Aus gutem Grund sind die Anforderungen an die IT-Sicherheit von Finanzinstituten besonders hoch. Jedoch konterkarieren Open-Banking-Ökosysteme die Gewährleistung der geforderten Sicherheit. Oder etwa doch nicht?
Open Banking ist für viele Finanzinstitute zu einer strategischen Priorität und einem IT-Sicherheitsparadoxon geworden. Sie müssen ähnlich einer Burg ihre Tore öffnen und ihre Zugbrücken senken. Gleichzeitig müssen sie neue Wege finden, um sich gegen unerwünschte Personen zu verteidigen. In diesem Kontext sehen viele IT-Sicherheit als Herausforderung und als unvermeidliches Übel – doch das ist ein gewaltiger Irrtum. Richtig umgesetzt kann der API-Schutz tatsächlich der Hauptfaktor sein, der die Benutzererfahrung in einem Ökosystem verbessert.
Sicherheitssysteme müssen benutzerfreundlich sein
Die Open-Banking-Umgebung zwingt die IT-Sicherheit, ihre Rolle neu zu definieren. Bisher war das Bild eines digitalen Sicherheitsbeauftragten das eines grimmigen Wächters, während er heute eher als freundlicher Concierge und höflicher Empfangsmitarbeiter wahrgenommen wird. Um diese grundlegende Veränderung zu verstehen, lohnt es sich, einmal einen Blick auf den wettbewerbsintensiven Markt des Online-Shoppings zu werfen. Die Art und Weise, wie Marktführer wie Amazon, Zalando oder Alibaba Sicherheitselemente mit der Benutzererfahrung verknüpfen, sollte als Anregung für ein Open-Banking-Ökosystem dienen. Wie Kunden den On-Boarding- und Bezahlvorgang erleben, ist für den Geschäftserfolg eines Online-Shops entscheidend. Denn ob die Konversion gelingt und der Kunde die gewünschte Aktion abschließt, hängt schließlich nicht nur von der Attraktivität der Produkte im Online-Shop ab. Stattdessen geht es auch um die Benutzererfahrung, die den Kunden bei den sicherheitsrelevanten Schritten erwartet, zum Beispiel Anmeldung, Authentifizierung und Bezahlung.
Beim Open Banking steht die IT-Sicherheit vor einer ähnlichen Herausforderung. Sicherheitselemente wie Web Application Firewall (WAF), die Angriffe auf Dienste und Anwendungen blockiert, API-Gateways, die Schnittstellen schützen, und eine benutzerfreundliche Kundenidentitäts- und Zugangsverwaltung sind für die Leistung eines Open-Banking-Umgebung entscheidend. Eine Benutzererfahrung ist auch eine Sicherheitserfahrung.
IT-Sicherheit im Open Banking neu denken
Die Aufgabe ist angesichts der Komplexität und strengen Marktregulierungen in der Finanzindustrie anspruchsvoll. In der folgenden Liste werden die wichtigsten fünf Herausforderungen beschrieben, die die IT-Sicherheit in einem Open-Banking-Ökosystem überwinden muss.
- Web Application Firewalls müssen dazulernen
Die steigenden Anforderungen an die Benutzererfahrung sowie die zunehmende Vernetzung von Diensten tragen dazu bei, dass konventionelle Webanwendungen aussterben und neue Anforderungen an WAF entstehen. Moderne Anwendungen sind mobile Apps oder Rich Clients, die in dem Browser ausgeführt werden. Diese Dienste – oder APIs – werden meistens als RESTful-Webservices entwickelt, die andere Datenformate als die von herkömmlichen Webanwendungen nutzen. Die Folge: Der Schutz dieser APIs erfordert neue Technologien, da sich das grundlegende Interaktionsparadigma zwischen Client und Server geändert hat.
- API-Sicherheit ist immer auch Websicherheit
Herkömmliche XML-Gateways sind für den Schutz der neuen Webservices nur teilweise geeignet. Diese werden für gewöhnlich für SOAP-Webservices entwickelt, die primär unter ihresgleichen kommunizieren. Moderne APIs werden von einer Vielzahl von Clients verwendet – angefangen bei herkömmlichen Webanwendungen, über Browser-basierte Rich Clients, Smartphone Apps und "Dinge" bis hin zu anderen Softwaresystemen. Deshalb müssen APIs im Internet offengelegt werden. Das stellt neue Anforderungen an das API-Gateway, ähnlich wie jene einer WAF.
- APIs benötigen eine Zugangsverwaltung
Das Filtern von Inhalten ist für den Schutz von APIs sehr wichtig. Der Hauptgrund für die Anwendung von API-Gateways ist jedoch die Zugangskontrolle. Dazu gehört nicht nur die technische Autorisierung von "Clients", sondern auch die Benutzerauthentifizierung und das Zustimmungsmanagement. Dies wiederum erfordert die Integration von Web Single Sign-on und Identitäts- und Zugangsverwaltung (IAM).
- IAM und die Kunden
Die Identitäten in einem Ökosystem sind sehr heterogen und beinhalten eine Vielzahl von „externen“ Identitäten, wie zum Beispiel die von Kunden, Partnern oder Systemen. Diese Identitäten müssen gemäß den örtlichen und regionalen Datenschutzgesetzen wie der DSGVO oder der Open-Banking-Regulierungen wie PSD2 verwaltet werden. Mit der PSD2 müssen Banken APIs für den Kontozugang und die Zahlungsveranlassung bereitstellen, die eine starke Kundenauthentifizierung durchsetzen und von hunderten sogenannter Drittanbieter (TPP) genutzt werden können. Banken müssen für den Missbrauch haften, deshalb sollte der Zugang streng kontrolliert werden. Die Lösung zu dieser komplexen Herausforderung: Kunden-IAMs (cIAMs), die im Gegensatz zu Unternehmens-IAM-Systemen externe Benutzer besser verwalten, da sie einfach zu skalieren sind und eine reibungslose Benutzererfahrung über integriertes On-Boarding und Benutzeroberflächen mit Selbstverwaltungsfunktionen garantieren.
- Aufbrechen unflexibler Organisationsstrukturen
Eine weitere große Herausforderung ist weniger technisch als organisatorisch – nämlich das Prozessdenken vieler Unternehmen. Wenn verschiedene Technologien zusammenkommen und ein großes Ganzes bilden, stellt sich die Frage, wer Ansprechpartner und Entscheidungsträger ist. Es könnte beispielsweise der CISO sein, weil Sicherheitsprobleme die IT-Infrastruktur und den Netzwerkbetrieb betreffen. Oder es könnte die Geschäftsabteilung sein, die integrierte Lösungen geringere Betriebskosten und eine schnellere Markteinführung sicherstellt. Vielleicht gebührt ja dem Marketing die Rolle, denn eine intuitive Benutzerführung und niedrigere Bounce-Raten sind am Ende des Tages der Zuständigkeitsbereich von Kommunikation und Marketing.
Fazit
API-Sicherheit in einem Ökosystem ist keine kleine Herausforderung. Sie fordert die ungeteilte Aufmerksamkeit der Entwickler von Banking-Ökosystemen und viel Arbeit. Zurzeit hat nur eine kleine Gruppe von Organisationen und Experten das relevante Wissen, um ein skalierbares, zukunftssicheres Sicherheitskonzept für Open Banking zu entwerfen.