BLOG | BÜRO DES CTO

Die Umkehrung der API ist die digitale Transformation, die Unternehmen benötigen, um an einer API-Ökonomie teilzunehmen und darin wettbewerbsfähig zu sein

Rajesh Narayanan Miniaturbild
Rajesh Narayanan
Veröffentlicht am 18. Oktober 2022


Motivation, Herausforderungen und Chancen

Anwendungsprogrammierschnittstellen (APIs) und in der Folge die API-Ökonomie entwickeln sich schnell zu Wegbereitern der digitalen Transformation. Die meisten Unternehmen verstehen zwar die Funktionsweise einer API, doch nur wenige nutzen sie als Mittel zur Steigerung ihres eigenen Geschäftswerts. Die API-Wirtschaft umfasst alle Geschäftsmodelle, Praktiken und Vermögenswerte, die die digitale Wirtschaft vorantreiben werden, da immer mehr Unternehmen ihre Dienste über APIs auslagern. Im Wesentlichen ermöglicht die API-Ökonomie einem Unternehmen, seine Dienste und Daten sicher zugänglich zu machen und so einen Mehrwert für das Unternehmen zu schaffen.

Alle Unternehmen verfügen über Daten und bieten zugehörige Dienste an, die zwar einen gewissen Wert haben, aber normalerweise nur intern innerhalb der Organisation verfügbar sind. Doch um an dieser API-Ökonomie teilzunehmen und darin wirksam zu konkurrieren, muss ein Unternehmen auch darüber nachdenken, sich selbst umzukrempeln und einige dieser APIs umzukehren . Im Bericht „How APIs Create Growth by Inverting the Firm“ beschreiben Benzell et al., wie die Bereitstellung privater APIs den Wert eines Unternehmens steigert. Wir haben den Ausdruck zu „ Invertieren der API“ erweitert, einem Prozess, bei dem ein Unternehmen eine private API externalisiert, indem es sie als Partner- oder öffentliche API verfügbar macht.

Kurzer Rückblick auf APIs

APIs ermöglichen Entwicklern die einfache und flexible Erstellung von Anwendungen und Produkten. Sie ermöglichen die schnelle Integration von Software aus verschiedenen Unternehmensteilen und interagieren mit Diensten, die über Partner-APIs oder öffentliche APIs bereitgestellt werden.

APIs können auch die Integration neuer Dienste zwischen Unternehmen ermöglichen, indem sie den Datenzugriff und den Austausch gemeinsamer Funktionen gestatten. Genau dieser Datenzugriff bietet die größten Chancen und birgt zugleich die größten Herausforderungen und Risiken von APIs. APIs ermöglichen Benutzern den sicheren Zugriff auf Daten verschiedener Dienste, ohne die Sicherheitsmaßnahmen jedes einzelnen Dienstanbieters durchlaufen zu müssen. Eine unsachgemäße Gestaltung der APIs kann jedoch dazu führen, dass das Unternehmen unbeabsichtigt Daten preisgibt, was wiederum zu den vielen Herausforderungen führt, mit denen wir in der Branche heute konfrontiert sind.

Laut dem „State of the API 2022 “-Bericht von Postman war die „Integration mit internen Systemen“ der Hauptgrund, warum sich Unternehmen für die Nutzung von APIs entschieden, da dies für Unternehmen die einfachste Möglichkeit darstellt, an der digitalen Wirtschaft teilzunehmen. Dies ist wichtig, da Integrationstools dann zu einem entscheidenden Punkt werden, wenn Unternehmen ihre bevorzugte Technologie für eine API-First-Strategie auswählen.

Geschäftsmotivation

Das klassischste Beispiel für die Bereitstellung privater APIs für das größere Ökosystem sind Amazon Web Services (AWS). Amazon sah darin eine Möglichkeit, Kunden die Nutzung der eigenen Computerinfrastruktur von Amazon im Selbstbedienungsverfahren und auf Abruf zu ermöglichen. Dies war für sie nichts Neues, da sie bereits über alle Self-Service- und Automatisierungstools für interne Entwickler verfügten. Dies war für Amazon eine Chance, das Unternehmenswachstum voranzutreiben und führte zur Geburt des Cloud Computing , wie wir es heute kennen. Während Skeptiker der Meinung waren, dass Unternehmen die Cloud niemals einführen würden, ist Cloud Computing in den 15 Jahren seit seiner Einführung zu einer Branche mit einem Wert von rund einer Billion US-Dollar geworden und der Wert von Amazon hat sich innerhalb eines Jahrzehnts mehr als verzehnfacht, was größtenteils auf den Erfolg von AWS zurückzuführen ist. Dies führte zur Entstehung einer neuen Vertikale.

Allerdings haben die Unternehmen das volle Potenzial von APIs zur Steigerung ihres Geschäftswerts noch nicht erkannt. Zwar mag es mehrere Gründe geben, die Aussicht auf eine höhere Rendite nicht zu berücksichtigen, der überzeugendste Grund ist jedoch die Cybersicherheit. Da der Schutz der Vermögenswerte eines Unternehmens für die IT höchste Priorität hat, führen die meisten Unternehmen belastende Best Practices und Workflows ein, die die Geschäftsflexibilität einschränken und letztlich den Gewinn begrenzen. Das Ziel der Sicherheit sollte jedoch darin bestehen, den latenten Wert eines Unternehmens freizusetzen und nicht einzuschränken.

Qualifizierende APIs für die Inversion

Bei der „Invertierung der API“ geht es nicht nur um die technische Frage, sie für andere außerhalb der Organisation verfügbar zu machen. Aufgrund der Granularität der Offenlegung von APIs (GRAPE) wird im Unternehmen darüber diskutiert, ob eine API sicher invertiert werden kann. In einem „Traubentest“ muss ein Unternehmen feststellen, ob es versehentlich Daten preisgibt, die als wettbewerbsrelevant eingestuft werden könnten, oder Daten, die möglicherweise gegen Governance, Risikomanagement und Compliance (GRC) verstoßen, und wie gut die API aus Sicherheitsperspektive aufgebaut ist. Im Grunde wollen die Unternehmen nichts ungenutzt lassen.

Wenn eine API diese Prüfung überstanden hat, ist es immer noch eine geschäftliche Entscheidung, ob die Daten über eine Partner- oder öffentliche API verfügbar gemacht werden. Das Ziel der IT-Organisation sollte darin bestehen, dem Unternehmen die nötigen Tools dafür auf sichere Weise bereitzustellen. Wir müssen es Entwicklern ermöglichen, mehr Wert zu schaffen, indem sie so granular wie möglich vorgehen, um verschiedene Dienste verfügbar zu machen, die normalerweise auf das Unternehmen konzentriert sind. Diese APIs könnten mit „freundlichen“ externen Kunden und Partnern getestet werden, doch dieser Prozess ist heutzutage so aufwändig, dass die meisten Unternehmen sich weigern, diesen Weg zu gehen. Die Lösung für GRC- und Sicherheitsteams besteht darin, Leitplanken bereitzustellen, die Unerwünschtes verhindern und gleichzeitig die Autonomie fördern.

Herausforderungen – vor allem technischer Natur

Wie geht es also weiter? Vorausgesetzt, der geschäftliche Nutzen der API-Invertierung ist verstanden und der Grape-Test ist bestanden, stehen uns dennoch technische Herausforderungen bevor.

  • Sicherheit beeinflusst alles – GRC und Sicherheit sind von Vorteil, da APIs auch eine dunkle Seite haben. Hacker suchen nach APIs, die sie für ihre Angriffe verwenden können. Böswillige Akteure sind motiviert und hartnäckig, wenden viele Techniken an und improvisieren ständig, um die Sicherheit von APIs zu umgehen. Unternehmen, denen die entsprechenden Best Practices in Sachen Sicherheit fehlen, wird es schwerfallen, ihre privaten APIs öffentlich zu machen.

  • Entdecken und Prüfen von APIs – Die Bereinigung eines Unternehmens von verlorenen, verwaisten oder unsicheren APIs ist ein schwieriges Problem. Entwickler verlassen ihre Gruppen oder Organisationen, ohne die Dienste zu bereinigen, die sie entwickeln und testen. Selbst disziplinierten Softwareteams passiert es, dass sie Dienste weit über die Entwicklungs-, Test- und End-of-Life-Phasen hinaus laufen lassen. Ein weiteres Problem mit APIs ist die Dokumentation, wenn neue Entwickler das volle Potenzial der zurückgegebenen Daten nicht kennen. Dies weist erneut auf die Sicherheit hin.

  • Konnektivität – Selbst wenn ein Unternehmen überzeugende Gründe hat, seine privaten APIs für externe Kunden oder Partner zu nutzen, ist die Verbindung einer API hinter drei Firewall-Ebenen in einem Unternehmen eine gewaltige Aufgabe. Während Geschäftseinheiten möglicherweise viele Monate brauchen, um den ROI zu validieren und zu rechtfertigen, um dies praktisch umzusetzen, kann man nicht einfach eine interne API nehmen und sie öffentlich machen; auch die Konnektivität ist ein Prozess. Die Agilität leidet darunter und Entwickler können nicht im erforderlichen Tempo Innovationen hervorbringen.

Letztendlich müssen wir uns darüber im Klaren sein, dass geschäftliche Agilität in einer nicht vertrauenswürdigen Umgebung äußerst schwierig ist. IT-Prozesse werden durch unterschiedliche Sicherheitsbedenken beeinflusst, definiert und diktiert. Sie dienen einem Zweck und können nicht umgangen werden.

Chance – Das Unternehmen IST die Plattform

Wenn ein Unternehmen darüber nachdenkt, wie es in der API-Wirtschaft wettbewerbsfähig bleiben kann, ist die Notwendigkeit einer Umkehrung seiner APIs eine natürliche Entscheidung. Der nächste logische Schritt besteht darin, sich das gesamte Unternehmen als Plattform vorzustellen und sich Möglichkeiten auszudenken, auf dieses Ziel hinzuarbeiten.

Kristin R. Moyer, Vizepräsidentin und angesehene Analystin bei Gartner, sagte: „Die API-Wirtschaft ermöglicht die Umwandlung eines Unternehmens oder einer Organisation in eine Plattform. „Plattformen vervielfachen die Wertschöpfung, weil sie es Geschäftsökosystemen innerhalb und außerhalb des Unternehmens ermöglichen, Kontakte zwischen Benutzern zu knüpfen und die Schaffung und/oder den Austausch von Waren, Dienstleistungen und sozialer Währung zu erleichtern, sodass alle Teilnehmer einen Mehrwert erzielen können.“ ( Mulesoft )

Ein Unternehmen auf diesem Weg zu begleiten, birgt einige Herausforderungen, und hier teilen sich die Anbieter die Verantwortung mit den IT-Organisationen. Das Unternehmen muss verstehen, welche Aspekte seiner internen Vermögenswerte der größeren Gemeinschaft zugute kommen und ihren Wert steigern können oder werden. Das Anbieter-Ökosystem muss Tools und Technologien bereitstellen, die Unternehmen dabei helfen, APIs sicher umzukehren und den Wert des Unternehmens als Plattform freizusetzen.