Isolierte Apps und ungenutzte Daten erschweren die Digitalisierung von Prozessen. Zudem bergen intransparente Programmierschnittstellen, kurz APIs, das Risiko von Datenschutz- und Compliance-Verletzungen. API-Management-Plattformen helfen dabei, den Überblick zu behalten.
Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen.
(Bild: Murrstock - stock.adobe.com)
Es erinnert an die Anfangszeiten des Cloud Computing: Wenn in der IT oder in den Fachbereichen der Bedarf für eine Software aufkam, für die es im Unternehmen noch keine Lösung gab, buchte man das eben schnell in der Cloud. So entstand in kurzer Zeit ein kaum mehr kontrollierbares Wirrwarr an Lösungen, die unnötig Geld kosteten, in denen Daten isoliert waren und daher keinen Mehrwert erzeugen konnten.
Im Zuge dieser unkontrollierten Softwarenutzung entstand eine weitere intransparente Blase, für die sich zunächst kaum jemand wirklich interessierte – da es den meisten zu technisch war: Programmierschnittstellen, kurz APIs für Application Programming Interfaces. Derzeit soll es weltweit rund 200 Millionen APIs geben, die in Unternehmen für die Verbindung von unterschiedlichsten Anwendungen genutzt werden.
Im Schnitt kommen Unternehmen auf rund 600 APIs. Tendenz steigend, da durch das boomende Internet der Dinge die Zahl der vernetzten Geräte steigt und deren Daten verschiedenste Datenbanken im Unternehmen füttern sollen.
Fehlendes API-Management birgt Risiken
Diese API-Flut – so sehr jede einzelne Schnittstelle aus Business-Sicht Sinn machen mag – birgt mehrere Risiken und verhindert sogar durch fehlendes API-Management zusätzliches Geschäft. Das größte Problem ist die mangelnde Transparenz.
Die meisten Unternehmen können nicht nachvollziehen, welche APIs es zwischen welchen Anwendungen gibt und welche Daten mit welcher Kritikalität über diese Schnittstellen in welche Systeme fließen. Noch problematischer als das Wachstum ist also die breite Verteilung von APIs ohne definierte Standards, irgendwelche Governance oder den Blick auf Versionskontrolle und Sicherheitsanforderungen.
Halten sich die Risiken noch in Grenzen, wenn APIs nur als Brückenbauer unternehmensinterner Anwendungen dienen, steigt mit jeder unkontrollierten Schnittstelle zu externen Lösungen das Risiko um ein Vielfaches. Beispiel ChatGPT: Fachbereiche erkennen zunehmend, wie sie generative KI und IoT-Technologien nutzen können und bauen ohne Wissen der IT-Abteilung Schnittstellen zu solchen externen Systemen. Dann werden Datenschutz und Compliance relevant und es müsste eigentlich festgelegt werden, was diese APIs dürfen und was nicht.
Transparenz in den API-Dschungel bringen
Allein aus diesen Gründen müssen Unternehmen dringend Licht ins Dunkel des API-Dschungels bringen. Im ersten Schritt sollten sie daher mit einem API Maturity Assessment alle vorhandenen Schnittstellen erfassen und kategorisieren, um sie anschließend analysieren und verwalten zu können.
Schon aus Kostensicht kann Transparenz die nicht unerheblichen Ausgaben für möglicherweise mehrfach vorhandene, identische APIs deutlich verringern. Studien gehen davon aus, dass allein das Erstellen einer API im Durchschnitt mit 30.000 Euro zu Buche schlägt. Dazu kommt der Zeitaufwand für die Entwicklungsdauer, die Wochen oder sogar Monate in Anspruch nehmen kann.
Zunehmend schlägt der Fachkräftemangel auch bei den APIs zu. Besteht Intransparenz und verlässt ein API-Entwickler das Unternehmen, entsteht oftmals eine Know-how-Lücke. Gibt es keine oder nur stark veraltete Dokumentationen sind die Pflege oder die Weiterentwicklung der Schnittstellen aufwändig. Das kann so weit gehen, dass eine API neu entwickelt werden muss.
Unternehmen sollten sich deshalb (unter anderem) folgende Fragen stellen: Wie viele APIs werden derzeit verwendet? Wie viele wurden außer Dienst gestellt und nicht rechtzeitig entfernt? Gibt es doppelte APIs, wird jede API vollständig genutzt? Wenn diese Fragen schwer zu beantworten sind, wird die API-Verwaltung kritisch.
Schatten-APIs sind Security-Fallen
Keine Transparenz darüber, für welchen Zweck APIs entwickelt wurden und welche Systeme sie verbinden, bedeutet auch ein erhöhtes Security-Risiko. Dazu kommen die Schatten-APIs, die als ungemanagte „Schläfer“ Hackern als Einfallstor dienen können.
Dem „State of API Security Report Q1 2023 (PDF)“ von Salt zufolge, hatten 2022 zum Beispiel mehr als neun von zehn Umfrageteilnehmern Sicherheitsprobleme in Produktions-APIs. Fast ein Drittel musste feststellen, dass aufgrund von API-Sicherheitslücken sensible Daten preisgegeben wurden. Die Konsequenz: Die Hälfte der Umfrageteilnehmer diskutiert das Thema API-Sicherheit jetzt auf C-Level.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Immerhin verlangt inzwischen mehr als ein Viertel der Führungskräfte, dass alle Projekte einer unternehmensweiten API-Integrationsstrategie folgen sollten. Dafür sollten Unternehmen nach einem API Maturity Assessment, das die vorhandenen APIs und deren Zweck transparent macht, im nächsten Schritt eine API-Strategie entwickeln. Diese legt unter anderem fest, nach welchen Kriterien Schnittstellen im Unternehmen entwickelt und implementiert werden dürfen.
API-Management-Plattform beschleunigt Projekte
Für die Umsetzung der Strategie ist eine API-Management-Plattform sinnvoll. Mit einem solchen Tool lassen sich APIs entwerfen, erstellen, verteilen, verwalten und analysieren. Eine API-Management-Plattform sorgt dafür, dass vor der Entwicklung einer neuen Schnittstelle zunächst geprüft wird, dass bei Bedarf einer API nicht immer wieder neu entwickelt wird, sondern auf wiederverwendbare APIs zurückgegriffen wird. Dies spart nicht nur Geld, sondern beschleunigt auch Projekte, da die Entwicklungszeit für eine neue API wegfällt.
Die Transparenz führt nebenbei dazu, dass sich mit APIs auch Umsätze erzielen lassen. Laut dem 2023 „State of the API Report“ von Postman sagten zwei Drittel der mehr als 40.000 befragten Entwickler und API-Fachleute, dass ihre APIs zusätzliche Einnahmen ermöglichten, bei 43 Prozent angeblich sogar mehr als ein Viertel der Unternehmenseinnahmen. Auch hier hilft eine API-Management-Plattform, mit der sich APIs als Produkt monetarisieren lassen. So manche Plattform bietet dafür beispielsweise Abrechnungs- und Messfunktionen und externe Dienste auf Abonnement-Basis.
Fazit
Unternehmen sollten das API-Thema schnell angehen und dafür auch einen API-Manager bestimmen, der die Einführung der Plattform vorantreibt und die API-Strategie unternehmensweit durchsetzt. Dies verbessert nicht nur die betriebliche Effizienz, sondern ermöglicht auch datengesteuerte Entscheidungen in Echtzeit. Denn APIs sind zunehmend wichtig, um ein nahtloses und hyperkonnektives digitales Ökosystem zu ermöglichen.
Nutzen der API-Verwaltung
Transparente Verwaltung
Die API-Verwaltungsplattform bietet ein zentrales Dashboard, mit dem Unternehmen ihr gesamtes API-Ökosystem visualisieren können, was zu größerer Transparenz und verbesserter Entscheidungsfindung führt.
Nahtlose Orchestrierung
APIs aus verschiedenen Quellen können einfach orchestriert werden, was eine vereinfachte Integration und eine bessere Ausrichtung auf die Unternehmensziele gewährleistet.
Überwachung in Echtzeit
Die API-Verwaltungsplattform ermöglicht die Überwachung der API-Leistung und -Nutzung in Echtzeit, so dass Unternehmen potenzielle Probleme rechtzeitig erkennen und beheben können.
Verbesserte Sicherheit
Die API-Verwaltungsplattform bietet mehrstufige Sicherheitskontrollen und umfassende Compliance-Standards, um die sichere Nutzung von APIs zu gewährleisten und sensible Daten zu schützen.
Effiziente API-Erkennung und -Wiederverwendung
Die meisten API-Plattformen bieten einen strukturierten API-Katalog, einen API-Marktplatz zur Erkennung und Wiederverwendung sowie eine API-Community, die Entwicklern hilft, miteinander zu kommunizieren, API-Probleme zu lösen und die Zusammenarbeit zwischen Teams zu erleichtern.
* Über den Autor Frank Arndt treibt das Thema API Management bei der Managementberatung Detecon voran und ist als Senior Manager mitverantwortlich für die Data Community. Vor dem Hintergrund, dass diese beiden Themenbereiche eng miteinander verwoben sind, bewegt er sich hiermit im Zentrum der Digitalisierung. Er verfügt über mehr als 35 Jahre Erfahrung in der Softwareentwicklung und IT-Beratung mit dem Schwerpunkt auf Daten und Schnittstellen, sowie Projekt- und Programm-Management.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0e/ed/0eed52a03c3d14b02c34f6230b22c3ad/0127974177v1.jpeg "Low-Code als strategische Integrationsschicht: CFO-Teams verbinden ERP und Banken per Drag-and-Drop, automatisieren Workflows und Reporting, stärken Compliance – trotz Legacy-Systemen, SWIFT-Varianten und hoher API-Sicherheitsanforderungen. (Bild: © tadamichi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/c0/7dc03fef56ab6063de64910a4d9a1c02/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")