lucadp - stock.adobe.com
API-Management als Grundlage für agentenbasierte KI
APIs sind für den Erfolg von KI-Strategien unerlässlich. Sie bilden die Verbindungsschicht, die KI-Agenten für die Kommunikation mit Unternehmenssystemen benötigen.
Agentic AI birgt das Potential, die Geschäftsmodelle vieler Unternehmen zu revolutionieren. Nachdem die KI-Bewegung durch die einfache Verfügbarkeit von Large Language Models (LLMs) deutlich an Fahrt aufgenommen hat, wird die Debatte nun von agentenbasierter KI dominiert, die autonom Entscheidungen trifft und Aufgaben erledigt. Unternehmen müssen ihre KI-Agenten jedoch nahtlos mit einer Vielzahl von Systemen und Daten verbinden, um maximalen Nutzen aus dieser Technologie zu ziehen.
APIs sind für den Erfolg von KI-Strategien daher unerlässlich geworden und bilden die Verbindungsschicht, die KI-Agenten für die Kommunikation mit Unternehmenssystemen benötigen. Tatsächlich lassen sich erste Auswirkungen der KI-Agenten auf APIs bereits in der Praxis beobachten. Laut IDC haben Unternehmen, die bereits Anwendungen und Dienste mit generativer KI in der Produktion einsetzen, etwa fünfmal mehr APIs als diejenigen, die bislang noch nicht in die Technologie investiert haben.
Werden diese APIs jedoch nicht adäquat verwaltet, wird die rasant steigende Zahl der Verbindungen zwischen Systemen die bereits bestehenden Probleme im Zusammenhang mit der Ausbreitung von APIs noch verschärfen. Dies wiederum führt zu erheblichen Sicherheits- und Compliance-Risiken.
Wie bereits erwähnt, steigt der Bedarf an neuen APIs im gleichen Maße, in dem Unternehmen die Ära der agentenbasierten KI für sich entdecken und nutzen. Gleichzeitig sinkt die Fähigkeit, Best Practices für Governance, Sicherheit und Lebenszyklusmanagement zu befolgen, da die vermehrten APIs hierbei zu Verzögerungen führen und traditionelle Governance-Ansätze an ihre Grenzen bringen. Um dieses Risiko zu mindern und die Leistungsfähigkeit der agentenbasierten KI sicher zu nutzen, benötigen Unternehmen eine vollständig integrierte API-Managementstrategie (APIM).
Zombies, Schatten APIs und deren Risiken
Es ist unmöglich, genau abzuschätzen, wie hoch die Verbreitung von APIs inzwischen ist. Dies ist zum Teil auf undokumentierte Schatten-APIs zurückzuführen. Ein Bericht von F5 (PDF) geht davon aus, dass die Anzahl der APIs im Jahr 2021 weltweit 200 Millionen überstieg. Da größere Unternehmen neben Tausenden von verwalteten APIs zusätzlich im Durchschnitt schätzungsweise 29 Schatten-APIs haben, ist die tatsächliche Zahl der aktiven APIs ungewiss. In jedem Fall wird die Zahl weiter explodieren, wenn sich die agentenbasierte KI durchsetzt.
Eine Kultur, in der über Governance und adäquate Verwaltung erst nachgedacht wird, nachdem neue APIs erstellt wurden, wird die Anzahl der Schatten-APIs, die in verschiedenen Organisationen existieren, nur noch weiter erhöhen. Das Problem wird zudem durch die weite Verbreitung von Zombie-APIs verschärft – APIs, die nicht mehr aktiv genutzt werden, aber immer noch zugänglich sind. Ein Entwickler kann beispielsweise eine API erstellen, um einmalig Daten von einem System in ein anderes zu übertragen, diese aber nach Abschluss der Übertragung nicht außer Betrieb nehmen. Gerade in der ersten Phase der Einführung neuer agentenbasierter KI-Systeme, in der noch viel und häufig experimentiert wird, kann eine Vielzahl von halb entwickelten APIs zurückbleiben.
Schatten- und Zombie-APIs stellen ein großes Sicherheitsrisiko dar. Dies wird durch die Tatsache verschlimmert, dass nur die Hälfte der Unternehmen über Software verfügt, um diese zu erkennen, so der bereits erwähnte IDC-Bericht. Auf der anderen Seite sind Bedrohungsakteure Meister darin, nicht verwaltete und ungeschützte APIs aufzuspüren. Sie wissen, dass diese Endpunkte möglicherweise eine veraltete, schwache oder fehlende Authentifizierung und andere Schwachstellen aufweisen, die sie ausnutzen können.
Die Folgen können von Datendiebstahl bis hin zu Credential Stuffing und der Erstellung gefälschter Konten reichen. Dies kann zu Compliance-Risiken, finanziellen Verlusten und Rufschädigung führen. Der Sicherheitsvorfall bei Trello im vergangenen Jahr hat dieses Risiko vor Augen geführt. Ein Angreifer nutzte einen falsch konfigurierten API-Endpunkt als Einfallstor aus, um auf die Daten von 15 Millionen Benutzern zuzugreifen.
Aufbau einer robusten API-Managementstrategie
Das Identifizieren von API Sprawl – also dem unkontrollierten Wachstum von APIs – als Problem ist eine Sache, etwas dagegen zu unternehmen jedoch häufig die größere Herausforderung. Das Problem besteht darin, dass die meisten traditionellen API-Managementlösungen (APIM), auf die sich viele Organisationen verlassen, angesichts von KI-Agenten nicht mehr zweckmäßig sind. Sie verursachen IT-Engpässe, die Innovationen ersticken und Entwicklungsabläufe verlangsamen, und ermutigen Entwickler, bei der Governance und Dokumentation Abkürzungen zu nehmen.
„Ein einheitlicher Ansatz für die Vernetzung von Systemen und Daten ermöglicht es IT-Teams und Fachabteilungen, die Potentiale der agentenbasierten KI ohne erhöhtes Risiko zu nutzen.“
Markus Müller, Boomi
Um diese Herausforderungen zu bewältigen, sollten Organisationen die Sichtbarkeit und Kontrolle ihrer APIs auf einer Plattform zentralisieren und während des gesamten End-to-End-Lebenszyklus eine föderierte Governance anwenden. Auf diese Weise können sie detaillierte Richtlinien festlegen, Sicherheits- und Monitoring-Anforderungen verwalten und so viel Arbeit wie möglich automatisieren, um die Entwickler zu entlasten. Die Governance wird hierbei Teil des regulären Arbeitsablaufs und nichts, was zusätzlich gemacht werden muss.
Es ist auch wichtig, Funktionen zur Überwachung und Steuerung der API-Nutzung einzurichten, damit Partner schnell eingebunden und bei Inkompatibilität ihrer Software oder Ablauf ihres Vertrags schnell wieder entfernt werden können. Compliance und fortlaufendes SLA-Management sind weitere wichtige Elemente einer zentralen APIM-Strategie, um regulatorische Risiken zu minimieren und eine gleichbleibende Qualität der Benutzererfahrung zu gewährleisten.
Entscheidend bei der Wahl der richtigen Softwarelösung für das API-Management ist es, darauf zu achten, dass die oben genannten Querschnittsthemen wie zum Beispiel Governance sich über alle verwendeten API-Technologien anwenden lassen und nicht auf nur auf ein System oder einen Hersteller beschränkt sind.
Fazit
Mit einer robusten, vollständig integrierten APIM-Strategie verfügen Unternehmen über eine solidere Grundlage. Ein einheitlicher Ansatz für die Vernetzung von Systemen und Daten ermöglicht es IT-Teams und Fachabteilungen, die Potentiale der agentenbasierten KI ohne erhöhtes Risiko zu nutzen. Dadurch werden sie in die Lage versetzt, ihre Geschäftsabläufe zu optimieren und Mitarbeiter zu entlasten, wodurch ein stärkerer und dauerhafterer Wettbewerbsvorteil entsteht.
Über den Autor:
Markus Müller ist Field CTO, APIM bei Boomi.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
