Schnittstellen-Entwicklung ist kein Ad-hoc-Projekt, sondern braucht in jeder Phase genügend Zeit, um alle aktuellen und zukünftigen Szenarien zu beleuchten. Schließlich geht es um einen effizienten, langfristigen und nutzbaren Einsatz der Schnittstelle im jeweiligen Anwendungsfall.
Über das grundlegende API-Design hinaus gilt es, Kontext, Anwendungsfall und gewünschten Nutzen der geplanten Schnittstelle im Fokus zu behalten.
Programmierschnittstellen oder kurz APIs allein als Vehikel zum Datenaustausch zwischen Systemen zu betrachten, wird ihrer Rolle längst nicht mehr gerecht. In einer vernetzten Welt digitaler Strukturen und Prozesse dienen Schnittstellen dem Anreichern von KI mit Daten, sie analysieren und optimieren Geschäftsvorgänge und vieles mehr. Es gibt also die unterschiedlichsten Anwendungsszenarien. Damit eine API genau den ihr zugedachten Zweck erfüllt, sind einige Grundlagen zu beachten.
Welche Systeme sind am Datenaustausch überhaupt beteiligt? Die Frage scheint banal, doch genau mit ihr geht es los. Neben den beiden Systemen, zwischen denen die API die Kommunikation herstellen soll, gibt es diverse Middleware und weitere Stationen auf dem Weg zwischen den Schnittstellenpartnern.
Nicht alle von ihnen können miteinander sprechen, weshalb ggf. zusätzliche Komponenten benötigt werden. Typisches Beispiel im Bereich der Webservices wäre hier die Konvertierung von SOAP in das REST-Format, die sich mit Tools wie Orchestra durchführen lässt.
Sind die Schnittstellen sicher?
In der vernetzten Welt sind Schnittstellen ein gefundenes Fressen und scheinbar leichte Beute für Kriminelle. Schon bei der Architektur und Entwicklung der Schnittstellen sind deshalb Sicherheitsvorkehrungen zu treffen, um Risiken zu minimieren. Basisarbeit ist der Austausch spezieller Zertifikate. Auf Infrastrukturebene dienen Token-basierte Verfahren Oauth und Oauth 2.0 oder Credential-basierte Methoden wie Basic der Authentifizierung.
Das ATT&CK-Framework (Adversarial Tactics, Techniques, and Common Knowledge Framework) zählt aktuell 14 Kategorien, die Angreifer nutzen, um ihre Ziele zu erreichen – von Command-and-Control-Angriffen bis hin zur Privilege Escalation. Werden diese schon bei der Architektur und Entwicklung der Schnittstellen beachtet, lassen sich potenzielle Sicherheitslücken bereits im Vorfeld proaktiv schließen.
Innerhalb der Schnittstelle kommt es darüber hinaus auf die saubere Definition einzelner Operationen sowie des API-Mappings an. Sind überhaupt alle Operationen erforderlich? Dass mit dem jeweiligen Schnittstellenpartner die Rahmenbedingungen zu klären sind, versteht sich von selbst, denn es macht eben einen Unterschied, ob eine Master-Slave- oder eine Push-Push-Schnittstelle entwickelt wird, ob sie synchron oder asynchron verläuft etc.
Den Mittelweg zwischen „grob“ und „granular“ finden
Schnittstellen zu definieren ist eine Gratwanderung. Weder sollte man zu grob vorgehen, noch zu granular. Auf welcher Detailebene letztlich gearbeitet wird, hängt von der Art der Schnittstelle ab. Für das bloße Importieren von Assets genügt mitunter schon eine Aktion zum Erstellen und Updaten der Assets.
Vorab gilt es genau zu prüfen, ob für den Import tatsächlich Daten zu löschen sind. Wurden Datensätze aus dem System entfernt (durch Vorsatz oder grobe Fahrlässigkeit), ist es zumeist sinnvoller, die Daten einfach zu deaktivieren oder zu archivieren.
Je offener eine API gestaltet ist und je mehr Operationen sie zulässt, desto mehr Einfallstore bietet sie wiederum potenziellen Angreifern. Das bedeutet, dass auch Sicherheitsaspekte die Schnittstellenarchitektur beeinflussen. Bei der Entwicklung gilt es daher festzulegen, welche Daten sichtbar und welche wann veränderbar sein sollen.
Hier hat sich der Grundsatz „So wenig wie möglich, so viel wie nötig“ bewährt. Hinsichtlich spezieller Kundendaten müssen auch Richtlinien wie die ISO-27000 oder GDPR (General Data Protection Resolution) im Auge behalten werden.
Wie API-Methoden und -Mapping zusammenspielen, ist elementar beim Schnittstellendesign. Nehmen wir als Beispiel den Change in einem Ticketsystem. Dabei handelt es sich um einen in der Regel linearen Prozess, der optimalerweise synchron mit dem jeweiligen Schnittstellenpartner abläuft. Wichtig: Hier können jeweils nur Schnittstellenaufrufe passend zur aktuellen Phase des Changes abgesetzt werden.
Fatal wäre es, wenn der Schnittstellenpartner etwa die eigene Risikobewertung oder Klassifizierung in dieser Implementierungsphase ändern kann – also zu einem Zeitpunkt, zu dem diese Werte bereits feststehen müssen. Doch dafür gibt es eine Lösung: Die Daten werden abgelehnt (im Zweifel sogar der komplette Schnittstellenaufruf mit einem eindeutigen Fehlerhinweis).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kontext, Anwendungsfall und Nutzen in den Fokus
Die bisher genannten Überlegungen bezogen sich auf das Schnittstellen-Design. Darüber hinaus geht es aber um den Gesamtüberblick und darum, stets Kontext, Anwendungsfall und gewünschten Nutzen der geplanten Schnittstelle im Fokus zu behalten.
Orientierung dabei leisten folgende Fragen: Existieren interne Abhängigkeiten und lässt sich die Schnittstelle nutzen, um etwa Bestellungen für IT-Equipment oder Büromaterial zu tätigen? Wer arbeitet mit der Schnittstelle? Eine weitere Rolle spielen externe Abhängigkeiten: Erhalten Kunden mehr Usability, zum Beispiel durch Chatbots oder Selfservice mit anschließender Ticketerstellung? Und wer arbeitet dann mit der Schnittstelle?
APIs bieten Anwenderinnen und Anwendern neuen Komfort und können Unternehmen zugleich helfen, Kosten einzusparen. Letzteres hängt jedoch davon ab, wie intensiv die Schnittstelle zum Einsatz kommt. Viel Aufwand in eine API zu stecken, die dann nur von 20 Personen genutzt wird, dürfte sich kaum lohnen. Je höher also die Userzahl, desto besser sieht die Kosten-Nutzen-Rechnung aus.
Visualisierungen helfen dabei, einen Gesamtüberblick zu erhalten, zum Beispiel in Form eines Detailplans, der Mengengerüste beziffert sowie Kosten abwägt, mit allen eingesetzten Komponenten, Anwendern und weiteren Faktoren. Stimmt die Kosten-Nutzen-Rechnung, ist eine gut gemachte Schnittstelle ein sinnvolles Investment, dass sich schon bald bezahlt macht.
* Über den Autor Lukas Brinkmann ist Solution Architect Enterprise Service Management bei der handz.on GmbH.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/8d/e0/8de00bb0c72231bc51fe6baa095aaf82/0128995925v1.jpeg "Von der Ressourcenzuteilung bis zur Finanzverwaltung gestalten KI-Agenten die Zukunft der Unternehmensplanung und optimieren die Zusammenarbeit zwischen Mensch und Maschine. (Bild: © Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/17/40/1740df3260ea9ff0e7e9c8ad4b2b3011/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/a5/bca56318391b40b360df5794c34cd81b/0129324079v1.jpeg "Industrial AI Cloud: Eröffnung der Hochleistungs-KI-Infrastruktur der Deutschen Telekom in München mit massiv skalierbaren Rechen- und Speicherressourcen speziell für das Training und den Betrieb großer KI-Modelle. (Bild: Deutsche Telekom AG / Cindy Albrecht / Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/f2/baf2bd1814e2831c86bf6ef4aec7296b/0129333921v1.jpeg "Ein Klick genügt: Reprompt kapert Copilot-Sitzungen über URL-Parameter. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/dc/c5dc5a70b3b30c72d140b96c300743b7/0129090945v1.jpeg "Nur wenige Unternehmen schaffen den Sprung vom GenAI-Pilotprojekt zum produktiven Einsatz. Entscheidend ist nicht das Modell, sondern eine orchestrierte Architektur. (Bild: © Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/77/f1/77f1d79232d0c25f8ebcb92ef2fa7e54/0123195225v1.jpeg "Mit der neuen Plattform für API Management will Boomi ein starkes Ökosystem für Unternehmen zur Verfügung stellen, die ihre API-Strategie optimieren möchten. (Bild: Tomasz Zajda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/35/8b351ea0325a2dd165c56d29062bccf2/0128355283v1.jpeg "Autor Thomas Joos schreibt über den hybriden SAP-Betrieb: on premises und in der Cloud. (Bild: Midjourney / KI-generiert)")