- Anzeigen -

Gemeinsame Nutzung von APIs


PSD2: Die neue Zahlungsdienstrichtlinie der EU ist in Kraft
Die neue Zahlungsdienstrichtlinie stellt Banken und Finanzinstitute also vor große Herausforderungen, denn sie sind für die Sicherheit und die Vertraulichkeit der Kontodaten ihrer Kunden verantwortlich

- Anzeigen -





Kommentar von Winston Bond, Technical Director EMEA beim Applikationssicherheits-Experten Arxan Technologies

Am 13. Januar war es endlich soweit: Die neue Zahlungsdienstrichtlinie der EU (kurz PSD2) trat offiziell in Kraft. Die neuen Richtlinien werden unser Bank- und Zahlungsverkehrswesen, wie wir es bisher kennen, grundlegend verändern und eine neue Ära des ‘offenen Bankwesens’ einleiten, welche Bankkunden eine neue beispiellose Freiheit beim Zugang zu Finanzdienstleistungen eröffnet. Für Banken bedeutet diese Öffnung, dass sie fortan verpflichtet sind, ihre Programmierschnittstellen (APIs) auch für Anwendungen von Drittanbietern freizugeben. Das Problem: Wie dies sicher gelingen kann, darüber sind sich viele Finanzdienstleister noch immer nicht im Klaren.

Die größte Schwachstelle bei der gemeinsamen Nutzung von APIs ist dabei die einfache Authentifizierung, die von den meisten API-Management-Lösungen eingesetzt wird, um die Echtheit der Client-App zu bestätigen und deren Zugriff auf die Serverressourcen freizugeben. Sind Cyberkriminelle nun in der Lage, die Sicherheitsbarrieren einer App zu durchbrechen und den Code zu dekompilieren, könnten sie möglicherweise die sensiblen Kodierungsschlüssel freilegen.

In einem weiteren Schritt könnten die Angreifer dann einen legitimen Client vortäuschen und sich auf diese Weise Zugriff auf grundsätzlich alle Systeme verschaffen, die zur API eine Verbindung herstellen dürfen. Um eine derartigen Missbrauch zu verhindern, müssen fortan also Banken sicherstellen, dass die kryptographischen Schlüssel, die sie zur Authentifizierung verwenden, vor Fremdzugriff geschützt sind, etwa durch spezielle Code-Verschleierungsmaßnahmen.

Die neue Zahlungsdienstrichtlinie stellt Banken und Finanzinstitute also vor große Herausforderungen, denn sie sind für die Sicherheit und die Vertraulichkeit der Kontodaten ihrer Kunden verantwortlich. Folglich müssen Banken alles in ihrer Macht stehende tun, um ihren wohlbegründeten Ruf als sicherheitsbewusste Unternehmen weiterhin aufrechtzuerhalten. Dazu zählt auch die Entwicklung eines einheitlichen Ansatzes für das Gelingen eines sicheren Open Bankings.
(Arxan Technologies: ra)

eingetragen: 15.01.18
Home & Newsletterlauf: 13.02.18

Arxan Technologies: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Deutsches Steuerrecht nicht einfach

    Im Juli 2018 hat die EU-Kommission ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet, weil berufsrechtliche Einschränkungen des Steuerberatungsgesetzes nicht mit EU-Recht vereinbar seien. In großen Teilen sollen sich beide Seiten nun geeinigt haben. Der Bundesverband der Bilanzbuchhalter und Controller (BVBC) appelliert jedoch zusammen mit dem Bundesverband mittelständische Wirtschaft (BVMW) und zwöf weiteren Verbänden an die EU-Kommission, nicht von ihrer ursprünglichen Forderung nach einer Gesetzesänderung abzuweichen. Das deutsche Steuerrecht ist nicht für seine Einfachheit bekannt. Das Steuerberatungsgesetz regelt daher genau, welche Berufsgruppen zur steuerlichen Hilfeleistung berechtigt sind - zum Schutz der Steuerpflichtigen und des Steueraufkommens, wie die Interessenvertretungen der Steuerberater und die Politik häufig argumentieren. Doch die damit verbundenen Einschränkungen von Dienstleistern und Unternehmen gehen der europäischen Kommission zu weit. Im Sommer 2018 hat sie deswegen ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet und um Stellungnahme gebeten.

  • Scheinbeteiligung bei Lieferkettengesetz

    Die Debatte zum Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Sorgfaltspflichtengesetz) läuft seit Jahren. Nun liegt endlich ein Referentenentwurf auf dem Tisch. Doch statt einen umfassenden Beteiligungsprozess zu ermöglichen, hat das Bundesministerium für Arbeit und Soziales Transparency Deutschland und den weiteren Stakeholdern das Gesetz zugeschickt - verbunden mit der Rückmeldefrist für die Einreichung einer Stellungnahme am selben Tag um 19 Uhr.

  • Bitkom-Kommentar zum Personenbeförderungsgesetz

    "Das neue Personenbeförderungsgesetz ist allenfalls ein halber Schritt in die richtige Richtung. Statt konsequent digitale Technologien für eine innovative, ressourcenschonende Mobilität einzusetzen, wird in zentralen Punkten der analoge, klimaschädliche Status Quo gesetzlich verankert. So wird es auch in der Neufassung eine Rückkehrpflicht für auftraglose Mietwagen geben. Der staatlich verordnete Zwang, mit leerem Wagen zu einem definierten Standort zurückzufahren, ist wirtschaftlich unsinnig und schadet der Umwelt. Die Rückkehrpflicht atmet den Geist des vorigen Jahrhunderts. Sie ist ein Anachronismus und dient nur dazu, ein überteuertes Geschäftsmodell fortzuschreiben. Gerade in ländlichen Regionen kann damit Ride Hailing faktisch kaum angeboten werden. Hinzu kommt, dass in Großstädten die Behörden Einschränkungen für Ride-Hailing-Dienste verhängen können, wenn der Verkehr mit Mietwagen einen Anteil von 25 Prozent überschreitet. Dann dürfen zum Beispiel ab bestimmten Uhrzeiten bestimmte Gebiete nicht mehr angefahren werden. Oder: Wer zu erfolgreich ist, der soll künftig bestraft werden können.

  • Einigung beim Lobbyregister

    Die Allianz für Lobbytransparenz kritisiert die Vereinbarung zwischen CDU und SPD für ein Lobbyregister als Stückwerk: Ein Lobbyregister ohne exekutiven Fußabdruck bleibt ein zahnloser Tiger. Außerdem dürfte eine Verabschiedung in der geplanten Form eine umfassende Verbesserung auf Jahre hinaus verhindern. Damit hat die Große Koalition eine große Chance verpasst. Echte Transparenz und Nachvollziehbarkeit der politischen Interessenvertretung bleiben damit auf der Strecke. Nach Auffassung der Allianz hätte die Große Koalition gerade in der aktuellen pandemischen Ausnahmesituation und mit Blick auf die Bundestagswahl durch ein gutes Lobbyregistergesetz ein klares Zeichen zur Stärkung des Vertrauens in den Gesetzgebungsprozess setzen müssen. Schließlich werden momentan weitreichende Gesetze unter hohem Zeitdruck verabschiedet. Dabei müssen sich die Bürger elementar darauf verlassen können, dass diese Entscheidungen und Gesetze unter fairen und transparenten Bedingungen zustande gekommen sind. Wichtig und gut ist, dass das Lobbyregister künftig in digitaler Form öffentlich einsehbar und mit klaren Sanktionen versehen wird. Das reicht aber nicht: Es bedarf eines exekutiven Fußabdrucks und gleicher Spielregeln für alle Interessenvertretenden.

  • Zu hohe Hürden für Versicherungs-Startups

    Ob persönliche Versicherungszentrale mit personalisierten Angeboten, Smartphone-Versicherungsabschluss oder Vertragsabschluss ohne Papierkram: Zahlreiche deutsche Startups haben in den vergangenen Jahren innovative digitale Versicherungsangebote auf den Markt gebracht. Doch InsurTechs, die nicht nur Produkte etablierter Versicherungen anbieten wollen, sondern völlig eigenständige Angebote entwickeln, wird es künftig hierzulande wohl kaum noch geben, wenn die aktuellen Pläne der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) umgesetzt werden. Denn InsurTechs, die selbst das Risiko tragen und nicht auf Versicherungspartner zurückgreifen wollen, benötigen dafür eine BaFin-Lizenz. Diese soll künftig laut einer Ankündigung im "BaFin-Journal" nur noch erteilt werden, wenn das Startup am Tag des Lizenzantrags die vollständige Ausfinanzierung nachweisen kann.