5 Sicherheitsherausforderungen in einem Open-Banking-Ökosystem
13.11.2020 – Urs Zurbuchen
Open Banking ist für viele Finanzinstitute zu einer strategischen Priorität und einem IT-Sicherheitsparadoxon geworden.Die Burgen müssen ihre Tore öffnen und ihre Zugbrücken senken. Gleichzeitig müssen sie neue Wege finden, um sich gegen unerwünschte Gäste zu verteidigen. In diesem Kontext sehen viele IT-Sicherheit als Herausforderung und als unvermeidliches Übel – doch das ist ein gewaltiger Irrtum. Richtig umgesetzt kann der API-Schutz tatsächlich der Hauptfaktor sein, der die Benutzererfahrung in einem Ökosystem verbessert.
Die neue Rolle der IT-Sicherheit
Die Open-Banking-Umgebung zwingt die IT-Sicherheit, ihre Rolle neu zu definieren. Bisher war das Bild eines digitalen Sicherheitsbeauftragten das eines grimmigen Wächters, während er heute eher als freundlicher Concierge und höflicher Empfangsmitarbeiter wahrgenommen wird. Um diese grundlegende Veränderung zu verstehen, lohnt es sich, einmal einen Blick auf den wettbewerbsintensiven Markt des Online-Shoppings zu werfen. Die Art und Weise, wie Marktführer wie Amazon, Zalando oder Alibaba Sicherheitselemente mit der Benutzererfahrung verknüpfen, sollte als Anregung für ein Open-Banking-Ökosystem dienen. Wie Kunden den Onboarding- und Bezahlvorgang erleben, ist für den Geschäftserfolg eines Online-Shops entscheidend. Denn ob die Konversion gelingt und der Kunde die gewünschte Aktion abschließt, hängt schließlich nicht nur von der Attraktivität der Produkte im Online-Shop ab. Stattdessen geht es auch um die Benutzererfahrung, die den Kunden bei den sicherheitsrelevanten Schritten erwartet, zum Beispiel Anmeldung, Authentifizierung und Bezahlung.
Beim Open Banking steht die IT-Sicherheit vor einer ähnlichen Herausforderung. Warum sollten neue Elemente in eine digitale Benutzererfahrung integriert werden, um sie dann hinter umständlichen Prozessen zu verstecken? Sicherheitselemente wie Web Application Firewall (WAF), die Angriffe auf Dienste und Anwendungen blockiert, API-Gateways, die Schnittstellen schützen, und eine benutzerfreundliche Kundenidentitäts- und Zugangsverwaltung sind für die Leistung eines Open-Banking-Umgebung entscheidend. Denn eine Benutzererfahrung ist auch eine Sicherheitserfahrung.
Die 5 Sicherheitsherausforderungen in einem Open-Banking-Ökosystem
Natürlich ist die Aufgabe angesichts der Komplexität und strengen Marktregulierungen in der Finanzindustrie anspruchsvoller als in anderen Branchen. In der folgenden Liste beschreiben wir die größten 5 Herausforderungen, die die IT-Sicherheit in einem Open-Banking-Ökosystem überwinden muss.
1. Web Application Firewalls müssen dazulernen
Die steigenden Anforderungen an die Benutzererfahrung sowie die zunehmende Vernetzung von Diensten tragen dazu bei, dass konventionelle Webanwendungen aussterben und neue Anforderungen an WAF entstehen. Moderne Anwendungen sind mobile Apps oder Rich Clients, die in dem Browser ausgeführt werden. Diese Dienste – oder APIs – werden meistens als RESTful-Webservices entwickelt, die andere Datenformate als die von herkömmlichen Webanwendungen nutzen. Die Folge: Der Schutz dieser APIs erfordert neue Technologien, da sich das grundlegende Interaktionsparadigma zwischen Client und Server geändert hat.
2. API-Sicherheit ist immer auch Websicherheit
Herkömmliche XML-Gateways sind für den Schutz der neuen Webservices nur teilweise geeignet. Diese werden für gewöhnlich für SOAP-Webservices entwickelt, die primär unter ihresgleichen kommunizieren. Das passt nicht gut zur neuen Welt von REST und JSON, die sich durch ihre Agilität auszeichnet. Außerdem werden moderne APIs von einer Vielzahl von Clients verwendet – angefangen bei herkömmlichen Webanwendungen, über Browser-basierte Rich Clients, Smartphone Apps und „Dinge“ bis hin zu anderen Softwaresystemen. Deshalb müssen APIs im Internet offengelegt werden. Das stellt neue Anforderungen an das API-Gateway, ähnlich wie jene einer WAF.
3. APIs benötigen eine Zugangsverwaltung
Das Filtern von Inhalten ist für den Schutz von APIs sehr wichtig. Der Hauptgrund für die Anwendung von API-Gateways ist jedoch die Zugangskontrolle. Der Zugang zu APIs muss mit Standards wie OAuth 2.0 oder OpenID Connect gesichert werden. Oft es ist erforderlich, SAML für die Zugangskontrolle bei bestehenden Lösungen weiterhin zu unterstützen. Dazu gehört nicht nur die technische Autorisierung von „Clients“, sondern auch die Benutzerauthentifizierung und das Zustimmungsmanagement. Dies wiederum erfordert die Integration von Web Single Sign-on und Identitäts- und Zugangsverwaltung (IAM).
4. IAM und die Kunden
Die Identitäten in einem Ökosystem sind sehr heterogen und beinhalten eine Vielzahl von „externen“ Identitäten, wie zum Beispiel die von Kunden, Partnern oder Systemen. Diese Identitäten müssen gemäß den örtlichen und regionalen Datenschutzgesetzen wie der DSGVO oder der Open-Banking-Regulierungen wie die europäische PSD2 verwaltet werden. Mit der PSD2 müssen Banken APIs für den Kontozugang und die Zahlungsveranlassung bereitstellen, die eine starke Kundenauthentifizierung durchsetzen und von hunderten sogenannter Drittanbieter (TPP) genutzt werden können. Da Banken für den Missbrauch haften, muss der Zugang streng kontrolliert werden. Die Lösung zu dieser komplexen Herausforderung: Kunden-IAMs (cIAMs), die im Gegensatz zu Unternehmens-IAM-Systemen externe Benutzer besser verwalten, da sie einfach zu skalieren sind und eine reibungslose Benutzererfahrung über integriertes Onboarding und Benutzeroberflächen mit Selbstverwaltungsfunktionen garantieren.
5. Aufbrechen unflexibler Organisationsstrukturen
Eine weitere große Herausforderung ist weniger technisch als organisatorisch – nämlich das Prozessdenken vieler Unternehmen. Wenn verschiedene Technologien zusammenkommen und ein großes Ganzes bilden, wer ist dann Ansprechpartner und Entscheidungsträger? Ist es der CISO, weil Sicherheitsprobleme die IT-Infrastruktur und den Netzwerkbetrieb betreffen? Oder ist es die Geschäftsabteilung, weil integrierte Lösungen geringere Betriebskosten und eine schnellere Markteinführung sicherstellen? Oder gebührt dem Marketing die Rolle, weil eine intuitive Benutzerführung und niedrigere Bounce-Raten am Ende des Tages der Zuständigkeitsbereich von Kommunikation und Marketing sind?
API-Sicherheit als Ausgangspunkt Ihrer Open-Banking-Reise
API-Sicherheit in einem Ökosystem ist keine kleine Herausforderung. Sie fordert die ungeteilte Aufmerksamkeit der Entwickler von Banking-Ökosystemen und viel Arbeit. Zurzeit hat nur eine kleine Gruppe von Organisationen und Experten das relevante Wissen, um ein skalierbares, zukunftssicheres Sicherheitskonzept für Open Banking zu entwerfen.
Für das aktuelle Whitepaper «API-Sicherheit – Limitierender Faktor oder Beschleuniger einer Open-Banking-Strategie?» hat Ergon mit Avaloq zusammengearbeitet, einer Wealth-Management-Cloud-Plattform und Anbieter von Dienstleistungen für Finanzinstitute. Lesen Sie unseren gemeinsamen Bericht, um mehr über die Rolle der API-Sicherheit in einem Ökosystem zu erfahren.