Sicherheits- und Compliance-Management im Lebenszyklus von Web-APIs
Ergebnisse eines Forschungsprojektes an der HWR Berlin / Otto-von-Guericke-Universität Magdeburg
von Sandro Hartenstein, Konrad Nadobny, Steven Schmidt, Andreas SchmietendorfDie fortschreitende Digitalisierung erfordert offene und interoperabel agierende Softwaresysteme, die sich in eine global vernetzte Welt technologieneutral, aufwandsarm und standardisiert einbinden lassen. Im zunehmenden Maße gelten durch Unternehmen, Behörden und Interessengruppen spezifizierte bzw. offerierte Web-APIs dabei als Rückgrat resultierender Integrationsarchitekturen.
Entscheidend für den erfolgreichen Einsatz von Web-APIs ist die Gewährleistung des Datenschutzes und der Datensicherheit sowohl aus Sicht der Anbieter als auch aus Sicht der entwicklerorientierten Nutzer. Im Mittelpunkt der Monografie stehen dem entsprechend die Möglichkeiten einer sicheren und regelkonformen Verwendung von Web-APIs. Nach einer begrifflichen Abgrenzung wird zunächst auf sicherheitsrelevante Anforderungen eingegangen. Dafür wurden verfügbare empirische Untersuchungen ausgewertet, aber auch eigenständige empirische Analysen durchgeführt. Nach der begrifflichen Klärung der Aufgaben eines den Lebenszyklus begleitenden API-Managements wird auf konstruktive und analytische Maßnahmen zur Qualitätssicherung von Web-APIs während der Softwareentwicklung eingegangen. In diesem Zusammenhang werden auch die Möglichkeiten einer DLT-basierten (Blockchain) Authentifizierung und Autorisierung der Zugriffe auf Web-APIs untersucht und dafür einsetzbare Frameworks vorgestellt. Im Sinne des ganzheitlichen Ansatzes (DevOps) wird schließlich auf die betrieblichen Aufgaben des Sicherheitsmanagements von Web-APIs eingegangen.