Längst haben die neuen Anforderungen an die IT - von Cloud über Mobile bis Omnichannel - auch das Management der Application Programming Interfaces (API) erreicht. Ein Webcast der Computerwoche schildert, was Entscheider beachten müssen.
Wer heute Schnittstellen managt, ist sowohl mit betriebswirtschaftlichen Fragen wie verbesserter Marktpräsenz als auch mit rechtlichen Aspekten aus dem Datenschutz konfrontiert. Von der technologischen Seite her sind immer mehr Geräte und Sensoren einzubinden. Björn Böttcher, Senior Analyst Data Practice bei Crisp Research, diskutiert darüber mit Peter Brabec, API-Management-Experte bei IBM. Fachjournalist Detlef Korus moderiert den Webcast.
"API-Management dringt in alles ein, was wir heute tun", erklärt Brabec. Er spannt den Bogen von der Bank, die durch das EU-Regelwerk PSD II (Payment Services Directive) mehr Wettbewerb und Verbraucherschutz umsetzen muss, bis zum Landwirt, der mit Sensoren die Bodenbeschaffenheit misst und optimal düngt. "Es gibt viele Themen im API-Management", so Brabec. Letztlich gehe es immer um eine Frage: Wie kann man die Daten nicht nur managen, sondern ein Business daraus generieren.
"Und das geht tief in die Fachbereiche der Unternehmen hinein", ergänzt Böttcher. Seine Beobachtung: "Die großen Unternehmen bauen ihre Plattformen schon um, kleinere Firmen sind oft noch nicht so weit." Wie weit sind die Zuschauer des Webcasts? Das will Moderator Korus überprüfen und startet eine Kurzumfrage. Fazit: Knapp die Hälfte (47 Prozent) steckt noch in der Planungsphase. Weitere drei Prozent suchen im Moment die Tools aus und 39 Prozent sind schon beim Implemetieren.
API ist nicht gleich API
Doch API ist nicht gleich API. Analyst Böttcher unterscheidet in öffentlich verfügbare APIs, deren Nachfrage in den letzten Jahren massiv gestiegen ist. Das Angebot übrigens auch. Manches Unternehmen ist mit einer Partner-API besser bedient, etwa im Zusammenspiel mit Kunden und Lieferanten. "Außerdem gibt es Firmen, die nur interne Prozesse optimieren wollen und mit einer private API auskommen", sagt Böttcher.
Wer sich für eine öffentliche API interessiert, muss bestimmte Dinge beachten. Böttcher weist auf die Limitierung von 10.000 Requests pro Tag und 5 Requests pro Sekunde hin. "Das soll Studenten von dem Jux abhalten, mal eben die System durch DDos-Attacken lahmzulegen", sagt er.
Moderator Korus hat eine ganz pragmatische Frage an IBM-Manager Brabec: "Was sind gute APIs?" Brabec zählt drei Aspekte auf: "Erstens: was habe ich für ein Produkt und wer ist mein Publikum? Zweites: was will das Publikum? Drittes: Unter welchen Rahmenbedingungen bin ich bereit, zu sharen?" Diese Rahmenbedingungen können beispielsweise festlegen, dass sich der Nutzer ausweisen muss. Immer im Hintergrund: der Security-Aspekt. "Hier stellt sich immer die Frage der Praktikabilität", seufzt Brabec, "ein rechtlicher Rahmen hinkt meistens hinten nach." Er fordert Rechtssicherheit für Provider wie für Consumer.
Von der technischen Komponente her, sagt Böttcher, seien alle Einzelbausteine zusammen. "Aber es funktioniert im Zusammenspiel noch nicht aus einem Guss", fügt er an. Der Trend geht in Richtung autonome APIs, "um den Faktor Mensch zu eliminieren".
"Der Mensch wird nicht eliminiert"
Eine Aussage, die Brabec so nicht stehenlassen will. Keinesfalls sieht er Digitalisierung als Jobkiller. "Der Mensch wird nicht eliminiert", betont er. Gerade im IT-Management entstehen neue Berufsbilder. "Services können nicht mehr im Elfenbeinturm entwickelt werden", führt er aus, "die Frage ist immer, was nützt es dem Kunden." Konkret für das API-Management heißt das, dass IT-Entscheider beispielsweise enger mit dem Marketing kooperieren müssen.
Böttcher nickt. Er sieht API-Management als gemeinsame strategische Aufgabe von Chief Data Officer oder Digital Officer, Chief Technology Officer und CIO. Das bezieht sich auf alle fünf Aspekte: API Management, Development, Security, Design& Architecture sowie Strategy.
Moderator Korus bringt hier ein wenig Markt ein: Er fragt die Webcast-Zuschauer nach den größten Herausforderungen für das API-Management in ihrem Unternehmen. Die Nutzer können mehrere Punkte nennen und einigen sich schnell auf die drei wichtigsten: Sicherheit nennen 53 Prozent, Regulierung 46 und Architektur 23. Brabec ist überrascht, dass das Thema Integration nur auf 15 Prozent der Nennungen kommt. "Im Feld sehe ich das Thema größer", sagt er.
Sechs Kriterien bei der Auswahl
Für die Wahl eines API-Managements nennt der IBM-Manager sechs Kriterien: Security, Deploy-Möglichkeiten, einfacher Installations- und Konfigurationsprozess, einfache Upgrade-Mechanismen, Management Automation und die eigenen Anforderungen in Sachen Autorisierung, Performance, On-Boarding und Reporting.
Wer das Thema jetzt angehen will, braucht einen längeren Atem: "Man muss als Entscheider planen, denn viele externe Dienstleister, die dabei unterstützen, sind bis Februar ausgebucht", weiß Böttcher. Seine Erfahrung: "Der IT-Entscheider ist oft schon so weit, er muss aber die Geschäftsleitung noch überzeugen." Dann schmunzelt der Analyst: "Manchmal ist es aber auch umgekehrt!"