Schnittstellen richtig managen

APIs – der Klebstoff für die Digitalisierung

27.05.2019
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Immer mehr Betriebe stellen öffentlich zugängliche APIs zur Verfügung, um Partnern und Kunden den Zugang zur eigenen Plattform oder zum eigenen Ökosystem zu erlauben. Umso wichtiger wird es, Wildwuchs zu verhindern und mit Hilfe von Management-Lösungen die Kontrolle zu behalten – schon allein, um die Sicherheit zu gewährleisten.
Application Programming Interfaces (APIs) brauchen ein durchdachtes Management. Sonst verlieren Anwender schnell die Kontrolle.
Application Programming Interfaces (APIs) brauchen ein durchdachtes Management. Sonst verlieren Anwender schnell die Kontrolle.
Foto: fullvector - shutterstock.com

Application Programming Interfaces (APIs) sind der Alleskleber der Digitalisierung. Sie verbinden sämtliche Komponenten für den digitalen Wandel – dazu gehören Business-Applikationen, Apps jeder Art, Cloud-Services, smarte Dinge und Sensoren aus dem Internet of Things, Bots für die Kundenansprache und die Automatisierung von Prozessen sowie natürlich Daten, die aus immer mehr Quellen in die IT-Systeme der Unternehmen hineinfließen.

Zu den immer hetero­gener zusammengesetzten IT-Infrastrukturen kommen unterschiedlichste Plattformen, auf denen Unternehmen ihren Geschäftsbetrieb mit Partnern und Kunden organisieren und steuern, beispielsweise die Zulieferindustrie für die Automobilhersteller oder Einkaufs­plattformen, auf denen Firmen ihre Güter feilbieten können. Auch in diesen Ökosystemen funktioniert die Verbindung zwischen den einzelnen Teilnehmern über APIs.

Man spricht bereits von einer "API-Economy". Der Ansatz, das eigene Geschäft als geschlossenes System zu betrachten, ist überholt. Ein bekanntes Unternehmen, das sein Business von Beginn an als offene, API-unterstützte Plattform angelegt hat, ist Uber. Der Fahrdienstvermittler integriert sich in verschiedene Ökosysteme und entwickelt selbst eigene APIs, um anderen Serviceanbietern das An­koppeln zu erleichtern. Beispielsweise können Nutzer Restaurant­adressen, die sie in Trip­advisor gefunden haben, auf Knopfdruck in Uber übernehmen.

Auch für die Kontaktaufnahme zwischen Fahrgast und Fahrer sowie die Bezahlvorgänge setzt Uber auf verschiedene Plugins und Services anderer Anbieter, die via API in den eigenen Service eingebunden sind. Die Uber-eigenen Schnittstellen erlauben es den Fahrern, auch für andere Dienste zu arbeiten. So können sie beispielweise auch Lieferfahrten für Essen erledigen.

APIs - es werden immer mehr

Wie wichtig Programmierschnittstellen sind, lässt sich auch an ihrer Zahl ablesen. Das API-Directory "Programmable Web" listete Anfang Februar dieses Jahres fast 21.000 öffentlich zugängliche APIs auf. Vor rund zehn Jahren gab es gerade einmal rund 1000 solcher Public APIs. Innerhalb der vergangenen fünf Jahre hat sich deren Zahl etwa verdoppelt. Dazu kommen die unternehmensinternen APIs, deren Zahl laut den Experten von Crisp Research noch einmal um den Faktor drei bis vier höher liegen dürfte.

Grundsätzlich ist das Thema APIs nicht neu. Seit es Software gibt, braucht es Schnittstellen, um Programme miteinander zu verbinden. In Zeiten der großen monolithischen Softwareblöcke hielt sich deren Zahl allerdings in Grenzen. Zudem wurden APIs in aller Regel intern für die Verzahnung der eigenen IT genutzt. Mit dem Aufbrechen dieser Monolithen sowie der Modularisierung von Software in Microservices und der zunehmenden Öffnung der Unternehmen nach außen zu Partnern und Kunden bekommt das Thema eine völlig neue Dynamik. Die damit einhergehende Komplexität verlangt eine Strategie für das Management dieser Schnittstellen. Schließlich wird es mit der zunehmenden Zahl an APIs schnell unübersichtlich und schwer, die Kontrolle zu behalten.

Verschiedene Anbieter offerieren dafür Lösungspakete. Zuletzt haben die Analysten von Forrester Research API-Management-Lösungen unter die Lupe genommen. Analyst Randy Heffner beschreibt sechs Kernelemente:

  1. API-Design und Dokumentation,

  2. API-Entwicklung und Auslieferung,

  3. API-Testing,

  4. API-Betrieb,

  5. API-Lifecycle-Management und

  6. API-Verwaltung.

Zu den führenden Anbietern in Sachen API- Management zählt Forrester IBM, Google, die Software AG und WSO2. Die API-Management-Lösung von IBM bietet den Analysten zufolge eine umfassende Funktionalität und kann somit als Fundament für eine Vielzahl von API-Strategien dienen. Besonders hervorzuheben seien die Funktionen zur Definition von Gruppen und Teams, die eine Koordination der API-Publikation über Fachabteilungen und B2B-Partner hinweg erleichterten. IBM offeriert eine Reihe von Bereitstellungsoptionen. Anwender könnten vergleichsweise kostengünstig einsteigen.

Gleichzeitig erlaubt IBMs API-Lösung laut Forrester genug Flexibilität, sich an die jeweiligen Kundenbedürfnisse anzupassen – wobei auch in großvolumigen Implementierungen die Kosten nicht explodieren würden. Für Enter­prise-API-Governance-Szenarien biete das Paket ein integriertes Lifecycle-Management sowie eine hierarchische Tagging-Funktion, die Anwendern bei der Gruppierung von API-Portfolios hilft. Insgesamt sind die IBM-Kunden Forrester zufolge mit dem Anbieter wie auch mit dem Produkt sehr zufrieden. Vor allem die breit angelegte API-Plattform und das Preis-Leistungs-Verhältnis gäben den Ausschlag für IBM. Als Rat geben die Anwender Big Blue mit auf den Weg: Der Hersteller soll sich mehr auf konkrete Geschäftsanwendungen als auf die Technologie konzentrieren.

Google kann aus Sicht der Analysten mit seiner API-Management-Lösung Apigee auf eine starke Marktpräsenz bauen. Hervorzuheben seien die Geschäftsvision sowie die Funktionalität der Lösung. Beispielsweise biete Google recht flexible Funktionen, um verschiedene Abrechnungsstrategien für die Nutzung von APIs in seiner Lösung zu integrieren.

Mit Hilfe von Management-Funktionen für den Lebenszyklus von APIs könnten die Kunden ausgereifte Enterprise-API-Governance-Szenarien implementieren. Google arbeite mit Hochdruck daran, Apigee tiefer in das Ökosystem der Google Cloud Platform (GCP) zu integrieren und dort insbesondere mit den Analyse- und Intelligenzfunktionen von GCP zu koppeln. Aus Forrester-Sicht sind die Google-Kunden mit der Lösung hoch- und mit dem Anbieter mäßig bis sehr zufrieden.

Lesen Sie mehr zum Thema Application Programming Interfaces:

Mit ihrer neuen Architektur und einer breiten Funktionspalette sei die Software AG in der Lage, diverse API-Strategien zu bedienen, loben die Forrester-Analysten. Die Lösung verfüge über ein ausgereiftes Lifecycle-Management, das sich gut in API-Administrations- und Benutzerportale integrieren lasse und eine solide Grundlage für unterschiedliche API-Programme biete. Der deutsche Hersteller baue sein API-Management auch dahingehend aus, sich mit anderen Lösungen zu verbinden – beispielsweise biete das API-Portal die Möglichkeit, APIs zu veröffentlichen, die in den Gateways anderer Unternehmen gehostet werden.

Die weitere Entwicklungsstrategie ziele auf dynamische Ökosysteme, geschäftsorientiertes API-Management und verschiedene Möglichkeiten der B2B-Integration ab. Forrester zu­folge sind die Kunden der Software AG sowohl mit dem Anbieter als auch mit dem Produkt sehr zufrieden. Vor allem die Integrations­plattform sei oft kaufentscheidend gewesen. Aus Kundensicht sei die deutsche API-Management-Lösung einfach zu bedienen.

Die Open-Source-Lösung von WSO2 schafft der Untersuchung zufolge ebenfalls eine solide Basis für eine Vielzahl von API-Strategien. Das Paket biete eine gute funktionale Bandbreite über alle Bewertungskriterien hinweg. Besondere Stärken stellten das Lifecycle-Management und Non-REST-APIs dar. Auch sei die Lösung von WSO2 flexibel genug, um eine Vielzahl von unterschiedlichen API-Ansätzen zu unterstützen. Als Beispiele nennen die Analysten hierarchisches Tagging, eine konfigurierbare Portalnavigation, separate API-Schlüssel für Sandbox- und Produktionsnutzung sowie API-spezifische Diskussionsforen. Eine Label-Funktion im Micro-Gateway ver­einfache die Verwaltung von API-Gruppen.

Der Hersteller will sich in der Entwicklung in Zukunft vor allem auf digitale Ökosysteme und sich ändernde Lösungsarchitekturen konzentrieren – Stichworte sind Microservices und Low-Code. Die Kunden äußerten sich mit der Lösung und dem Anbieter sehr zufrieden. Die Open-Source-Basis von WSO2 mache die Lösung erschwinglich. Diese sei einfach zu bedienen, auch wenn die Dokumentation besser sein könnte.

Die Verfolger

In der Verfolgergruppe finden sich Firmen wie Axway, CA Technologies, Mulesoft und Tibco. Letztgenannter Anbieter kann Forrester zufolge mit einer engen Integration zwischen seiner Cloud-Integrationsplattform und dem API-Management punkten. Im Großen und Ganzen biete Tibco einen soliden, aber durchschnitt­lichen Funktionsumfang. Mit dem konfigurierbaren Portal, Tools für die Benutzerinteraktion sowie Analysefunktionen biete sich die Lösung für offene Web-API-Benutzerszenarien an. Künftig will Tibco verstärkt KI-Features in sein API-Management einbauen. Die Kunden sind mit Lösung wie Anbieter sehr zufrieden. Sie heben das Entwicklerportal und die Integrationsplattform hervor. An den Sicherheits-Features müsse Tibco allerdings noch arbeiten.

Axway bietet seine Lösung "Amplify API Management" in Kürze als vollständige SaaS-Implementierung an. Die Analysten verweisen auf eine gute Architektur für die Integration mit Microservice-Frameworks. Zu den Stärken gehörten ferner das API-Design sowie viel­fältige Möglichkeiten, API-Richtlinien zu definieren. Insgesamt biete die Lösung eine gute Grundlage für eine Vielzahl von API-Öko­systemen. Das Portal basiert auf Joomla. Über das Ökosystem haben Anwender Zugriff auf viele Erweiterungen. Die Kunden sind mit Anbieter und Lösung sehr zufrieden. Die Lösung sei robust und zuverlässig. Zudem reagiere Axway sehr flexibel auf Kundenbedürfnisse, hieß es. Allerdings wird der Implementierungs-Support nur mittelmäßig bewertet.

CA Technologies ist gerade dabei, die Architekturbasis für sein API-Portal zu aktualisieren. Kunden könnten derzeit die neue oder die "klassische" Version erwerben. Letztere verfügt Forrester zufolge über mehr Funktionen für die Portalanpassung, die Einbindung von API-Benutzern sowie die Definition von API-Plänen und -Gruppen. Allerdings haben die CA-Verantwortlichen bereits zugesichert, auch die neue Architektur funktional auszubauen. Der "CA Live API Creator" bietet Anwendern ein Low-Code-Konzept, um APIs zu erstellen.

Das Gateway bildet aus Sicht der Analysten eine Schlüsselstärke der Lösung. Kunden äußern sich mit Anbieter und Produkt sehr zufrieden. Der Gateway-Kern sei robust und ausgereift, das Preis-Leistungs-Verhältnis der Lösung gut. Jedoch sei die Portalstrategie von CA etwas verwirrend und das Erstellen von Richtlinien könne manchmal kompliziert geraten.

Mulesoft baut seine API-Management-Lösung auf dem Fundament seines Enterprise-Service-Bus (ESB) auf. Das Paket verfügt Forrester zufolge über leistungsstarke Designtools, eine flexible API-Dokumentation sowie eine vollständig ESB-basierte Integrationsmaschine, um APIs zu erstellen. Ein Visualisierungstool zeigt Abhängigkeiten zwischen APIs an. Als stark bewerten die Analysten auch die Ver­sionierungs-Features.

Dagegen reichten die Sicherheitsrichtlinien sowie die API-Produkt- und API-Benutzer-Engagement-Funktionen nicht an die Konkurrenz heran. Kunden sind dennoch sehr zufrieden mit Anbieter und Produkt. Das API-Benutzerportal könnte flexibler sein, um sich an verschiedene Szenarien anpassen zu lassen. Für mehr Sicherheit fehlten einige Sicherheitsrichtlinien. Allerdings sei die Implementierung einfach.

Vor knapp einem Jahr hat Salesforce Mulesoft für rund 6,5 Milliarden Dollar übernommen. Bis dato scheint Mulesoft weitgehend unabhängig im Markt agieren zu können. Salesforce selbst will die Mulesoft-Lösung dazu nutzen, die verschiedenen Teile seiner Cloud-Plattform besser zu verknüpfen. Auf Trailhead, der Schulungsplattform von Salesforce, heißt es: "Die Welt der Salesforce-APIs ist so riesig wie der Ozean blau ist." Das liege an dem "API-first"-Ansatz bei der Entwicklung von Funktionen für die Salesforce-Plattform.

Nachzügler Oracle

In das weitere Anbieterfeld gruppieren die Forrester-Analysten Microsoft, Red Hat und – bereits mit etwas Abstand – Oracle ein. Microsoft biete seinen Cloud-Kunden mit dem Azure API Management eine grundlegende Lösung, um Schnittstellen zu bauen und zu dokumentieren. Allerdings eigne sich das Paket in erster Linie für Nutzer der Azure-Cloud von Micro­soft. Red Hat hat für den Ausbau seines API-Managements 3Scale übernommen. Die Lösung verfüge grundsätzlich über einen soliden Funktionsumfang. Die Analysten betonen die Flexibilität sowie die Funktionen für die Abrechnung der API-Nutzung.

Rund um 3Scale hat Red Hat weitere Integrationswerkzeuge gruppiert. Diese seien allerdings noch nicht besonders gut miteinander vernetzt, kritisiert Forrester. Oracle habe sich Zeit gelassen, ein API-Management aufzubauen, sei aber mit der Akquisition von Apiary einen guten Schritt vorangekommen, heißt es in der Untersuchung. Der Schwerpunkt der Oracle-Lösung liege im API-Design. Deutlich Luft nach oben gebe es beim Management und bei den Sicherheitsfunktionen.

Neben den größeren Playern listet Forrester noch eine Reihe kleinerer Anbieter auf, darunter Rogue Wave Software, Sensedia, Torry Harris Business Solutions und Tyk Technologies. Diese könnten funktional mithalten, seien von ihrer Marktpräsenz her aber Nischen-Player.

API-Sicherheit wird immer wichtiger

Ein Aspekt, der in Zukunft eine immer wichtigere Rolle spielen dürfte, ist Sicherheit. Mit der steigenden Zahl von APIs wächst auch die Menge an Sollbruchstellen in den IT-Infrastrukturen der Unternehmen – vor allem, wenn alter Code, der nie für eine Internet-Anbindung ausgelegt war, mit einem Mal via API zugänglich wird. Gerade in den beiden vergangenen Jahren hat eine Reihe von Sicherheitsvorfällen für Schlagzeilen gesorgt, die durch eine falsche oder nachlässige API-Absicherung verursacht wurden.

Viele nützliche Informationen rund um das Thema Sicherheit finden Sie hier in unserem Online-Special

Beispielsweise musste Salesforce einräumen, dass ein Bug in einer API seiner Marketing-Cloud dafür sorgte, dass Kunden die Daten anderer Salesforce-Nutzer einsehen konnten. Dass Hacker auf Daten von 76 Millionen Mobilfunkkunden zugreifen konnten, führte T-Mobile USA auf eine fehlerhafte Schnittstelle zurück. Und auch das Sicherheitsleck, das Facebook im September vergangenen Jahres einräumen musste, war mit einer API-Lücke zu erklären. Hacker hätten darüber Zugriff auf Daten von mehr als 50 Millionen Facebook-Nutzern gehabt.

In den Listen der gefährlichsten Angriffs­vektoren wandern unsichere APIs unaufhaltsam nach oben. Gartner geht davon aus, dass im Jahr 2022 der Missbrauch von fehlerhaften APIs der häufigste Grund für unerlaubten Datenabzug von Enterprise Web Applications sein wird. Eine Studie des Sicherheitsexperten Imperva aus dem vergangenen Jahr hat gezeigt, dass bereits mehr als zwei Drittel aller Unternehmen weltweit öffentliche APIs bereitstellen, um Partnern und Kunden Zugang zur eigenen Plattform zu gewähren.

Mehr als drei Viertel dieser Betriebe räumte ein, dabei Sicherheitsaspekte zu vernachlässigen. Während das Thema Applikationssicherheit hohe Priorität besitze, setzten die Verantwortlichen an APIs einen laxeren Security-Maßstab an. Doch je wichtiger Schnittstellen werden, desto mehr würden auch Hacker sie ins Visier nehmen, warnen derweil die Security-Spezialisten.