Offene Banking-APIs

Was ist eine Open Banking API und wie funktioniert sie?

Open Banking APIs verändern das Bankwesen. Die Open-Banking-Initiative ermöglicht es Bankkunden, ihre Kontoinformationen sicher mit Drittanbietern (TPPs) zu teilen. Dies wird durch Application Programming Interfaces (APIs) erreicht, die es TPP-Programmen ermöglichen, mit den Anwendungen der Banken zu kommunizieren. Ziel ist es, Innovationen im digitalen Banking zu fördern und die Entwicklung neuer Finanzanwendungen und verbesserter Dienstleistungen für Unternehmen und Verbraucher zu beschleunigen.

Open Banking wurde 2018 von der britischen Wettbewerbs- und Marktaufsichtsbehörde (CMA) initiiert, die die Banken anwies, ihre Anwendungen für TPPs zu öffnen. Im selben Jahr verfolgte die Europäische Union mit der Aktualisierung der Zahlungsdiensterichtlinie (PSD2) das gleiche Ziel und schrieb gleichzeitig neue Sicherheitsvorschriften für den Zugang zu Zahlungskonten und Finanztransaktionen vor.

Eine typische Anwendung einer Open Banking API ist die Aggregation von Daten aus verschiedenen Bankkonten in einer einzigen Ansicht, die von einer TPP-Anwendung bereitgestellt wird. Es gibt zwei Arten von TPPs. Payment Initiation Service Providers (PISPs) verbinden sich mit dem Bankkonto eines Kunden und leiten Zahlungen im Namen des Kunden ein. Account Information Service Provider (AISP) stellen eine Verbindung zum Bankkonto eines Kunden her, um eine Finanzdienstleistung, wie z. B. die Geldverwaltung, anzubieten.

Vorteile von Open Banking APIs

Da eines der langfristigen Ergebnisse von Open Banking ein verstärkter Wettbewerb sein wird, haben die etablierten Banken gezögert, sich darauf einzulassen. In der Vergangenheit standen sie im Wettbewerb mit Fintech-Unternehmen, um ihren Kunden bessere Finanzdienstleistungen zu bieten. Aber Open Banking bietet Banken tatsächlich die Möglichkeit, neue Geschäftsmodelle zu erkunden, bei denen sie mit aufstrebenden Fintechs und anderen Banken zusammenarbeiten und Partnerschaften eingehen, anstatt zu versuchen, mit ihnen zu konkurrieren. Und die Kunden profitieren letztlich davon, da sie durch Open Banking mehr Kontrolle über ihre Transaktionsdaten erhalten.

Es ist eine Win-Win-Situation sowohl für das Bankkundenerlebnis als auch für die Finanzinstitute. Der Kunde erhält besseren Zugang und Kontrolle über seine Konten und Finanzen und kann neue Funktionen und Dienste nutzen. Finanzinstitute können ihren Kunden verbesserte Dienstleistungen anbieten und an einem Ökosystem zur Umsatzbeteiligung teilnehmen. Laut einem Artikel von Insider Intelligence mit dem Titel How open banking and bank APIs are boosting fintech growth (Wie Open Banking und Bank-APIs das Fintech-Wachstum ankurbeln), prognostiziert das Forschungsunternehmen "das Umsatzpotenzial in Großbritannien, das durch Open-Banking-fähige kleine und mittlere Unternehmen (SMBs) und Privatkundenangebote generiert wird, bis 2024 auf 2 Milliarden US-Dollar."

Banken und damit ihre Kunden können die großen Gewinner sein, wenn sie Open-Banking-APIs nutzen, um ihre Anwendungen für Fintechs zu öffnen. Ein paar Vorteile sind:

  • Schnellere Innovation: Fintechs können in der Regel innovativ sein und neue Anwendungen und Funktionen schneller entwickeln als die IT-Teams etablierter Banken.
  • Gesteigerter Umsatz: Fintechs sind besser positioniert, um Technologie-Aufbau-Projekte zu übernehmen und zu liefern.
  • Detaillierte Kundeneinblicke: Fintechs können sich mit den Kundendaten der Banken verbinden, um finanzielle Trends und Muster der Kunden zu ermitteln.
  • Personalisierte Angebote: Anhand von Finanztrends und -mustern der Kunden können Fintechs die Kundenbindung verbessern, indem sie personalisierte Dienste und Empfehlungen anbieten.

Beispiele für Banken, die Open Banking APIs verwenden

In der gesamten Finanzbranche nutzen einige der bekanntesten und größten Banken, Finanzinstitute, Kreditgeber und Fintech-Startups bereits Open Banking APIs, um verbesserte Finanzprodukte und -dienstleistungen anzubieten. Hier sind ein paar Beispiele:

  • O2 Banking von Telefonica Deutschland: Telefonica Deutschland hat ein reines Handy-Bankkonto auf den Markt gebracht, das Transaktionen über die Handynummer, kleine Sofortkredite und bessere mobile Datentarife bietet und auf der Plattform der deutschen Bank Fidor aufbaut.
  • Wave-Integration von Kunden-Finanzinformationen: Die Rechnungs- und Buchhaltungssoftware Wave nutzt Banking-APIs, um sich mit dem Bankkonto eines Benutzers zu verbinden und seinen Kunden die volle Kontrolle über ihre Geschäftsfinanzen an einem Ort zu ermöglichen.

Open-Banking-Initiativen

Es gibt zwei Hauptkategorien von Treibern für Open-Bank-Initiativen auf der ganzen Welt: marktgetriebene Initiativen und regulatorische Initiativen.

In marktorientierten Umgebungen, wie in den USA und einigen asiatischen Ländern wie Japan, Singapur, Indien und Südkorea, überlassen die Regulierungsbehörden den Akteuren - Banken und TPPs - die Initiative bei der Einführung von Open Banking APIs. Viele große Banken in den USA haben ihre eigenen Initiativen gestartet und arbeiten mit TPPs zusammen. In den USA beispielsweise basiert Open Banking noch weitgehend auf Screen Scraping, bei dem Fintechs Kundeninformationen aus den Daten sammeln, die auf dem Display der Banking-App angezeigt werden, aber es wird erwartet, dass die Branche zu sichereren und zuverlässigeren APIs übergeht.


In regulatorisch geprägten Umgebungen, wie z. B. in Großbritannien und Europa, wurden die Initiativen vor allem durch PSD2 vorangetrieben. Hongkong hat ebenfalls den regulatorischen Ansatz gewählt und erlaubt Finanzinstituten die Wahl, mit welchen TPPS sie zusammenarbeiten.

Ein weiterer erwähnenswerter Punkt ist der Open-Banking-Ansatz in Australien. Dies ist vielleicht der ehrgeizigste und innovativste Ansatz für Open Banking, den es bisher gab. Australien geht sogar über Open Banking hinaus und schlägt eine Open-Data-Wirtschaft vor, in der die australischen Bürger nicht nur von Retail-Bankinstituten verlangen können, dass sie den Datenaustausch mit Drittanbietern ermöglichen, sondern auch mit anderen Unternehmen wie z. B. Energieversorgern oder Telekommunikationsunternehmen.

Sicherheitsrisiken bei offenen Banking-APIs

Die Öffnung von Bankanwendungen für TPPs birgt Risiken, die es zu beachten gilt. Betrugsprävention muss für alle Beteiligten oberste Priorität haben. Frederik Mennes, Leiter des Security Competence Center von OneSpan, unterteilt diese Risiken in drei Typen.

  1. Erstens: Finanzinstitute öffnen ihre Systeme und geben Verbraucherdaten an TPPs weiter. Es obliegt also dem Finanzinstitut, sicherzustellen, dass es nur mit vertrauenswürdigen TPPs zusammenarbeitet. Sie können nicht zulassen, dass ein böswilliger oder unbefugter TPP Zugriff auf ihre Daten hat.
  2. Zweitens müssen die Benutzer der von den TPPs bereitgestellten Anwendungen ordnungsgemäß authentifiziert werden, um einen unberechtigten Zugriff zu verhindern, wenn sie auf ein Konto in der Bank zugreifen. Dies kann eine zusätzliche Authentifizierung wie Strong Customer Authentication (SCA) erfordern.
  3. Drittens enthält die IT-Infrastruktur der Bank nun im Wesentlichen die IT-Infrastruktur des TPP. Wenn also die TPP eine Datenverletzung erleidet oder anderweitig kompromittiert wird, kann auch die Bank davon betroffen sein.

Wie man Banken vor Sicherheitsbedrohungen schützt

Das erste oben beschriebene Risiko besteht darin, dass nicht autorisierte TPPs versuchen, auf die Konten der Bank zuzugreifen. Zum Schutz vor unbefugten Zugriffen dieser Art können Banken vom TPP verlangen, dass er alle Anfragen digital signiert. TPPs würden über ein öffentliches/privates Schlüsselpaar mit einem entsprechenden Zertifikat verfügen, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Dies ermöglicht den TPPs, sich zu authentifizieren, wenn sie über offene Banking-Schnittstellen kommunizieren.

Um den Risiken eines unberechtigten Zugriffs auf die Konten der Bank zu begegnen, müssen Banken eine starke Kundenauthentifizierung und eine Transaktionsüberwachung gemäß den Vorgaben der PSD2 einsetzen. Neben anderen Spezifikationen schreibt PSD2 eine Transaktionsauthentifizierung vor, bei der der Grad der Authentifizierung, der für die Verarbeitung einer Anfrage erforderlich ist, vom Risikoniveau der angeforderten Transaktion abhängt. Nach der Anmeldung beim Online-Banking kann zum Beispiel eine Anfrage eines Kunden, seinen Kontostand zu überprüfen, nahtlos verarbeitet werden, aber eine Anfrage, Geld zu überweisen, kann den Benutzer zu einer stärkeren Authentifizierung auffordern.

PSD2 und die zugehörigen Regulatory Technical Standards (RTS) schreiben vor, dass für einen Großteil der Online-Zahlungen, einschließlich derjenigen, die über Open-Banking-APIs erfolgen, eine Betrugsüberwachung durchgeführt und eine starke Kundenauthentifizierung (SCA) angewendet werden sollte. SCA muss auf den Zugang zu Zahlungskontoinformationen und auf jede Zahlungsauslösung angewendet werden, einschließlich Transaktionen über Open Banking , es sei denn, es gilt eine Ausnahme gemäß den RTS. Ausnahmeregelungen sind nicht obligatorisch, aber Banken können sie nutzen, wenn sie sich dafür entscheiden.

Im Rahmen von Open-Banking-Betrugsanalyseprogrammen unterstützen Lösungen wie OneSpan Risk Analytics die Überwachung von Ereignissen, die von einem TPP kommen, der einen oder mehrere Open-Banking-Services über von der Bank veröffentlichte Open-Banking-APIs betreibt. OneSpan Risk Analytics bietet vorgefertigte Regelszenarien, die die Anforderungen der PSD2-Betrugsüberwachung, die Geschäftslogik und typische Betrugsszenarien abdecken. Diese Regeln unterstützen digitale Bankkanäle, einschließlich Open Banking.

Die von PSD2 geforderten offenen APIs werden zu neuen, innovativen Bankdienstleistungen und Apps führen. Dabei besteht jedoch das Risiko, dass Kriminelle Zugriff auf Kundendaten und -transaktionen erhalten. Banken und dritte Zahlungsdienstleister müssen sich dieser Risiken bewusst sein und einen ausreichenden Schutz anbieten. Erfahren Sie mehr in diesem Blog: Open Banking APIs unter PSD2: Wie Sie das Risiko mindern.

Starke Kundenauthentifizierung

Um SCA zu passieren, muss sich der Kunde erfolgreich mit der Multifaktor-Authentifizierung (MFA) authentifizieren. Im Kontext von Online-Zahlungen unter PSD2 bedeutet dies, dass der Kunde zwei der drei Faktoren zur Authentifizierung angeben muss. Die drei Faktoren sind:

  • Wissen: etwas, das der Benutzer weiß, z. B. sein Passwort, seine PIN usw.
  • Besitz: etwas, das der Benutzer hat, z. B. sein Mobiltelefon usw.
  • Inherence: etwas, das der Benutzer ist, z. B. sein Fingerabdruck, Handabdruck usw.

Es gibt drei Methoden zur Durchführung von SCA:

  • Ein Redirect-Ansatz mit der Web-Anwendung der Bank
  • Ein eingebetteter Ansatz direkt über die TPP-Anwendung
  • Ein entkoppelter Ansatz mit der mobilen Trusted-Device-Anwendung der Bank

Beim umgeleiteten Ansatz werden die Benutzer auf die Website ihrer Bank umgeleitet, um die Authentifizierungsdaten einzugeben. Beim eingebetteten Ansatz ist der Authentifizierungsprozess vollständig automatisiert, wobei die Benutzer ihre Anmeldedaten an einen TPP weitergeben, der im Hintergrund die Authentifizierung vornimmt und die Zahlung auslöst. Beim entkoppelten Ansatz wird der zweite Faktor über ein anderes Gerät bereitgestellt als der, der die Transaktion anfordert.

Weiter zur offenen Finanzierung

Open Banking ist noch relativ neu in der Bankenbranche. Aber Finanzorganisationen sprechen bereits über den nächsten Schritt - Open Finance. Open-Banking-Initiativen beziehen sich in erster Linie auf Zahlungskonten.Jetzt ist es an der Zeit, das Konzept auf alle Konten anzuwenden, damit die Verbraucher einen ganzheitlichen Überblick über ihre persönlichen Finanzen und Finanzdaten erhalten können. Es gibt keinen Grund, warum die neuen Dienste, Techniken und Vorteile von Open Banking nicht auch auf andere Finanzkonten wie Hypotheken, Investitionen, Renten und Versicherungen angewendet werden können.

 

Tyrrell, Darcy, Yodlee, "Open Banking APIs Explained", Juni 2020, https://www.yodlee.com/open-banking/open-banking-api

Belmaker, Gidon, TearSheet, "7 Examples Showing the Power of Banking APIs", November 2016, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/

Mennes, Frederik, OneSpan, "Sicherheit und Compliance in einer offenen Bankenwelt ", https://www.onespan.com/resources/video-open-banking-security-considerations

Nehmen Sie Kontakt mit uns auf

Setzen Sie sich mit einem unserer Sicherheitsexperten in Verbindung, um mehr darüber zu erfahren, wie unsere Lösungen Ihnen bei Ihren digitalen Sicherheitsanforderungen helfen können

Kontakt