In kaum einem Lebensbereich legen Menschen so viel Wert auf Datenschutz wie bei ihren Finanzen. Verständlich, denn es geht schließlich ums eigene Geld. Die Glaubwürdigkeit von Banken und Finanzinstituten ist eng gekoppelt daran, wie gut sie digitale Kundendaten absichern – gerade angesichts von Entwicklungen im Bereich Open Banking.
.jpg?width=395&name=180705_Open_Banking%20(002).jpg)
Im Vereinigten Königreich ist die Non-Profit-Organisation Open Banking Limited mit der Einführung des neuen Systems betraut. Ihr Verwalter Imran Gulamhuseinwala sieht in der neuen Regelung die Chance für Bankkunden, informierter über ihre Finanzen zu entscheiden: „Die Leute zahlen zu viel für ihre Überziehungskredite; ihr Geld liegt auf Girokonten, die keine Zinsen verdienen; sie wechseln auch bei schlechten Konditionen zu selten ihre Bank.“ Open Banking ist die UK-Version einer umfassenden Richtlinie der Europäischen Union, der Payment Services Directive 2 (PSD2). Die EU-Richtlinie fordert nur das Öffnen von Bankdaten für Drittanbieter; das Vereinigte Königreich ist noch einen Schritt weitergegangen und fordert das Bereitstellen in einem einheitlichen Format. Einige Banken gehen sehr offensiv mit den neuen Regeln um: Die Danske Bank etwa stellt online eine eigene API-Infoseite zur Verfügung. In Skandinavien bietet Nordea ein noch umfassenderes Beispiel samt öffentlicher Dokumentation.
Datenschutz so wichtig wie nie zuvor
Offene API-Frameworks für Drittanbieter bedeuten allerdings auch: Finanzinstitute müssen sich mehr denn je Gedanken um die Sicherheit ihrer Kundendaten machen. Bei APIs sollten „ähnliche Sicherheitskontrollen vorgesehen werden wie beim digitalen Banking“, rät auch die Unternehmensberatung Accenture. Finanzinstitute, ebenso wie Drittanbieter, die Kundendaten auslesen wollen, müssen beim Verarbeiten und Speichern personenbezogener Daten maximale Sicherheit garantieren – insbesondere seitdem die Datenschutzgrundverordnung (DSGVO) hier strenge Vorgaben macht.
Das Nutzen einer Transportschichtverschlüsselung wie TLS für eine sichere Kommunikation ist hierfür nur der erste Schritt. Neben einer sicheren Authentifizierung von Nutzern müssen sich Finanzinstitute gegen eine Reihe von Angriffsvektoren absichern. Sie sollten dabei auf offene Standards und bewährte Sicherheitslösungen setzen, die sie selbst implementieren können. So können sie sicherstellen, dass die geforderten Sicherheitsanforderungen komplett erfüllt werden. Wichtig zudem: Auch Standards sind nicht für die Ewigkeit. Ständige Anpassungen und Verbesserungen von Standardformaten führen dazu, dass eingesetzte Sicherheitslösungen flexibel sein müssen. Unternehmen, die von Anfang an auf Flexibilität setzen, können sich teure Change-Projekte ersparen. Mit einer API-Proxy-Lösung können etwa Herausforderungen wie SSL-Client-Server-Authentifizierung und Smart-Card-Sicherheit bewältigt werden.
Schlussendlich dürfen Finanzinstitute nie die Basis guter Datensicherheit vergessen: den Schutz der Nutzerdaten in den eigenen Anwendungen. Eine Verschlüsselung der Informationen macht diese nutzlos im Fall eines Datenverlustes. Zusätzlich muss darauf geachtet werden, Anwendungsdaten- und Schlüsselmanagement strikt zu trennen. Nur so behält ein Institut die Kontrolle darüber, ob auch Administratoren der jeweiligen Anwendungen Zugriff auf personenbezogene Daten im Klartext haben.
Auch interessant:
