SlideShare ist ein Scribd-Unternehmen logo
1 von 28
Die Bedeutung von APIs und deren
Management bei Digitalisierungsinitiativen
Eigene und fremde APIs erfolgreich managen und so
Anforderungen an Sicherheit und Compliance abdecken!
Roland Wenzke | SEEBURGER AG
© SEEBURGER AG 2019 2
Digitalisierung bringt einige Herausforderungen mit sich
… das erfordert Management
COMPLIANCE
Regulation
COMPLIANCE
Gesetzeskonform
WIRTSCHAFTLICHKEIT
Standardisierung
SICHERHEIT
Datenschutz
WIRTSCHAFTLICHKEIT
Automatisierung
SICHERHEIT
Skalierbarkeit
© SEEBURGER AG 2019 3
DSGVO
Compliance – Gesetzgeber verschärfen die Datenschutzrichtlinien
und drohen hohe Bußgelder bei Verstößen an
Der Bußgeldrahmen ist mit der Datenschutz-
Grundverordnung erheblich erhöht worden.
Lag bisher der Maximalbetrag bei 300.000 €
pro Fall, sind Unternehmen nun bei schwersten
Datenschutzverstößen von einem Maximalbußgeld
von bis zu 20 Mio. € oder von bis zu vier Prozent
ihres weltweiten Jahresumsatzes bedroht.
© SEEBURGER AG 2019 4
Folgen von Non Compliance –
Abgefangene E-Mails ermöglichen Scamming
e-Crime wird unterschätzt (KPMG)
Mail Server bzw. E-Mails sind das
bevorzugte technische Angriffsziel
Warnmeldungen des Landes-
kriminalamtes Baden-Württemberg
 Betrug-durch-Austausch-
der-Bankverbindung
 Unsichere Email Anhänge
© SEEBURGER AG 2019 5
Datenschutz – besonders wichtig für den Mittelstand!
© SEEBURGER AG 2019 6
Datenschutz – Datentransfer ist die Gefahrenquelle Nr.1
© SEEBURGER AG 2019 7
Datenschutz – Milliardenschäden durch Datendiebstahl
43 Milliarden Euro Schaden im 2-Jahres-Zeitraum
Bitte schätzen Sie den Schaden Ihres Unternehmens in Deutschland innerhalb der letzten zwei Jahre durch den jeweiligen aufgetretenen Delikttyp ein.
Basis: Alle befragten Industrieunternehmen, die in den letzten 2 Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren (n=343)
Quelle: Bitkom Research
Delikttyp
Schadenssummen innerhalb der letzten
2 Jahre in Mrd. Euro
Imageschaden bei Kunden oder Lieferanten / Negative Medienberichterstattung 8,8
Patentrechtsverletzungen (auch schon vor Anmeldung) 8,5
Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder
Betriebsabläufen
6,7
Kosten für Ermittlungen und Ersatzmaßnahmen 5,7
Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen 4,0
Umsatzeinbußen durch nachgemachte Produkte (Plagiate) 3,7
Kosten für Rechtsstreitigkeiten 3,7
Datenschutzrechtliche Maßnahmen (z.B. Information von Kunden) 1,4
Erpressung mit gestohlenen Daten oder verschlüsselten Daten 0,3
Sonstige Schäden 0,6
Gesamtschaden innerhalb der letzten zwei Jahre 43,4
© SEEBURGER AG 2019 8
API Schnittstellen sind eine neue Gefahrenquelle
auch hier gibt es bereits viele warnende Beispiele
https://nakedsecurity.sophos.com/2019/03/25/thousands-of-coders-are-leaving-their-crown-jewels-exposed-on-github/
https://securityaffairs.co/wordpress/87259/digital-id/venmo-privacy-transactions.html
© SEEBURGER AG 2019 9
API Schnittstellen sind eine neue Gefahrenquelle
auch hier gibt es bereits viele warnende Beispiele
https://threatpost.com/critical-cisco-bug-remote-takeover-routers/147826/
© SEEBURGER AG 2019 10
API Schnittstellen sind eine neue Gefahrenquelle
auch hier gibt es bereits viele warnende Beispiele
https://threatpost.com/internal-accenture-data-customer-information-exposed-in-public-amazon-s3-bucket/128364/
© SEEBURGER AG 2019 11
API Schnittstellen als Gefahrenquelle
Welche Sicherheitslücken sind vor allem zu nennen?
Es ist aus den genannten Beispielen ohne Detailkenntnis schwer abzuleiten gegen welche
Sicherheitsstandards konkret verstoßen wurde. Aber typischerweise sind es die folgende Bereiche:
Excessive Data Exposure
Man spricht davon, wenn eine API Daten ausgibt, die für den Anwendungsfall eigentlich nicht benötigt
werden. Zwar kann der die Daten konsumierende Client diese filtern. Diese Filter sind jedoch
angreifbar bzw. können umgangen werden.
Lack of Resources & Rate Limiting
Fehlt die Möglichkeit die Anzahl paralleler Aufrufe einer API zu begrenzen, so kann dies zu einer
Überlastung des Backend und damit zu einer Beeinträchtigung der allgemeinen Funktion des Backend
Systems führen, bis hin zum Totalausfall. Eine solche Situation kann durch eine unbeabsichtigte
Fehlkonfiguration beim API Konsumenten entstehen oder aber auch durch eine bösartige Absicht
(DOS/DDOS Angriffe)
Authentication & Authorization
Ein ausgeklügeltes Berechtigungssystem ist Teil der Lösung, um Excessive Data Exposure zu
vermeiden. Die beste Implementierung hilft hier aber nicht, wenn die Lösung selbst Angriffspunkte für
Hacker auf Server und auf Client Seite bietet, z.B. wenn Authentifizierungstoken ungeschützt
gespeichert werden und somit in falsche Hände gelangen können.
Security Misconfiguration
Die besten Sicherheitsverfahren nützen nichts, wenn sie nicht aktiviert sind. Generell müssen bei der
Umsetzung alle Aspekte de IT- und Datensicherheit einbezogen werden.
© SEEBURGER AG 2019 12
API-basierte Digitalisierungsinitiativen
Wie gehen Sie die ersten Herausforderungen an?
Es gibt immer mehr Anwendungsszenarien,
die API-Schnittstellen mit sich bringen
 API-basierte B2B-Integration
 Daten-als-Service:
z.B. Informationen als „Abruf-Service“ bereitstellen
 Branchen-Initiativen wie Open Banking
 Integration interner und externer Applikationen
(z.B. Cloud-Applikationen wie SALESFORCE und
Services aus der Cloud wie GOOGLE Geo-Location)
 Bereitstellung von Services und Daten über
Mobile Apps
REST und alles ist erledigt?
API-Integration reicht von trivial bis anspruchsvoll.
Trivial
API-Integration Punkt-zu-Punkt
Standard
API-Integration mit mehreren Endpunkten
Anspruchsvoll
API-Integration mehrerer Systeme,
Applikationen, Services
© SEEBURGER AG 2019 13
Worauf läuft die erfolgreiche Umsetzung von API-Integration
aber schnell hinaus?
© SEEBURGER AG 2019 14
API Szenario “provide”
APIs intern oder extern zur Verfügung stellen (“provisioning”)
Internal API
Providing Systems
API consuming
Apps & Systems
Applications / System
offering REST / SOAP
APIs
© SEEBURGER AG 2019 15
API Szenario “provide”
APIs intern oder extern zur Verfügung stellen (“provisioning”)
Internal Systems &
Databases without APIs
BIS API Integration
Solution
API Integration
Internal API
Providing Systems
API consuming
Apps & Systems
Applications / System
offering REST / SOAP
APIs
3rd Party Solution
providing REST / SOAP
APIs for connected
Applications and
Systems
Unmanaged
APIs!
Internal Applications
providing data via an API
implemented by a BIS
API Integration service
© SEEBURGER AG 2019 16
API Szenario “provide”
APIs intern oder extern zur Verfügung stellen (“provisioning”)
Internal Systems &
Databases without APIs
BIS API Integration
Solution
API Integration
Internal API
Providing Systems
API consuming
Apps & Systems
App Developers &
App Owners
API Publishers &
API Admins
BIS API
Portal
BIS API
Gateway
API ManagementApplications / System
offering REST / SOAP
APIs
3rd Party Solution
providing REST / SOAP
APIs for connected
Applications and
Systems
Managed in regards to: Security, Compliance/Governance, Efficiency
Internal Applications
providing data via an API
implemented by a BIS
API Integration service
Managed
APIs!
Managed
APIs!
© SEEBURGER AG 2019 17
API Admins &
API Consumers
BIS API
Portal
BIS API
Gateway
API Management
API Szenario “consume”
Zugang zu (“consumption of”) APIs von “externen Providern”
Internal Systems &
Databases without APIs
BIS API Integration
Solution
API Integration
Internal API
Consuming Systems
APIs provided by
external providers
Unmanaged
API consumption!
Applications / System
consuming externally
provided REST / SOAP
APIs
3rd Party Solution
consuming REST / SOAP
APIs of external
providers
Managed in regards to: Security, Compliance/Governance, Efficiency
Internal Applications
consuming data
provided by BIS API
integration coming from
externally provided APIs
Managed API
consumption!
© SEEBURGER AG 2019 18
CRM-APPLIKATIONEN HR-APPLIKATIONEN E-BUSINESS-APPLIKATIONEN
API-basierte Digitalisierungsinitiativen
z.B. Business-Apps werden zunehmend als Cloud Service gebucht
© SEEBURGER AG 2019 19
API-basierte Digitalisierungsinitiativen
Management von Sicherheit, Compliance und Wirtschaftlichkeit?
Was trifft bei Ihnen zu?
Wirtschaftlichkeit? API-Anbindung "selbst" realisieren Zentrale API-Lösung einführen
Wenige API-Schnittstellen
„Das soll der Anbieter des Cloud-Dienstes
gleich mitmachen"
„Lohnt sich das?"
Viele API-Schnittstellen „Wir müssen den Wildwuchs beseitigen!" „Hätten wir von Anfang an so machen sollen!"
Nur wenige API-Schnittstellen API-Anbindung "selbst„ realisieren Zentrale API-Lösung einführen
Sicherheit „Ich hoffe mal das ist alles bedacht worden"
Zentrales API-Gateway sorgt für klare
Sicherheits-Standards
Compliance
"GDPR? Ich weiß nicht mal genau welche
Daten alles ausgetauscht werden. Hat der
Fachbereich abgestimmt"
Zentrale Dokumentation aller APIs im API-Portal.
Governance-Prozesse bei Einführung neuer APIs
© SEEBURGER AG 2019 20
Vorteile einer API-Management-Lösung
auch wenn es „nur“ um Anbindung („consume“) externer APIs geht
Zentraler API-Katalog schafft
Transparenz, Effizienz und reduziert Kosten
Alle haben Transparenz zu bestehenden APIs
was doppelte Entwicklung vermeidet
Audit Trail
Zentraler Nachweis zur API-Nutzung
“API-Mediation”
Ermöglicht die Entkoppelung der genutzten
externen APIs von den intern verwendeten
(API-) Schnittstellen.
Sicherheit
Ermöglicht die zentrale, einheitliche
Anwendung von festgelegten Sicherheits-
Policies. Zentraler Schutz für genutzte API-Keys
im API-Gateway statt dezentraler Ablage in
von Fachbereichen beauftragten “Lösungen”.
Data Leakage/Compliance
Unternehmen sind u.a. zum Schutz personen-
bezogener oder sensibler Daten gesetzlich
verpflichtet. Dies gilt auch für Daten die als
Payload in API-Calls an externe Dienste
gesendet werden.
© SEEBURGER AG 2019 21
Gesamtüberblick zur BIS API Management Solution
“Bereitstellung” & “Konsum” von APIs managen
Internal Systems &
Databases Providing &
Consuming data
BIS API Integration
Solution
API Integration
Internal Systems
Providing & Consuming data
via own APIs
App Developers &
App OwnersAPI Publishers &
API Admins
API providing
Services
Managed APIs: Security, Compliance/Governance, Efficiency
API consuming
Apps & Systems
EXTERNAL (INTERNET)INTERNAL (INTRANET)
API Integration
platform providing
and consuming APIs
BIS API
Portal
BIS API
Gateway
API Management
© SEEBURGER AG 2019 22
Überblick Sicherheitsarchitektur bei API Management
API Gateway schützt APIs – und ist auch selbst zu schützen
Internal Systems &
Databases Providing &
Consuming data
BIS API Integration
Solution
API Integration
Internal Systems
Providing & Consuming data
via own APIs
App Developers &
App OwnersAPI Publishers &
API Admins
API providing
Services
Managed APIs: Security, Compliance/Governance, Efficiency
API consuming
Apps & Systems
EXTERNAL (INTERNET)INTERNAL (INTRANET)
API Integration
platform providing
and consuming APIs
Unmanaged
APIs!
© SEEBURGER AG 2019 23
Überblick Sicherheitsarchitektur bei API Management
API Gateway schützt APIs – und ist auch selbst zu schützen
Internal Systems &
Databases Providing &
Consuming data
BIS API Integration
Solution
API Integration
Internal Systems
Providing & Consuming data
via own APIs
App Developers &
App OwnersAPI Publishers &
API Admins
API providing
Services
Managed APIs: Security, Compliance/Governance, Efficiency
API consuming
Apps & Systems
EXTERNAL (INTERNET)INTERNAL (INTRANET)
API Integration
platform providing
and consuming APIs
BIS API
Portal
BIS API
Gateway
API Management
Managed APIs
© SEEBURGER AG 2019 24
Überblick Sicherheitsarchitektur bei API Management
API Gateway schützt APIs – und ist auch selbst zu schützen
Internal Systems &
Databases Providing &
Consuming data
BIS API Integration
Solution
API Integration
Internal Systems
Providing & Consuming data
via own APIs
App Developers &
App OwnersAPI Publishers &
API Admins
API providing
Services
Managed APIs: Security, Compliance/Governance, Efficiency
API consuming
Apps & Systems
EXTERNAL (INTERNET)INTERNAL (INTRANET)
API Integration
platform providing
and consuming APIs
BIS API
Portal
BIS API
Gateway
API Management
Anti-
DDoS
Bot
Mitigation
WAF
API Gateway
Protection
© SEEBURGER AG 2019 25
Überblick Sicherheitsarchitektur bei API Management
API Gateway schützt APIs – und ist auch selbst zu schützen
Erläuterungen zur dargestellten Folie:
 API Gateway schützt APIs wie folgt:
 Schutz vor unerlaubten Zugriffen Intern wie extern
 Schutz vor unerlaubten Inhalten (Eingehend und Ausgehend)
 Schutz vor übermäßigem und unerlaubtem Konsum
 Das API Gateway ist selbst auch zu schützen:
 Web Application Firewall: Analyse des Verkehrs zwischen den unterschiedlichen Komponenten
 Anti-DDoS: Schutz vor DDoS-Attacke, durch welche die Verfügbarkeit eingeschränkt wird
 Bot Mitigation: Schutz vor ungewollten und automatisierten Angriffen
© SEEBURGER AG 2019 26
API Management
Fazit
Die dargestellten Punkte lassen folgendes Fazit zu:
 Die Nutzung von APIs nimmt weiterhin stark zu – und damit auch die damit verbundenen Gefahren
 Aus Gründen der Sicherheit und der Compliance sollten API-Schnittstellen wie jeglicher sensibler
Filetransfer behandelt werden:
 Files managen: Managed File Transfer
 APIs managen: API Management
 Es empfiehlt sich dabei „früh“ zu beginnen und nicht erst wenn ein Wildwuchs bei der API-Nutzung
entstanden ist
 „Management“ Bedarf entsteht nicht erst beim Öffnen von eigenen APIs nach außen, sondern von
Beginn an beim „Konsum“ von API basierten Services
 Mit der SEEBURGER BIS Plattform sind Sie gerüstet, diese Herausforderungen erfolgreich anzugehen
© SEEBURGER AG 2019 27
Vielen Dank
Fragen oder Anmerkungen?
Wir sind für Sie da!
www.seeburger.de
© Copyright 2019 SEEBURGER AG. Alle Rechte vorbehalten
Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch die
SEEBURGER AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die von der SEEBURGER AG verbundenen Unternehmen oder von
Partnern angebotenen Softwareprodukte, können Softwarekomponenten auch anderer Softwarehersteller enthalten.
SAP®, SAP® R/3®, SAP NetWeaver®, SAP Cloud Plattform & Cloud Plattform Integrator®, SAP Archive Link®, SAP S4/Hana®, SAP® GLOBAL TRADE Service® (SAP GTS), SAP Fiori ®, ABAP™ und SAP ARIBA® sind
eingetragene Marken der SAP AG. Microsoft, Windows, Windows Phone, Excel, Outlook, PowerPoint, Silverlight und Visual Studio sind eingetragene Marken der Microsoft Corporation in den USA und
anderen Ländern. Linux ist eine eingetragene Marke von Linus Torvalds in den USA und anderen Ländern. UNIX, X/Open, OSF/1 und Motif sind eingetragene Marken der Open Group. Adobe, das Adobe-
Logo, Acrobat, Flash, PostScript und Reader sind eingetragene Marken oder Marken von Adobe Systems Incorporated in den USA und/oder anderen Ländern. HTML, XML, XHTML und W3C sind Marken,
eingetragene Marken oder werden vom Massachusetts Institute of Technology (MIT), European Research Consortium for Informatics and Mathematics (ERCIM) oder der Keio University als nicht
geschützte Begriffe beansprucht. Oracle und Java sind eingetragene Marken von Oracle und ihrer Tochtergesellschaften.
Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen
4invoice®, iMartOne®, SEEBURGER®, SEEBURGER Business-Integration Server®, SEEBURGER Logistic Solution Professional®, SEEBURGER Web Supplier Hub®, WinELKE®, SEEBURGER File Exchange ®,
SEEBURGER Link ®, SMART E-Invoice ® und weitere im Text erwähnte SEEBURGER-Produkte und -Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken
der SEEBURGER AG in Deutschland und anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text sind unverbindlich
und dienen lediglich zu Informationszwecken. Produkte und Dienstleistungen können länderspezifische Unterschiede aufweisen. Alle anderen erwähnten Firmen- und Softwarebezeichnungen sind
eingetragene Warenzeichen oder nicht eingetragene Warenzeichen der jeweiligen
Unternehmen und unterliegen als solche den gesetzlichen Bestimmungen.
 Die Information in diesem Dokument ist Eigentum von SEEBURGER und darf weder teils noch vollständig - und unabhängig von Absicht und Art - vervielfältigt
oder übertragen werden, ohne vorherige Zustimmung der SEEBURGER AG.
 Das vorliegende Geschäftsdokument ist eine Vorabversion und nicht Bestandteil Ihres Lizenz- oder anderweitigen Vertrags mit SEEBURGER. Es gibt allein Strategieabsichten, Entwicklungen und
Funktionalitäten des SEEBURGER-Produkts wieder und bindet SEEBURGER an keine bestimmte Geschäftsausrichtung, Produktstrategie und/oder Entwicklung. Dieses Dokument kann jederzeit und
ohne Vorankündigung von SEEBURGER geändert werden.
 SEEBURGER haftet nicht für Fehler bzw. Unterlassungen in diesem Dokument und übernimmt keine Gewähr für die Genauigkeit oder Vollständigkeit der Texte, Grafiken, Links oder andere Elemente
dieses Informationsträgers. Dieses Dokument wird ohne explizite oder implizite Gewährleistung jeglicher Art zur Verfügung gestellt, insbesondere was Mängelgewährleistung, Tauglichkeit zu jeglichem
Zweck und Rechtsverletzung angeht.
 SEEBURGER haftet für keinerlei direkte oder indirekte Schäden bzw. Folgeschäden, die sich aus der Verwendung dieses Dokuments ergeben. Ausgenommen
sind diejenigen, die sich aus grober Fahrlässigkeit oder Vorsatz ergeben.
 Die Haftpflicht für Personen- und Produktschäden ist hiervon nicht berührt. SEEBURGER hat keinerlei Kontrolle über die Information, zu denen Sie Zugang über
die hier beinhalteten Links haben und befürwortet weder deren Verwendung, noch haftet SEEBURGER in irgendeiner Weise für deren Inhalte.
© SEEBURGER AG 2019 28

Weitere ähnliche Inhalte

Ähnlich wie Die Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen

Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM Sumaya Erol
 
Wie Open APIs das Banking der Zukunft verändern (figo)
Wie Open APIs das Banking der Zukunft verändern (figo)Wie Open APIs das Banking der Zukunft verändern (figo)
Wie Open APIs das Banking der Zukunft verändern (figo)figo GmbH
 
All inside: Integrierte ALM-Komplettlösung mit "codeBeamer"
All inside: Integrierte ALM-Komplettlösung mit "codeBeamer" All inside: Integrierte ALM-Komplettlösung mit "codeBeamer"
All inside: Integrierte ALM-Komplettlösung mit "codeBeamer" Intland Software GmbH
 
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdf
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdfDACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdf
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdfDNUG e.V.
 
Smart Services 2025: Die Dominanz der Maschinendaten
Smart Services 2025: Die Dominanz der MaschinendatenSmart Services 2025: Die Dominanz der Maschinendaten
Smart Services 2025: Die Dominanz der MaschinendatenFutureManagementGroup AG
 
Der Weg von API First zur Cloud Initiative
Der Weg von API First zur Cloud InitiativeDer Weg von API First zur Cloud Initiative
Der Weg von API First zur Cloud InitiativeMichael Frembs
 
«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...
«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...
«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...Intelliact AG
 
Standardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen DokumentenStandardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen DokumentenSEEBURGER
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessICS User Group
 
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...FLYACTS GmbH
 
Integration von Schutz und Lizenzierung einfach gemacht
Integration von Schutz und Lizenzierung einfach gemachtIntegration von Schutz und Lizenzierung einfach gemacht
Integration von Schutz und Lizenzierung einfach gemachtteam-WIBU
 
Präsentation GSE Jahreshauptversammlung 2015 05-12
Präsentation GSE Jahreshauptversammlung 2015 05-12Präsentation GSE Jahreshauptversammlung 2015 05-12
Präsentation GSE Jahreshauptversammlung 2015 05-12LineMetrics
 
Eine Referenzarchitektur für das Digitale Produkt
Eine Referenzarchitektur für das Digitale ProduktEine Referenzarchitektur für das Digitale Produkt
Eine Referenzarchitektur für das Digitale ProduktIntelliact AG
 
Die Experton Big Data Studie und Splunk
Die Experton Big Data Studie und SplunkDie Experton Big Data Studie und Splunk
Die Experton Big Data Studie und SplunkGeorg Knon
 
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato SystemsBITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systemsarvato AG
 
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsBITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsHeiko Wrage
 

Ähnlich wie Die Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen (20)

Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM
 
Peter Hanke (Netapp Austria)
Peter Hanke (Netapp Austria)Peter Hanke (Netapp Austria)
Peter Hanke (Netapp Austria)
 
Wie Open APIs das Banking der Zukunft verändern (figo)
Wie Open APIs das Banking der Zukunft verändern (figo)Wie Open APIs das Banking der Zukunft verändern (figo)
Wie Open APIs das Banking der Zukunft verändern (figo)
 
All inside: Integrierte ALM-Komplettlösung mit "codeBeamer"
All inside: Integrierte ALM-Komplettlösung mit "codeBeamer" All inside: Integrierte ALM-Komplettlösung mit "codeBeamer"
All inside: Integrierte ALM-Komplettlösung mit "codeBeamer"
 
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdf
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdfDACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdf
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdf
 
IHR Weg in die API Economy
IHR Weg in die API EconomyIHR Weg in die API Economy
IHR Weg in die API Economy
 
Smart Services 2025: Die Dominanz der Maschinendaten
Smart Services 2025: Die Dominanz der MaschinendatenSmart Services 2025: Die Dominanz der Maschinendaten
Smart Services 2025: Die Dominanz der Maschinendaten
 
Der Weg von API First zur Cloud Initiative
Der Weg von API First zur Cloud InitiativeDer Weg von API First zur Cloud Initiative
Der Weg von API First zur Cloud Initiative
 
«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...
«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...
«Schnittstellen sind kompliziert, darum kann ich die Digitalisierung nicht mi...
 
Standardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen DokumentenStandardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen Dokumenten
 
API Design Strategy
API Design StrategyAPI Design Strategy
API Design Strategy
 
Die Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von MorgenDie Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von Morgen
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-business
 
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
 
Integration von Schutz und Lizenzierung einfach gemacht
Integration von Schutz und Lizenzierung einfach gemachtIntegration von Schutz und Lizenzierung einfach gemacht
Integration von Schutz und Lizenzierung einfach gemacht
 
Präsentation GSE Jahreshauptversammlung 2015 05-12
Präsentation GSE Jahreshauptversammlung 2015 05-12Präsentation GSE Jahreshauptversammlung 2015 05-12
Präsentation GSE Jahreshauptversammlung 2015 05-12
 
Eine Referenzarchitektur für das Digitale Produkt
Eine Referenzarchitektur für das Digitale ProduktEine Referenzarchitektur für das Digitale Produkt
Eine Referenzarchitektur für das Digitale Produkt
 
Die Experton Big Data Studie und Splunk
Die Experton Big Data Studie und SplunkDie Experton Big Data Studie und Splunk
Die Experton Big Data Studie und Splunk
 
BITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato SystemsBITKOM - Future of Cloud - arvato Systems
BITKOM - Future of Cloud - arvato Systems
 
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato SystemsBITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
BITKOM - Future of Cloud - Workshop Trendkongress 2013 - arvato Systems
 

Mehr von SEEBURGER

Best Practice Approaches for the Implementation of E-invoicing
Best Practice Approaches for the Implementation of E-invoicingBest Practice Approaches for the Implementation of E-invoicing
Best Practice Approaches for the Implementation of E-invoicingSEEBURGER
 
E-Invoicing: Invoice Provisioning with the Invoice Delivery Service
E-Invoicing: Invoice Provisioning with the Invoice Delivery ServiceE-Invoicing: Invoice Provisioning with the Invoice Delivery Service
E-Invoicing: Invoice Provisioning with the Invoice Delivery ServiceSEEBURGER
 
Global E-Invoicing
Global E-InvoicingGlobal E-Invoicing
Global E-InvoicingSEEBURGER
 
E-Invoicing: Automate Invoice Receipts
E-Invoicing: Automate Invoice ReceiptsE-Invoicing: Automate Invoice Receipts
E-Invoicing: Automate Invoice ReceiptsSEEBURGER
 
Importance of APIs and their Management in Digitalisation Initiatives
Importance of APIs and their Management in Digitalisation InitiativesImportance of APIs and their Management in Digitalisation Initiatives
Importance of APIs and their Management in Digitalisation InitiativesSEEBURGER
 
How does a Modern Integration Platform Innovate
How does a Modern Integration Platform InnovateHow does a Modern Integration Platform Innovate
How does a Modern Integration Platform InnovateSEEBURGER
 
Collaborative Product Development with 100% Partner Connection
Collaborative Product Development with 100% Partner ConnectionCollaborative Product Development with 100% Partner Connection
Collaborative Product Development with 100% Partner ConnectionSEEBURGER
 
More Freestyle Less Duty: Integration Platform as a Service (IPaaS)
More Freestyle Less Duty: Integration Platform as a Service (IPaaS)More Freestyle Less Duty: Integration Platform as a Service (IPaaS)
More Freestyle Less Duty: Integration Platform as a Service (IPaaS)SEEBURGER
 
Standard Solutions for Track and Trace of Electronic Documents
Standard Solutions for Track and Trace of Electronic DocumentsStandard Solutions for Track and Trace of Electronic Documents
Standard Solutions for Track and Trace of Electronic DocumentsSEEBURGER
 
Fifty Shades of Cloud - Overview, Best Practices, Examples
Fifty Shades of Cloud - Overview, Best Practices, ExamplesFifty Shades of Cloud - Overview, Best Practices, Examples
Fifty Shades of Cloud - Overview, Best Practices, ExamplesSEEBURGER
 
Kollaborative Produktentwicklung mit 100 % Partneranbindung
Kollaborative Produktentwicklung mit 100 % PartneranbindungKollaborative Produktentwicklung mit 100 % Partneranbindung
Kollaborative Produktentwicklung mit 100 % PartneranbindungSEEBURGER
 
Fifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, BeispieleFifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, BeispieleSEEBURGER
 
Best Practice-Ansätze bei der Umsetzung von E-Invoice.
Best Practice-Ansätze bei der Umsetzung von E-Invoice. Best Practice-Ansätze bei der Umsetzung von E-Invoice.
Best Practice-Ansätze bei der Umsetzung von E-Invoice. SEEBURGER
 
E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service
E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service
E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service SEEBURGER
 
Globales E-Invoicing
Globales E-InvoicingGlobales E-Invoicing
Globales E-InvoicingSEEBURGER
 
E-Invocing: Rechnungseingang automatisieren
E-Invocing: Rechnungseingang automatisierenE-Invocing: Rechnungseingang automatisieren
E-Invocing: Rechnungseingang automatisierenSEEBURGER
 
Closing Compliance Gap
Closing Compliance GapClosing Compliance Gap
Closing Compliance GapSEEBURGER
 
How to Avoid Data Breach Disasters in Automotive Supply Chains
How to Avoid Data Breach Disasters in Automotive Supply ChainsHow to Avoid Data Breach Disasters in Automotive Supply Chains
How to Avoid Data Breach Disasters in Automotive Supply ChainsSEEBURGER
 
Protecting SAP® Data with Managed File Transfer
Protecting SAP® Data with Managed File TransferProtecting SAP® Data with Managed File Transfer
Protecting SAP® Data with Managed File TransferSEEBURGER
 
CASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global Consolidation
CASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global ConsolidationCASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global Consolidation
CASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global ConsolidationSEEBURGER
 

Mehr von SEEBURGER (20)

Best Practice Approaches for the Implementation of E-invoicing
Best Practice Approaches for the Implementation of E-invoicingBest Practice Approaches for the Implementation of E-invoicing
Best Practice Approaches for the Implementation of E-invoicing
 
E-Invoicing: Invoice Provisioning with the Invoice Delivery Service
E-Invoicing: Invoice Provisioning with the Invoice Delivery ServiceE-Invoicing: Invoice Provisioning with the Invoice Delivery Service
E-Invoicing: Invoice Provisioning with the Invoice Delivery Service
 
Global E-Invoicing
Global E-InvoicingGlobal E-Invoicing
Global E-Invoicing
 
E-Invoicing: Automate Invoice Receipts
E-Invoicing: Automate Invoice ReceiptsE-Invoicing: Automate Invoice Receipts
E-Invoicing: Automate Invoice Receipts
 
Importance of APIs and their Management in Digitalisation Initiatives
Importance of APIs and their Management in Digitalisation InitiativesImportance of APIs and their Management in Digitalisation Initiatives
Importance of APIs and their Management in Digitalisation Initiatives
 
How does a Modern Integration Platform Innovate
How does a Modern Integration Platform InnovateHow does a Modern Integration Platform Innovate
How does a Modern Integration Platform Innovate
 
Collaborative Product Development with 100% Partner Connection
Collaborative Product Development with 100% Partner ConnectionCollaborative Product Development with 100% Partner Connection
Collaborative Product Development with 100% Partner Connection
 
More Freestyle Less Duty: Integration Platform as a Service (IPaaS)
More Freestyle Less Duty: Integration Platform as a Service (IPaaS)More Freestyle Less Duty: Integration Platform as a Service (IPaaS)
More Freestyle Less Duty: Integration Platform as a Service (IPaaS)
 
Standard Solutions for Track and Trace of Electronic Documents
Standard Solutions for Track and Trace of Electronic DocumentsStandard Solutions for Track and Trace of Electronic Documents
Standard Solutions for Track and Trace of Electronic Documents
 
Fifty Shades of Cloud - Overview, Best Practices, Examples
Fifty Shades of Cloud - Overview, Best Practices, ExamplesFifty Shades of Cloud - Overview, Best Practices, Examples
Fifty Shades of Cloud - Overview, Best Practices, Examples
 
Kollaborative Produktentwicklung mit 100 % Partneranbindung
Kollaborative Produktentwicklung mit 100 % PartneranbindungKollaborative Produktentwicklung mit 100 % Partneranbindung
Kollaborative Produktentwicklung mit 100 % Partneranbindung
 
Fifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, BeispieleFifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, Beispiele
 
Best Practice-Ansätze bei der Umsetzung von E-Invoice.
Best Practice-Ansätze bei der Umsetzung von E-Invoice. Best Practice-Ansätze bei der Umsetzung von E-Invoice.
Best Practice-Ansätze bei der Umsetzung von E-Invoice.
 
E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service
E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service
E-Invoicing: Rechnungsausgang mit dem Invoice Delivery Service
 
Globales E-Invoicing
Globales E-InvoicingGlobales E-Invoicing
Globales E-Invoicing
 
E-Invocing: Rechnungseingang automatisieren
E-Invocing: Rechnungseingang automatisierenE-Invocing: Rechnungseingang automatisieren
E-Invocing: Rechnungseingang automatisieren
 
Closing Compliance Gap
Closing Compliance GapClosing Compliance Gap
Closing Compliance Gap
 
How to Avoid Data Breach Disasters in Automotive Supply Chains
How to Avoid Data Breach Disasters in Automotive Supply ChainsHow to Avoid Data Breach Disasters in Automotive Supply Chains
How to Avoid Data Breach Disasters in Automotive Supply Chains
 
Protecting SAP® Data with Managed File Transfer
Protecting SAP® Data with Managed File TransferProtecting SAP® Data with Managed File Transfer
Protecting SAP® Data with Managed File Transfer
 
CASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global Consolidation
CASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global ConsolidationCASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global Consolidation
CASE STUDY: How SCA Hygiene Leveraged SAP NetWeaver for Global Consolidation
 

Die Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen

  • 1. Die Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen Eigene und fremde APIs erfolgreich managen und so Anforderungen an Sicherheit und Compliance abdecken! Roland Wenzke | SEEBURGER AG
  • 2. © SEEBURGER AG 2019 2 Digitalisierung bringt einige Herausforderungen mit sich … das erfordert Management COMPLIANCE Regulation COMPLIANCE Gesetzeskonform WIRTSCHAFTLICHKEIT Standardisierung SICHERHEIT Datenschutz WIRTSCHAFTLICHKEIT Automatisierung SICHERHEIT Skalierbarkeit
  • 3. © SEEBURGER AG 2019 3 DSGVO Compliance – Gesetzgeber verschärfen die Datenschutzrichtlinien und drohen hohe Bußgelder bei Verstößen an Der Bußgeldrahmen ist mit der Datenschutz- Grundverordnung erheblich erhöht worden. Lag bisher der Maximalbetrag bei 300.000 € pro Fall, sind Unternehmen nun bei schwersten Datenschutzverstößen von einem Maximalbußgeld von bis zu 20 Mio. € oder von bis zu vier Prozent ihres weltweiten Jahresumsatzes bedroht.
  • 4. © SEEBURGER AG 2019 4 Folgen von Non Compliance – Abgefangene E-Mails ermöglichen Scamming e-Crime wird unterschätzt (KPMG) Mail Server bzw. E-Mails sind das bevorzugte technische Angriffsziel Warnmeldungen des Landes- kriminalamtes Baden-Württemberg  Betrug-durch-Austausch- der-Bankverbindung  Unsichere Email Anhänge
  • 5. © SEEBURGER AG 2019 5 Datenschutz – besonders wichtig für den Mittelstand!
  • 6. © SEEBURGER AG 2019 6 Datenschutz – Datentransfer ist die Gefahrenquelle Nr.1
  • 7. © SEEBURGER AG 2019 7 Datenschutz – Milliardenschäden durch Datendiebstahl 43 Milliarden Euro Schaden im 2-Jahres-Zeitraum Bitte schätzen Sie den Schaden Ihres Unternehmens in Deutschland innerhalb der letzten zwei Jahre durch den jeweiligen aufgetretenen Delikttyp ein. Basis: Alle befragten Industrieunternehmen, die in den letzten 2 Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren (n=343) Quelle: Bitkom Research Delikttyp Schadenssummen innerhalb der letzten 2 Jahre in Mrd. Euro Imageschaden bei Kunden oder Lieferanten / Negative Medienberichterstattung 8,8 Patentrechtsverletzungen (auch schon vor Anmeldung) 8,5 Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen 6,7 Kosten für Ermittlungen und Ersatzmaßnahmen 5,7 Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen 4,0 Umsatzeinbußen durch nachgemachte Produkte (Plagiate) 3,7 Kosten für Rechtsstreitigkeiten 3,7 Datenschutzrechtliche Maßnahmen (z.B. Information von Kunden) 1,4 Erpressung mit gestohlenen Daten oder verschlüsselten Daten 0,3 Sonstige Schäden 0,6 Gesamtschaden innerhalb der letzten zwei Jahre 43,4
  • 8. © SEEBURGER AG 2019 8 API Schnittstellen sind eine neue Gefahrenquelle auch hier gibt es bereits viele warnende Beispiele https://nakedsecurity.sophos.com/2019/03/25/thousands-of-coders-are-leaving-their-crown-jewels-exposed-on-github/ https://securityaffairs.co/wordpress/87259/digital-id/venmo-privacy-transactions.html
  • 9. © SEEBURGER AG 2019 9 API Schnittstellen sind eine neue Gefahrenquelle auch hier gibt es bereits viele warnende Beispiele https://threatpost.com/critical-cisco-bug-remote-takeover-routers/147826/
  • 10. © SEEBURGER AG 2019 10 API Schnittstellen sind eine neue Gefahrenquelle auch hier gibt es bereits viele warnende Beispiele https://threatpost.com/internal-accenture-data-customer-information-exposed-in-public-amazon-s3-bucket/128364/
  • 11. © SEEBURGER AG 2019 11 API Schnittstellen als Gefahrenquelle Welche Sicherheitslücken sind vor allem zu nennen? Es ist aus den genannten Beispielen ohne Detailkenntnis schwer abzuleiten gegen welche Sicherheitsstandards konkret verstoßen wurde. Aber typischerweise sind es die folgende Bereiche: Excessive Data Exposure Man spricht davon, wenn eine API Daten ausgibt, die für den Anwendungsfall eigentlich nicht benötigt werden. Zwar kann der die Daten konsumierende Client diese filtern. Diese Filter sind jedoch angreifbar bzw. können umgangen werden. Lack of Resources & Rate Limiting Fehlt die Möglichkeit die Anzahl paralleler Aufrufe einer API zu begrenzen, so kann dies zu einer Überlastung des Backend und damit zu einer Beeinträchtigung der allgemeinen Funktion des Backend Systems führen, bis hin zum Totalausfall. Eine solche Situation kann durch eine unbeabsichtigte Fehlkonfiguration beim API Konsumenten entstehen oder aber auch durch eine bösartige Absicht (DOS/DDOS Angriffe) Authentication & Authorization Ein ausgeklügeltes Berechtigungssystem ist Teil der Lösung, um Excessive Data Exposure zu vermeiden. Die beste Implementierung hilft hier aber nicht, wenn die Lösung selbst Angriffspunkte für Hacker auf Server und auf Client Seite bietet, z.B. wenn Authentifizierungstoken ungeschützt gespeichert werden und somit in falsche Hände gelangen können. Security Misconfiguration Die besten Sicherheitsverfahren nützen nichts, wenn sie nicht aktiviert sind. Generell müssen bei der Umsetzung alle Aspekte de IT- und Datensicherheit einbezogen werden.
  • 12. © SEEBURGER AG 2019 12 API-basierte Digitalisierungsinitiativen Wie gehen Sie die ersten Herausforderungen an? Es gibt immer mehr Anwendungsszenarien, die API-Schnittstellen mit sich bringen  API-basierte B2B-Integration  Daten-als-Service: z.B. Informationen als „Abruf-Service“ bereitstellen  Branchen-Initiativen wie Open Banking  Integration interner und externer Applikationen (z.B. Cloud-Applikationen wie SALESFORCE und Services aus der Cloud wie GOOGLE Geo-Location)  Bereitstellung von Services und Daten über Mobile Apps REST und alles ist erledigt? API-Integration reicht von trivial bis anspruchsvoll. Trivial API-Integration Punkt-zu-Punkt Standard API-Integration mit mehreren Endpunkten Anspruchsvoll API-Integration mehrerer Systeme, Applikationen, Services
  • 13. © SEEBURGER AG 2019 13 Worauf läuft die erfolgreiche Umsetzung von API-Integration aber schnell hinaus?
  • 14. © SEEBURGER AG 2019 14 API Szenario “provide” APIs intern oder extern zur Verfügung stellen (“provisioning”) Internal API Providing Systems API consuming Apps & Systems Applications / System offering REST / SOAP APIs
  • 15. © SEEBURGER AG 2019 15 API Szenario “provide” APIs intern oder extern zur Verfügung stellen (“provisioning”) Internal Systems & Databases without APIs BIS API Integration Solution API Integration Internal API Providing Systems API consuming Apps & Systems Applications / System offering REST / SOAP APIs 3rd Party Solution providing REST / SOAP APIs for connected Applications and Systems Unmanaged APIs! Internal Applications providing data via an API implemented by a BIS API Integration service
  • 16. © SEEBURGER AG 2019 16 API Szenario “provide” APIs intern oder extern zur Verfügung stellen (“provisioning”) Internal Systems & Databases without APIs BIS API Integration Solution API Integration Internal API Providing Systems API consuming Apps & Systems App Developers & App Owners API Publishers & API Admins BIS API Portal BIS API Gateway API ManagementApplications / System offering REST / SOAP APIs 3rd Party Solution providing REST / SOAP APIs for connected Applications and Systems Managed in regards to: Security, Compliance/Governance, Efficiency Internal Applications providing data via an API implemented by a BIS API Integration service Managed APIs! Managed APIs!
  • 17. © SEEBURGER AG 2019 17 API Admins & API Consumers BIS API Portal BIS API Gateway API Management API Szenario “consume” Zugang zu (“consumption of”) APIs von “externen Providern” Internal Systems & Databases without APIs BIS API Integration Solution API Integration Internal API Consuming Systems APIs provided by external providers Unmanaged API consumption! Applications / System consuming externally provided REST / SOAP APIs 3rd Party Solution consuming REST / SOAP APIs of external providers Managed in regards to: Security, Compliance/Governance, Efficiency Internal Applications consuming data provided by BIS API integration coming from externally provided APIs Managed API consumption!
  • 18. © SEEBURGER AG 2019 18 CRM-APPLIKATIONEN HR-APPLIKATIONEN E-BUSINESS-APPLIKATIONEN API-basierte Digitalisierungsinitiativen z.B. Business-Apps werden zunehmend als Cloud Service gebucht
  • 19. © SEEBURGER AG 2019 19 API-basierte Digitalisierungsinitiativen Management von Sicherheit, Compliance und Wirtschaftlichkeit? Was trifft bei Ihnen zu? Wirtschaftlichkeit? API-Anbindung "selbst" realisieren Zentrale API-Lösung einführen Wenige API-Schnittstellen „Das soll der Anbieter des Cloud-Dienstes gleich mitmachen" „Lohnt sich das?" Viele API-Schnittstellen „Wir müssen den Wildwuchs beseitigen!" „Hätten wir von Anfang an so machen sollen!" Nur wenige API-Schnittstellen API-Anbindung "selbst„ realisieren Zentrale API-Lösung einführen Sicherheit „Ich hoffe mal das ist alles bedacht worden" Zentrales API-Gateway sorgt für klare Sicherheits-Standards Compliance "GDPR? Ich weiß nicht mal genau welche Daten alles ausgetauscht werden. Hat der Fachbereich abgestimmt" Zentrale Dokumentation aller APIs im API-Portal. Governance-Prozesse bei Einführung neuer APIs
  • 20. © SEEBURGER AG 2019 20 Vorteile einer API-Management-Lösung auch wenn es „nur“ um Anbindung („consume“) externer APIs geht Zentraler API-Katalog schafft Transparenz, Effizienz und reduziert Kosten Alle haben Transparenz zu bestehenden APIs was doppelte Entwicklung vermeidet Audit Trail Zentraler Nachweis zur API-Nutzung “API-Mediation” Ermöglicht die Entkoppelung der genutzten externen APIs von den intern verwendeten (API-) Schnittstellen. Sicherheit Ermöglicht die zentrale, einheitliche Anwendung von festgelegten Sicherheits- Policies. Zentraler Schutz für genutzte API-Keys im API-Gateway statt dezentraler Ablage in von Fachbereichen beauftragten “Lösungen”. Data Leakage/Compliance Unternehmen sind u.a. zum Schutz personen- bezogener oder sensibler Daten gesetzlich verpflichtet. Dies gilt auch für Daten die als Payload in API-Calls an externe Dienste gesendet werden.
  • 21. © SEEBURGER AG 2019 21 Gesamtüberblick zur BIS API Management Solution “Bereitstellung” & “Konsum” von APIs managen Internal Systems & Databases Providing & Consuming data BIS API Integration Solution API Integration Internal Systems Providing & Consuming data via own APIs App Developers & App OwnersAPI Publishers & API Admins API providing Services Managed APIs: Security, Compliance/Governance, Efficiency API consuming Apps & Systems EXTERNAL (INTERNET)INTERNAL (INTRANET) API Integration platform providing and consuming APIs BIS API Portal BIS API Gateway API Management
  • 22. © SEEBURGER AG 2019 22 Überblick Sicherheitsarchitektur bei API Management API Gateway schützt APIs – und ist auch selbst zu schützen Internal Systems & Databases Providing & Consuming data BIS API Integration Solution API Integration Internal Systems Providing & Consuming data via own APIs App Developers & App OwnersAPI Publishers & API Admins API providing Services Managed APIs: Security, Compliance/Governance, Efficiency API consuming Apps & Systems EXTERNAL (INTERNET)INTERNAL (INTRANET) API Integration platform providing and consuming APIs Unmanaged APIs!
  • 23. © SEEBURGER AG 2019 23 Überblick Sicherheitsarchitektur bei API Management API Gateway schützt APIs – und ist auch selbst zu schützen Internal Systems & Databases Providing & Consuming data BIS API Integration Solution API Integration Internal Systems Providing & Consuming data via own APIs App Developers & App OwnersAPI Publishers & API Admins API providing Services Managed APIs: Security, Compliance/Governance, Efficiency API consuming Apps & Systems EXTERNAL (INTERNET)INTERNAL (INTRANET) API Integration platform providing and consuming APIs BIS API Portal BIS API Gateway API Management Managed APIs
  • 24. © SEEBURGER AG 2019 24 Überblick Sicherheitsarchitektur bei API Management API Gateway schützt APIs – und ist auch selbst zu schützen Internal Systems & Databases Providing & Consuming data BIS API Integration Solution API Integration Internal Systems Providing & Consuming data via own APIs App Developers & App OwnersAPI Publishers & API Admins API providing Services Managed APIs: Security, Compliance/Governance, Efficiency API consuming Apps & Systems EXTERNAL (INTERNET)INTERNAL (INTRANET) API Integration platform providing and consuming APIs BIS API Portal BIS API Gateway API Management Anti- DDoS Bot Mitigation WAF API Gateway Protection
  • 25. © SEEBURGER AG 2019 25 Überblick Sicherheitsarchitektur bei API Management API Gateway schützt APIs – und ist auch selbst zu schützen Erläuterungen zur dargestellten Folie:  API Gateway schützt APIs wie folgt:  Schutz vor unerlaubten Zugriffen Intern wie extern  Schutz vor unerlaubten Inhalten (Eingehend und Ausgehend)  Schutz vor übermäßigem und unerlaubtem Konsum  Das API Gateway ist selbst auch zu schützen:  Web Application Firewall: Analyse des Verkehrs zwischen den unterschiedlichen Komponenten  Anti-DDoS: Schutz vor DDoS-Attacke, durch welche die Verfügbarkeit eingeschränkt wird  Bot Mitigation: Schutz vor ungewollten und automatisierten Angriffen
  • 26. © SEEBURGER AG 2019 26 API Management Fazit Die dargestellten Punkte lassen folgendes Fazit zu:  Die Nutzung von APIs nimmt weiterhin stark zu – und damit auch die damit verbundenen Gefahren  Aus Gründen der Sicherheit und der Compliance sollten API-Schnittstellen wie jeglicher sensibler Filetransfer behandelt werden:  Files managen: Managed File Transfer  APIs managen: API Management  Es empfiehlt sich dabei „früh“ zu beginnen und nicht erst wenn ein Wildwuchs bei der API-Nutzung entstanden ist  „Management“ Bedarf entsteht nicht erst beim Öffnen von eigenen APIs nach außen, sondern von Beginn an beim „Konsum“ von API basierten Services  Mit der SEEBURGER BIS Plattform sind Sie gerüstet, diese Herausforderungen erfolgreich anzugehen
  • 27. © SEEBURGER AG 2019 27 Vielen Dank Fragen oder Anmerkungen? Wir sind für Sie da! www.seeburger.de
  • 28. © Copyright 2019 SEEBURGER AG. Alle Rechte vorbehalten Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch die SEEBURGER AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die von der SEEBURGER AG verbundenen Unternehmen oder von Partnern angebotenen Softwareprodukte, können Softwarekomponenten auch anderer Softwarehersteller enthalten. SAP®, SAP® R/3®, SAP NetWeaver®, SAP Cloud Plattform & Cloud Plattform Integrator®, SAP Archive Link®, SAP S4/Hana®, SAP® GLOBAL TRADE Service® (SAP GTS), SAP Fiori ®, ABAP™ und SAP ARIBA® sind eingetragene Marken der SAP AG. Microsoft, Windows, Windows Phone, Excel, Outlook, PowerPoint, Silverlight und Visual Studio sind eingetragene Marken der Microsoft Corporation in den USA und anderen Ländern. Linux ist eine eingetragene Marke von Linus Torvalds in den USA und anderen Ländern. UNIX, X/Open, OSF/1 und Motif sind eingetragene Marken der Open Group. Adobe, das Adobe- Logo, Acrobat, Flash, PostScript und Reader sind eingetragene Marken oder Marken von Adobe Systems Incorporated in den USA und/oder anderen Ländern. HTML, XML, XHTML und W3C sind Marken, eingetragene Marken oder werden vom Massachusetts Institute of Technology (MIT), European Research Consortium for Informatics and Mathematics (ERCIM) oder der Keio University als nicht geschützte Begriffe beansprucht. Oracle und Java sind eingetragene Marken von Oracle und ihrer Tochtergesellschaften. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen 4invoice®, iMartOne®, SEEBURGER®, SEEBURGER Business-Integration Server®, SEEBURGER Logistic Solution Professional®, SEEBURGER Web Supplier Hub®, WinELKE®, SEEBURGER File Exchange ®, SEEBURGER Link ®, SMART E-Invoice ® und weitere im Text erwähnte SEEBURGER-Produkte und -Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SEEBURGER AG in Deutschland und anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte und Dienstleistungen können länderspezifische Unterschiede aufweisen. Alle anderen erwähnten Firmen- und Softwarebezeichnungen sind eingetragene Warenzeichen oder nicht eingetragene Warenzeichen der jeweiligen Unternehmen und unterliegen als solche den gesetzlichen Bestimmungen.  Die Information in diesem Dokument ist Eigentum von SEEBURGER und darf weder teils noch vollständig - und unabhängig von Absicht und Art - vervielfältigt oder übertragen werden, ohne vorherige Zustimmung der SEEBURGER AG.  Das vorliegende Geschäftsdokument ist eine Vorabversion und nicht Bestandteil Ihres Lizenz- oder anderweitigen Vertrags mit SEEBURGER. Es gibt allein Strategieabsichten, Entwicklungen und Funktionalitäten des SEEBURGER-Produkts wieder und bindet SEEBURGER an keine bestimmte Geschäftsausrichtung, Produktstrategie und/oder Entwicklung. Dieses Dokument kann jederzeit und ohne Vorankündigung von SEEBURGER geändert werden.  SEEBURGER haftet nicht für Fehler bzw. Unterlassungen in diesem Dokument und übernimmt keine Gewähr für die Genauigkeit oder Vollständigkeit der Texte, Grafiken, Links oder andere Elemente dieses Informationsträgers. Dieses Dokument wird ohne explizite oder implizite Gewährleistung jeglicher Art zur Verfügung gestellt, insbesondere was Mängelgewährleistung, Tauglichkeit zu jeglichem Zweck und Rechtsverletzung angeht.  SEEBURGER haftet für keinerlei direkte oder indirekte Schäden bzw. Folgeschäden, die sich aus der Verwendung dieses Dokuments ergeben. Ausgenommen sind diejenigen, die sich aus grober Fahrlässigkeit oder Vorsatz ergeben.  Die Haftpflicht für Personen- und Produktschäden ist hiervon nicht berührt. SEEBURGER hat keinerlei Kontrolle über die Information, zu denen Sie Zugang über die hier beinhalteten Links haben und befürwortet weder deren Verwendung, noch haftet SEEBURGER in irgendeiner Weise für deren Inhalte. © SEEBURGER AG 2019 28