Intel, CA, Mulesoft und Axway

Verwaltung von APIs - wie sich der Markt entwickelt

17.01.2014 von Mark O'Neill
Über APIs (Application Programming Interfaces) lassen sich unterschiedliche Datenquellen über den Webbrowser anzapfen. Kommunikation mit Server-Anwendungen wird ermöglicht, und immer mehr mobile Apps nutzen diese Porgrammierschnittstellen.

2013 haben mehrere Akquisitionen im Bereich API-Management den API-Markt erschüttert. Den Anfang machte zu Beginn von 2013 Axway mit dem Erwerb meines Unternehmens Vordel. Kürzlich kauften Computer Associates die Firma Layer 7, Intel die Firma Mashery und Mulesoft die Firma ProgrammableWeb. Mir als CTO und Mitbegründer der Firma Vordel, die heute zu Axway gehört, zeigt diese Welle der Akquisitionen, dass sich der Markt entwickelt. APIs werden immer stärker als kritische Instanzen angesehen und sind nicht länger verbraucherorientierten Services wie Facebook und Twitter vorbehalten. Doch was bedeutet die aktuelle Konsolidierung konkret für Unternehmen und warum wird eine API-Management-Strategie immer wichtiger?

Was sind APIs?

Ist heute die Rede von APIs, sind Web-APIs gemeint (Application Programmin Interfaces, die REST- und HTT-Protokolle (REpresentational State Transfer und Hypertext Transfer) nutzen. Web-APIs werden heute weithin für Integrationszwecke und insbesondere für die Entwicklung mobiler Anwendungen eingesetzt. APIs sind also der Weg, über den mobile Apps mit ihren Servern kommunizieren und ihre Daten beziehen. Wenn ein Benutzer beispielsweise mit einem mobilen Gerät auf ein Bankkonto zugreift, werden die Banking-Transaktionen nicht auf dem Gerät gespeichert, sondern bei Bedarf von einer API abgerufen.

Web-APIs sorgen für die Verbindung zwischen Apps und werden heute zumeist für Integrationszwecke genutzt, insbesondere bei der Entwicklung mobiler Anwendungen. Die API-Technologie ist heute ein so wichtiger Trend, da sich auf ihrer Basis neue Geschäftsmodelle entwickeln lassen. Dies wird oft als die "API Economy" bezeichnet. Die API Economy umfasst dabei auf der Basis von APIs entwickelte mobile Apps sowie neue Geschäfte, die durch APIs ermöglicht werden.

So stellt sich Axway den sinnvollen Einsazt von APIs vor.
Foto: Axway


Open und Enterprise APIs

Im Wesentlichen gibt es zwei Arten von APIs: Open APIs und Enterprise APIs. "Open APIs" sind APIs, die jedem Client zur Verfügung stehen und oftmals in der Cloud gehostet werden. Bekannte Beispiele für offene APIs sind Facebook, Twitter und Google Maps. Diese APIs sind allgemein verfügbar. "Enterprise APIs" hingegen laufen im Unternehmen selbst und sind nicht öffentlich zugänglich. Enterprise APIs verarbeiten in der Regel vertrauliche Informationen mit höherwertigen geschäftlichen Transaktionen und erfordern demzufolge eine genauere Überwachung, ein präziseres Reporting und eine strengere behördliche Kontrolle.

In der Regel stellen Unternehmen APIs bereit, um die Entwicklung mobiler Apps zu ermöglichen. Hierzu gehören Apps für Mitarbeiter ebenso wie Apps für externe Kunden. Insofern dienen Open APIs und Enterprise APIs also demselben Zweck. Außerdem sorgen sowohl Enterprise APIs als auch Open APIs dafür, dass sich die Entwickler nicht direkt mit den vorhandenen Systemen auseinandersetzen müssen, sondern stattdessen einfache HTTP-Schnittstellen verwenden können.

API-Management-Strategie

Während die jüngsten Akquisitionen den Wert des API-Managements untermauern, ist noch immer nicht ganz klar, was API-Management tatsächlich bietet. Für den Sicherheitsbeauftragten eines Unternehmens kann API-Management die Abwehr von Gefahren bedeuten, für den Netzwerktechniker mit der Überwachung zu tun haben und für die CIOs und CEOs die Grundlage für das Mobile Enablement darstellen. Tatsächlich umfasst API-Management sämtliche dieser Bereiche.

API-Management ist ein wichtiger Bestandteil jeder API-Strategie. Neben der unverzichtbaren API-Sicherheit sollte die API-Management-StrategieManagement-Strategie weitere nicht weniger wichtige Ziele verfolgen. Hierzu gehören die Überwachung, Analytik und Governance ebenso wie angepasste Berichte, die Unterstützung der Entwickler und das Richtlinienmanagement. Insgesamt sollte ein Unternehmen bei der Einführung einer API-Management-Strategie darauf achten, dass die gewählte Lösung ein ausreichendes Maß an Sichtbarkeit bietet und eine umfassende diagnostische Analyse der APIs ermöglicht. Ohne effektives API-Management besteht die Gefahr, dass die APIs einer Organisation sabotiert oder kompromittiert werden. Dies würde den Ruf der Marke schädigen und die Nutzer zu möglichen Opfern krimineller Angriffe machen.

Alternativ kann ein Unternehmen versuchen, in einem Ad-hoc-Ansatz ihre eigene API-Management-Infrastruktur aufzubauen. Dabei werden jedoch wichtige Aspekte des Prozesses, beispielsweise die Überwachung, leicht übersehen, sodass kein voller Einblick in die Nutzung der APIs gegeben ist. Hier sind Unternehmen im Vorteil, die im Hinblick auf ihre API-Management-Strategie einen strukturierteren Ansatz in Form einer API-Management-Plattform verfolgen. Diese sind häufig überrascht, bisher nicht verfügbare Informationen zu erhalten und zu erfahren, wie, wann und von wem ihre APIs genutzt werden. So können sie beispielsweise die Entwicklung von Trends verfolgen und feststellen, welche Clients (z. B. iPhone- oder Android-Apps) auf ihre APIs zugreifen.

Industrie 4.0 - auch eine Frage des Rechts -
Industrie 4.0 - auch eine Frage des Rechts
Wenn Maschinen die Fäden in die Hand nehmen und Entscheidungen für Menschen treffen, stellt sich automatisch die Frage nach dem juristischen Hintergrund. Hier ist noch vieles offen. Folgende Aspekte sollten Sie im Blick behalten.
1. Wer handelt im Internet der Dinge?
In unserer Rechtsordnung, ob im Zivilrecht, öffentlichen Recht oder Strafrecht, sind Handelnde und Zuordnungsträger von Rechten und Pflichten immer Menschen oder juristische Personen. Daran ändern auch M2M und IoT grundsätzlich nichts.
2. Vertragsabschluss durch Softwareagenten?
Was ist, wenn die Initiative zum Abschluss einer Online-Transaktion vollautomatisiert abläuft, also eine Maschine selbst den Bestellvorgang als Nutzer auslöst? Hier stellt sich die Frage, wie sich die Verantwortung für den konkreten Rechtsakt (die automatisierte Willenserklärung und der beidseitig rein elektronische, voll automatisierte Vertragsabschluss) zuordnen lässt. Er beruht ja ausschließlich auf einem zeitlich weit vorausgelagerten, abstrakten Programmiervorgang, einem Rechtssubjekt.
3. Unternehmensübergreifende M2M-Systeme brauchen Regeln
Werden komplexe M2M-Systeme unternehmensübergreifend aufgesetzt, kommt es nicht nur auf die technische Standardisierung, sondern auch auf die vereinbarten Nutzungsregeln an. Wie dürfen die Teilnehmer mit den Nutzungsergebnissen umgehen, und wie verhält es sich mit regulatorischer Compliance und Rechten Dritter, die der M2M-Nutzung entgegenstehen könnten (etwa Datenschutz, branchenspezifische Regulierung, Verletzung von Softwarepatenten oder sonstiger Rechte Dritter)?
4. Offene Fragen zu Logistik, Mobilität und Smart Home
Weitgehend ungeklärte Fragen lassen sich an M2M- und IoT-Beispielen zeigen:<br>Doch wem gehören die Daten?<br>Wie steht es um die Produkthaftung - wer ist Hersteller, und welche Regressketten bauen sich auf? <br>Wer haftet für Konnektivitätsausfälle?
5. Wer haftet in vernetzten Wertschöpfungsketten?
Wenn M2M der Schlüssel für vernetzte Wertschöpfungsprozesse ist, rückt automatisch auch die Frage der Haftung für mögliche Fehler und Ausfälle in den Vordergrund. Man wird zwischen der Haftung für fehlerhafte Datenquellen und Datenerzeugung einerseits und Fehlern in der Datenübermittlung andererseits unterscheiden müssen.
6. Unternehmen müssen Datenschutz im Blick behalten
Der Datenschutz ist über den weiten Begriff personenbezogener Daten, zu denen auch dynamische IP-Adressen gehören können, und die Möglichkeiten komplexer Datenauslese (Big Data) etwa in den Bereichen Mobilität, Energie und Smart Homes grundsätzlich immer im Blick zu halten. Es gilt sorgfältig zu prüfen und gegebenenfalls mit den Behörden abzustimmen, ob und wie er sich mit "informierter Einwilligung", Inter-essenabwägung und Auftragsdatenverarbeitung wahren lässt.

Das Internet der Dinge

APIs werden weiter an Bedeutung gewinnen, nicht zuletzt aufgrund der wachsenden Verbreitung des als "Internet der Dinge" bezeichneten Trends. Der Begriff "Internet der Dinge" (Internet of Things, IoT) wurde vor etwa 15 Jahren von Kevin Ashton, dem Pionier der RFID-Technologie geprägt, um den zunehmend durch die Kommunikation zwischen Systemen und Anwendungen verursachten Datenverkehr im Internet vom Datenverkehr menschlicher Benutzer abzugrenzen. Laut einer kürzlichen Schätzung von John Chambers, CEO von Cisco, dürfte der IoT-Markt der weltweiten Wirtschaft Profite in Höhe von bis zu 14 Billionen US-Dollar bescheren.

In unserem heutigen, frühen IoT-Entwicklungsstadium verbinden Ingenieure so verschiedenartige Objekte wie Smartphones, Fahrzeuge und Haushaltsgeräte mit Sensoren - untereinander und mit dem Internet. Dieses Wachstum wird begleitet von einem Wachstum in einem anderen Bereich: der zunehmenden Nutzung von Web-APIs für die Integration. Web-APIs sind die Grundlagentechnologie, die das Internet der Dinge ermöglicht. So kann sich zum Beispiel der Kunde eines Energieversorgers mit einer mobilen App Informationen zu seinem Stromverbrauch und seinem Tarif anzeigen lassen oder die Temperatur in seiner Wohnung abfragen, die vom Thermostat an eine Web API in der Cloud übertragen wird.

Die Herausforderungen der Industrie 4.0

Die Gefahr, dass APIs sabotiert oder kompromittiert werden, ist erheblich. Ein Beispiel: Wenn ein böswilliger Nutzer ohne Berechtigung auf die API eines Automobilherstellers zugreift, könnte er in der Lage sein, ein Fahrzeug ohne Wissen und Erlaubnis des Besitzers aus der Ferne zu öffnen oder schließen. Um dies zu unterbinden, müsste das Unternehmen in klaren Richtlinien anhand von Identitätsstandards wie OAuth festlegen, wer auf die API zugreifen kann und die Berechtigung erhält, das Fahrzeug ferngesteuert zu öffnen oder zu schließen.

Eine API-Management-Strategie einführen

Kurz gesagt: APIs haben sich eindeutig als fester Bestandteil des heutigen Business etabliert. Unternehmen, die APIs nutzen, sei deshalb dazu geraten, eine individuelle API-Management-Strategie einzuführen. Ohne effektive API-Management-Strategie kann ein Unternehmen die Nutzung ihrer APIs nicht überwachen und setzt ihr Geschäft und ihre Nutzer der Gefahr von Datensicherheitsverstößen, Datenschutzverletzungen und daraus resultierenden Verlusten aus. (rw)