API First:
Öffne Dein Unternehmen

Warum brauchen moderne Unternehmen offene Schnittstellen und welche Vorteile bringen API-First Technologien?

Wir befinden uns im Datenzeitalter: Daten sind die Grundlage für Handel oder Wissensaustausch, digitale Prozesse und Prognosen. Sie begegnen uns heute in Echtzeit überall, von Wetterdaten auf dem Smartphone oder der Smartwatch bis hin zum Lagerbestand und der Verfügbarkeit der gewünschten Handkreissäge im nächsten Baumarkt.

Als Ergebnis befinden sich Unternehmen mit ihren Daten heute im Wettbewerb um die besten Kundenerlebnisse. Wettbewerbsfähig zu bleiben ist aber leichter gesagt als getan. Denn Unternehmen stehen vor zwei zentrale Herausforderungen. Es steigt nicht nur die Menge der Daten im Unternehmen immer weiter, sondern es tauchen im Internet der Dinge auch jeden Tag neue Geräte und Touchpoints auf dem Markt auf, die jegliche Art von Transaktionen und Austausch ermöglichen, indem sie Daten konsumieren. Was kommt nach Web und Mobile First, wenn Kühlschränke smarter werden und den nächsten Einkauf selbst bestellen? Unternehmen müssen ihre Kunden über die zahlreichen Frontends und auch unterschiedlichen Gatekeeper wie Plattformen und Soziale Medien erreichen können, schnell und mit nahtlosen Kundenerlebnissen. Dazu müssen die Touchpoints zum Anwender schnell integriert und angebunden werden können.

Und nicht nur Kundenerlebnisse sind im Datenzeitalter entscheidend. Gerne wird übersehen, dass ein schneller Datenzugriff nicht nur den Zugang zum Kunden ermöglicht, sondern auch zu Partnern und Lieferanten. Auch Partner und deren Software-Systeme müssen sich an Daten und Prozesse von Unternehmen anbinden können, damit die Erwartungen und Anforderungen der Nutzer erfüllt werden. Wer technisch nicht in der Lage ist, Produktdaten in strukturierter Form zu übermitteln, bleibt schnell außen vor.  

Viele Händler und Hersteller können nicht schnell genug auf neue Anforderungen des Marktes reagieren. Ein CSV-Upload von Daten reicht nicht und eine Verarbeitung und sinnvolle Nutzung der Daten ist mit normalen Office-Tools nicht mehr möglich. Die Daten manuell für Zwecke wie digitale Lieferdienste oder IoT zu verarbeiten ist noch dazu zu teuer, langsam und auch fehleranfällig. Ebenso funktionieren monolithische Systeme für diese Art von Schnittstellen nicht mehr, da Frontends in Zukunft immer weniger mit einem Backend vernetzt sind.  

Doch was kann getan werden? Was alle Frontends und Gatekeeper gemeinsam haben, ist deren Fähigkeit, Commerce-Funktionalität und Daten über eine API, eine Schnittstelle, zu konsumieren. Moderne APIs sind das Herzstück des digitalen Handels. Sie verbinden Anwendungen und Endgeräte und bringen Unternehmen immer neue Geschäftsmöglichkeiten: sie öffnen ein Unternehmen. Die Vorteile daraus sind mannigfaltig. Denn nicht nur Innovationspotential wartet. Unternehmen stellen so auch eine konsistente User Experience auf zahlreichen Plattformen sowie schnellere Time-to-market und Agilität sicher.

Selbst wenn ein Unternehmen aktuell noch nicht die Notwendigkeit sieht, sich zu öffnen, sind offene Schnittstellen dennoch für eine zukunftssichere Strategie essenziell. Wer es verpasst, sich mit dem Thema auseinanderzusetzen, läuft Gefahr, den Anschluss zu verpassen und Relevanz zu verlieren. Eine Investition in die Zukunft heißt für Unternehmen also in jedem Fall: Öffnet euch. Und dafür brauchen Unternehmen offene Schnittstellen und flexible APIs ebenso wie eine nachhaltige Strategie.

Was sind APIs?

APIs sind Schnittstellen zwischen Anwendungen. Sie bestimmen, wie Daten ausgetauscht und strukturiert werden und ermöglichen so den Austausch von Informationen. Mithilfe von APIs können Unternehmen schnell neue Funktionalitäten unabhängig vom Frontend der Geräte ihrer Kunden entwickeln, Anwendungen integrieren und mit intelligenten Geräten kommunizieren.

100% API First

Voraussetzungen für ein offenes Unternehmen

Wenn ein Unternehmen sich und seine Systeme öffnen möchte, braucht es eine gewisse Infrastruktur. Es gibt bestimmte Voraussetzungen, die einen API-first-Ansatz ermöglichen und so ein Business der Plattform einen Schritt näher bringen.

Voraussetzung 1:
Verfügbare, saubere und konsistente Daten

Wie wir nun bereits gelernt haben: Unternehmen, die in der heutigen digitalen Welt eine Rolle spielen wollen, müssen kurzfristige Aussagen geben und Daten bereitstellen können. Voraussetzung ist daher, dass Daten rund um die Uhr und global verfügbar gemacht werden müssen.  

Das bedeutet natürlich Mut und auch Abgabe von Kontrolle. So ergeben sich mit dem Öffnen von Datenbeständen neue Herausforderungen, die es anzupacken gilt. Glaubte ein Unternehmen vorher, die Hoheit über seine Daten und deren Deutung zu haben, muss es durch die Öffnung nun mit vielen Meinungen und Anfragen, Ideen und Innovationen von außen rechnen.  

Doch das ist auch genau das Ziel. APIs effektiv zu nutzen bedeutet, anders über Partnerschaften und Zusammenarbeit nachzudenken. Was ist außerdem die Alternative zu einer gewissen Abgabe von Kontrolle? Unternehmen müssen sich bewusst machen, dass ohne die Öffnung andere Unternehmen vorpreschen und den Markt übernehmen. Denn auch ohne eine Öffnung können andere Unternehmen durch Sekundär-Erfassungen an Daten gelangen und so Daten-Plattformen etablieren. Dann haben geschlossene Unternehmen schon längst keine Chance mehr, die Datenhoheit zurückzuerlangen.  

Eine Öffnung bedeutet aber nicht nur Abgabe von Kontrolle, sondern auch eine Investition in Datenqualität und in die Standardisierung von Daten. Offene, strukturierte Daten sind essenziell. Dass eine Tabelle immer besser als ein Bild mit Daten ist, versteht sich von selbst. Doch auch Datentabellen, die aus einem PDF-Dokument ausgelesen werden können, sind der falsche Ansatz. Es braucht zeitgemäße Formate, die wenig Aufwand erfordern, einfach verarbeitet werden können und sicherstellen, dass Daten zugänglich sind. So können offene Daten durch Nutzer wiederverwendet und auch kombiniert werden. Wichtig ist bei der Qualität von Daten ebenso Aktualität, Konsistenz und Verständlichkeit sowie Transparenz. Der Ursprung sowie Veränderungen an Daten müssen kenntlich gemacht werden.  

Anyone who doesn’t do this will be fired.

Jeff Bezos im "The Amazon API Mandate" über die Nutzung bzw. Nicht-Nutzung von APIs in der internen Software-Entwicklung

Ob eine API erfolgreich wird, hängt auch ganz entscheidend davon ab, ob die Öffnung und Integrität der Daten dauerhaft sichergestellt ist. Denn als Unternehmen trägt man durch die Öffnung auch Verantwortung: Nutzer der API gehen schließlich ein Risiko ein und bauen ihre eigenen Geschäftsmodelle auf den konsumierten Daten auf. Sie müssen sich auf Qualität verlassen können. Werden Daten auf einmal nicht mehr bereitgestellt oder gewartet, und haben damit eine schlechte Qualität, sind solche Modelle hinfällig. Man stelle sich vor, Google würde seine Maps-Daten nicht mehr anbieten: Unternehmen wie Uber müssten als Google-Kunden, da sie die Google API konsumieren, dann neue und eigene Wege finden oder ihr Geschäftsmodell überdenken.

Die wichtigsten Punkte:

  • API bilden die Basis für neue, zukunftsorientierte Geschäftsmodelle und Prozesse
  • Bereitschaft, Daten an externe Partner und Nutzer weiterzugeben
  • Schaffung der notwendigen Datenqualität und Validität
  • Investition in Backend-Systeme, die für konsistente und strukturierte Daten als Single Point of Truth sorgen

Voraussetzung 2:
Prozesse und Funktionen

Als weitere Voraussetzung müssen Prozesse und Funktionen definiert und für Drittsysteme zugänglich sein. Durch die Bereitstellung von API-Befehlen kann sich auf eine gemeinsame Sprache zwischen Systemen geeinigt werden, sodass verschiedene Software-Produkte und Plattformen miteinander kommunizieren können.

Bildlich wird die API oft mit einem Kellner verglichen, der zwischen seinem Gast am Tisch und der Küche hin und her navigiert und kommuniziert, Bestellungen verarbeitet und fertige Gerichte ausliefert. Wie der Kellner bilden APIs Prozesse ab: Eine moderne API ist ein Eingabe- und Ausgabeprozess mit hinterlegten Logiken und Funktionen. Eine API nimmt Daten entgegen, verarbeitet diese, reichert sie um weitere Daten an und gibt eine Rückmeldung.  

Dabei können alle Arten von Prozessen abgebildet werden. Mögliche Prozesse sind Kalkulations- und Bestellprozesse, Authentifizierungsprozesse oder Prozesse rund um die Kundenpflege. Welche Prozesse und Funktionen definiert und welche APIs erstellt werden müssen, hängt vor allem auch davon ab, wer die API konsumieren wird. Unternehmen müssen sich also fragen: Wer sind die API-Kunden und von wo erfolgen die API-Calls? Sind es IoT-Geräte oder Business-Partner? Die größte Kundengruppe wird vermutlich die der internen Applikationen und Integrationen ausmachen, etwa Legacy-Anwendungen wie OMS, ERP, CRM, oder auch neue Cloud-basierte Microservices.

Die wichtigsten Punkte:

  • Backend-Systeme müssen Funktionen über APIs bereitstellen, um Beispielsweise Berechnungen oder Verfügbarkeitsabfragen durchzuführen
  • Logiken von Business-Anwendungen müssen als API Calls für externe Systeme zugänglich gemacht werden
  • Legacy-Systeme müssen ersetzt oder API-fähig gemacht werden

Voraussetzung 3:
Dokumentation und Stabilität

Neben der bereits erwähnten langfristigen, stabilen Nutzbarkeit muss auch eine saubere Dokumentation sichergestellt werden. Beide Faktoren tragen zu einer höheren Anerkennung und damit Nutzung der API bei.  

Die Dokumentation einer API kann als Handbuch verstanden werden, das Konsumenten erklärt, wie die API zu verwenden ist, und wo sie starten sollen. Denn wird eine API nicht verstanden, greifen Entwickler auf alternative Formen des Datenaustausch und der Integration zurück. Das erreicht kaum die Business Ziele, die mit einer API erwünscht sind. Außerdem dient eine Dokumentation nicht nur dem Nutzer der API, sondern hilft auch bei der Erstellung von Sicherheitstests und bei der Durchführung von automatisierten Tests.

Was muss eine solche Dokumentation beinhalten? Die Dokumentation sollte wirklich alle Methoden und Kommunikationswege sowie Antworten im Erfolgs- und Fehlerfall beschreiben, die beim Aufrufen der API möglich sind. Dabei geht es um Ressourcen, Attribute, Klassen, unterstützte Verben etc. Wie jedes Handbuch sollte die Dokumentation stets aktuell und fehlerfrei gehalten werden.  

Best Practice, damit Systeme und Anwendungen schneller, einfacher und effizienter integriert werden können, ist es, APIs auf Standards wie zum Beispiel REST zu setzen, um eine einheitliche Sprache zu sprechen. So können Daten aus unterschiedlichen Quellen und Formaten gesammelt und verwertet werden. Außerdem müssen Versionierungs- und Entwicklungsstandards definiert werden.  

Und wie kann sichergestellt werden, dass die API wirklich genutzt werden kann und alles richtig festgehalten wird? Dafür müssen APIs wie ein Produkt verstanden werden. Für Produkte gibt es Product Owner, die Anforderungen und auch Kunden bestens verstehen. Das gleiche muss dementsprechend für eine API gelten. Es muss innerhalb der Organisation eine Product Ownership für APIs definiert werden, die die Bedürfnisse der API-Konsumenten versteht und die Dokumentation übernimmt. Außerdem ist ein Product Owner für das Management der verschiedenen APIs zuständig, auch, um beispielsweise Duplikate zu vermeiden. Weitere Aufgaben können die Entwicklung von Sicherheitsstandards oder das Onboarding von Entwicklern sein.  

Die wichtigsten Punkte:

  • Schnittstellen müssen klar und umfassend dokumentiert werden
  • Standards in der Ansprache der APIs sollten genutzt; standardisierte Formate für den Datenaustausch eingesetzt werden
  • Die Verantwortung für APIs als Produkt muss intern geregelt werden; APIs dürfen kein Nebenprodukt der Software-Entwicklung sein

Voraussetzung 4:
Sicherheit

Wer sein Unternehmen nach außen öffnet, muss an Sicherheit und Skalierbarkeit denken. Dass eine Dokumentation zur Sicherheit beiträgt, haben wir nun schon gelernt. Doch es sind weitere Maßnahmen notwendig.

So müssen Unternehmen vor allem sicherstellen, dass sensible Daten sowie Betriebs- und Geschäftsgeheimnisse geschützt werden können. Solche Daten dürfen natürlich nicht veröffentlicht werden. Auch wenn sie nicht direkt veröffentlicht werden, sind sie jedoch noch nicht sicher. Denn eine API, das zum Konsum frei verfügbar ist, kann auch zum Missbrauch einladen. Daher müssen Unternehmen sich vorbereiten und Sicherheitsvorkehrungen treffen, die interne Systeme und Ressourcen schützen.  

Klar sollte sein, dass bereitgestellte Daten zum Beispiel keine personenspezifischen Informationen enthalten oder Lizenzbedingungen verletzen dürfen (Daten, die bisher an Dritte weitergegeben werden durften, dürfen auch als offene Daten zur Verfügung gestellt werden). Doch auch wenn solche sensiblen Daten nicht direkt veröffentlicht und anonymisiert werden, schaffen es Angreifer immer wieder, an ursprüngliche Daten zu gelangen.

So fielen schon zahlreiche Firmen Hackerangriffen zum Opfer, die sensible Daten offen legten. Das betrifft bei weitem nicht nur unerfahrene Unternehmen. Auch Facebook hatte 2018 trotz erfolgreicher API-Plattform mit einem solchen Angriff zu kämpfen, als über 50 Millionen Nutzerdaten an die Öffentlichkeit gelangten. Nicht selten können Daten außerdem durch Angreifer deanonymisiert werden und so die Erstellung von Profilen, Bewegungsmustern etc. ermöglichen.  

Um sich wirklich abzusichern, wird daher eine Trennung zwischen offenen Daten und operativen Produktivdaten empfohlen, damit Angreifer bei einer Attacke über ein API nicht mehr entdecken, als eben die gesamten offenen Daten.  

Auch wenn eine Trennung vorgenommen wird, sollten weitere Maßnahmen berücksichtigt werden. Hierzu gehört eine moderne Sicherheitsinfrastruktur (Firewalls etc.) sowie die Analyse und Beobachtung des Netzwerkverkehrs, um Bots zu erkennen, aber auch genügend Rechenleistung. Denn es kann tatsächlich zur Überlastung einer Schnittstelle durch zu viele Zugriffe kommen. Dafür kann eine hohe Nachfrage sorgen, aber auch ein absichtlicher Angriff, ein sogenannter Distributed Denial of Service (DDOS) Angriff.  

Als weiterer Aspekt kommen Authentifizierungs- und Autorisierungsmaßnahmen hinzu. Für eine Schnittstelle muss bekannt sein, wer sie verwendet und ob der Zugriff erlaubt ist. Dafür müssen Identitäten, Rollen und Rechte sowie Zugriffsbegrenzungen geklärt und definiert werden. Sind der Entwickler oder die Anwendung wirklich die, die sie vorzugeben scheinen? Und hat die Anwendung die Rechte, die API zu verwenden? Wer ganz sicher gehen möchte, kann auch eine Zwei-Faktor-Authentifizierung nutzen.

Die wichtigsten Punkte:

  • Sicherheit spielt im API-Kontext eine extrem wichtige Rolle
  • Daten müssen vor unbefugten Zugriffen geschützt werden, Angriffsmöglichkeiten müssen auf ein Minimum reduziert werden
  • Standards für die Authentifizierung sollten eingesetzt werden

Voraussetzung 5:
Skalierbarkeit

Damit andere Unternehmen einem nicht zuvorkommen, ist es wichtig, seine Daten frühzeitig zu öffnen. Nur so können Skalierungseffekte greifen und das Business sich weiter zur Plattform entwickeln.

Damit das Öffnen und eine API aber erfolgreich werden, muss die API selbst skalierbar und benutzerfreundlich sein. Denn nur so wird eine API schnell und viel genutzt. Unternehmen müssen dazu die Wiederverwendbarkeit und ordnungsgemäße Nutzung der API sicherstellen. Neben der bereits erwähnten aktuellen und vollständigen Dokumentation, sollten Unternehmen Entwickler noch weiter unterstützen, zum Beispiel mit einem Onboarding-Prozess oder Testumgebungen. Solche Maßnahmen sollten ein schnelles Integrieren ermöglichen.  

Zusätzlich sollte die Performance beobachtet werden. Durch eine Kontrolle von Kennzahlen wie Nutzer-Anmeldungen oder die Anzahl der Zugriffe, sowie auch das Nachverfolgen von Datenfehlern oder API-Antwortzeiten, können wichtige Schlüsse gezogen werden, die den Weg für Verbesserungen ebnen. Läuft alles in die gewünschte, strategische Richtung und bekommen Nutzer, was sie erwarten?

Die wichtigsten Punkte:

  • Ein Betrieb von APIs in der Cloud ist sehr sinnvoll
  • Moderne Entwicklungsumgebungen mit Staging-, Test- und Live-Systemen sollten genutzt werden
  • Lastspitzen sollten regelmäßig simuliert werden

Die richtige Strategie

Wenn die Voraussetzungen zur Öffnung sichergestellt sind, kann ein Unternehmen seine Strategie darauf aufbauen. Denn auch wenn nun alles auf API-first gepolt ist, heißt das noch lange nicht, einfach nur noch Schnittstellen zu bauen, ohne einen Gedanken an die spätere Nutzung zu verschwenden. Es müssen strategische und organisatorische Fragestellungen geklärt werden. Neue Unternehmen, die API-first denken, sind älteren  Unternehmen hier einen Schritt voraus: Sie verwurzeln ihre API-Strategie bereits tief in der Geschäftsstrategie. Sie gehen ihre Projekte von Beginn an von der Prozess- und Schnittstellen-Seite an und haben damit die Möglichkeit, sehr flexibel auf neue Anforderungen zu reagieren.  

Bei einer Öffnung sollte also nicht zu kurzfristig gedacht werden. Um etablierte Geschäftsmodelle ergänzen oder auch ganz neue Märkte erschließen zu können, muss über die technische, operative Umsetzung hinaus gedacht werden. Laut dem Analysten Gartner ist ein “full life cycle API management” die Basis für Erfolg. Und das beinhaltet neben dem Bauen, Testen, Ausliefern sowie eventuelle Einstellen einer API ebenso die Strategie und Konzeption.

Essenziell ist zunächst das Analysieren und Bewerten von Produkten und Märkten. Welchen Wert eine API für das Unternehmen haben wird, sollte auf jeden Fall identifiziert und priorisiert werden. Wie wird die API das Unternehmen voran bringen? Was wird das Angebot von Daten und Diensten auf lange Sicht sein? Welche Nutzer und Zielgruppen sollen angesprochen werden? Interne APIs können zum Beispiel Agilität und Effizienz im Unternehmen fördern, während B2B-APIs für Partner Prozesse und Beziehungen optimieren können. Offene und über das Web zugängliche APIs wiederum tragen zu Innovationen bei.

Nach Marktanalysen müssen ebenso technischen Fragestellungen geklärt werden. Dafür müssen die IT-Landschaft und die Backend-Systeme analysiert und bewertet werden: Wie sehr ist das Unternehmen bereits „Cloud-Ready“ und welche Systeme verfügen bereits über APIs? Viele Shop-Systeme beispielsweise bieten schon ganz automatisch Schnittstellen an. Unternehmen sollten sich auch fragen, welche Altlasten beseitigt werden können. Es funktioniert nämlich nicht, weiterhin seine Daten per CSV-Datei z.B. ins ERP-System zu importieren. Bei einer API-Strategie müssen wirklich alle APIs den gleichen Ansprüchen gerecht werden.  

Der Aufbau einer Referenz-Architektur ist ebenfalls zu empfehlen. Grundlage dafür bildet eine Art API-Wörterbuch, ein interner Datenkatalog, welche die Funktionen und Daten beschreibt, die verfügbar gemacht werden sollen. Was wurde bereits veröffentlicht? Welche Daten wünschen sich unterschiedliche Zielgruppen? Welche Anfragen nach Daten erhält das Unternehmen regelmäßig? Dazu gehört dann auch, eventuelle Sicherheitsrisiken abzuwägen und welche Regulierungen einer Öffnung ggfs. im Weg stehen.

Best Practice:

Jeff Bezos sorgte innerhalb seines Unternehmens Amazon mit seiner API-first-Kultur für starke Effizienzsteigerungen und enorme Agilität. 2002 wies er seine Mitarbeiter an, ihre Daten und Funktionen nur noch über Serviceschnittstellen verfügbar zu machen. Alle Daten und Workflows mussten also zu jeder Zeit für jeden im Unternehmen über dokumentierte Schnittstellen zugänglich sein. Er stellte damit eine einzige Sprache für die Kommunikation sicher, die jeder konsumieren kann. Strategisch hatte er aber nicht nur die internen Prozesse im Blick: Die Schnittstellen mussten von Beginn an so erstellt werden, dass sie auch der Außenwelt zugänglich gemacht werden können. Das Ergebnis: Amazon konnte sich später nach außen öffnen und entwickelte sich von Buchhändler zum heutigen Plattform-Riesen.

Fazit und Empfehlung

Unternehmen, die nachhaltig und zukunftssicher handeln wollen, müssen offene Daten und Schnittstellen in ihrer Strategie verankern und die Voraussetzungen für einen langfristigen, sicheren Einsatz erfüllen. Um erfolgreich zu werden, muss der gesamte API-Lebenszyklus gemanaged und bedacht werden. Erst diese gesamtheitliche Betrachtung stellt sicher, dass Unternehmen ihre Ziele mit offenen Schnittstellen erreichen und ihrer Verantwortung und neuen Rolle als Plattform gerecht werden können.

Dein Ansprechpartner

Matthias
Steinforth
Digital Strategie

Interesse uns kennenzulernen? Dann vereinbare einen Termin:

Öffne Dein Unternehmen

Experten-Whitepaper:

API First

Offene Schnittstellen und der Zugriff auf Daten und Prozesse sind die Basis für erfolgreich integrierte Plattformen und die Vermarktung von Services in Form von APIs. Wie Unternehmen den Herausforderungen bei der Digitalisierung mit Blick auf eine API-First Strategie begegnen können, beantwortet unser Whitepaper. Einblicke in aktuelle Strategien erfolgreicher Unternehmen und spannende Experten-Interviews runden das Angebot ab.

Whitepaper herunterladen

'Was Neues geplant?

Dann lass uns zusammen Dein Projekt starten.