API-Sicherheit für neue Ökosysteme

Open Banking und Digitalisierung im Finanzsektor

04.05.2021
Von  und
Anders Christensen ist Head of Avaloq.one Ecosystem bei Avaloq, einem Schweizer Anbieter von digitalen Banking-Lösungen.
Martin Zahner ist bei der Ergon Informatik AG in Zürich als Head of Sales für die IT-Sicherheitslösung Airlock verantwortlich.
Die Finanzbranche steht vor einem Umbruch: Mit Open Banking entstehen neue Ökosysteme. Damit diese funktionieren, muss die Sicherheit der APIs gewährleistet sein.
Open Banking ist die Basis für neue Ökosysteme im Finanzwesen.
Open Banking ist die Basis für neue Ökosysteme im Finanzwesen.
Foto: Song_about_summer - shutterstock.com

Auch für traditionelle Banken und Vermögensverwalter ist der Trend unausweichlich: Der Branche steht aufgrund der fortschreitenden Digitalisierung ein tiefgreifender Wandel bevor. Um wettbewerbsfähig zu bleiben, ist es wichtig, ein ausgezeichnetes Kundenerlebnis mit innovativen Dienstleistungen und Produkten zu bieten. Eine ideale Lösung für diese Herausforderung sind sogenannte Ökosysteme, in denen sich etablierte Finanzinstitute mit aufstrebenden Fintechs und Drittanbietern offen austauschen können - sie legen somit die Basis für den Trend zum Open Banking. Dabei spielt die API-Sicherheit eine entscheidende Rolle, um das nötige Vertrauen in solche Ökosysteme zu ermöglichen.

Mit Open Banking zu neuen Ökosystemen

Open Banking selbst lässt sich als kollaboratives Modell definieren, bei dem Bankdaten über APIs (Application Programming Interfaces) zwischen zwei oder mehreren voneinander unabhängigen Parteien ausgetauscht werden, um dem Markt erweiterte Funktionen zu bieten. Eine Möglichkeit, diese Zusammenarbeit zu orchestrieren, sind Ökosysteme für Finanzdienstleistungen und APIs. Dank Open Banking können traditionelle Banken und Vermögensverwalter dynamisch auf neue digitale Kundenbedürfnisse reagieren und Innovation einkaufen, statt sie mühsam selbst entwickeln zu müssen. Beispiele dafür sind etwa Lösungen für digitale Anlageklassen wie Kryptowährungen und tokenisierte Vermögenswerte oder der Einsatz künstlicher Intelligenz zur Personalisierung von Beratungsleistungen. Finanzinstitute, die diese Dienstleistungen nicht anbieten können, riskieren, Kunden zu verlieren.

Open Banking ist ein kollaboratives Modell.
Open Banking ist ein kollaboratives Modell.
Foto: Avaloq

Die Banking-Ökosysteme basieren auf modernster Technologie: Modulare Softwarekomponenten werden als Microservices konzipiert und lassen sich dann einfach über standardisierte APIs anbinden. Der Betrieb der Software ist verteilt - teilweise in Public Clouds, teilweise in privaten Rechenzentren. Deshalb ist es eine zentrale Herausforderung, die Sicherheit der Prozesse zu gewährleisten. Denn Sicherheit ist ein wesentlicher Faktor für ein positives Kundenerlebnis und für ein Vertrauen in das jeweilige Ökosystem.

Die Rolle der API-Sicherheit im Open Banking

Mit der Entwicklung hin zur effizienten und ressourcenschonenden Innovation per Ökosystem geht ein weiterer wichtiger Trend einher: der zum Open Banking. Auch regulatorische Vorgaben wie PSD2 zwingen die Branche zur Öffnung ihrer Systeme. Sobald ein Kunde dies wünscht, muss heute ein Finanzdienstleister dessen Kundendaten auch anderen Dienstleistern zur Verfügung stellen. So können neue, anspruchsvollere Dienstleistungen entstehen, von denen sowohl die Kunden als auch die Finanzinstitute profitieren. Open Banking stellt für die Finanzbranche also nicht nur eine regulatorische Pflicht dar - die Digitalisierung eröffnet zugleich die Chance, die Customer Experience zu verbessern. Darum steigt die Anzahl der Systemschnittstellen, die über API geöffnet werden, stetig an.

Ein zentrale Rolle beim Open Banking spielt die Sicherheit der APIs.
Ein zentrale Rolle beim Open Banking spielt die Sicherheit der APIs.
Foto: Den Rise - shutterstock.com

Mit der Öffnung der Systeme muss die Sicherheit der APIs erhöht werden, und neue Standards wie NextGenPSD2, STET oder UK Open Banking werden umgesetzt. Die API- Sicherheit entwickelt sich rasant, viele Standards und Technologien sind in den letzten Jahren entstanden. Sie dürfen auch in der verteilten Wertschöpfungskette keine wesentlichen Angriffsflächen bieten. Deshalb muss ein Ökosystem folgende Eigenschaften mitbringen, um Kundenerlebnis, Innovationskraft und Sicherheit miteinander zu vereinen:

Benutzerfreundlichkeit bei der Authentifizierung

Kunden werden nur Dienstleistungen nutzen, die einfach zu bedienen sind. Störende Authentifizierungsprozesse reduzieren die Nutzung. Benutzeroberflächen müssen über ein hervorragendes Benutzererlebnis mit einfachen Registrierungs- und Onboarding-Prozessen, Benutzer-Self-Services, Zustimmungsmanagement, Single Sign-On und benutzerfreundlicher adaptiver Authentifizierung verfügen.

Zukunftsfähige Security-Architektur

In verteilten Ökosystemen sind Authentifizierung, Sicherheit und Geschäftslogik zu entkoppeln. Die Bestandteile einer skalierbaren Architektur sind:

  • ein Edge-Gateway, das den Datenverkehr zentral filtert und die Zugriffe an die einzelnen Komponenten weiterleitet. So können unerwünschte Zugriffe auf Applikationen frühzeitig blockiert werden.

  • ein Kunden-Identitäts- und Zugriffsmanagement (CIAM) zur Zugriffskontrolle und zur Verwaltung der Authentifizierung und Autorisierung von Tech-Clients. Ebenso zählen die Ausgabe und Validierung von API-Schlüsseln oder das Verwalten und Durchsetzen von Nutzungsplänen dazu.

  • dezentrale Gateways, die den Zugriff auf die Services schützen. Diese prüfen die Zugriffe auf deren Berechtigungen und verhindern Zugriffe, die nicht den API-Spezifikationen entsprechen.

Eine solch kohärente Security-Architektur vereinfacht die Prozesse und senkt so die Kosten im ganzen Ökosystem.

Klare Regeln um Anwendungen und Daten zu schützen

Um Serviceausfälle, Datenverluste und Reputationsschäden bei Kunden und Partnern zu verhindern, sind klare Spielregeln erforderlich, die definieren, wie die Akteure im Ökosystem zusammenarbeiten. Beispielsweise, wer die Identitäten der Nutzer überprüft und welche Prinzipien bei der Überprüfung des Datenverkehrs gelten. Wie kann etwa sichergestellt werden, dass nur berechtigte Personen Zugriff auf die Daten erhalten, und wer ist für die Definition der Zugriffsregeln für einzelne Services zuständig? Zero-Trust-Ansätze müssen darum auch für APIs in Open-Banking-Systemen gelten.

Mit Community-Gedanken zu mehr Sicherheit und Innovation

Dank offener Ökosysteme erhalten etablierte Finanzinstitute einen Zugang zu moderner Technologie. Zudem bietet Open Banking aufstrebenden Startups eine attraktive Plattform, um ihre Produkte und Dienstleistungen einem breiteren Publikum anzubieten. Und schließlich profitieren die Bankkunden von innovativen Finanzlösungen, die ihr Leben angenehmer gestalten. Damit die gesamte Gemeinschaft oder Community von diesen Vorteilen profitieren kann, ist es unerlässlich, dass sich das Ökosystem in einem technologisch sicheren Umfeld befindet.

Damit die Ökosysteme rund um Open Banking dynamisch wachsen können, ist ein gut koordiniertes Zusammenspiel der Community erforderlich.
Damit die Ökosysteme rund um Open Banking dynamisch wachsen können, ist ein gut koordiniertes Zusammenspiel der Community erforderlich.
Foto: Panchenko Vladimir - shutterstock.com

Um die dafür nötige API-Sicherheit zu gewährleisten, ist ein enges und gut koordiniertes Zusammenspiel innerhalb der Community entscheidend. Neben moderner Technik braucht es dazu klare Spielregeln und gemeinsame Standards, an die sich alle Akteure halten müssen. So können Ökosysteme eine Wachstumsdynamik und Innovationskraft entfalten, von der alle Teilnehmer profitieren - und dies nicht nur im Finanzsektor.