Eine Application Programming Interface, kurz API, ist eine standardisierte, klar definierte digitale Schnittstelle, über die unterschiedliche Softwareanwendungen strukturiert miteinander kommunizieren, automatisiert Daten austauschen und Funktionen anderer Systeme gezielt nutzen können.
APIs definieren klare Regeln, wie Anfragen an ein System gestellt und Antworten zurückgegeben werden, etwa beim Abruf von Wetterdaten, der Anbindung eines Zahlungsdienstleisters oder dem Austausch von Projektdaten zwischen einer BIM-Software und einer Projektplattform. Sie ermöglichen dadurch, dass verschiedene Programme automatisiert und ohne manuellen Eingriff zusammenarbeiten.
Für Unternehmen sind APIs aus Sicherheitssicht relevant, weil sie zugleich eine neue Angriffsfläche darstellen: Unzureichend abgesicherte Schnittstellen können Angreifern einen direkten Zugang zu Daten oder Systemfunktionen ermöglichen, oft ohne dass eine klassische Benutzeroberfläche zur Kontrolle dazwischengeschaltet ist.
Für Architektur- und Ingenieurbüros gewinnen APIs zunehmend an Bedeutung, etwa bei der automatisierten Anbindung von BIM-Software an Projektplattformen, Cloud-Speicher oder Abrechnungssysteme. Eine unsichere API-Anbindung kann dazu führen, dass sensible Planungsdaten unbeabsichtigt für Dritte zugänglich werden oder Angreifer gezielt über eine Schnittstelle in interne Systeme eindringen.
Abzugrenzen ist die API vom Browser, der Webinhalte für Menschen sichtbar darstellt, sowie vom Domain Name System, das Adressen in IP-Adressen übersetzt. Auch Cookies, die Sitzungsinformationen im Browser speichern, und DNS over HTTPS, das Namensauflösungen verschlüsselt, sind eigenständige, ergänzende Technologien im Zusammenspiel digitaler Systeme.
Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist das Thema API relevant, sobald Ihr Büro Software-Tools einsetzt, die automatisiert Daten austauschen, etwa zwischen BIM-Programmen, Cloud-Speichern oder Projektmanagement-Plattformen. Eine unsicher konfigurierte Schnittstelle kann unbemerkt zu einem Einfallstor für Angreifer werden oder dazu führen, dass vertrauliche Projektdaten versehentlich für unautorisierte Dritte einsehbar sind. Bei der Auswahl neuer Software-Lösungen lohnt sich daher die Nachfrage, wie die eingesetzten APIs abgesichert werden, etwa durch Verschlüsselung und Zugriffsbeschränkungen. Auch für die Bewertung des IT-Sicherheitsniveaus durch einen Cyberversicherer kann die Absicherung genutzter Schnittstellen zunehmend eine wichtige Rolle spielen, insbesondere bei Büros mit stark automatisierten, digital vernetzten Arbeitsabläufen.
Ein Ingenieurbüro nutzt eine API, um Planungsdaten automatisiert zwischen der internen BIM-Software und einer externen Projektplattform für Auftraggeber auszutauschen. Da die Schnittstelle zunächst ohne ausreichende Zugriffsbeschränkung konfiguriert ist, entdeckt ein externer Sicherheitsforscher, dass über die offene API auch Projektdaten anderer, nicht autorisierter Nutzer abrufbar wären. Nach diesem Hinweis lässt die IT-Abteilung die Schnittstelle umgehend mit einer verschlüsselten Authentifizierung und klar begrenzten Zugriffsrechten absichern, wodurch der Datenaustausch zwischen den Systemen weiterhin automatisiert, aber deutlich sicherer erfolgt. Die Geschäftsführung lässt zusätzlich alle weiteren genutzten digitalen Schnittstellen im Rahmen einer umfassenden, regelmäßig wiederholten Sicherheitsprüfung durch einen unabhängigen, spezialisierten externen Dienstleister sorgfältig und vollständig kontrollieren.
Eine API ist eine standardisierte Schnittstelle, über die verschiedene Softwareanwendungen strukturiert miteinander kommunizieren und automatisiert Daten oder Funktionen austauschen können.
Unzureichend abgesicherte Schnittstellen können Angreifern einen direkten Zugang zu Daten oder Systemfunktionen ermöglichen, oft ohne die Kontrollmechanismen einer klassischen Benutzeroberfläche.
Sie ermöglichen den automatisierten Austausch von Planungsdaten zwischen BIM-Software, Cloud-Diensten und Projektplattformen, erfordern jedoch eine sorgfältige Absicherung gegen unbefugten Zugriff.
Wichtige Maßnahmen sind eine verschlüsselte Datenübertragung, eine starke Authentifizierung sowie klar begrenzte, regelmäßig überprüfte Zugriffsrechte für jede einzelne Schnittstelle.
Da APIs eine eigenständige Angriffsfläche darstellen, kann deren nachvollziehbare Absicherung Teil der Bewertung des gesamten IT-Sicherheitsniveaus durch einen Cyberversicherer sein.
• Browser – stellt Webinhalte für Menschen dar, während eine API primär der Kommunikation zwischen Systemen dient.
• Domain Name System (DNS) – übersetzt Adressen in IP-Adressen und wird häufig auch bei API-Aufrufen genutzt.
• Cookie – speichert Sitzungsinformationen im Browser, während eine API Daten zwischen Systemen austauscht.
• Cyberversicherung – die Absicherung genutzter Schnittstellen kann Teil der Bewertung des IT-Sicherheitsniveaus sein.