Es werden immer mehr Microservices entwickelt, die über APIs integriert werden. Große Unternehmen haben oft hunderte interne APIs. Doch die Integrationsschnittstellen werden oft nicht sorgfältig verwaltet und können das Behindern, wofür sie eigentlich entwickelt wurden. Außerdem sind APIs ohne Governance anfälliger für Risiken bei der Zugriffskontrolle oder werden zu Zombie-Endpunkten. Wie sieht ein typischer API Sprawl in mittelständischen Unternehmen in Deutschland aus?
Markus Müller: Unternehmen stellen sich oft die Frage: Was machen wir mit all den APIs? Bestand früher das Problem darin, APIs zu erstellen, so liegt es nun häufig in der hohen Anzahl. In größeren Unternehmen, und zunehmend auch in mittelständischen Betrieben, werden oft dieselben APIs oder APIs mit ähnlichen Funktionen mehrfach erstellt. Verschiedene Geschäftsbereiche und verschiedene Abteilungen arbeiten unabhängig voneinander, ohne sich abzusprechen oder mit einer übergeordneten Instanz Rücksprache zu halten. Schlussendlich werden es mehr und mehr APIs und es gelingt immer schlechter den Überblick zu behalten.
Weitere Komplexität tritt durch Agentic AI hinzu. Eine agentenbasierte KI braucht APIs, um Aufgaben umzusetzen – egal ob sie einen neuen Kunden anlegen oder eine Beschwerde erstellen soll. Jede Aktion wird somit zu einer eigenen API. Unternehmen steigen also vermehrt auf speziell für KI entwickelte APIs um, denn für ein gutes Kundenerlebnis braucht die KI immer mehr von diesen. All diese neuen APIs müssen verwaltet werden. Geschieht dies nicht oder nur zum Teil, ist ein API Sprawl die Folge.
Warum ist API Sprawl denn eine Bedrohung?
Markus Müller: Ein API Sprawl entsteht meist mit APIs, die nicht verwaltet werden, oder die auf Systemen laufen, die nicht öffentlich zugänglich sein sollten. Angreifer suchen nach diesen Schwachstellen und nutzen sie aus, um in ein System zu gelangen. Dies sind die sogenannten Schatten-APIs. Was auch immer mit den verwalteten APIs geschieht, es betrifft die Schatten-APIs nicht und diese bleiben weiter eine Gefahr. Studien zeigen, dass Schatten-APIs derzeit der wichtigste Angriffsvektor sind, wenn es um Cyberattacken geht. Weder kann ihre Sicherheit noch ihre Authentifizierung überprüft werden. Und die Wahrscheinlichkeit, dass es diese nicht verwalteten Schatten-APIs gibt, steigt mit zunehmender Anzahl der APIs.
Wie lässt sich sicherstellen, dass die APIs so verwaltet werden, dass solche Probleme vermieden werden?
Markus Müller: Als erstes braucht es Richtlinien. Es gibt Systeme, mit denen diese Richtlinien festgelegt werden können, also wie eine API aufgebaut sein soll und wie sie mit anderen interagieren soll. Dazu gibt es eine Reihe von Best Practices und Sicherheitsempfehlungen, zum Beispiel das OWASP-Projekt, das jährlich eine Liste mit den zehn größten Bedrohungen für APIs erstellt. Mit einem passenden API-Management werden vorhandene APIs auf diese Bedrohungen hin überprüft sowie ihre Verwundbarkeiten aufgezeichnet.
Für Kunden, deren API-Verwaltung noch nicht so ausgereift ist, wäre der erste Schritt, ihre APIs durch ein Gateway zu sichern. Über ein API-Management in der Cloud ist es möglich, die APIs mit einer Vielzahl an Sicherheitsrichtlinien zu schützen, damit sichergestellt wird, dass die am häufigsten angegriffenen Schwachstellen abgedeckt sind.
Ist KI eine größere Gefahr für das API-Management oder eher ein Problemlöser?
Markus Müller: Sie ist beides und wie so oft in der IT, kommt es darauf an. Für dasjenige Unternehmen, das ein wirksames API-Management hat und seine Backends dadurch schützt, stellt KI keine Bedrohung dar. Denn KI-Agenten führen lediglich Aktionen aus, wie das Menschen auch tun. Wenn diese Aktionen über geschützte, sichere und authentifizierte APIs ausgeführt werden, besteht kein vermehrtes Risiko. Zudem sollte das System auf Gefahren wie Flooding und Denial of Service-Attacken hin überprüft sowie die Payload im Blick behalten werden.
Ist das nicht der Fall, ist der KI-Agent zweifelsfrei ein Risiko. In der KI-Branche gibt es viele, die bevorzugen, dem Agenten nur einen Auftrag zu geben, ohne weitere Einschränkungen. Der Agent kann dadurch in der Infrastruktur alles abrufen und ist sozusagen frei in seinen Datenquellen. Das sollte man vermeiden. Es kommt also auf den richtigen Umgang mit den APIs an. Letztlich braucht man auch hier einen Zero Trust-Ansatz: Vertraue nie darauf, dass der Agent etwas Gutes macht. Eine Schutzschicht zwischen diesem und dem Backend in Form eines guten API-Managements ist hier das Wichtigste.
Wie lange dauert ein solches Projekt in einem mittelständischen Unternehmen im Durchschnitt?
Markus Müller: Grundsätzlich ist es nicht die Technologie, die die meiste Zeit in Anspruch nimmt, sondern das Change Management und die Umstellung der Arbeitsweise. Wenn ein Unternehmen zum Beispiel ein Styleguide für seine APIs hat, das jedoch noch nicht ausformuliert vorliegt oder in einem Format, dass das System nicht versteht, dann muss das zuerst übertragen werden. Wenn keine API-Gateways existieren, müssen diese zuerst eingerichtet werden. Dann dauert es entsprechend länger als bei Unternehmen, die all das bereits haben. Es kommt also was die Projektdauer angeht auf einige Variablen an. Aber die Technologie lässt sich meist in wenigen Tagen oder Wochen einführen.
Welche Rolle spielt die Einhaltung von Vorschriften bei der Verwaltung von APIs?
Markus Müller: Da wäre zuerst die Einhaltung der Richtlinien, die sich Unternehmen selbst gesetzt haben, Sicherheits- oder Qualitätsbewertungen sowie die Konformität bei der Umsetzung von unternehmensinternen Standards. Dies ist entscheidend, damit alle Teams auf demselben Stand sind und es zu keinem API Sprawl kommt.
Und zum anderen geht es natürlich um die Einhaltung externer Standards und Vorschriften. Bei diesen stehen oft Business-Fragen im Vordergrund, aber sie können auch in Sachen Sicherheit hilfreich sein. Für Banken wären das zum Beispiel PSD2 und PSD3, für die Telekommunikationsbranche gibt es einen API-Standard des Tele-Management-Forums usw. Bei diesen Richtlinien geht es darum, dass nur die Schnittstellen veröffentlicht werden, die mit diesen Standards kompatibel sind. Die Frage, die sich Unternehmen also hier stellen müssen, lautet: Sind unsere APIs konform mit dem Standard und können Menschen auch tatsächlich mit ihnen interagieren? Dann sorgt sowohl eine interne wie auch eine externe Compliance für mehr Sicherheit im eigenen Unternehmen.
Welche Kernthemen müssen denn für das API-Management angepackt werden?
Markus Müller: Das Wichtigste in Sachen API-Management ist das Thema Governance. Dafür müssen einige Punkte geklärt werden. Sind die APIs bekannt? Mag trivial klingen, ist jedoch entscheidend. Denn man kann nur das sichern, was man kennt und gerade bei einem API Sprawl gibt es viele unbekannte APIs. Dann sollte es Styleguides und gewisse Richtlinien geben, um nicht den Überblick zu verlieren.
Weiterhin stellt das Thema Sicherheit den Kern des Prozesses dar. Denn es geht letztlich darum, das eigene System vor Angriffen zu schützen. Die Überwachung der Nutzer und der Nutzung darf sich nicht auf andere Nutzer auswirken.
Dann geht es um die Einhaltung der Compliance und last but not least die Qualitätssicherung. Sie muss sicherstellen, dass die Qualität eines entsprechenden Dienstes in Bezug auf Verfügbarkeit und Vollständigkeit immer den gewünschten Standards entspricht. Eine Prüfung muss bei jeder Änderung durchgeführt werden und nicht nur zu Beginn des Prozesses.
Wenn ein Unternehmen alle diese Bereiche gut im Griff hat, ist es in Sachen API Management sehr gut aufgestellt.
Ist Global Field CTO bei Boomi.
Neueste Kommentare
Noch keine Kommentare zu Vom ungebremsten API-Wachstum zum API Sprawl
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.