Deine Webseite arbeitet selten allein. Im Hintergrund tauscht sie Daten mit einem Newsletter-Dienst, einem Bezahlanbieter, einem Karten-Dienst oder einem Buchungssystem aus. Damit diese Dienste einander vertrauen, bekommt jeder eine Art digitalen Ausweis, der den Zugang freischaltet. Dieser Ausweis heißt API-Schlüssel.
Du musst kein Entwickler sein, um mit solchen Schlüsseln in Berührung zu kommen. Sobald Du ein Tool an Deine Seite anbindest, ist im Hintergrund meist einer davon im Spiel. Und wie bei jedem Schlüssel kommt es darauf an, wer ihn in der Hand hält.
Was ein API-Schlüssel im Alltag ist
Ein Ersatzschlüssel für Dein Büro, den Du der Reinigungskraft gibst, öffnet genau eine Tür, nicht das ganze Gebäude, und Du gibst ihn nur jemandem, dem Du vertraust. Ein API-Schlüssel funktioniert ähnlich. Er ist eine lange, einmalige Zeichenfolge, die ein Dienst ausstellt, damit ein anderer Dienst auf bestimmte Funktionen zugreifen darf.
Ein Beispiel aus dem Alltag. Deine Webseite zeigt eine Karte mit Deinem Standort an. Der Kartendienst will wissen, wer da bei ihm anfragt, und stellt Dir dafür einen Schlüssel aus. Deine Seite legt diesen Schlüssel bei jeder Anfrage vor, und der Kartendienst liefert die Karte. Niemand muss sich dabei mit Benutzername und Passwort anmelden, der Schlüssel allein genügt als Nachweis.
Genau das macht ihn praktisch und heikel zugleich. Praktisch, weil die Anbindung im Hintergrund ohne Dein Zutun läuft. Heikel, weil der Schlüssel allein ausreicht, um in Deinem Namen zu handeln. Wer ihn besitzt, braucht weder Dein Passwort noch Deine Zustimmung. Wenn Dich die Grundlagen dahinter interessieren, findest Du sie im Beitrag Was ist eine API.
Was passiert, wenn er in falsche Hände gerät
Ein API-Schlüssel öffnet eine Tür, hinter der oft echte Kosten oder echte Daten liegen. Gerät er an die falsche Stelle, handelt jemand in Deinem Namen, und die Rechnung oder der Schaden landet bei Dir.
Bei einem Bezahl- oder Versanddienst kann das bedeuten, dass über Deinen Zugang Buchungen ausgelöst werden. Bei einem Newsletter-Dienst könnte jemand Deine Empfängerliste auslesen oder Mails über Deinen Absender verschicken. Bei einem Cloud-Dienst, der nach Nutzung abrechnet, läuft im schlimmsten Fall eine vierstellige Rechnung auf, bevor Dir etwas auffällt.
Wie ein Schlüssel überhaupt nach außen gelangt, ist meist unspektakulär. Er steckt versehentlich in einer Datei, die öffentlich erreichbar ist. Er wird per Mail oder Chat weitergereicht und bleibt dort liegen. Oder er stammt aus einem Dienst, bei dem es ein Datenleck gab. Ob Deine Zugangsdaten von so einem Leck betroffen sind, kannst Du im Beitrag geleakte Passwörter erkennen nachlesen.
Die gute Nachricht steckt in der Natur der Sache. Ein Schlüssel lässt sich austauschen. Anders als bei gestohlenen Kundendaten ist der Schaden begrenzt, wenn Du schnell den alten Schlüssel sperrst und einen neuen ausstellst.
Sicher aufbewahren und regelmäßig erneuern
Ein API-Schlüssel gehört behandelt wie ein Passwort, nicht wie eine Notiz. Er sollte also nicht offen herumliegen, nicht per Mail wandern und nicht in Dokumenten stehen, die viele Leute sehen.
Für die Aufbewahrung eignet sich ein Passwort-Manager. Dort liegt der Schlüssel verschlüsselt, Du findest ihn bei Bedarf wieder, und Du gibst ihn nicht versehentlich weiter. Wie Du so einen Manager einrichtest, beschreibt der Beitrag Passwort-Manager einsetzen.
Drei Gewohnheiten halten Deine Schlüssel über die Zeit sauber:
- Trennen: Lege für jeden Dienst einen eigenen Schlüssel an, statt einen für alles zu verwenden. Fällt einer aus, sind die anderen unberührt.
- Beschränken: Viele Dienste lassen Dich festlegen, was ein Schlüssel darf. Erlaube nur, was die Anbindung wirklich braucht.
- Erneuern: Tausche Schlüssel in ruhigen Abständen aus, etwa einmal im Jahr, und sofort, wenn jemand das Team verlässt oder ein Dienst ein Leck meldet.
Das Erneuern klingt aufwendiger, als es ist. In der Verwaltung des jeweiligen Dienstes stellst Du einen neuen Schlüssel aus, hinterlegst ihn an Deiner Seite und sperrst danach den alten. Der Vorgang dauert meist wenige Minuten und nimmt einem verlorenen Schlüssel jede Wirkung.
So behältst Du die Kontrolle über Deine Schlüssel
Oft pflegt eine Agentur oder ein Dienstleister die technische Anbindung, nicht Du selbst. Damit Du trotzdem die Kontrolle behältst, helfen ein paar klare Ansagen, die kein technisches Vorwissen verlangen.
Bitte darum, dass jeder Dienst seinen eigenen Schlüssel bekommt und dass die Schlüssel nicht per Mail oder Chat hin und her wandern. Frag, wo die Schlüssel abgelegt sind und ob der Zugriff auf die Personen beschränkt ist, die ihn wirklich brauchen. Klär außerdem, was passiert, wenn ein Schlüssel ersetzt werden muss, und wer das dann übernimmt.
Wichtig ist auch das Ende einer Zusammenarbeit. Wenn ein Dienstleister geht, sollten die Schlüssel, die er kannte, erneuert werden. Das gehört zur Sorgfalt dazu, genau wie das Tauschen eines Türschlosses nach einem Auszug.
Mit diesen Fragen zeigst Du, dass Du das Thema ernst nimmst, und ein guter Dienstleister wird sie gern beantworten. Sträubt sich jemand gegen klare Auskunft darüber, wo Deine Schlüssel liegen, ist das selbst schon ein Hinweis.
Fazit
API-Schlüssel sind die stillen Ersatzschlüssel Deiner Webseite. Du siehst sie selten, doch sie öffnen Türen zu Diensten, an denen echte Kosten und echte Daten hängen.
Wer sie wie Passwörter behandelt, sie pro Dienst trennt und in ruhigen Abständen erneuert, nimmt einem verlorenen Schlüssel die Wirkung. Und wer seiner Agentur die richtigen Fragen stellt, behält die Kontrolle, auch ohne selbst an der Technik zu schrauben.