Dank API-Management-Plattform fokussieren sich IT-Abteilungen auf ihre Kernaufgaben
26. Juli 2021
„Two Speed IT“, also die IT der zwei Geschwindigkeiten, ist ein weit verbreitetes Problem. Einen Dienstleister mit der Entwicklung und Integration neuer digitaler Lösungen zu beauftragen, ist immer dann eine gute Idee, wenn die IT-Abteilung auf ihre eigenen Geschäftsprozesse fokussiert und mit ihren Kernaufgaben bereits voll ausgelastet ist – was in der Mehrzahl der Unternehmen der Fall ist. Doch wenn dynamisch agierende Abteilungen wie das Marketing innovative Applikationen extern entwickeln lassen – üblicherweise dauert das nur wenige Monate –, sind Konflikte vorprogrammiert. Denn bis die die erforderlichen Daten sicher und datenschutzkonform bereitstehen, kann sehr viel Zeit vergehen. Eine API-Management-Plattform beugt Unstimmigkeiten wirksam vor.
Ohne Daten geht es nicht. Abteilungen wie das Marketing benötigen Daten, die in verschiedensten Systemen gespeichert sind: von Enterprise-Resource-Planning-Lösungen (ERP) und Sharepoint über Customer-Relationship-Management- (CRM) und Content-Management-Systemen (CMS) bis hin zu Product-Information-Management- (PIM), Media-Asset-Management- (MAM), Digital-Asset-Management- (DAM) und Video-Management-Tools. Um die Bedürfnisse der digital-affinen Konsumenten zu erfüllen, müssen die darin vorgehaltenen Daten möglichst reibungslos in die jeweiligen digitalen Kanäle und Touchpoints fließen.
In einer klassischen Point-to-Point-Architektur sind Quellsysteme und digitale Lösungen über dedizierte Schnittstellen (APIs) direkt verknüpft. Das heißt: Bei zehn Systemen und Lösungen sind 90 einzelne Verbindungen wechselseitig umzusetzen und zu verwalten; bei 20 Systemen und Lösungen sind es bereits 380 Verbindungen. Das ist aufwendig, ineffizient und fehleranfällig – zumal IT-Abteilungen für die Entwicklung und Integration der benötigten Schnittstellen üblicherweise keine Ressourcen haben.
Systeme und digitale Anwendungen effizient verknüpfen
Hinzu kommt: Die Mehrzahl der Systeme, in denen Unternehmen marketingrelevante Daten vorhalten, ist für den internen Gebrauch konzipiert. Sobald externe Benutzer wie Kunden und Partner auf digitale Produkte und Services zugreifen, die sich aus diesen Quellsystemen speisen, wird es kritisch. Denn im Zweifel unterliegen die darin gespeicherten Informationen besonders hohen Datenschutzanforderungen, wie es zum Beispiel bei sensiblen kundenbezogenen Daten im CRM-System der Fall ist.
An dieser Stelle kommt eine API-Management-Plattform ins Spiel. Als zwischengelagerte Schicht verknüpft sie die Bestandssysteme mit den relevanten Zielsystemen. Der Vorteil: Anders als in einer Point-to-Point-Architektur muss die IT pro System nur eine Programmierschnittstelle entwickeln und mit der zentralen Plattform integrieren. Nachdem die API einmal definiert und konfiguriert ist – und damit auch die angebundenen Systeme –, findet ein wechselseitiger Austausch zwischen den Systemen sowie mit verknüpften Endgeräten statt. Übrigens bleibt eine API auch dann stabil und gültig, wenn sich die IT-Systemlandschaft ändert. Alle übrigen Prozesse im Hinblick auf Aspekte wie Systemintegration, Datenkonsolidierung, System- und Datenzugriff lassen sich über die Plattform abbilden.
Datennutzung über Systemgrenzen hinweg analysieren
Da eine API-Management-Plattform jegliche Zugriffe auf Daten, Systeme, Services und Funktionen vollständig protokolliert, haben IT-Abteilungen jederzeit einen transparenten Überblick über nutzungs- und sicherheitsrelevante Kennzahlen: Sie wissen zum Beispiel, welche API wie häufig genutzt wird, wie viele Aufrufe die einzelnen Quellsysteme verzeichnen, wann die meisten Nutzer auf ein bestimmtes System zugreifen und welche Daten sie am häufigsten abrufen.
Dabei geben die aufgezeichneten Monitoring-Daten wertvolle Hinweise auf etwaige Cyber-Angriffe. Da ungewöhnlich hoher Traffic auf ein System als Warnsignal zu deuten ist, können unternehmenseigene IT-Security-Experten entsprechende Schwellenwerte definieren: Wird eine bestimmte Anzahl an Zugriffen oder Datenabfragen in einem definierten Zeitraum überschritten, schlägt das System Alarm. Daraufhin leitet das üblicherweise externe Security Operations Center (SOC) vorab definierte Response-Maßnahmen ein, um die Bedrohung abzuwehren.
Daten und Systeme vor unerlaubten Zugriffen schützen
Überhaupt ist eine API-Management-Plattform im Hinblick auf Datenschutz und -sicherheit ein wertvolles Instrument. Sie funktioniert nämlich ähnlich wie eine Firewall. Als zwischengeschaltetes Gateway schirmt sie die dahinterliegenden Daten und Systeme vor unerlaubten Zugriffen jederzeit zuverlässig ab. Die erforderlichen Security-Maßnahmen sind mit der API-Management-Plattform zentral implementiert und gelten einheitlich für alle angebundenen Systeme. Damit erhalten Unternehmen ein Höchstmaß an Sicherheit, ohne sicherheitsrelevante Anpassungen an den bestehenden Quellsystemen vornehmen zu müssen.
Ebenso sind neue digitale Lösungen und Services – die API-Management-Plattform verknüpft diese mit den Legacy-Systemen – im selben Umfang automatisch geschützt. Datenschutz und -sicherheit über eine API-Management-Plattform zu implementieren, ist unerlässlich, weil marketingrelevante Lösungen wie ein PIM oder DAM nicht für den Online-Zugriff konzipiert sind. Dementsprechend fehlen ihnen die erforderlichen Security-Features. Die in eine API-Management-Plattform integrierten Sicherheits-Funktionalitäten sind ein wichtiger Baustein, um die Sicherheit der eigenen IT-Infrastruktur auf einem langfristig hohen Niveau zu halten, ohne von proprietären IT-Systemen abhängig zu sein.
Rechte und Rollen bedarfsgerecht definieren
Beim API-Management geht es allerdings nicht nur darum, Daten bereitzustellen und sie vor externen Zugriffen durch Cyber-Kriminelle zu schützen. Es ist ebenso wichtig, festzulegen, welche Nutzer oder Nutzergruppen wie mit welchen Daten umgehen dürfen. Darum ist die bedarfsgerechte Verwaltung von Rechten und Rollen für ein professionelles API-Management unabdingbar. Hier spielen Aspekte wie eine zentrale Autorisierung und Authentifizierung eine wesentliche Rolle. Zugunsten effizienter Prozesse ist es ratsam, die API-Management-Plattform mit der eigenen Nutzerverwaltung, wie etwa dem Active Directory oder dem Lightweight Directory Access (LDAP), zu verknüpfen.
So können Unternehmen zentral festlegen, wer der Nutzer ist (Kunde, Partner, Mitarbeiter, Abteilung etc.), auf welche Daten und Systeme er zugreifen, welche Services und Funktionen er nutzen und wie er mit den Daten umgehen darf (Daten nur lesen, nur eigene Daten anpassen oder auch globale Daten verändern beziehungsweise exportieren). In Unternehmen mit vielen tausend Kunden, Partnern und Mitarbeitern ist es wenig zielführend, jedem einzelnen Anwender bestimmte Rechte zuzuweisen. Es ist wesentlich effizienter, Nutzergruppen zu definieren, denen verschiedene Nutzer mit ähnlichen Attributen angehören. Im Active Directory können IT-Administratoren zum Beispiel festlegen, welche Gruppen welche Anwendungen wie nutzen dürfen. Diese Informationen fließen in die API-Management-Plattform ein und erlauben, Daten und Anwendungsdienste nutzerspezifisch bereitzustellen.
Fokus auf die Kernaufgabe
Die Einführung einer API-Management-Plattform ist eine nachhaltige Investition in die digitale Zukunft. Sie geht mit einem grundsätzlichen Paradigmenwechsel einher: weg von einer Point-to-Point-Architektur hin zu einer service-basierten Architektur beziehungsweise API-getriebenen Ökonomie, welche die Basis für die Umsetzung neuer Geschäftsmodelle schafft.
Davon profitieren beide – Marketing und IT: Wenn die IT-Abteilung lediglich die APIs zur Verfügung stellt, kann das Marketing gleich mehrere digitale Lösungen und Services durch einen externen Dienstleister entwickeln lassen. Einmal konfiguriert und integriert, erfolgt der Zugriff auf die erforderlichen Daten und Systeme über die Plattform und das jeweilige Endgerät – ganz ohne Zutun der IT-Abteilung. Sie kann sich voll und ganz auf ihre Kernaufgabe fokussieren: auf die Bereitstellung sicherer, skalierbarer und hochverfügbar IT-Lösungen.
Volker Dignas ist Senior Cloud Consultant bei Arvato Systems.
Zum Whitepaper „Speed up Marketing durch API-Management„
