API-Management als zentraler Erfolgsfaktor

Programmierschnittstellen, sogenannte Application Programming Interfaces (APIs), werden mit der zunehmenden Digitalisierung unserer Welt immer wichtiger. „Wir entwickeln uns zu einer digitalen Gesellschaft, in der die virtuelle und die physische Welt verschmelzen und in der jeder und alles miteinander verbunden ist“, erklärt Paolo Malinverno, Research Vice President beim Marktforschungsunternehmen Gartner. Und in dieser Gesellschaft entwickeln Unternehmen laut Malinverno Geschäftsmodelle, Digitalstrategien und Ökosysteme, in denen Schnittstellen eine zentrale Rolle spielen - eine „API-Ökonomie“ entsteht.

„APIs sind der Klebstoff für digitale Projekte“, bestätigt Markus F. Hieronimus, Integration Business Development Executive bei IBM Cloud DACH, diesen Trend. „Sie ermöglichen erst, dass mobile Apps auf Bestandssysteme zugreifen, IoT-Geräte Daten austauschen und zusammen mit neuen Geschäftspartnern durch digitale Verknüpfung neue Geschäftsmodelle und Produktangebote entstehen können.“

Gartner schätzt, dass jeden Monat mehrere Hundert neue APIs publiziert werden. Diese rasant wachsende Vielfalt und die steigende Bedeutung von APIs für die interne und externe Zusammenarbeit stellt Unternehmen vor Herausforderungen. „Die neu und zusätzlich generierten APIs bedürfen unbedingt einer zentralen Steuerung hinsichtlich Sicherheit, Analyse und Veröffentlichung, um auf die wachsende Zahl von Entwicklern und Nutzern reagieren zu können“, betont Marc Bartel, Enterprise Account Executive beim API-Management-Spezialisten Apigee, der 2016 von Google übernommen wurde. „Unternehmen müssen einen Weg finden, die Sicherheit von APIs zu gewährleisten, Entwicklern ihre Nutzung möglichst einfach und attraktiv zu machen und die gesamte Verwaltung möglichst effizient zu organisieren“, bestätigt IBM-Manager Hieronimus. „Dazu kommt, dass man APIs überwachen, ihren Lebenszyklus administrieren und Daten für die Abrechnung von APIs erheben muss.“

Die für diese Aufgaben notwendigen Tools sollte man nicht selbst entwickeln, rät Gartner-Vice-President Malinverno: „Unternehmen unterscheiden sich nicht durch den Aufbau einer eigenen API-Management-Plattform vom Wettbewerb, sondern durch die publizierten APIs.“ Das sehen offensichtlich die Anwender auch so, denn die Nachfrage nach professionellen API-Management-Lösungen nimmt zu. Gartner schätzt das weltweite Marktvolumen für 2018 auf mehr als eine Milliarde Dollar und geht für die Jahre bis 2021 von zweistelligen Wachstumsraten aus, während MarketsandMarkets Steigerungsraten von fast 33 Prozent prognostiziert und eine Zunahme des Umsatzes mit API-Management-Produkten bis 2023 auf über 5 Milliarden Dollar.

Prinzipiell sollte eine API-Management-Lösung die folgenden sieben Funktionen bieten:

Bereitstellung: Die Lösung sollte eine Plattform enthalten, auf der API-Anbieter ihre Schnittstellen publizieren und auf die Entwickler zugreifen können. Häufig wird das über ein Selfservice-Portal realisiert. Die Bereitstellung umfasst außerdem die Dokumentation der Schnittstellen und deren Versionen. Auch Informationen über APIs, die nicht mehr verwendet werden sollen, gehören in diesen Bereich.

Kontrolle: Für die Weiterentwicklung des API-Programms, die Einhaltung von Compliance-Richtlinien und gegebenenfalls die Vermarktung ist es wichtig zu wissen, wer welche Schnittstellen einsetzt und wie er diese verwendet. Die Registrierung erfolgt dabei meist über API-Keys, die in der Managementumgebung erzeugt und verwaltet werden.

Kommunikation: API-Management-Lösungen dienen auch als Kommunikationsplattform, über die Entwickler sich austauschen können und sich gegenseitig bei der Lösung von Problemen unterstützen. Eine leistungsfähige Kommunika­tionsplattform ist besonders dann wichtig, wenn APIs nach außen publiziert und von einer großen Anzahl unabhängiger Entwickler genutzt werden.

Support: Bei Fragen und Problemen sollten die API-Nutzer über die Plattform Zugriff auf FAQs und andere Dokumente haben, in schwerwiegenden Fällen aber auch direkt die API-Anbieter kontaktieren können. Vor allem bei kostenpflichtigen APIs oder wenn geschäftskritische Applikationen intern oder über strategische Partner angebunden werden, ist eine reibungslose Unterstützung besonders wichtig.

Vermarktung: Sind kostenpflichtige API-Angebote geplant, sollte die Management-Lösung Funktionen für Nutzungskontrolle und -analyse, Preiskonfiguration und Abrechnungs­modelle bieten. Auch Schnittstellen zu Bezahlsystemen sind in diesem Fall vonnöten.

Sicherheit: Management-Plattformen stellen in der Regel ein API-Gateway zur Verfügung, das die sichere Verwendung der APIs ermöglicht und überwacht. Die Kommunika­tion sollte über verschlüsselte Netzwerkverbindungen per SSL oder TLS erfolgen, digitale Signaturen und Authenti­fizierungsverfahren wie OAuth2 helfen, Missbrauch zu verhindern.

Skalierung: Schließlich sollte ein gutes API-Management die Hauptlast des API-Verkehrs tragen können und Backend-Systeme vor Überlastung durch zu viele Anfragen schützen. Ein modularer Aufbau sowie Caching-Systeme können helfen, Lastspitzen abzufangen.

Zentrale Komponente der meisten Management-Lösungen ist ein API-Gateway. Es vermittelt zwischen den per API aufgerufenen Funktionen und internen Services oder Daten, dient als Proxy, um interne Adressen auf externe zu mappen, und übersetzt Protokolle aus der internen Unternehmens­­infrastruktur, etwa einem Enterprise Service Bus (ESB), für die HTTP-basierte Außenwelt. Meist übernehmen Gateways auch die Authentifizierung der Anwender, die Durchsetzung von Nutzungsrichtlinien sowie die Abrechnung.

In Serverless-Computing-Umgebungen wie AWS Lambda fungiert das API-Gateway als Übersetzer zwischen den HTTP-Requests und den rein Event-basierten Lambda-Funktionen. In Microservice-Architekturen kommen außerdem immer häufiger Microgateways zum Einsatz, um die Lastenverteilung zu optimieren und Latenzen zu verringern. „In einer massiv verteilten Umgebung können zentrale API-Management-Lösungen zu einem Engpass werden“, warnt Rob Zazueta, Director of Digital Platform Strategy bei Tibco Software.

Microgateways übernehmen vom zentralen Management einen Großteil der Verwaltungsaufgaben, steuern für jeden Microservice die Kommunikation zwischen dem Dienst und der Außenwelt, sorgen für ein Load Balancing und stellen die Einhaltung von Nutzungsrichtlinien sicher.

Die meisten API-Management-Lösungen bieten außerdem eine Caching-Funktion. „Ein gutes API-Management sollte die Hauptlast der Anfragen tragen und in der Lage sein, leicht zu skalieren und zu cachen, um so zu verhindern, dass das Backend durch Anfragen überlastet wird“, erklärt Rob Zazueta. Der Cache speichert Antworten auf Anfragen zwischen und kann so Latenz und Bandbreitenauslastung senken. Vor allem bei Daten, die sich selten ändern, lassen sich Antwortzeiten durch Caching-Funktionen drastisch verringern.

Eine weitere wichtige Komponente ist das Developer-Portal. Es dient als zentraler Marktplatz für die APIs. Hier können sich Entwickler über den Leistungsumfang der APIs sowie die Voraussetzungen für deren Nutzung informieren und sich registrieren. Auf dem Portal verfügbare Funktionsbeschreibungen und FAQs erleichtern ihnen dabei den Einstieg. Forenfunktionen erlauben den Austausch von Informationen und dienen als Plattform für die gegenseitige Unterstützung. Bei kostenpflichtigen Angeboten kann außerdem die Abrechnung über das Entwicklerportal erfolgen.

Für die Anbieter von APIs stellen API-Management-Lösungen außerdem eine Administrationsoberfläche zur Verfügung. Sie erlaubt es unter anderem, Richtlinien zu definieren, Gateways einzurichten und Nutzer zu verwalten.

Je nach Leistungsumfang sind weitere Module in der Lösung enthalten. Grafikbasierte Entwicklungsumgebungen erlauben ein schnelles und einfaches API-Design, über Analyse-Tools lässt sich die Nutzung der APIs verfolgen, Abrechnungsmodule ermöglichen die Monetarisierung des API-Angebots.

API-Management-Lösungen lassen sich laut Rob Zazueta von Tibco Software prinzipiell in drei Bereitstellungsmodelle einteilen: Software zur Selbstinstallation (On-Premise), Software-as-a-Service-Lösungen (SaaS) oder cloudnative Angebote, die auf Container-Technologie basieren. On-Premise-Lösungen bieten dabei den höchsten Grad an Individualisierung und sind vor allem dann zu empfehlen, wenn APIs ausschließlich intern oder Partnern zur Verfügung gestellt werden sollen.

Der Betreuungsaufwand einer solche Lösung sollte allerdings nicht unterschätzt werden, gibt Zazueta zu bedenken: „Das IT-Betriebs­team muss die Skalierung im Blick behalten, bei Verkehrsspitzen so schnell wie möglich zusätzliche Instanzen hinzufügen und im Fehlerfall einen reibungslosen Fail­over garantieren. Das ist zwar für die meisten IT-Teams selbstverständlich, kann aber zu höheren Gesamtbetriebskosten führen."

Reine SaaS-Lösungen werden dagegen vollständig verwaltet, bieten jedoch meist auch nur eingeschränkte Anpassungsmöglichkeiten. Sie eignen sich am besten für Umgebungen, in denen APIs ohnehin nach außen exponiert werden sollen, sowie für rein cloudbasierte Infrastrukturen.

Einen guten Kompromiss stellen laut Zazueta cloudnative Container-Lösungen dar, die sowohl in Public- oder Private-Cloud-Umgebungen eingesetzt als auch lokal installiert werden können. „Sie haben alle Vorteile der Cloud, bieten dem Kunden aber bei Bedarf mehr Kontrollmöglichkeiten als SaaS-Lösungen.“ Nicht zuletzt seien Hybridlösungen sehr beliebt, bei denen der Datenverkehr lokal erfolge, die Ad­ministration aber über die Cloud durchgeführt werde, so Zazueta weiter.

Welche API-Management-Lösung die richtige ist, hängt wesentlich davon ab, wie APIs eingesetzt werden sollen. Prinzipiell lassen sich vier Einsatzszenarien unterscheiden, die jeweils unterschiedliche Schwerpunkte im API-Management mit sich bringen.

Offene Ökosysteme mit einfachen, frei verfügbaren REST APIs: Der Erfolg von Google, Facebook oder Twitter ist zu einem guten Teil ihrer API-Strategie zu verdanken. Entwickler und Webseiten-Betreiber können sehr einfach Dienste wie Goo­gle Maps, den „Gefällt mir“-Button oder einen Twitter-Feed in Webseiten oder Anwendungen einbinden. Unternehmen die diese Strategie verfolgen, versuchen durch einfache APIs und attraktive Portale Entwickler auf ihr Ökosystem zu bringen, so die Nutzerzahl zu steigern und bestehende Umsatzströme zu vergrößern.

Eine solche Strategie hat allerdings auch ihre Tücken, vor allem wenn sie erfolgreich ist und sehr viele Entwickler anlockt, wie Rob Zazueta von Tibco Software warnt: „Eine
gute Unterstützung für diese Zielgruppe kann äußerst kostspielig werden.“

Unternehmensinterne Entwicklung: Bei der internen Bereitstellung von APIs spielen Community-Funktionen wie Foren oder FAQs eine geringere Rolle. Werden die Schnittstellen nicht nach außen exponiert, sind außerdem die Anforderungen an Sicherheit, Authentifizierung und Skalierung geringer. Dafür werden Funktionen zur Versionierung und Dokumentation wichtiger. Ein Selfservice-Portal ist auch für interne Entwickler wünschenswert.

Zur Unterstützung der Management-Lösung werden neben REST und SOAP in vielen Unternehmen meist noch eine ganze Reihe anderer Protokolle und Messaging-Verfahren eingesetzt wie GraphQL, Kafka, MQTT oder WebSockets (siehe dazu auch das Glossar auf Seite 50).

Aufbau strategischer Partnerschaften: Fast 70 Prozent der vom Analystenhaus Forrester für die Studie „The Forrester Wave: API Management Solutions, Q4 2018“ befragten Unternehmen bevorzugen B2B-APIs vor offenen Web-APIs. Das hat nach Ansicht von Zazueta gute Gründe: „Unternehmen stellen fest, dass der RoI eines Programms, das auf strategische Partner und interne Entwicklung ausgerichtet ist, viel höher ist als der eines offenen Ökosystems.“

B2B-APIs ergänzen bereits vorhandene Integrations-Initiativen wie EDI (Electronic Data Interchange) oder Managed File-Transfer, indem sie spezifische Schnittstellen für Unternehmensanwendungen bereitstellen oder typische B2B-Transaktionen wie die Übermittlung von Logistikdaten in der Supply Chain ermöglichen.

Angebot kostenpflichtiger APIs: Wer mit Programmierschnittstellen Geld verdienen möchte, benötigt API-Management-Lösungen, die eine Nutzungserfassung, die Hinterlegung von Preisen, die Rechnungsstellung sowie Schnittstellen zu Abrechnungssystemen enthalten. „Für den geschäftlichen Erfolg eines Unternehmens ist es unabdingbar, dass eine API-Management-Plattform die Entwicklung und Vermarktung von APIs als Produkte unterstützt“, betont Marc Bartel von Apigee.

Vor Marktanalyse und Kriterienvergleich steht auch bei der Wahl einer API-Managment-Lösung die Bedarfsanalyse. „Allzu oft sehe ich, dass Unternehmen beim Vergleich von Tools sich in Feature-Matrizen verstricken, ohne zu hinterfragen, welche Features sie tatsächlich benötigen“, beobachtet Rob Zazueta. Der Tibco-Manager empfiehlt, sich vor allem über die Zielgruppe der API klar zu werden. „Wie das Onboarding funktioniert, die Art der verfügbaren Daten und sogar die erforderliche Unterstützung sind von Zielgruppe zu Zielgruppe etwas unterschiedlich.“ Markus F. Hieronimus von IBM empfiehlt, nicht nur den aktuellen Bedarf, sondern die Zukunft zu bedenken: „API-Management ist ein sehr dynamischer Bereich und die Anforderungen steigen extrem schnell.“ Vor der Umsetzung eines API-Programms sollten sich die Verantwortlichen zudem Gedanken machen, wie die APIs von möglichst vielen Clients genutzt werden können, rät Apigee-Executive Bartel. „Besonders wichtig bei der Implementierung von APIs ist zudem die einheitliche Umsetzung von Sicherheitsrichtlinien und die Integration in vorhandene IT-Systeme.“

Die meisten API-Management-Lösungen sind relativ einfach zu implementieren und zu konfigurieren.„Die größten Fehler liegen typischerweise nicht in der technischen Umsetzung, sondern im Design des API-Programms insgesamt“, so Zazueta.

IBM-Manager Hieronimus beobachtet, dass Selfservice-Portale häufig nicht zielgruppengerecht eingerichtet und vermarktet werden: „Dadurch leidet die Akzeptanz und damit der Erfolg.“ Oft würden die Gateways nicht vor den Backend-Systemen installiert, was zu unnötigen Latenzzeiten oder Sicherheitslücken führe. Hieronimus empfiehlt, klein anzufangen und den internen Entwicklern eine Umgebung für die tägliche Arbeit zu geben, statt gleich eine Vermarktung der APIs anzupeilen.

Entwicklung und Publikation von APIs sind wesentliche Bestandteile jeder Digitalstrategie. Dabei sollten Unternehmen immer auch das Management der APIs im Blick haben. Egal ob sie fünf, hundert oder tausend APIs einsetzen wollen - Dokumentation, Bereitstellung, Absicherung und Nutzungsüberwachung sind in jedem Fall erforderlich, um den Einsatz zu fördern, den Verwaltungsaufwand gering zu halten und Sicherheitsrisiken zu vermeiden.

„Im Prinzip benötigt jedes Unternehmen, das digitale Produkte für seine Kunden anbietet, eine API-Management-Lösung“, resümiert Marc Bartel von Apigee. Welche Plattform dafür die richtige ist, hängt vor allem von der Zielgruppe ab, die vornehmlich bedient werden soll, aber auch von der aktuellen und für die Zukunft geplanten Infrastruktur.

Zentrale Lösungen sind übersichtlicher und leichter zu handhaben, stoßen allerdings an Grenzen, wenn es um die Verwaltung verteilter Systeme geht. Hier spielen cloudbasierte Lösungen ihre Vorteile aus, die beispielsweise über Microgateways die verschiedensten Quellen anbinden können.

Warum sollten Unternehmen überhaupt APIs einsetzen? Wie sieht eine gute API-Strategie aus? Matthias Biehl, Advisor bei API-University.com, kennt die Antworten auf diese Fragen.

Matthias Biehl: Ich arbeite oft mit Firmen zusammen, die APIs nutzen wollen, um in ihrer Digitalisierungsstrategie den nächsten Schritt zu machen. Dabei hat sich herausgestellt, dass viele vor denselben Fragen stehen: Wofür brauche ich überhaupt APIs? Wie designe ich APIs? Solche Themen behandele ich in meinen Büchern und Kursen an der API-University.

Biehl: Sie sind ein essenzieller Teil der Erfolgsstrategie großer Digitalunternehmen wie Amazon, Google oder Facebook. Damit lassen sich nicht nur intern Ressourcen effizienter vernetzen und schneller neue Produkte generieren, man kann auch Services externen Partnern zur Verfügung stellen und so zusätzlichen Traffic auf die eigenen Angebote bringen. Amazon hätte sich ohne APIs nie vom Online-Buchhändler zum weltweit führenden Anbieter von Public-Cloud-Diensten entwickelt.

Biehl: Man kann ohne APIs viele Möglichkeiten der Integration und Vernetzung nicht effizient nutzen und gerät dann ins Hintertreffen. Erfolgreiche APIs haben nämlich einen Multiplikatoreffekt: Wenn ich mit einer API hundert Apps von Dritten anschließen kann, von denen jede nur hundert neue Kunden bringt, hat mir die Investition in eine einzige API effektiv 10.000 neue Kunden eingebracht. Ohne APIs wird es schwierig, mit den Digitalunternehmen mitzuhalten, die auf ihren Plattformen diesen Multiplikatoreffekt der APIs ausspielen. Immer mehr Unternehmen lassen sich deshalb vom Vorbild der Digitalunternehmen inspirieren und starten ein API-Programm.

com! professional: Viele Firmen nutzen noch traditionelle monolithische Software. Wie können sie eine API-Strategie verfolgen?

Biehl: Zum einen geht es um den technischen Umbau und die Weiterentwicklung der bestehenden Infrastruktur. Das ist die IT-Perspektive. Zum anderen sollten Unternehmen aber auch überlegen, welche neuen Geschäftsmodelle sich aus einer API-basierten Architektur ergeben und wie sich vorhandene Daten besser nutzen und vernetzen lassen.

Biehl: Das ist eine Art Governance, um Schnittstellen kontrolliert zu entwickeln und ein zukunftsfähiges Portfolio aufzubauen. Bei ein paar wenigen APIs mag die Verwaltung noch einfach sein, bei Hunderten oder gar Tausenden ist ein Management aber zwingend notwendig, um die Sicherheit der Schnittstellen garantieren und eine konsistente Weiterentwicklung sicherstellen zu können. Wenn APIs auch Dritten zur Verfügung stehen, benötige ich außerdem eine einheitliche Gestaltung, eine vernünftige Dokumentation und eine nachvollziehbare Versionierung.

Biehl: Zunächst einmal muss sich ein Unternehmen klar darüber sein, was es mit seinem API-Programm überhaupt erreichen möchte. Geht es nur um eine interne Restrukturierung der Anwendungen? Sollen APIs von außen erreichbar sein, etwa für eigene mobile Applikationen, oder sollen sie auch Dritten zur Verfügung gestellt werden? Das hat zum Beispiel erhebliche Auswirkungen auf die Sicherheitsanforderungen, die ein API-Management erfüllen muss. Es gibt Lösungen, die sich auf API-Security spezialisiert haben. Andere bieten besonders viel Komfort zur Publikation von APIs auf einem Portal. Wieder andere sind darauf fokussiert, Legacy-Systeme anzuschließen, und bieten vorgefertigte Konnektoren für Message Queue oder SOAP. Es gibt teure und schwergewichtige Lösungen, die viele Funktionen bieten, aber auch schwer zu bedienen sind, und Open-Source-Angebote mit geringerem Leistungsumfang, die sich vor allem für Start-ups und Greenfield-Ansätze eignen.

Biehl: Es ist sehr sinnvoll, das API-Management von Anfang an richtig und strukturiert aufzusetzen, insbesondere wenn die APIs nach außen publiziert werden sollen. Häufig gehen Unternehmen recht hemdsärmelig mit dem Thema um, es wird ein bisschen getestet und herumexperimentiert. Sobald aber externe Anwender die APIs nutzen, ist man nicht mehr so flexibel und das Management läuft schnell aus dem Ruder. Auch Anforderungen an den Leistungsumfang müssen klar sein. Soll das API-Gateway als Integrationslösung dienen, auf der mehrere Ser­vices orchestriert werden? Soll es den Enterprise Service Bus ersetzen oder ergänzen? Die Antworten auf diese Fragen müssen von Anfang an klar sein, denn solche Grundsatzentscheidungen lassen sich später nur sehr schwer revidieren.