Open Banking braucht passende Sicherheitskonzepte

Banken müssen externen Finanzdienstleistern auf Kundenwunsch künftig Zugriff auf dessen Daten gewähren. Gastautor Daniel Heck erklärt, warum die Institute im Zuge von PSD2 Sicherheit neu denken müssen.

Die neue EU-Richtlinie PSD2 soll den Wettbewerb und Service beim Online Banking erhöhen. Durch Open Banking soll das Bezahlen im Internet über die Nutzung von Zahlungsauslösediensten (ZAD) genauso schnell und einfach werden, wie bar an der Kasse. Zudem können Kunden, die Konten bei verschiedenen Banken haben, durch die neuen Regularien Kontoinformationsdienste (KID) nutzen. Für die Kunden bedeutet Open Banking also mehr Komfort, für Fintechs bedeutet es einen besseren Zugang in den Markt. Die neue Schnittstelle bietet aber auch einen neuen Angriffspunkt für Hacker. Die Banken benötigen deshalb dringend neue Sicherheitskonzepte, um die Kundendaten vor Missbrauch zu schützen.

RTS schreiben Authentifizierungsverfahren vor

Sowohl ZAD als auch KID benötigen für ihre Dienstleistungen Zugriff auf die Daten der Kunden. Die PSD2 definiert daher sogenannte Application Programming Interfaces (APIs), über die sich die Online-Services verbinden und Daten übertragen lassen. Damit dies sicher geschieht, verpflichtet die PSD2 Zahlungsdienstleister dazu, eine sogenannte starke Kundenauthentifizierung, abgekürzt SCA, zu entwickeln. In den technischen Regulierungsstandards (RTS) wird dafür eine Kombination aus mindestens zwei voneinander unabhängigen Elementen vorgegeben. 

Für Banken ist die technische Umsetzung dieser neuen Vorgaben eine enorme Herausforderung. Sie müssen gewährleisten, dass die neuen Authentifizierungsverfahren bei der Anbindung der Drittparteien umgesetzt werden. Insbesondere benötigen sie aber auch neue Schutzmechanismen, da APIs einer Vielzahl von Angriffsszenarien ausgesetzt sind. Drei wichtige Aspekte hierbei sind

• die Nichterreichbarkeit verhindern,
• Daten schützen und EU-DSGVO einhalten
• und mit der IT-Sicherheit Ressourcen schonen.

Zusätzliche Schutzmechanismen neben der Firewall

Sind Online-Finanzdienste nicht erreichbar, erleidet der Finanzdienstleister einen enormen Imageschaden. Ausgelöst werden kann die Verweigerung des Dienstes durch einen Distributed Denial of Service (DDoS)-Angriff auf die API. Angreifer senden dabei sintflutartige Anfragen an das Netzwerk des jeweiligen Opfers. Die Masse eingehender Nachrichten erzwingt ein Abschalten des Systems und aller über dieses System bereitgestellten Dienste. Häufig werden diese Angriffe mit Lösegeldforderungen verbunden. Die Hacker senden dann zunächst eine Nachricht an das jeweilige Finanzinstitut und drohen mit einer Anfragenattacke, sollte ein bestimmter Geldbetrag nicht gezahlt werden. Eine Drohung, die ernst zu nehmen ist. Die Bewältigung eines solchen Ransom-DDoS-Angriffs kann eine Bank mehrere Hunderttausende Euro kosten. 

Gegen diese Attacken können herkömmliche Netzwerk-Firewalls wenig ausrichten. Da Firewalls in der Regel die erste Verteidigungslinie gegen Attacken aus dem Internet darstellen, sollten sie zwar beim Sicherheitskonzept auf keinen Fall fehlen. Da APIs jedoch auf Web-Ebene kommunizieren, sind zusätzliche Schutzmechanismen erforderlich. Kern dieses Schutzes ist eine sogenannte Web Application Firewall. Diese kann im Unterschied zu herkömmlichen Firewalls Daten überprüfen, die im HTTP- beziehungsweise HTTPS-Protokoll verkehren. Sobald bestimmte Inhalte als verdächtig eingestuft werden, verhindert die Web Application Firewall den Zugriff.

Im Falle von DDoS- oder DoS-Attacken greift ein Scoring-Modell: Nimmt man als Schwellenwert zum Beispiel die Anzahl der Anfragen, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf, werden Anfragen gestoppt, die über diese Anzahl hinausgehen. Auf diese Weise sind Finanzinstitute geschützt und brauchen Attacken dieser Art nicht zu fürchten.

Datenschutz durch Verschlüsselung sicherstellen

Daten, die über APIs in Web- und Cloud-Anwendungen bereitgestellt werden, lassen sich nicht mit klassischen Sicherheitssystemen vor Angriffen schützen. Denn die Verarbeitung und Speicherung der Daten verlagert sich aus dem eigenen Netzwerk auf externe Systeme. Die herkömmliche Perimetersicherheit reicht nicht mehr aus. Hinzu kommt, dass nicht nur Benutzer und Administratoren Zugriff auf die Daten haben. Auch Cloud-Provider oder Hacker können sich Zugriff verschaffen, wenn Daten ungeschützt und unverschlüsselt abliegen.

Die Lösung für dieses Problem liegt in der datenzentrischen Sicherheit. Dabei werden ausschließlich die Metadaten eines Dokuments als Platzhalter in die Cloud geladen. Das Originaldokument wird hingegen in einem Streaming-Verfahren verschlüsselt. Die Fragmentierung der Dokumente in mehrere kleine Teile, den sogenannten Chunks, sowie die konfigurierbare verteilte Speicherung bieten weiteren Schutz.

Der Vorteil: Das Originaldokument ist nie vollständig einsehbar und nur in Form von Fragmenten hinterlegt. Selbst bei einem Angriff auf die Cloud oder wenn Hacker in ein System eindringen, bleiben die vertraulichen Inhalte für Angreifer oder nicht befugte Personen unlesbar. Egal, wo ein Angreifer Zugriff erlangt: Er kann keinen großen Schaden mehr anrichten. Zudem bleiben die Daten bei dieser Methode in Deutschland und ihre Speicherung entspricht den strengen Datenschutz- und Sicherheitsvorgaben der EU-DSGVO.

IT-Sicherheit mit kleinen Teams gewährleisten

Die vor allem mittelständisch aufgestellten Banken und Sparkassen benötigen IT-Sicherheitsstrategien, die auf die vorhandenen Ressourcen zugeschnitten sind. IT-Sicherheitsanwendungen dürfen daher nicht zu komplex sein, sodass auch ein kleines Team mit wenig Manpower sie bedienen kann. Zudem sollten die Lösungen nicht zu viel interne Rechenleistung belegen – denn das kann teuer werden.

Besonders effizient sind Software as a Service-Lösungen. "Web Application Firewall as a Service"-Lösungen ermöglichen Finanzinstituten, ihre Webanwendungen zu schützen, ohne die gesamte erforderliche Back-end-Infrastruktur verwalten und neue Fähigkeiten erlernen zu müssen. Eine solche IT-Security aus der Cloud ist besonders nutzerfreundlich und skalierbar: Je nach Bedarf lassen sich Features an die Bedürfnisse einer Bank anpassen. Entscheidend dabei ist allerdings, dass die Daten innerhalb der EU gespeichert und so die europäischen Datenschutzvorschriften erfüllt werden.