Wie sicher ist Open Banking?

«Open Banking ist ein neuer Weg, Ihr Geld besser arbeiten zu lassen.» Die Institution, die verantwortlich ist für den britischen Open-Banking-Standard fasst treffend zusammen, wofür Open Banking steht. Und sie bringt die Vorteile auf den Punkt: «Es ist sicher, es ist schnell, es ist bequem.» Open Banking gilt als technologische Revolution im Finanzwesen, die offizielle Definition der Schweizerischen Bankiervereinigung lautet: «Open Banking ist ein Geschäftsmodell, das auf dem standardisierten und gesicherten Austausch von Daten zwischen der Bank und vertrauenswürdigen Drittanbietern basiert.»

Einfach gesagt geht es darum, dass Bankkundinnen und -kunden ihre Finanzdaten für andere Dienste freigeben und nützen können. Ein Beispiel? Eine FinTech-App aggregiert Ihre Vermögenswerte, auch wenn diese bei verschiedenen Finanzinstituten liegen. Möglich machen das beispielsweise die standardisierten Schnittstellen des Vereins OpenWealth, der sich für einen breiten und einheitlichen Datenaustausch in der Vermögensverwaltung einsetzt. Mitglieder sind namhafte Schweizer Banken sowie 42 WealthTechs – damit sind jüngere, meist technahe Unternehmen gemeint, die neue Anwendungen und Services entwickeln wie die erwähnte Aggregation von Kundendaten.

Wie gross das Potenzial von Open Banking für die Finanzbranche ist, zeigt die Schätzung des Marktforschungsinstituts Grand View Research: Der globale Markt für Open Banking soll von heute bis 2030 von 20 auf 135 Milliarden Dollar anwachsen. Jährliches Wachstum: 27 %.

Eine «offene» Haustür ist eine Einladung für Einbrecher. Ein «offener» Brief ist für alle einsehbar. Eine «offene» Person gibt viel von sich preis. Es ist also durchaus verständlich, dass der Begriff Open Banking Fragen aufwirft. Man fragt sich: Ist es sicher, wenn Banken Daten mit Drittanbietern teilen?

Die Antwort lautet: Ja, Open Banking ist sehr sicher. Wenn eine Drittanbieter-App die Daten Ihres Bankkontos aggregiert, geschieht das über moderne Schnittstellen, Application Programming Interfaces (APIs) genannt. APIs sind eine bewährte Technologie in der digitalen Wirtschaft und ermöglichen den Austausch von Informationen zwischen Computerprogrammen. Dies findet durch einen klar definierten Prozess statt und nur die Daten werden ausgetauscht, die wirklich nötig sind. Das theoretische Konzept dazu stammt aus den 1940er-Jahren, seit den 1970ern werden sie APIs genannt. Schätzungen zufolge gibt es heute 200 Millionen verschiedene APIs, die unternehmensintern oder eben zum sicheren Datenaustausch mit Dritten genutzt werden.

Ein Schlüsselelement beim Open Banking ist die Standardisierung von APIs. Dabei werden strikte Regeln und Spezifikationen für den Datenaustausch definiert – zum Beispiel bei Zahlungen, bei der Vermögensverwaltung (vgl. OpenWealth) oder beim Kreditwesen. Dadurch entstehen einheitliche, effiziente und skalierbare Datenflüsse zwischen den teilnehmenden Finanzinstituten und Drittanbietern. 

Für Banken und ihre technologische Infrastruktur gelten strenge regulatorische Sicherheitsanforderungen, die auch die APIs betreffen, die sie im Rahmen von Open Banking anbieten. Drittanbieter auf der anderen Seite erhalten nur Zugriff auf diese Schnittstellen, wenn sie bestimmte Sicherheitskriterien erfüllen und nachweisen können.

Viele Länder haben Open Banking per Regulierung eingeführt (z.B. Grossbritannien oder die EU mit PSD2). In diesen Ländern überprüfen die entsprechenden Finanzaufsichtsbehörden die Drittanbieter in Bezug auf die genannten Sicherheitsanforderungen und vergeben Lizenzen mit klar definierten Zugriffsrechten. Die Schweiz verfolgt aktuell (noch) einen marktgetriebenen Ansatz, das heisst, der Regulator überlässt der Branche die Umsetzung von Open Banking. Das bedeutet, dass Banken Drittanbieter selbst überprüfen – oder sie binden sich an eine zentrale API-Plattform wie bLink von SIX an, die eine standardisierte Zulassungsprüfung bei allen Teilnehmern vornimmt.

Sind die Leitungen zwischen Banken und Drittanbietern erst einmal gelegt, heisst das aber nicht, dass über diese willkürlich Daten ausgetauscht werden. Open Banking ist immer ein kundengetriebener Service, das heisst, der Zugriff auf Daten erfolgt nur auf expliziten Wunsch der Bankkundinnen und -kunden. Ein grosser Vorteil: Sie teilen dafür nicht ihre Login-Daten, PINs oder Passwörter mit Drittanbietern, sondern schalten diese bequem in ihrem Online-Banking via den Standard OAuth 2.0 (Autorisierung von Dritten für den Datenzugriff) und Zwei-Faktor-Authentifizierung (Identifikationsprüfung der Bankkundin bzw. des Bankkunden) frei. Sie geben also ihr Einverständnis, dass ausgewählte Drittanbieter für bestimmte Anwendungszwecke auf ihre Daten zugreifen dürfen. Dieses Zugriffsrecht können sie jederzeit wieder selbstständig entziehen und haben damit stets volle Kontrolle und Transparenz darüber, für wen sie ihre Daten freigeben und wofür diese verwendet werden. Im Jargon wird dieser Prozess «Consent Management» genannt.

Eine andere, weltweit verbreitete Alternative für den Austausch von Daten zwischen verschiedenen Computerprogrammen (wobei dieser nur einseitig ist) heisst Screen Scraping, auf Deutsch etwa «vom Bildschirm kratzen». Damit ist das archaische Auslesen von Webinformation gemeint. Dazu müssen Bankkundinnen und -kunden dem Drittanbieter ihre Anmeldedaten für das Online-Banking geben und der Dienst liest dann die Daten aus. Das ist einerseits gefährlich, weil der Drittanbieter – und auch jeder Hacker, der diesen angreift – Zugriff auf alle Online-Bankdienstleistungen erhält. Und andererseits liefert es minderwertige Resultate, denn das fehlerfreie Auslesen eines Computerschirms ist anspruchsvoll. Kein Wunder, haben einige Länder Screen Scraping verboten.

Arturo Bris, Professor an der renommierten IMD Business School in Lausanne, schreibt zu den Vorteilen von standardisierten APIs im Zusammenhang mit Open Banking: «Eine gute Analogie sind Smartphone-Ladegeräte: Stellen Sie sich den Komfort eines Universal-Ladegeräts vor, das mit iPhone, Samsung und Huawei funktioniert.» Und zur Sicherheit: «Solange Sie als Kundin oder Kunde kontrollieren können, wer auf Ihre Daten zugreift, ist es für Sie viel besser, wenn Ihre Bank Ihre Konten und Daten für Dritte öffnen kann. Die drei zentralen Punkte Effizienz, Sicherheit und Compliance sind erfüllt.»