exportiert (Datadog, Honeycomb, Grafana Tempo + Mimir + Loki oder Elastic). Jede Anfrage hat eine Trace-ID in den Fehlerantworten, damit Support die vollständige Trace mit einem Klick abrufen kann. SLOs pro Endpunkt definiert (Latenz p95/p99, Fehlerrate, Verfügbarkeit), Fehlerbudgets in Grafana verfolgt, Burn-Rate-Alerts bringen On-Call auf, bevor der SLO verletzt wird. RED-Metriken-Dashboards (Rate, Fehler, Dauer) automatisch aus der OpenAPI-Spec generiert. Synthetisches Monitoring über k6 Cloud oder Checkly auf kritischen Pfaden jede Minute von US-East und EU-West.
Dediziertes API-Team beginnt bei 12.000 EUR/Monat pro Pod (TPM + 2 Senior-Backend-Entwickler). Für Greenfield-Public-APIs produziert ein 6–8 Wochen langer Design-Sprint zu 35.000 EUR Festpreis die OpenAPI-3.1-Spec, Auth-Design, Gateway-Wahl, SDK-Generierungs-Pipeline, Versionierungsrichtlinie und eine MVP-Referenzimplementierung. SDK-Generierung für zusätzliche Sprachen (TS, Python, Go, Java, C#, Swift, Kotlin) ist über openapi-generator oder stainless.com enthalten. Langfristiger Betriebsretainer mit On-Call ab 6.500 EUR/Monat verfügbar.
