Der Branchenverband Swiss FinTech Innovations (SFTI), hinter dem mehrere Schweizer Banken und Versicherer stehen, hat ein White Paper zur API-Sicherheit im Kontext von Open Finance veröffentlicht. Mit der Idee, einen weiteren Mosaikstein zu setzen auf dem marktgetriebenen Weg zu Open Finance.
SFTI vertritt die Meinung, dass Open Finance auch in der Schweiz zunehmend in den Fokus der Öffentlichkeit rückt. Neben innovativen Bankdienstleistungen und Antworten auf die entsprechenden rechtlichen und regulatorischen Fragen, so SFTI, sind die technischen Aspekte der API-Schnittstellen und die damit verbundene Datensicherheit und Datenschutz kritische Faktoren für den Erfolg von Open Finance. Deshalb liefert der Verband ein White Paper zur API-Sicherheit.
Die Stakeholder im Überblick
Die Themen Sicherheit und Datenschutz bei der Nutzung API-basierter Bankdienstleistungen werden im White Paper des SFTI aus dem Blickwinkel unterschiedlicher Anspruchsgruppen betrachtet. Aus der Einsicht heraus, dass die Akzeptanz des eigenen Anliegens leiden wird, wenn die Bedürfnisse und Positionen der jeweiligen Zielgruppen nicht genügend berücksichtigt werden.
Die Autoren identifizieren die Interessengruppen Endkunden, Finanzinstitute sowie Dritte und definieren deren Ausprägungen und unterschiedlichen Erwartungen:
Die verschiedenen Segmente bei Endkunden:
- Technologieaffine Kunden: Ich bin mir meines Risikos bewusst
- Komfortorientierte Kunden: Bevorzugen weniger Services, aber bei maximaler Sicherheit
- Rechts-/Regulierungsfokussierte Kunden: Meine Handlungsfreiheit steht an erster Stelle
Für Finanzinstitute sind folgende Positionen zu berücksichtigen:
- Geschäftsorientierte Sicht: Wir behalten die bestmögliche Nutzungskontrolle
- Innovationsstrategie: Wir sind für zukünftige Herausforderungen gerüstet
- Endkundenorientierung: Wir bieten benutzerfreundliche Sicherheit
Die Drittanbieter (FinTechs, WealthTechs, ...) können folgende Positionen einnehmen:
- Unabhängige Perspektive: Wir wollen ein eigenständiges Geschäftsmodell etablieren
- Rolle des Lieferanten: Wir wollen Finanzinstituten eine Lösung anbieten, die sie als White-Label-Software einsetzen können
Die gesetzgebenden und regulierenden Institutionen können folgende Ansichten vertreten:
- Marktzentrierte Sichtweise: Die Branche schafft selbst die notwendigen Rahmenbedingungen
- Richtliniensicht: Rahmenbedingungen müssen vom Staat gesetzt werden
Auf der Basis dieser Gruppen werden im White Papier die verschiedenen Aspekte der API-Sicherheit herausgearbeitet. Begleitet von beispielhaften Lösungen, die international bereits im Einsatz stehen, illustriert mit Anwendungsfällen sowohl für technische als auch für Bankenszenarien. Hier fokussiert SFTI auf folgende Kategorien:
- Bankinterne IT-Entwicklung, sowohl Inhouse-Programmierung als auch Integration von Fremdsoftware
- Elektronischer Datenaustausch mit anderen Finanzinstituten oder Intermediären der Finanzindustrie (zum Beispiel SIX)
- Anbindung externer Lösungsanbieter wie FinTechs und anderer Third Party Providers (TPPs)
Was im Vordergrund steht
Im Zuge der Open-Finance-Diskussionen der letzten Jahre, stellt SFTI fest, beginnt sich die Ansicht durchzusetzen, dass Bankkunden weitgehend uneingeschränkten Zugriff auf "ihre" Daten haben sollen. Dies führt zu technischen Herausforderungen, insbesondere in Bezug auf Datensicherheit und Datenschutz. Mit dem White Paper zur API-Sicherheit will SFTI dieser Entwicklung Rechnung tragen und eine Grundlage für das Verständnis des "New Normal" liefern.
Das White Paper zum Runterladen
Das Papier geht auf 35 Seiten auf die beschriebenen und auch auf weitere zentrale Aspekte von API-Sicherheit im Kontext von Open Finance ein. Das White Paper in englischer Sprache kann kostenlos als PDF direkt bei Swiss FinTech Innovations runtergeladen werden, über den Link gleich unten.