Grundlagen

Webhook

Ein Webhook ist ein HTTP-Callback, bei dem ein System automatisch eine Benachrichtigung an eine URL sendet, sobald ein bestimmtes Ereignis eintritt – Echtzeit-Datenaustausch ohne ständiges Abfragen.

Webhooks sind das Benachrichtigungssystem des modernen Webs. Statt ständig bei einem System nachzufragen, ob etwas Neues passiert ist (Polling), informiert das System Sie aktiv über Veränderungen – in Echtzeit. Das spart Ressourcen, reduziert Latenz und macht Integrationen eleganter. Von Zahlungsbenachrichtigungen über Git-Hooks bis zu Chat-Bots – Webhooks sind die unsichtbare Infrastruktur moderner Webdienste.

Was ist Webhook?

Ein Webhook (auch: HTTP-Callback oder Push-Notification) ist ein Mechanismus, bei dem ein Server bei Eintreten eines definierten Events automatisch eine HTTP-POST-Anfrage an eine vom Empfänger konfigurierte URL sendet. Der Event-Payload enthält strukturierte Daten (typischerweise JSON) über das Ereignis. Im Gegensatz zu klassischen API-Aufrufen (Pull-Modell), bei denen der Client regelmäßig nach neuen Daten fragt, arbeiten Webhooks nach dem Push-Modell: Der Server sendet Daten, sobald sie verfügbar sind. Dies reduziert unnötigen Netzwerk-Traffic und ermöglicht nahezu sofortige Reaktionen auf Ereignisse. Webhooks sind ein fundamentaler Baustein moderner Event-Driven Architectures.

Wie funktioniert Webhook?

Der Empfänger registriert eine Callback-URL beim sendenden System (z.B. über ein Dashboard oder eine API). Wenn ein definiertes Event eintritt (z.B. Zahlung abgeschlossen, neuer Commit, Formular gesendet), sendet das System einen HTTP-POST-Request mit den Event-Daten als JSON-Payload an die registrierte URL. Der Empfänger verarbeitet die Daten und antwortet mit einem HTTP-Statuscode (200 OK). Bei fehlgeschlagener Zustellung (Timeout, Fehler) versuchen die meisten Systeme es erneut (Retry mit exponential Backoff). Zur Sicherheit werden Webhooks häufig mit HMAC-Signaturen versehen, damit der Empfänger die Authentizität verifizieren kann.

Praxisbeispiele

Stripe Payment Webhook: Nach einer erfolgreichen Zahlung sendet Stripe einen Webhook an den Shop, der die Bestellung automatisch als bezahlt markiert und den Versand auslöst.

GitHub Webhook: Bei jedem Push in ein Repository sendet GitHub einen Webhook an den CI/CD-Server, der automatisch Tests startet und bei Erfolg deployt.

Slack Incoming Webhook: Ein Monitoring-System sendet bei kritischen Fehlern einen Webhook an Slack, der das Team sofort per Chat benachrichtigt.

Shopify Order Webhook: Bei neuen Bestellungen sendet Shopify einen Webhook an das ERP-System, das automatisch Lagerbestände aktualisiert und Versandlabel erstellt.

Calendly Webhook: Wird ein Termin gebucht, sendet Calendly die Termindetails per Webhook an das CRM, das automatisch einen Kontakt anlegt.

Typische Anwendungsfälle

Zahlungsabwicklung: Echtzeit-Benachrichtigungen über erfolgreiche, fehlgeschlagene oder erstattete Zahlungen

CI/CD-Pipelines: Code-Pushes triggern automatisch Build-, Test- und Deployment-Prozesse

Benachrichtigungen: Ereignisse in einem System lösen sofortige Benachrichtigungen in Chat-Tools, E-Mail oder SMS aus

Daten-Synchronisation: Änderungen in einem System werden in Echtzeit an verbundene Systeme weitergeleitet

Automatisierung: Webhooks triggern serverlose Funktionen, die Daten transformieren, weiterleiten oder verarbeiten

Vorteile und Nachteile

Vorteile

Echtzeit: Daten werden sofort bei Auftreten des Events übermittelt – keine Verzögerung durch Polling-Intervalle
Ressourceneffizient: Kein unnötiger Netzwerk-Traffic durch wiederholtes Abfragen ohne neue Daten
Einfache Integration: HTTP-POST-Requests sind universell – jede Programmiersprache und Plattform kann sie empfangen
Skalierbar: Event-basierte Architektur ermöglicht lose Kopplung und unabhängige Skalierung
Breite Unterstützung: Fast jeder moderne Webdienst bietet Webhooks als Integrationsoption

Nachteile

Zuverlässigkeit: Wenn der Empfänger-Server down ist, gehen Webhooks potenziell verloren (Retry-Logik hilft, löst das Problem aber nicht vollständig)
Sicherheit: Webhook-URLs müssen geschützt werden – ohne Signatur-Verifizierung kann jeder Daten an die URL senden
Debugging: Push-basierte Systeme sind schwerer zu debuggen als Pull-basierte, da man auf Events warten muss
Reihenfolge: Die Reihenfolge von Webhooks ist nicht immer garantiert – idempotente Verarbeitung ist wichtig

Häufig gestellte Fragen zu Webhook

Was ist der Unterschied zwischen Webhook und API?

Eine API (Pull-Modell) erfordert, dass der Client aktiv Daten anfragt. Ein Webhook (Push-Modell) sendet Daten automatisch, wenn ein Ereignis eintritt. APIs sind ideal für On-Demand-Abfragen, Webhooks für Echtzeit-Benachrichtigungen. Viele Systeme bieten beides: APIs für flexible Abfragen und Webhooks für sofortige Event-Benachrichtigungen.

Wie sichert man Webhooks ab?

Best Practices: HMAC-Signaturen verifizieren (der Sender signiert den Payload mit einem geteilten Secret, der Empfänger überprüft die Signatur), HTTPS verwenden, IP-Whitelisting konfigurieren, und idempotente Verarbeitung implementieren (gleiche Nachricht mehrmals empfangen ohne Seiteneffekte). Zusätzlich sollte die Webhook-URL nicht öffentlich bekannt sein.

Was passiert, wenn der Empfänger nicht erreichbar ist?

Die meisten Webhook-Anbieter implementieren eine Retry-Strategie mit exponential Backoff: z.B. erneute Zustellung nach 1 Minute, 5 Minuten, 30 Minuten, 2 Stunden. Nach einer definierten Anzahl fehlgeschlagener Versuche wird der Webhook deaktiviert und der Administrator benachrichtigt. Empfänger sollten daher idempotent arbeiten und ein Queueing-System vorschalten.

Echtzeit-Integrationen benötigt?

Wir beraten Sie gerne zu Webhook und finden die optimale Lösung für Ihre Anforderungen. Profitieren Sie von unserer Erfahrung aus über 200 Projekten.

Webhook-Integration entwickeln Kostenlos beraten lassen

Zurück zum IT-Glossar