Maurizio Canton

ist CTO EMEA bei TIBCO Software.

Netzwerk-ManagementNetzwerke

API-Management als Schutz für digitale Unternehmen

API-Management wird, wie Maurizio Canton von Tibco glaubt, im Zuge der Digitalisierung eine immer wichtigere Rolle einnehmen. Allerdings fehlt bei vielen Unternehmen bislang ein zentrales Management.

Wem die Wichtigkeit von Anwendungsprogrammschnittstellen für den digitalen Wandel noch nicht bewusst ist, der sollte einen Blick auf den 625 Millionen US-Dollar teuren Erwerb des API-Manager-Experten Apigee durch Google werfen. Als Hersteller von Software für die sichere, API-basierte Nutzung von Daten in Anwendungen und auf Geräten von Drittanbietern belegt der Neuzugang zum Google-Imperium, wie unverzichtbar Sicherheit ist, wenn es um die Ausschöpfung des unleugbar großen Potenzials der API-Entwicklung geht.

Mit ihrer inhärenten Agilität und der Fähigkeit, den Wert bestehender Anwendungen bedeutend zu steigern und somit überzeugende Kaufargumente zu schaffen, sind APIs heute eine unentbehrliche strategische Komponente für Unternehmen, die im Konkurrenzkampf die Nase vorn haben wollen.

Tatsächlich kann die Nutzung einer API-Plattform als cleverer Zugang zum digitalen Zeitalter den alles entscheidenden Unterschied ausmachen, wenn den hypervernetzten Kunden des 21. Jahrhunderts eine durch und durch personalisierte Omni-Channel-Erfahrung bereitgestellt werden soll.

Obwohl das Phänomen nicht auf einzelne Sektoren beschränkt ist, bildet die Luftfahrtbranche ein besonders gutes Beispiel für den API-Boom. Große Fluglinien mit internationaler Reputation können erheblich mehr Wert aus ihren millionenfachen Passagierdaten ziehen, wenn sie diesen Schatz mit externen Entwicklern teilen, die ihn dann in ihre Anwendungen einbauen. Der Zugewinn an Intelligenz wirkt wie eine Innovationsspritze: Er führt nicht nur zu besseren Angeboten für die Kunden, sondern auch zu mehr Geschmeidigkeit bei einer von Haus aus komplexen IT-Infrastruktur und damit zu neuen Geschäftschancen. Indem die Unternehmen firmenfremde Talentpools nutzen und die Früchte dieser externen Objektivität ernten, können sie ihr Produkt- und Serviceportfolio vergleichsweise schnell und kostengünstig optimieren.

Eine bessere Kundenerfahrung ist nur einer von vielen Pluspunkten, aber selbst hier kann das positive Potenzial nur allzu leicht durch höhere Sicherheitsrisiken konterkariert werden, die sich aus der breiteren Zugänglichkeit und Nutzung der Daten ergeben. Schließlich hat der Siegeszug der APIs auch der Hackerszene eine Fülle an neuen Pfaden eröffnet.

Ihre Aktivitäten sind nun nicht mehr auf eine Anwendung begrenzt, sondern verbreiten sich dank der rasant wachsenden Zahl von Access Points, die von traditionellen Desktop-Rechnern über Mobiltelefone bis hin zu internetfähigen TV-Geräten reichen, im Handumdrehen in einer Vielzahl von Services.

Noch bedrohlicher wird die Lage dadurch, dass für viele Softwaretüftler die Entwicklung attraktiver Anwendungen an erster Stelle steht; Faktoren wie Zugriffskontrolle und Datennutzung landen da weit abgeschlagen auf den hinteren Rängen. Dabei ist Kontrolle gerade angesichts der Rolle, die APIs als Interaktions-Enabler im Internet der Dinge spielen, extrem wichtig, um Datensicherheit und -schutz im digitalen Unternehmen zu gewährleisten und dafür zu sorgen, dass sensible Daten nicht in falsche Hände geraten. In den vergangenen Jahren wurde immer wieder deutlich, wie leicht selbst renommierte Unternehmen in die Datenfalle tappen.

API-Management_shutterstockEin unrühmliches Beispiel sind Telematik-Apps, die nicht nur den Internetzugriff auf unkritische Fahrzeugfunktionen wie Heizung/Lüftung und Batteriemanagement ermöglichen, sondern standardmäßig sehr viel umfassendere Fahrzeugdaten auslesen, aus denen sich dann ein detailliertes Bild des Fahrverhaltens zusammensetzen lässt – mit ernsthaften Konsequenzen für den Datenschutz.

Der Markt erkannt erst allmählich die Notwendigkeit von Lösungen, mit denen APIs einer zentralen Kontrolle unterworfen und zugleich Sicherheits- und sonstige Richtlinien systematisch angewendet werden.

Die überlegte, sichere Freigabe des Zugangs zu internen Daten und Geschäftsfunktionen erfordert häufig ein fundamentales Umdenken und einen völlig neuen Ansatz, der Sicherheit, Kontrolle und Skalierbarkeit als integrale Bestandteile der API-Strategie wertet, anstelle sie als entbehrliches Zusatzfeature zu betrachten.

Unabhängig von der jeweiligen Lösung ist eine wirksame Zugangskontrolle von entscheidender Bedeutung, um die Entwicklergemeinde sachgemäß zu managen; ergänzt werden muss sie durch eine ausgefeilte Analysefunktionalität, die zu jedem Zeitpunkt sowohl punktgenaue Einblicke als auch übergreifende Erkenntnisse gestattet. Indem verborgene Nutzungsmuster sichtbar gemacht werden, lassen sich Sachverhalte sehr viel intuitiver und proaktiver managen, anstelle auf Probleme erst dann zu reagieren, wenn der Schaden bereits eingetreten ist.

Gleichzeitig bietet dieser Ansatz auch denjenigen das nötige Maß an Rückversicherung, die zwar nicht leichtsinnig mit unsicheren APIs hantiert haben, die aber so risikoscheu sind, dass sie sich gar nicht erst an eine API-Strategie heranwagen. Sicherheitsprodukte, die in der Cloud, on premise oder als Hybrid-Modell bereitgestellt werden und damit die Skalierung, Überwachung und Verteilung von APIs ermöglichen, machen die neue Generation von Lösungen so flexibel, dass sie allen Nutzungsanforderungen und -szenarien gerecht wird.

Unterm Strich gibt es keinen Grund, weshalb Sicherheitsbedenken ein Unternehmen davon abhalten sollten, auf die vielen Vorteile einer API-Strategie zu verzichten – vorausgesetzt, es ergreift die richtigen Maßnahmen, um die Balance zwischen Agilität und Sicherheit zu halten. Diese Balance zu finden, ist auf jeden Fall eine Investition wert und trägt wesentlich zur Zukunftsfähigkeit des digitalen Unternehmens bei.