Anzeige
WHITEPAPER5. August 2021

SFTI beleuchtet API-Security im Kontext von Open Finance

Technische Aspekte, rechtliche Grundlagen und verfügbare Lösungen zur API-Security hat der SFTI in seinem aktuellen Whitepaper zusammengefasst. <Q>SFTI
Technische Aspekte, rechtliche Grundlagen und verfügbare Lösungen zur API-Security hat der SFTI in seinem aktuellen Whitepaper zusammengefasst. SFTI

Nicht nur technische Aspekte, auch die Frage nach Datensicherheit und -souveränität sind erfolgskritische Faktoren für Open Banking bzw. Open Finance. Der Schweizer Fachverband SFTI hat in einem Whitepaper die relevanten Aspekte der API-Security strukturiert zusammengefasst und liefert damit eine gute Grundlage für eine sichere Implementierung von APIs.

Die Common-API-Arbeitsgruppe ist eine Initiative des Schweizer Fachverbands SFTI (Swiss Fintech Innovations), in dem namhafte Banken und Versicherer mit weiteren wichtigen Playern am Finanzplatz Schweiz zusammengeschlossen sind. In der Arbeitsgruppe werden konzeptionelle Vorarbeiten zur Schaffung eines branchenübergreifenden, breit abgestimmten Schnittstellen-Standards gebündelt. Ihre Ergebnisse finden auch international Beachtung. Nun hat der SFTI der Entwicklung und Nutzung von APIs in der Finanzindustrie einen weiteren Mosaikstein hinzugefügt und ein Whitepaper zu den Grundlagen der Sicherheit von Schnittstellen erstellt.

API-Security und ihre Anwendungsfälle

API-Sicherheit befasst sich mit dem Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Schnittstellen sowie den entsprechenden Diensten und Informationen. Zu den relevanten Aspekten zählen dementsprechend sichere Kommunikation, Backend-Sicherheit, kundenzentrierte Sicherheit und TPP-bezogene Sicherheit. Das vorliegende Whitepaper fokussiert sich auf die beiden letztgenannten Punkte und widmet sich insbesondere den Anwendungsfällen, die auf einer Dreiecksbeziehung von Finanzinstituten (FI), Third Party Provider (TPP) und Kunde basieren.

Anwendungsfälle standardisierter Schnittstellen (APIs) teilt der Fachverband in drei grobe Kategorien ein:

  • Bankinterne IT-Entwicklung, wie Inhouse-Programmierung oder Integration von Fremdsoftware;
  • Elektronischer Datenaustausch mit anderen Finanzinstituten oder Intermediären der Finanzindustrie (z.B. SIX);
  • Anbindung externer Lösungsanbieter wie FinTechs und anderer TPP.

Beispielhaft wird aufgezeigt, welche Lösungen international bereits im Einsatz sind. Speziell in Hinblick auf den Security-Aspekt greift das Whitepaper zudem fünf Use Cases heraus, die Consent-Übermittlung, Datenaustausch und die Frage der Kundenautorisierung in verschiedenen Konstellationen beleuchten, sowohl unter technischen wie bankfachlichen Aspekten.

Das Whitepaper gibt einen strukturierten Überblick und greift bestimmte Anwendungsfälle konkreter auf. <Q>SFTI
Das Whitepaper gibt einen strukturierten Überblick und greift bestimmte Anwendungsfälle konkreter auf. SFTI

Technik nicht der alleinige Treiber

Angesichts der unterschiedlichen Player und Einsatzgebiete spricht der Verband nicht länger von Open Banking sondern von Open Finance. In seinem jüngsten Whitepaper beschränkt sich die Arbeitsgruppe nicht allein auf technische Fragen, sondern nimmt auch die Geschäftsmodelle und rechtliche Grundlagen in den Blick, die ihrerseits technische Implikationen nach sich ziehen.

Als Beispiel nennt der SFTI das Thema Datensouveränität. In den letzten Jahren habe sich die Auffassung verfestigt, dass Bankkunden weitgehend uneingeschränkt über „ihre“ Daten verfügen können sollen. Das führt insbesondere in punkto Datensicherheit und Datenschutz auch zu technischen Herausforderungen. Das SFTI-Whitepaper nimmt für sich in Anspruch, diese Entwicklung aufzunehmen und die Grundlagen für ein Verständnis dieses „new normal“ zu bilden.

Auch das Thema Legal & Compliance wird tangiert, und eine Übersicht grundlegender Standards rundet das Whitepaper ab. Die Publikation steht auf der Website des SFTI kostenlos zum Download bereit. hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert