Sicheres Online-Shopping: Gefahren bei der Authentifizierung vorbeugen
Open Banking ist nicht erst seit der Corona-Pandemie einer der wichtigsten Treiber der Digitalisierung der Finanzbranche: Die Öffnung der Anwendungsprogrammierschnittstellen (APIs) des Onlinebankings hat einen ganz neuen Markt für Drittanbieter geschaffen, die Anwendungen zur bankenübergreifenden Verwaltung von Finanzdaten zur Verfügung stellen. Damit sollen Verbraucher die Möglichkeit erhalten, ihre Einnahmen und Ausgaben einfacher und effizienter als bisher zu verwalten. So müssen sie sich beispielsweise nicht mehr in mehrere Applikationen von Banken und Zahlungsdienstleistern einloggen, sondern können in einer zentralen App sämtliche Zu- und Abflüsse aller Konten im Blick behalten. Den Weg hierfür geebnet hatte die sogenannte zweite Zahlungsdiensterichtlinie (PSD2) der Europäischen Kommission, mit der Zahlungsdienste und Zahlungsdienstleister innerhalb der EU neu reguliert wurden.
Beim Open Banking gestatten Bankkunden einem Drittanbieter (Third Party Provider, kurz TPP) Einblick in ihre Kunden- und Transaktionsdaten. Möglich ist sowohl ein einmaliger Zugriff, etwa zur Bonitätsprüfung bei einem Kreditantrag, als auch ein kontinuierlicher Zugriff: letzterer eignet sich etwa als Datenquelle für Buchhaltungssoftware oder für Anwendungen zum persönlichen Finanzmanagement. Neben der Datenabfrage ist auch eine Initiierung von Zahlungen über das System möglich. Einbezogen werden können neben Giro-, Geschäfts- und Kreditkartenkonten auch Anlageformen wie Spar- und Depotkonten sowie die Guthaben bei Online-Bezahldiensten wie PayPal. Der Datenaustausch erfolgt dabei in jedem Fall über gesicherte Anwendungsprogrammierschnittstellen (APIs).
Noch herrscht Skepsis unter Bankkunden
Wie die meisten Innovationen ist das Open Banking bei den Verbrauchern eher verhalten aufgenommen worden. So gaben etwa in einer weltweiten Umfrage des Banking-Dienstleisters Mambu 52 Prozent der Befragten an, noch nie von Open Banking gehört zu haben. 61 Prozent haben es nach eigenem Bekunden noch nie genutzt. Verstärkt wird diese grundsätzliche Skepsis durch die besonders prekäre Natur der Finanzinformationen. Wer möchte schon, dass seine privaten Bankdaten von App-Anbietern nicht nur ausgewertet, sondern womöglich an Werbenetzwerke oder andere Interessenten weiterverkauft werden? Und was ist, wenn sie wegen mangelhafter Sicherheitsvorkehrungen der App-Entwickler in die Hände von Hackern fallen? Um eine solche missbräuchliche Verwendung von vornherein auszuschliessen, ist die praktische Umsetzung der EU-Zahlungsdiensterichtlinie an strenge gesetzliche und technologische Vorgaben gebunden.
Datenübertragbarkeit nur nach expliziter Zustimmung des Kunden
PSD2 legt grundsätzlich das Recht auf Datenübertragbarkeit fest. Bei einem Finanzinstitut hinterlegte Daten müssen – auf ausdrücklichen Wunsch des Kunden – also grundsätzlich auch anderen Dienstleistern zur Verfügung gestellt werden. Neue Anwendungen wie ein Sammel-Überblick über alle Ein- und Ausgaben oder ein automatisches Investieren von Ersparnissen werden so erst möglich. Begrenzt wird die dafür notwendige Datensammlung durch das Zusammenspiel von PSD2 mit den Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO). Letztere schreibt grundsätzlich eine Datensparsamkeit vor: es dürfen also immer nur so viele Informationen aggregiert werden, wie zur Erbringung einer bestimmten Dienstleistung notwendig sind. Der Nutzer muss gegenüber seiner Bank der Weiterleitung bestimmter Daten für einen Third Party Provider explizit zustimmen – diese Einwilligung gilt dann nur für diesen TPP und muss für jeden weiteren Provider erneut erfolgen.
CIAM und MFA sorgen für Sicherheit
Regulatorische Vorgaben wie diese sind wichtig, um das Vertrauen der Verbraucher in die neuartigen Dienstleistungen von Fintechs und Banken zu stärken. Mindestens ebenso wichtig ist aber die – im Bankensektor traditionell stark ausgebaute – technische Absicherung, mit der unrechtmässigen Login-Versuchen und dem illegalen Datenabfluss ein Riegel vorgeschoben wird. Grundlage für die aktuell strengsten Sicherheitsmassnahmen ist ein Customer Identity and Access Management (CIAM) mit vorgeschalteter Multi-Faktor Authentisierung (MFA) und biometrischer Authentifizierung. Bei der Multi-Faktor Authentisierung genügt es nicht, sich mit Benutzername und Passwort ins Konto einzuloggen. Es muss zusätzlich ein weiterer Faktor hinzukommen – etwa ein ans Mobilfunkgerät gesendeter Einmal-PIN oder eine von Authenticator-Apps generierte individuelle Prüfnummer. Den besten Schutz vor unberechtigten Zugriffen bieten biometrische Verfahren wie Gesichtserkennung oder Fingerbadruck-Scan. Denn mit ihnen lässt sich im Rahmen von MFA eine vollständig passwortfreie Authentifizierung realisieren.
Das CIAM-System bildet die Vermittlerinstanz zwischen dem Nutzer und den Backend-Anwendungen wie Kundendatenbank, Zahlungssystemen und APIs für Third Party Provider. Zur Authentifizierung stellt die Lösung ein Access Gateway bereit, das moderne Authentifizierung auch mit traditionellen Webanwendungen ermöglicht. Darüber hinaus umfasst sie einen Authentifizierungsserver, der mehrere Authentifizierungsverfahren erlaubt – von Passwörtern bis hin zu physischen Token. Er unterstützt auch Protokolle für die Authentifizierung wie OpenID Connect, SAML, WS-Trust und WS-Federation sowie das Autorisierungs-Protokoll OAuth 2.0. Die letzte Schlüsselkomponente ist ein Benutzerverzeichnis, in dem sämtliche Identitätsdaten von Kunden verwaltet werden. Mit einem so ausgestatteten CIAM-System sind Banken und Fintechs so bestens für den weiteren Ausbau der Open-Banking-infrastruktur in den kommenden Jahren gerüstet.
