21. Februar 2019

Sind APIs sicher?

Eine API (Application Programming Interface) ist eine Reihe von Funktionen und Verfahren, die es zwei Anwendungen ermöglichen, miteinander zu kommunizieren, indem sie Anfragen senden und Antworten empfangen.

APIs im Open Banking

APIs sind für Finanz- und Treasury-Experten aus folgenden Gründen relevant Offenes Bankwesen und PSD2 (Zahlungsdiensterichtlinie 2).

Offenes Bankwesen verlangt von den Banken, dass sie ihre APIs für Einzelpersonen und Dritte zur Verfügung stellen, damit diese sicher auf persönliche Finanzdaten zugreifen können. Und gemäß PSD2 müssen fast alle Banken in der EU den Zugang zu Kundendaten über APIs ermöglichen.

Die eigentliche Frage lautet also: Wie sicher sind APIs für die Transaktion und den Austausch Ihrer Finanzdaten?

Bis vor kurzem haben die Banken in der Regel Finanzsilos geschaffen und die Kunden gezwungen, sich auf ihre Dienste zu verlassen, um sicher auf ihre Finanzdaten zugreifen zu können. Aber APIs und Open Banking ändern das alles.

Durch eine umfangreiche API können sich Finanzinstitute einen Wettbewerbsvorteil verschaffen und ihren Kunden durch die Bereitstellung sicherer Echtzeitdaten die Kontrolle über ihre Finanzen geben.

Es gibt zahlreiche Beispiele dafür, wie Unternehmen und Verbraucher bereits APIs nutzen, um sich das Leben zu erleichtern:

Unternehmen

Da die digitale Transformation für Unternehmen auf der ganzen Welt ganz oben auf der Tagesordnung steht, können APIs mehrere Vorteile für Corporate Treasurer. APIs eröffnen kleineren Treasury-Teams den Zugang zu fortschrittlichen Technologien, die bisher nur größeren Unternehmen zur Verfügung standen, und ermöglichen Echtzeitgeschäfte, schnellere Entscheidungsfindung und verbesserte Kundenerfahrungen.

APIs können Unternehmen direkte Bankverbindungen zu Banken aus Unternehmensressourcenplanungssystemen (ERP) oder über Live-Datenintegrationen mit Business Intelligence-Tools ermöglichen.

Verbraucher

Für die Verbraucher bieten APIs Schnelligkeit und Einfachheit, um bessere finanzielle Erfahrungen zu schaffen.

Yolt ist ein perfektes Beispiel für verbraucherorientiertes Open Banking in der Praxis, da es APIs nutzt, um verschiedene Konten zu zentralisieren und den Nutzern zu helfen, ihre Ausgabengewohnheiten besser im Auge zu behalten.

Was sind die Risiken?

Die Einführung offener APIs macht die Banken abhängig von der Sicherheit der TPPs (Drittanbieter), die diese APIs nutzen, was einige Fragen - oder Bedenken - für Banken und Dienstleistungsnutzer aufwirft:

  • Da immer mehr Verbraucher Tools von Drittanbietern nutzen, sinkt die Zahl der Transaktionen, die über bankeigene Kanäle abgewickelt werden. Dies wirkt sich negativ auf den Umfang der Daten aus, die die Banken sammeln können, um zwischen legitimen und betrügerischen Transaktionen zu unterscheiden.
  • Neue Open-Banking-Tools ebnen den Weg für neue Arten von Transaktionen, die könnte die Bekämpfung von Zahlungsbetrug noch schwieriger machen.
  • Es besteht die Möglichkeit, dass Betrüger es auf Daten abgesehen haben, die über APIs übertragen werden. Im Erfolgsfall könnten nicht autorisierte Kundendaten für eine Kontoübernahme (ATO) oder eine andere Form des Cyberangriffs verwendet werden.
  • Die Banken interagieren mit TPPs, ohne deren Sicherheitsmaßnahmen vollständig zu verstehen, was ein neues Risiko darstellt, wo die Daten letztendlich gespeichert werden. Dies kann dazu führen, dass die Banken Hunderten von neuen Bedrohungen ausgesetzt sind, die außerhalb ihrer normalen Kontrollbereiche liegen.
  • Wenn ein TPP kompromittiert wird, können Hacker Anfragen an die Banken senden, die scheinbar genehmigt sind. Und da Betrügereien immer raffinierter werden, wird es nicht lange dauern, bis jemand einen Weg findet, die Zustimmung der Kunden zu fälschen.

"APIs bieten eine weitere Angriffsmöglichkeit für Cyberkriminelle... wenn ich die Eingangstüren der Banken nicht angreifen kann, kann ich mich vielleicht als kleiner Entwickler ausgeben und eine alternative Seitentür finden, die mich trotzdem auf die eine oder andere Weise zur Bank durchlässt."  Sumit Agarwal, Shape Security

Wie werden APIs gesichert?

Trotz dieser Bedenken bietet eine gut konzipierte API eine sichere Verbindung zu Anwendungen von Drittanbietern.

Es ist wichtig, sich daran zu erinnern, dass es die Banken selbst sind, die ihre API-Endpunkte entwickeln und testen.

Die Banken können also das Risiko von Angriffen selbst mindern, indem sie eine solide Architektur implementieren, die Sicherheitsanforderungen und -werkzeuge in die API selbst integriert. Letztlich können Banken bei der Sicherung von APIs proaktiv und nicht reaktiv vorgehen.

TPPs sind stark reguliert

Zunächst einmal ist zu bedenken, dass APIs genehmigungsbasiert sind. Ob Sie also ein Verbraucher oder ein Unternehmen sind, Sie müssen Ihre Daten nicht mit einer TPP teilen, wenn Sie das nicht wollen.

Dies ist das Kernstück der APIs im Open Banking. Die Regeln besagen, dass die Banken die Weitergabe Ihrer Daten an TPPs erlauben müssen, aber NUR, wenn Sie ihnen dies erlauben. Das bedeutet, dass TPPs nicht einfach frei auf Konten zugreifen können - sie müssen Ihre Zustimmung einholen, die jederzeit widerrufen werden kann.

TPPs unterliegen auch Datenschutzgesetzen wie der DSGVO sowie den technischen Regulierungsstandards der PSD2, was bedeutet, dass sie für den Schutz aller von ihnen verarbeiteten personenbezogenen Daten verantwortlich sind.

Was sind AISPs und PISPs?

Nach der Einführung der EU-Zahlungsdiensterichtlinie (PSD2) werden Online-Dienste, die APIs verwenden, um auf Ihre Kontodaten zuzugreifen oder Zahlungen in Ihrem Namen zu tätigen, nun von der Finanzaufsichtsbehörde.

Damit ein Finanzdienstleister im Rahmen der PSD2 uneingeschränkt zur Nutzung von Open-Banking-APIs berechtigt ist, muss er entweder als AISP, als PISP oder als beides registriert sein.

Ein autorisierter Kontoinformationsdienstleister (AISP) kann um die Erlaubnis bitten, sich mit einem Bankkonto zu verbinden und diese Kontoinformationen zu nutzen, um eine Dienstleistung anzubieten. AISP haben die Erlaubnis, Bankkontoinformationen nur zu lesen, d. h. sie können sie einsehen, aber nicht anfassen.

Gängige Beispiele für AISPs sind Preisvergleiche, Bonitätsprüfungen, geldsparende Apps wie Yolt und Buchhaltungspakete wie Sage und QuickBooks für Unternehmen.

Zugelassene Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs) können um die Erlaubnis bitten, sich mit einem Bankkonto zu verbinden und in dessen Namen Zahlungen vom Bankkonto des Kunden auszulösen.

Die PSD2-Vorschriften stellen jedoch klar, dass die PISPs "keine Daten für andere Zwecke als für die Erbringung des vom Zahler ausdrücklich gewünschten Zahlungsauslösedienstes verwenden, darauf zugreifen oder sie speichern" dürfen.

Gängige Beispiele für verbraucherbasierte PISPs sind Instant-Checkout-Einrichtungen, die häufig von Einzelhandels- und E-Commerce-Geschäften genutzt werden, um die Kundenerfahrung von Stammkunden zu verbessern.

Woher wissen Sie, ob eine TPP zugelassen ist?

Es ist immer eine gute Idee, sich über die Register der Finanzdienstleistungen dass ein Unternehmen, das Kontoinformationsdienste oder Zahlungsauslösedienste anbietet, zuerst zugelassen wird.

Sie können überprüfen, ob ein Unternehmen im FCA-Register oder in der Open Banking Verzeichnis.

Zugelassene TPPs können immer nur auf die Daten zugreifen, die für den Dienst erforderlich sind, für den Sie sich angemeldet haben. Wenn Sie also ein registriertes TPP gebeten haben, Ihr Girokonto bei einer Bank einzusehen, hat es keinen Einblick in andere Dienstleistungen, die Sie bei dieser Bank in Anspruch nehmen.

Und da alle TPPs die Datenschutzgesetze einhalten müssen, sollte der Anbieter Ihnen vor der Anmeldung mitteilen, welche Daten er verwendet, wie lange und was er damit macht.

Wenn Sie einen Drittanbieter nutzen, der nicht reguliert ist, sind Sie nicht in gleichem Maße vor Betrug geschützt. Das heißt, wenn Sie bei einem nicht regulierten Dienst Geld verlieren, besteht die Möglichkeit, dass Ihre Bank nicht zahlt.

APIs vs. Screen Scraping

APIs sind im Allgemeinen viel sicherer als alternative Lösungen. Ein solches Beispiel ist Screen Scraping.
Apps, die Screen-Scraping verwenden, bitten Sie, Ihre Bankanmeldedaten zu übermitteln, und verlangen Ihre Erlaubnis, Ihre Daten zu sammeln oder "Screen-Scraping" zu betreiben.

Im Wesentlichen geben sie sich als Sie, den Kunden, aus, was hochsensible persönliche Daten offenlegen und Sie für Betrug anfällig machen kann. Die Verwendung von Screen-Scraping wird für eine Übergangszeit bis etwa September 2019 fortgesetzt. Dann wird es verboten, weil man befürchtet, dass es nicht so sicher wie APIs ist.

Sind APIs also sicher genug für die Übermittlung von Finanzdaten?

Wenn es um die Sicherheit von APIs geht, sollte Offenheit nicht mit mangelnder Sicherheit verwechselt werden. Durch einige Nachforschungen und die Auswahl der richtigen TPPs können Unternehmen und Verbraucher die Vorteile von APIs zur Vereinfachung der Finanzverwaltung nutzen.

Aber während einige TPPs unreguliert bleiben und Techniken wie Screen Scraping den Verbrauchern weiterhin zur Verfügung stehen, ist es klar, dass die Industrie noch einen weiten Weg vor sich hat, um sicherzustellen, dass die API-Nutzung so sicher wie möglich ist.