API-Management: Die Kernaufgabe jederzeit im Blick
Two Speed IT – eine IT der zwei Geschwindigkeiten – ist ein weitverbreitetes Problem. Einen Dienstleister mit der Entwicklung und Integration neuer digitaler Lösungen zu beauftragen, ist immer dann eine gute Idee, wenn die IT-Abteilung auf ihre eigenen Geschäftsprozesse fokussiert und mit ihren Kernaufgaben bereits voll ausgelastet ist. In der Mehrzahl der Unternehmen ist dies der Fall. Doch wenn dynamisch agierende Abteilungen wie das Marketing innovative Applikationen extern entwickeln lassen – was üblicherweise nur wenige Monate dauert –, sind Konflikte vorprogrammiert. Denn bis die erforderlichen Daten in den neuen Applikationen sicher und datenschutzkonform bereitstehen, kann sehr viel Zeit vergehen. Eine API-Management-Plattform beugt Unstimmigkeiten wirksam vor.
Ohne Daten geht es nicht. Abteilungen wie das Marketing benötigen Daten, die in verschiedensten Systemen gespeichert sind: von Enterprise-Resource-Planning-Lösungen (ERP) und Sharepoint über Customer-Relationship-Management- (CRM) und Content-Management-Systeme (CMS) bis hin zu Tools für Product-Information-Management (PIM), Media-Asset-Management (MAM), Digital-Asset-Management (DAM) und Video-Management. Um die Bedürfnisse der digital-affinen Konsumenten zu erfüllen, müssen die Daten, die in diesen Systemen vorgehalten werden, möglichst reibungslos in die jeweiligen digitalen Kanäle und Touchpoints fließen. In einer klassischen Point-to-Point-Architektur sind Quellsysteme und digitale Lösungen über dedizierte Schnittstellen (APIs) direkt verknüpft. Das heißt: Bei zehn Systemen und Lösungen sind 90 einzelne Verbindungen wechselseitig umzusetzen und zu verwalten; bei 20 Systemen und Lösungen steigt die Zahl der erforderlichen Verbindungen bereits auf 380. Der Point-to-Point-Ansatz ist aufwändig, ineffizient und fehleranfällig – zumal IT-Abteilungen für die Entwicklung und Integration der benötigten Schnittstellen üblicherweise keine Ressourcen haben.
Systeme und digitale Anwendungen effizient verknüpfen
Hinzu kommt: Viele Systeme, in denen Unternehmen marketingrelevante Daten vorhalten, ist für den internen Gebrauch konzipiert. Sobald externe Benutzer wie Kunden und Partner auf digitale Produkte und Services zugreifen, die sich aus diesen Quellsystemen speisen, wird es kritisch. Denn im Zweifel unterliegen die darin gespeicherten Informationen besonders hohen Datenschutzanforderungen, wie es zum Beispiel bei sensiblen kundenbezogenen Daten im CRM-System der Fall ist. An dieser Stelle kommt eine API-Management-Plattform ins Spiel. Als zwischengelagerte Schicht verknüpft sie die Bestandssysteme mit den relevanten Zielsystemen. Der Vorteil: Anders als in einer Point-to-Point-Architektur muss die IT pro System nur eine Programmierschnittstelle entwickeln und mit der zentralen Plattform integrieren. Nachdem die API einmal definiert und konfiguriert ist – und damit auch die angebundenen Systeme –, findet ein wechselseitiger Austausch zwischen den Systemen und den verknüpften Endgeräten statt. Übrigens bleibt eine API auch dann stabil und gültig, wenn sich die IT-Systemlandschaft ändert. Alle übrigen Prozesse im Hinblick auf Aspekte wie Systemintegration, Datenkonsolidierung, System- und Datenzugriff lassen sich über die Plattform abbilden.
Datennutzung über Systemgrenzen hinweg analysieren
Da eine API-Management-Plattform jegliche Zugriffe auf Daten, Systeme, Services und Funktionen vollständig protokolliert, haben IT-Abteilungen jederzeit einen transparenten Überblick über nutzungs- und sicherheitsrelevante Kennzahlen: Sie wissen zum Beispiel, welche API wie häufig genutzt wird, wie viele Aufrufe die einzelnen Quellsysteme verzeichnen, wann die meisten Nutzer auf ein bestimmtes System zugreifen und welche Daten sie am häufigsten abrufen. Dabei geben die aufgezeichneten Monitoring-Daten wertvolle Hinweise auf etwaige Cyber-Angriffe. Da ungewöhnlich hoher Traffic auf ein System als Warnsignal zu deuten ist, können unternehmenseigene IT-Security-Experten entsprechende Schwellenwerte definieren: Überschreiten die Zugriffe oder Datenabfragen in einem definierten Zeitraum eine bestimmte Zahl, schlägt das System Alarm. Daraufhin leitet das üblicherweise externe Security Operations Center (SOC) vorab definierte Response-Maßnahmen ein, um die Bedrohung abzuwehren.
Daten und Systeme vor unerlaubten Zugriffen schützen
Überhaupt ist eine API-Management-Plattform im Hinblick auf Datenschutz und Datensicherheit ein wertvolles Instrument, denn sie funktioniert ähnlich wie eine Firewall. Als zwischengeschaltetes Gateway schirmt sie die dahinterliegenden Daten und Systeme vor unerlaubten Zugriffen jederzeit zuverlässig ab. Die erforderlichen Security-Maßnahmen sind mit der API-Management-Plattform zentral implementiert und gelten einheitlich für alle angebundenen Systeme. Damit erhalten Unternehmen ein Höchstmaß an Sicherheit, ohne sicherheitsrelevante Anpassungen an den bestehenden Quellsystemen vornehmen zu müssen. Somit sind neue digitale Lösungen und Services, die die API-Management-Plattform über interne Legacy-Systeme bereitstellt, automatisch im selben Umfang geschützt. Datenschutz und -sicherheit über eine API-Management-Plattform zu implementieren, ist unerlässlich, weil marketingrelevante Lösungen wie ein PIM oder CRM nicht für den Online-Zugriff konzipiert sind – ihnen fehlen oft die erforderlichen Security-Features. Die Sicherheits-Funktionalitäten einer API-Management-Plattform sind ein wichtiger Baustein, um die Sicherheit der eigenen IT-Infrastruktur langfristig auf einem hohen Niveau zu halten, ohne von proprietären IT-Systemen abhängig zu sein.
Rechte und Rollen bedarfsgerecht definieren
Beim API-Management geht es allerdings nicht nur darum, Daten bereitzustellen und sie vor externen Zugriffen durch Cyber-Kriminelle zu schützen. Es ist ebenso wichtig, festzulegen, welche Nutzer oder Nutzergruppen wie mit welchen Daten umgehen dürfen. Darum ist die bedarfsgerechte Verwaltung von Rechten und Rollen für ein professionelles API-Management unabdingbar. Hier spielen Aspekte wie eine zentrale Autorisierung und Authentifizierung eine wesentliche Rolle. Zugunsten effizienter Prozesse ist es ratsam, die API-Management-Plattform mit der eigenen Nutzerverwaltung, wie etwa dem Active Directory oder dem Lightweight Directory Access (LDAP), zu verknüpfen. So können Unternehmen zentral festlegen, wer der Nutzer ist (Kunde, Partner, Mitarbeiter, Abteilung etc.), auf welche Daten und Systeme er Zugriff hat, welche Services und Funktionen er nutzen kann und wie er mit den Daten umgehen darf (Daten nur lesen, nur eigene Daten anpassen oder auch globale Daten verändern beziehungsweise exportieren). In Unternehmen mit vielen tausend Kunden, Partnern und Mitarbeitern ist es wenig zielführend, jedem einzelnen Anwender bestimmte Rechte zuzuweisen. Es ist wesentlich effizienter, Nutzergruppen zu definieren, denen mehrere Nutzer mit ähnlichen Attributen angehören. Im Active Directory können IT-Administratoren zum Beispiel festlegen, welche Gruppen welche Anwendungen wie nutzen dürfen. Diese Informationen fließen in die API-Management-Plattform ein und erlauben es, Daten und Anwendungsdienste nutzerspezifisch bereitzustellen.
Die passende API-Management-Plattform auswählen
Wie aber finden Unternehmen die richtige API-Management-Plattform? Allgemeingültige Empfehlungen gibt es nicht. Die Lösungen der führenden Anbieter sind allesamt hochperformant und erfüllen ambitionierte Ansprüche in Sachen Datenschutz und Security. Prinzipiell sollten Unternehmen darauf achten, dass die Technologie zu ihrer IT-Infrastruktur und zu ihren definierten Zielen passt. Falls Firmen ihre Systeme bereits in einer bestimmten Cloud betreiben oder die Hosting- und Cloud-Services eines spezifischen Anbieters in Anspruch nehmen, können sie dessen Plattform schnell und kostengünstig integrieren. Für Unternehmen, die ihre Daten gerade nicht in der Cloud vorhalten und dennoch verfügbar machen wollen, eignen sich hingegen hybride Plattform-Modelle. Hier erfolgt die Datenbereitstellung on Premises. Wer wiederum seine Services monetarisieren oder sie über einen Online-Marktplatz anbieten möchte, sollte eine API-Management-Plattform wählen, die mit entsprechend vorintegrierten Funktionen ausgestattet ist.
Den geeigneten Dienstleister finden
Daneben gibt es eine Reihe weiterer Faktoren, die für oder gegen den Einsatz einer spezifischen API-Management-Plattform sprechen können. Aus diesem Grund ist es ratsam, auf die Expertise und Erfahrung eines spezialisierten Dienstleisters zurückzugreifen, der nicht nur die Auswahl der Technologie begleitet, sondern die Plattform auch in die IT-Infrastruktur des jeweiligen Unternehmens integriert. Idealerweise kennt solch ein Dienstleister den Markt und die relevanten Systeme. Es ist wichtig, dass er plattformunabhängig auf verschiedenen Ebenen beraten kann und ein Experte für die Konzeption, Entwicklung und Integration digitaler Lösungen ist. Auch Erfahrung bei der Entwicklung und dem Betrieb von Legacy-Systemen ist vorteilhaft – schon deswegen, weil solch ein Dienstleister dann in der Lage ist, individuelle und bedarfsgerechte Lösungen aus einer Hand zu liefern. Denn er kennt die Herausforderungen, die mit einer Two Speed IT verbunden sind. Zusätzlich vertrauensfördernd wirkt es, wenn der Dienstleister die von ihm empfohlenen Lösungen selbst einsetzt und ein Rechenzentrum in Deutschland betreibt, das nach ISO/IEC 27001 zertifiziert ist.
Fokus auf die Kernaufgabe
Die Einführung einer API-Management-Plattform ist eine nachhaltige Investition in die digitale Zukunft. Sie geht mit einem grundsätzlichen Paradigmenwechsel einher: weg von einer Point-to-Point-Architektur hin zu einer servicebasierten Architektur beziehungsweise einer API-getriebenen Ökonomie, welche die Basis für die Umsetzung neuer Geschäftsmodelle schafft. Davon profitieren beide: Marketing und IT. Wenn die IT-Abteilung lediglich die APIs zur Verfügung stellt, kann das Marketing gleich mehrere digitale Lösungen und Services durch einen externen Dienstleister entwickeln lassen. Einmal konfiguriert und integriert, erfolgt der Zugriff auf die erforderlichen Daten und Systeme einfach über die Plattform – ganz ohne Zutun der IT-Abteilung. Sie kann sich voll und ganz auf ihre Kernaufgabe fokussieren: sichere, skalierbare und hochverfügbare IT-Lösungen bereitzustellen.