Bank-APIs schützen? Open Banking hat sicher­heits­relevante Auswirkungen!

Open Banking hat seinen Ursprung in Europa – und ist hier auch am weitesten fortgeschritten. Mittlerweile beschäftigen sich jedoch Finanzdienstleister sowie FinTech-Unternehmen weltweit mit diesem Konzept, welches die Branche grundlegend revolutionieren könnte. Denn beim Open Banking, auch als API Banking bezeichnet, bekommen Drittanbieter die Möglichkeit, sich über offene Anwenderschnittstellen in das Ökosystem der Bank zu integrieren. Sie können so zusätzliche Anwendungen und Services für die Bankkunden bereitstellen und greifen dabei direkt auf die bei den Banken gespeicherten Daten zu.

von Daniel R. Wolf, Regional Director DACH, Salt Security (Webseite)

Open Banking schafft so neue Möglichkeiten für die Finanzbranche, um Innovationen sowie neue, differenzierte Dienstleistungen für ihre Kunden zu entwickeln – und neue Einnahmequellen zu erschließen. Zugleich zielt Open Banking darauf ab, den Verbrauchern mehr Kontrolle über ihre Finanzdaten und letztlich über ihr finanzielles Leben zu geben.

Herzstück des Open Banking sind APIs (Application Programming Interfaces). Sie ermöglichen es den Finanzinstituten, die Art und Weise, wie sie Finanzdaten austauschen, zu standardisieren und sich mit einem Ökosystem von Anbietern zu verbinden. Open Banking hat in hohem Maße eine Demokratisierung des Bankwesens auf der ganzen Welt eingeläutet – unterstützt durch APIs.

Warum herkömmliche Sicherheitsmaßnahmen APIs nicht schützen

Open Banking definiert zwar Standards dafür, wie APIs strukturiert sein sollten, um Integrationen zu ermöglichen, aber es bietet keinen Standard für die meisten Sicherheitsanforderungen an APIs. Hier wird häufig nur den grundsätzlichen Maßnahmen, wie Authentifizierung, Autorisierung und Verschlüsselung, Aufmerksamkeit geschenkt. Diese Technologien sind für jedes Sicherheitsprogramm von entscheidender Bedeutung, sie reichen jedoch nicht aus.

Für Angreifer ist die Authentifizierung kein echtes Hindernis:

Meist ist es einfach, eine legitime Anmeldung zu erhalten, Anmeldedaten zu fälschen oder sich im Extremfall mit roher Gewalt Zugang zu einer API zu verschaffen.”

Hauptzweck der zweiten grundsätzlichen Maßnahme – der Verschlüsselung – ist es, Daten in Bewegung zu schützen. Ist ein Benutzer authentifiziert, kann er von seinem Endpunkt aus problemlos auf unverschlüsselte Daten zugreifen. Deshalb soll die Autorisierung für Sicherheit sorgen, denn sie regelt, was ein Benutzer darf und was nicht.

In der Praxis erweist sich dies jedoch als unrealistisch. Denn APIs haben eine komplexe Logik und Anwendungen sind eine Kombination aus mehreren APIs. Heutige Anwendungen kombinieren zudem häufig APIs, die von mehreren internen und externen Teams entwickelt wurden, die unterschiedliche Ansätze zur Erstellung dieser Logik nutzen. Dies gilt insbesondere für Open-Banking-APIs. Zudem muss die Autorisierung mehrere Ebenen abdecken: Kunden, Partner, Entwickler und Administratoren sind nur einige der Dimensionen, die bei der Definition von Autorisierungsrichtlinien zu berücksichtigen sind. Hinzu kommt, dass viele APIs ständig aktualisiert werden und neue Funktionen bieten. Diese Aktualisierungen können die Logik ändern und sich auf die Autorisierungsanforderungen auswirken, die deshalb jedes Mal zugleich angepasst werden müssen.

Es gibt eine Reihe weiterer traditioneller Tools wie Web Application Firewalls (WAF) und API-Gateways, die die APIs schützen sollen. Doch auch diese greifen zu kurz:

Aufgrund ihrer Proxy-Architekturen sind sie darauf beschränkt, jede Transaktion isoliert mit Hilfe von Signaturen und Richtlinien zu untersuchen, um bekannten bösartigen Datenverkehr zu erkennen und zu stoppen.”

Da jede API eine eigene Logik und Schwachstellen hat, ist dies kaum praktisch umsetzbar.

Was ist nötig, um offene Bank-APIs zu schützen?

APIs erfordern ein Sicherheitskonzept, das auf einer neuen Architektur beruht und über die isolierte Betrachtung einzelner Transaktionen hinausgeht. Die IT-Verantwortlichen im Unternehmen sollten sich ihrer APIs nicht nur bewusst sein, sondern sie genau kennen und die IT-Infrastruktur kontinuierlich auf neue sowie aktualisierte APIs hin prüfen.

Dabei sind API-Sicherheitslösungen eine wirksame Unterstützung: Automatisch scannen sie regelmäßig die Umgebung nach APIs ab und decken zugleich unbekannte Schatten- und vergessene Zombie-APIs auf. Dokumentationen sollten regelmäßig überprüft und aktualisiert werden.”

Um den gesamten API-Verkehr zu erfassen, sind große Datenmengen erforderlich, und die Nutzung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) ist die einzige Möglichkeit, diese Datenmengen zu analysieren. Aus diesen Daten können Erkenntnisse darüber gewonnen werden, was eigentlich als normale Aktivität und was als Abweichung davon gelten kann.

Damit Benutzerfehler und andere ungefährliche Abweichungen nicht als Gefahr identifiziert werden, muss die Analyse Gesamtzusammenhänge erkennen lassen.”

Kurz gesagt: Der Kontext und die Korrelation der Aktivitäten sind entscheidend. Auf Basis einer intelligenten und datenbasierten Kombination aus beidem kann eine Sicherheitslösung Nutzerprofile erstellen, die eine Bewertung der Aktivitäten zulassen. Sie erkennt, ob eine Abweichung schlicht auf einen Benutzerfehler zurückzuführen ist, ob eine Änderung an der API der Auslöser war oder ob es sich tatsächlich um einen Angreifer handelt, der nach Schwachstellen sucht. So gelingt es, den Angreifer in einem frühen Stadium zu lokalisieren und zu stoppen, häufig schon bevor er den eigentlichen Angriff startet. Zugleich sinkt die Zahl der Fehlalarme auf nahezu Null.
Lücken schließen, bevor ein Angreifer sie findet

Selbst wenn Entwicklungsteams großen Wert auf die Sicherheit ihrer Anwendungen und Schnittstellen legen, sind kleinere Lücken und Schwachstellen unvermeidlich. Gerade bei der Entwicklung und Veröffentlichung von APIs kommt es in der Praxis sogar recht häufig dazu, denn enge Zeitpläne, kurze Veröffentlichungszyklen und umfassende Abhängigkeiten zwischen einzelnen Anwendungen sorgen für eine hohe Komplexität und enormen Zeitdruck. Das heißt, auch nach der Entwicklung braucht die API Schutz, zum Beispiel durch eine Runtime-API-Security-Lösung.

Solch ein API-Laufzeitschutz kann auf einzigartige Weise einen realen Einblick in Schwachstellen bieten und liefert wertvolle Erkenntnisse, um sie zu beheben.”

Dabei geht es keineswegs darum, theoretische Schwachstellen zu identifizieren. Vielmehr werden Lücken erkannt, die echte Angreifer bereits auszunutzen versucht haben. Moderne API-Sicherheitslösungen, wie zum Beispiel die API Protection Platform von Salt Security, entdecken mit Hilfe intelligenter Algorithmen proaktiv potenzielle Schwachstellen, bevor ein Angreifer dies tut. Dies sind wichtige Details, die den Entwicklungsteams helfen, Lücken schnell zu beseitigen und sicherere APIs zu programmieren.

Fazit: OpenBanking braucht sichere APIs

Wenn das Konzept des Open Banking sich durchsetzen und die Akzeptanz der Kunden erringen soll, ist es auf sichere APIs angewiesen. Hier geht es fast immer um sensible Daten, auf die mögliche Drittanbieter zugreifen – da darf der Datenschutz weder dem Zufall noch den ungenügenden Standard-Sicherheitsmaßnahmen überlassen werden. Laut den Analysten von Gartner steigt in den nächsten Monaten und Jahren die Gefahr signifikant, dass API-Sicherheitslücken ausgenutzt werden. Und weil die Entwicklung hin zu Open Banking längst in vollem Gange ist, sollten sich die Anbieter jetzt umso dringender mit der Sicherheit ihrer APIs beschäftigen.Daniel R. Wolf, Salt Security