Skip to main content

09.02.2021 | Open Banking | Gastbeitrag | Online-Artikel

Sicherheitsherausforderungen an Open-Banking-Ökosysteme

verfasst von: Urs Zurbuchen

4:30 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
print
DRUCKEN
insite
SUCHEN
loading …

Aus gutem Grund sind die Anforderungen an die IT-Sicherheit von Finanzinstituten besonders hoch. Jedoch konterkarieren Open-Banking-Ökosysteme die Gewährleistung der geforderten Sicherheit. Oder etwa doch nicht?


Open Banking ist für viele Finanzinstitute zu einer strategischen Priorität und einem IT-Sicherheitsparadoxon geworden. Sie müssen ähnlich einer Burg ihre Tore öffnen und ihre Zugbrücken senken. Gleichzeitig müssen sie neue Wege finden, um sich gegen unerwünschte Personen zu verteidigen. In diesem Kontext sehen viele IT-Sicherheit als Herausforderung und als unvermeidliches Übel – doch das ist ein gewaltiger Irrtum. Richtig umgesetzt kann der API-Schutz tatsächlich der Hauptfaktor sein, der die Benutzererfahrung in einem Ökosystem verbessert.

Empfehlung der Redaktion

2019 | Buch

Open Banking

Neupositionierung europäischer Finanzinstitute

Markus Bramberger untersucht in diesem essential die Open-Banking-Entwicklung und deren Produkte in Europa. Der Autor beantwortet konkrete Fragen zu möglichen Substitutionsszenarien hinsichtlich traditioneller – sich nicht öffnender – Finanzinstitute. Vor dem Hintergrund dieser herausfordernden, risikobehafteten, aber auch chancengenerierenden Zeit im Finanzsektor eignet sich der Leser ein fokussiertes Wissen zur Open-Banking- und FinTech-Thematik an.

Sicherheitssysteme müssen benutzerfreundlich sein

Die Open-Banking-Umgebung zwingt die IT-Sicherheit, ihre Rolle neu zu definieren. Bisher war das Bild eines digitalen Sicherheitsbeauftragten das eines grimmigen Wächters, während er heute eher als freundlicher Concierge und höflicher Empfangsmitarbeiter wahrgenommen wird. Um diese grundlegende Veränderung zu verstehen, lohnt es sich, einmal einen Blick auf den wettbewerbsintensiven Markt des Online-Shoppings zu werfen. Die Art und Weise, wie Marktführer wie Amazon, Zalando oder Alibaba Sicherheitselemente mit der Benutzererfahrung verknüpfen, sollte als Anregung für ein Open-Banking-Ökosystem dienen. Wie Kunden den On-Boarding- und Bezahlvorgang erleben, ist für den Geschäftserfolg eines Online-Shops entscheidend. Denn ob die Konversion gelingt und der Kunde die gewünschte Aktion abschließt, hängt schließlich nicht nur von der Attraktivität der Produkte im Online-Shop ab. Stattdessen geht es auch um die Benutzererfahrung, die den Kunden bei den sicherheitsrelevanten Schritten erwartet, zum Beispiel Anmeldung, Authentifizierung und Bezahlung.

Beim Open Banking steht die IT-Sicherheit vor einer ähnlichen Herausforderung. Sicherheitselemente wie Web Application Firewall (WAF), die Angriffe auf Dienste und Anwendungen blockiert, API-Gateways, die Schnittstellen schützen, und eine benutzerfreundliche Kundenidentitäts- und Zugangsverwaltung sind für die Leistung eines Open-Banking-Umgebung entscheidend. Eine Benutzererfahrung ist auch eine Sicherheitserfahrung.

IT-Sicherheit im Open Banking neu denken

Die Aufgabe ist angesichts der Komplexität und strengen Marktregulierungen in der Finanzindustrie anspruchsvoll. In der folgenden Liste werden die wichtigsten fünf Herausforderungen beschrieben, die die IT-Sicherheit in einem Open-Banking-Ökosystem überwinden muss.

  • Web Application Firewalls müssen dazulernen
    Die steigenden Anforderungen an die Benutzererfahrung sowie die zunehmende Vernetzung von Diensten tragen dazu bei, dass konventionelle Webanwendungen aussterben und neue Anforderungen an WAF entstehen. Moderne Anwendungen sind mobile Apps oder Rich Clients, die in dem Browser ausgeführt werden. Diese Dienste – oder APIs – werden meistens als RESTful-Webservices entwickelt, die andere Datenformate als die von herkömmlichen Webanwendungen nutzen. Die Folge: Der Schutz dieser APIs erfordert neue Technologien, da sich das grundlegende Interaktionsparadigma zwischen Client und Server geändert hat.
     
  • API-Sicherheit ist immer auch Websicherheit
    Herkömmliche XML-Gateways sind für den Schutz der neuen Webservices nur teilweise geeignet. Diese werden für gewöhnlich für SOAP-Webservices entwickelt, die primär unter ihresgleichen kommunizieren. Moderne APIs werden von einer Vielzahl von Clients verwendet – angefangen bei herkömmlichen Webanwendungen, über Browser-basierte Rich Clients, Smartphone Apps und "Dinge" bis hin zu anderen Softwaresystemen. Deshalb müssen APIs im Internet offengelegt werden. Das stellt neue Anforderungen an das API-Gateway, ähnlich wie jene einer WAF.
     
  • APIs benötigen eine Zugangsverwaltung 
    Das Filtern von Inhalten ist für den Schutz von APIs sehr wichtig. Der Hauptgrund für die Anwendung von API-Gateways ist jedoch die Zugangskontrolle. Dazu gehört nicht nur die technische Autorisierung von "Clients", sondern auch die Benutzerauthentifizierung und das Zustimmungsmanagement. Dies wiederum erfordert die Integration von Web Single Sign-on und Identitäts- und Zugangsverwaltung (IAM).
     
  • IAM und die Kunden
    Die Identitäten in einem Ökosystem sind sehr heterogen und beinhalten eine Vielzahl von „externen“ Identitäten, wie zum Beispiel die von Kunden, Partnern oder Systemen. Diese Identitäten müssen gemäß den örtlichen und regionalen Datenschutzgesetzen wie der DSGVO oder der Open-Banking-Regulierungen wie PSD2 verwaltet werden. Mit der PSD2 müssen Banken APIs für den Kontozugang und die Zahlungsveranlassung bereitstellen, die eine starke Kundenauthentifizierung durchsetzen und von hunderten sogenannter Drittanbieter (TPP) genutzt werden können. Banken müssen für den Missbrauch haften, deshalb sollte der Zugang streng kontrolliert werden. Die Lösung zu dieser komplexen Herausforderung: Kunden-IAMs (cIAMs), die im Gegensatz zu Unternehmens-IAM-Systemen externe Benutzer besser verwalten, da sie einfach zu skalieren sind und eine reibungslose Benutzererfahrung über integriertes On-Boarding und Benutzeroberflächen mit Selbstverwaltungsfunktionen garantieren.
     
  • Aufbrechen unflexibler Organisationsstrukturen
    Eine weitere große Herausforderung ist weniger technisch als organisatorisch – nämlich das Prozessdenken vieler Unternehmen. Wenn verschiedene Technologien zusammenkommen und ein großes Ganzes bilden, stellt sich die Frage, wer Ansprechpartner und Entscheidungsträger ist. Es könnte beispielsweise der CISO sein, weil Sicherheitsprobleme die IT-Infrastruktur und den Netzwerkbetrieb betreffen. Oder es könnte die Geschäftsabteilung sein, die integrierte Lösungen geringere Betriebskosten und eine schnellere Markteinführung sicherstellt. Vielleicht gebührt ja dem Marketing die Rolle, denn eine intuitive Benutzerführung und niedrigere Bounce-Raten sind am Ende des Tages der Zuständigkeitsbereich von Kommunikation und Marketing.

Fazit

API-Sicherheit in einem Ökosystem ist keine kleine Herausforderung. Sie fordert die ungeteilte Aufmerksamkeit der Entwickler von Banking-Ökosystemen und viel Arbeit. Zurzeit hat nur eine kleine Gruppe von Organisationen und Experten das relevante Wissen, um ein skalierbares, zukunftssicheres Sicherheitskonzept für Open Banking zu entwerfen.

print
DRUCKEN

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

09.06.2020 | Bank-IT | Infografik | Online-Artikel

Open-Banking-Budgets steigen rasant

Premium Partner