Um über eine Pro­gram­mier­schnitt­stel­le auf ein Programm oder eine Anwendung zu­zu­grei­fen, braucht es einen API-Key. Beim API-Key handelt es sich um einen ein­ma­li­gen Schlüssel bestehend aus einer geheimen Zei­chen­fol­ge, die den Zugriff be­rech­tigt. Mit einem Schlüssel erkennt die API be­rech­tig­te Nut­ze­rin­nen und Nutzer und schützt Programme und Systeme vor Fremd­zu­griff.

API-Key: De­fi­ni­ti­on

Zur Ver­bin­dung und zum Austausch von Funk­tio­na­li­tä­ten zwischen zwei Pro­gram­men kommen Pro­gram­mier­schnitt­stel­len, besser bekannt als API (Ap­pli­ca­ti­on Pro­gramming Interface), zum Einsatz. Eine API bietet Pro­gram­mie­rin­nen und Pro­gram­mie­rer, An­wen­dun­gen, Apps oder Projekten die Mög­lich­keit, mit einem anderen Dienst oder Programm zu in­ter­agie­ren. Auf diese Weise lässt sich über eine API kon­trol­lie­ren, wer Anfragen zwischen APIs stellen darf, wer eine Be­rech­ti­gung erhält und welche Da­ten­for­ma­te zum Einsatz kommen.

Die Kontrolle von Zugriffen erfolgt über einmalige und ein­zig­ar­ti­ge Au­then­ti­fi­zie­rungs­schlüs­sel namens API-Keys. API-Keys lassen sich unter anderem über ent­spre­chen­de API-Betreiber anfordern. Verfügen Nut­ze­rin­nen und Nutzer oder An­wen­dun­gen über den ent­spre­chen­den Schlüssel, so gewährt der API-Server den Zugriff.

Wie funk­tio­niert ein API-Key?

API-Keys funk­tio­nie­ren ähnlich wie Pass­wör­ter. Sobald eine API eine andere API „anruft“ und Zugriff anfordert, wird die Zu­griffs­be­rech­ti­gung durch den Austausch des API-Keys gestattet. Der API-Key wird dem an­ru­fen­den Dienst oder Programm zu­ge­wie­sen und an den API-Server über­tra­gen. Bestätigt der API-Server die Echtheit des API-Keys, so wird der Zugriff auf das Programm oder bestimmte Funk­tio­na­li­tä­ten gewährt. Zudem lassen sich durch API-Keys an­wen­dungs­über­grei­fen­de Aktionen über die API-Schnitt­stel­len durch­füh­ren.

Die Regeln für Zugriffe, Da­ten­for­ma­te oder den Umfang von Aktionen legen API-Betreiber fest. So lässt sich genau bestimmen, welche Art von Nut­ze­rin­nen und Nutzer oder Projekten Zu­griffs­be­rech­ti­gun­gen erhalten und welche Aktionen über die Pro­gram­mier­schnitt­stel­len erlaubt sind. API-Keys lassen sich auch direkt in Pro­gram­mier­spra­chen wie Ja­va­Script oder Python verankern. Nut­ze­rin­nen und Nutzer oder Dienste müssen somit den Schlüssel in Ja­va­Script vom zu­ge­hö­ri­gen API-Server anfordern.

Wofür kommen API-Keys zum Einsatz?

API-Keys kommen vor allem für folgende Funk­tio­nen zum Einsatz:

  • Iden­ti­fi­zie­rung: Ein API-Key kann „anrufende“ APIs, Projekte oder Dienste für den API-Server iden­ti­fi­zie­ren. So lässt sich pro­to­kol­lie­ren, wer Zugriffe an­for­der­te, Zugriff erhielt oder abgelehnt wurde.
  • Au­then­ti­fi­zie­rung: Durch den Austausch des API-Keys lässt sich über­prü­fen, ob Clients tat­säch­lich zu­griffs­be­rech­tigt sind. Zudem wird überprüft, ob die an­ge­for­der­te API aktiv ist.
  • Au­to­ri­sie­rung: Nach Iden­ti­fi­zie­rung des Projekts oder Dienstes bestimmen die Zu­griffs­re­geln des API-Servers, in welchem Umfang Zugriff gewährt wird.

Wie lassen sich API-Keys anfordern?

Wie Sie API-Keys anfordern oder zu­ge­wie­sen bekommen, hängt von der API ab, mit der Sie sich verbinden möchten. Die Zu­griffs­re­geln variieren je nach Art der API-Betreiber. In der Regel erfolgt die Zuordnung von API-Keys jedoch nach diesem Muster:

  • Sie rufen die Seite des Providers auf, über dessen API der Zugriff erfolgen soll und loggen sich auf der Ent­wick­ler-Seite ein.
  • Sie wählen API-Keys für be­stehen­de Projekte oder für die Er­stel­lung neuer Projekte aus.
  • Für den API-Key lässt sich ein Name zur besseren Zuordnung vergeben.
  • Nach Er­stel­lung und Vergabe des API-Keys kann dieser in die Website oder App für den späteren Zugriff und Da­ten­trans­fer eingefügt werden. Bei weiteren Aufrufen erkennt der API-Server nun die anrufende Anwendung über den API-Key.
Tipp

Möchten Sie wissen, wie Sie für Apps wie ChatGPT, Google Maps oder YouTube einen API-Key anfordern? Dann beachten Sie unsere An­lei­tun­gen zu folgenden Themen:

Vorteile von API-Keys

Die Vorteile von API-Keys liegen in einer einfachen und schnellen Au­then­ti­fi­zie­rung von Zu­griffs­rech­ten für Nut­ze­rin­nen und Nutzer, Diensten oder Pro­gram­men. Das gilt vor allem, wenn ver­schie­de­ne An­wen­dun­gen verbunden werden, um Daten aus­zu­tau­schen oder pro­gramm­über­grei­fen­de Aktionen aus­zu­füh­ren. Auch im Fall von Pro­gram­mie­rern und Pro­gram­mie­re­rin­nen, die eine App erstellen und hierzu per API auf ein Programm zugreifen, bieten Au­then­ti­fi­zie­rungs­schlüs­sel Vorteile. API-Server können über die pass­wort­ähn­li­chen Schlüssel si­cher­stel­len, dass bös­wil­li­gen Akteure keinen Zugriff auf das System erhalten.

Folgende Funk­tio­nen bieten API-Keys für ver­bes­ser­te, kom­ple­xe­re Au­then­ti­fi­zie­rungs­pro­zes­se:

  • Re­gis­trie­rung von APIs, Pro­gram­men, Diensten oder Projekten, die auf bestimmte API zugreifen möchten
  • API-Server und API-Betreiber de­fi­nie­ren Zu­griffs­rech­te, um zu bestimmen, welche APIs welche Art von Aktionen und Zugriff au­to­ri­sie­ren darf
  • Übersicht über zu­rück­lie­gen­de ge­stat­te­te oder ab­ge­lehn­te Zugriffe
  • API-Keys bieten als einmalige, ein­zig­ar­ti­ge und geheime Schlüssel zu­sätz­li­che Si­cher­heit
  • Er­mög­li­chen die Blo­ckie­rung von nicht iden­ti­fi­zier­ba­rem Traffic im Netzwerk
  • Können die Anzahl an Anrufen an eine API be­schrän­ken und somit die Aus­las­tung kon­trol­lie­ren
  • Bestimmte Zu­griffs­ar­ten oder -muster lassen sich besser filtern und spe­zi­el­len API-Keys zuordnen

Welche Rolle spielen API-Keys für die Si­cher­heit?

API-Keys allein stellen keine aus­rei­chen­de Si­cher­heits­maß­nah­me dar, sondern bieten vielmehr einen zu­sätz­li­ches Level an Zu­griffs­si­cher­heit. Da sich API-Keys ähnlich wie Pass­wör­ter im Besitz von Clients befinden, besteht die Gefahr, dass sie von Hackern gestohlen werden. Un­ver­schlüs­sel­te ge­stoh­le­ne API-Keys können ähnlich wie ein ge­stoh­le­nes Passwort schnell zu Fremd­zu­grif­fen auf ein System führen. API-Keys bleiben in der Regel in den Pro­to­kol­len von Servern sichtbar und können Hackern unter dem Mantel eines ver­meint­lich be­rech­tig­ten Zugriffs Zutritt ver­schaf­fen. Sie spielen häufig eine Rolle, wenn es um Cy­ber­an­grif­fe wie DDoS-Attacken, Man-in-the-middle-Attacken oder In­jec­tions geht.

Folgende Si­cher­heits­aspek­te sind bei API-Keys zu beachten:

  • API-Keys iden­ti­fi­zie­ren nicht konkrete Nut­ze­rin­nen und Nutzer, sondern nur APIs oder Programme, die Zugriff anfordern.
  • Im Gegensatz zu Pass­wör­tern werden API-Keys meist cli­ent­sei­tig nicht ver­schlüs­selt ge­spei­chert und bleiben in Ser­ver­pro­to­kol­len sichtbar.
  • API-Keys bieten die Mög­lich­keit wie unsichere Pass­wör­ter von Hackern gestohlen zu werden, um sich Zugriff zu einer Anwendung zu ver­schaf­fen.
IONOS Ent­wick­ler API
Verwalten Sie Ihre IONOS Hosting-Produkte über unsere leis­tungs­star­ken APIs
  • DNS-Ma­nage­ment
  • SSL-Ver­wal­tung
  • API-Do­ku­men­ta­ti­on

Wie lassen sich API-Keys sicher nutzen?

Da Programme über APIs sensible Daten aus­tau­schen und den Zugriff auf interne An­wen­dun­gen gewähren, kommt es auf zu­ver­läs­si­ge API-Si­cher­heit an. Zu Si­cher­heits­maß­nah­men, die den Schutz von APIs ver­stär­ken, zählen:

  • Der Zugriff auf cli­ent­sei­tig hin­ter­leg­te API-Keys sollte be­schränkt und geschützt bleiben.
  • Für jedes Projekt und jede Anwendung sollten Sie einen eigenen API-Key verwenden.
  • Nicht mehr benötigte API-Keys gilt es zu löschen.
  • Ge­spei­cher­te API-Keys sollten Sie als Cre­den­ti­als-at-Rest ver­schlüs­seln, um den Diebstahl von Schlüs­seln vor­zu­beu­gen.
  • API-Keys sollten Sie nicht klar lesbar in Code in­te­grie­ren oder in der Quell­struk­tur speichern
  • Die Nutzung und Ver­wen­dung von API-Keys gilt es zu über­wa­chen, bei­spiels­wei­se wenn mehrere Pro­gram­mie­re­rin­nen und Pro­gram­mie­rer Rest APIs per Open API verwenden.

API-Keys und Da­ten­schutz

Ein weiterer wichtiger Aspekt von API-Keys ist der Da­ten­schutz. Dieser beginnt bereits, wenn Sie eine neue App auf dem Handy in­stal­lie­ren, die nach zu­sätz­li­chen Be­rech­ti­gun­gen fragt. So kann es passieren, dass Sie nicht genau prüfen, welche Be­rech­ti­gun­gen eine App anfordert. Im Fall frag­wür­di­ger Dienste könnten Sie ungewollt den Zugriff auf alle Ihre Facebook-Daten, Fotos oder den Handy-Speicher erlauben. Die Folge: Ein um­fas­sen­des Sammeln von Daten oder im Ernstfall sogar die Übernahme des Systems. Achten Sie daher darauf, nur ver­trau­ens­wür­di­gen Apps per API-Key Zugriff zu gestatten, um Da­ten­miss­brauch vor­zu­beu­gen.

Zum Hauptmenü