Datenschutz beim Open Banking

Durch den Vormarsch von Open Banking wird auch das Thema Datenschutz immer wichtiger: Banken und ihre Kunden sind oft besorgt, dass sensitive Daten in falsche Hände geraten. Deshalb ist es wichtig zu verstehen, wie aktuelle Open-Banking- und PSD2-Systeme funktionieren und wie genau sichergestellt wird, dass Bankkunden weiterhin die volle Kontrolle über ihre Finanzdaten haben.

  #Digital Process Factory   #Digitalization as a Service  

Wiederverwenden statt neu bauen

Viele Finanzdienstleister diskutieren aktuell über Open Banking. Schliesslich muss man mit der neusten Technik Schritt halten. Aber ist es für eine Bank überhaupt sicher, Open Banking und somit einen Zugang zu sensitiven Daten anzubieten? Eigentlich ist es eine paradoxe Überlegung, denn: die meisten Banken, die über den Einsatz einer Open-Banking-Lösung nachdenken, verfügen bereits über die benötigte Infrastruktur für ein solches Vorhaben. Schliesslich stellt auch ein E-Banking hohe Ansprüche an die technischen Sicherheitsstandards. Durch den intelligenten Einsatz dieser vorhandenen Infrastruktur lassen sich bewährte Sicherheitsmerkmale wiederverwenden, was die Umsetzung einer Open-Banking-Lösung sogar vereinfacht. Ein wichtiger Aspekt ist beispielsweise der Schutz der neuen PSD2-APIs vor unerlaubten Zugriffen. Dafür empfiehlt es sich, die bereits vorhandene Sicherheitsinfrastruktur zu verwenden, da diese bereits auditiert wurde und über keine Sicherheitslücken verfügt. Bei UMB und unserer Open-Banking-Plattform ubix2b verfolgen wir deshalb einen Ansatz, der die erprobte Sicherheitsinfrastruktur unserer Kunden nutzt und integriert. Vorhandene Firewalls und Identity Providers werden integriert, um die Gewaltentrennung zwischen den einzelnen Systemen sicherzustellen. Die daraus entstehen Architekturen verfolgen entsprechend den sogenannten Best-of-Breed Ansatz: Jede Komponente spezialisiert sich auf eine bestimmte Funktionalität, die sie wiederum für andere Systeme zur Verfügung stellt.

 

Datenpersistierung genau verfolgen

Spielen wir das Beispiel einmal durch: Der erste Kontaktpunkt der Requests von Drittparteien (TPP) ist in der Regel eine Web-Application-Firewall, welche die Requests prüft und potenziell schädliche Anfragen blockiert. Gleichzeitig überprüft die Firewall die zentral ausgestellten TPP-Zertifikate. Somit stellt die Firewall sicher, dass nur registrierte Drittanbieter Zugriff erhalten. Zusätzlich wird für sämtliche Kommunikation zwischen Banksystem und TPP vorausgesetzt, dass die gesendeten und empfangenen Daten via TLS verschlüsselt sind. Mit einer Firewall allein ist es allerdings nicht getan: Auch die Datenpersistierung sollte man genau unter die Lupe nehmen. Es ist zentral bei solch einem Prozess darauf zu achten, welche Daten wo gespeichert und verfügbar gemacht werden. Sämtliche personenidentifizierende Daten müssen in einer speziell gesicherten Netzwerkzone persistiert werden, während Metadaten zur Nutzung der APIs, die keinerlei Rückschlüsse auf die betroffenen Kunden erlauben, durchaus in einer DMZ gehalten werden können. Zusätzlich gilt es hier das Augenmerk auf das Logging der einzelnen Applikationen zu richten. So lässt sich vermeiden, dass sensitive Daten in einem Logfile auftauchen.
 

RPA für alle – durch UMB auch von den ganz Grossen

IBM und UMB verbindet eine jahrzehntelange erfolgreiche Zusammenarbeit. UMB ist erster und grösster IBM Platinum Business Partner der Schweiz. UMB ist auch der meistzertifizierte IBM-Partner der Schweiz – mit weit über 350 IBM-Zertifizierungen. Wir sind breit abgestützt wenn es um RPA geht. Bei UMB beginnt RPA damit, das praktische Potenzial in Ihrem Unternehmen zu demonstrieren und transparent aufzuzeigen, ob sich der Einsatz für Ihr Unternehmen lohnt. In den meisten Fällen bringt RPA schon nach wenigen Wochen den Return of Investment. 
Kontaktieren Sie uns, wenn Sie in Ihrem Unternehmen den nächsten Automatisierungsschritt unternehmen wollen. 
 

Konsumentenschutz durch Consent Management

Jedoch beruht die Sicherheit einer Open-Banking-Lösung nicht nur auf der verwendeten Infrastruktur. Auch das PSD2-Framework trägt mit dem vorgeschriebenen Consent Management seinen Teil dazu bei. Das Consent Management verwaltet die Zugriffe von TPPs auf Kundendaten. Es ist dabei wichtig zu verstehen, dass TPPs mit dem Zugriff auf die umsetzten APIs nicht automatisch Zugang auf die Daten sämtlicher Kunden gewährt wird. PSD2 sieht vor, dass Kunden explizit zustimmen müssen, bevor ein TPP auf ihre Daten zugreifen kann. Um das zu gewährleisten, holen Banken bei Kunden in einem speziellen Autorisierungsprozess die Zustimmung zur Weitergabe ihrer Daten ein. Diese Autorisierung findet ausschliesslich zwischen einer Bank und deren Kunden statt, sodass Drittanbieter keinerlei Einfluss darauf nehmen können. Ausserdem gilt der erteilte Consent jeweils nur für die Beziehung zwischen dem Kunden und diesem spezifischen TPP. Möchte ein weiterer Drittanbieter auf die Daten zugreifen, muss die Autorisierung für diesen wiederholt werden. Somit stellt die Bank sicher, dass der Kunde über sämtliche benötigen Informationen zur erteilten Autorisierung verfügt. Zusätzlich schützen etablierte Login- und Two-Factor-Authentication-Methoden den Autorisierungsprozess vor Missbrauchsversuchen. Auf diese Weise werden nicht nur dieselben Sicherheitsstandards wie in einer E-Banking Applikation eingehalten, sondern es wird wiederum auf bereits etablierte Sicherheitsinfrastruktur zurückgegriffen. Und um allfällige Bemerkungen vorwegzunehmen: Nein, das ist nicht zu kompliziert. Mit Sicherheitsanforderungen im Open-Banking-Umfeld ist nicht zu spassen. Wie heisst es so schön: better safe than sorry!