27. August 2019

Cyber Security im Open Banking

OpenBanking ist die Zukunft. Das weiss auch SwissBanking, die Schweizerische Bankenvereinigung. Doch das, wofür Open Banking steht, nämlich Offenheit, Experimentierfreudigkeit und Innovation, das sucht man (noch) vergebens. So sind heute von den beiden Playern SIX und Swisscom weder APIs öffentlich dokumentiert, noch existieren Entwickler-Portale, um den einfachen Zugang zu Testsystemen zu ermöglichen und damit die Spielfreudigkeit von Startups zu fördern. Auch bei den Banken selbst sieht es mau aus.


Agilität, Dynamik oder andere Werte, die in Zeiten von "Change the Bank" zentral sind, findet man – in der Schweiz - höchstens noch bei der Herstellern der Kernbankensysteme. So bietet Avaloq bereits heute ein Entwicklerportal an, in dem Startups und Innovatoren heute an neuen Applikationen basteln können. Doch ist das alles? Auch im Ausland ist man da schon, PSD2 sei Dank, weiter. Dort sind neben den von PSD2 geforderten Zugängen zu Kontoinformationen und Transaktionen auch schon Mehrwertdienste, beispielsweise zur Altersverifikation, entstanden.

Sicherheit kann hierfür jedenfalls nicht der Grund sein. In der EU forciert die PSD2 die notwendigen Sicherheitsmechanismen. Aus technischer Sicht spielen hier die "Regulatory Technical Standards" eine wichtige Rolle. Die RTS wurden in einem mehrere Jahre umfassenden Prozess gemeinsam mit Marktteilnehmern diskutiert, sodass diese ihrer Bezeichnung als Standard durchaus als würdig erweisen. Die Schweizerische Bankenwelt täte gut daran, diese Vorgaben auch in ihren Vorhaben zu beherzigen.

Nichtsdestotrotz: Auch das Analystenhaus Gartner sieht in ungeschützten APIs eine blühende Zukunft für Angreifer. Der Schutz der Daten ist zentral, die Verantwortung hierzu kann und darf nicht delegiert werden. Die zentralen Dienste der SIX können zwar einen gewissen Schutz sicherstellen, 100%ige Sicherheit bieten jedoch auch sie nicht. Ganz im Gegenteil: Als "Single Point of Failure" stehen sie an vorderster Front und werden den meisten Angriffen ausgeliefert sein.

Daher bleibt auch hier eine Sicherheitsbetrachtung nicht aus. Insbesondere für kleine und mittelgrosse Banken, die besonders durch die offenen Schnittstellen und damit oft in Verbindung stehende Cloud-Technologien profitieren würden, ist diese Sicherheitsbetrachtung essentiell, um nicht durch unvorsichtiges Verhalten ganz den Anschluss an die Schweizer Grossbanken zu verlieren.