Open Banking stellt ein transformatives Potenzial für die Finanzbranche dar. Der beträchtliche Anstieg der Open-Banking-Transaktionen auf 11,4 Millionen Zahlungen im Juli 2023 mit einem beeindruckenden Wachstum von 102 % gegenüber dem Vorjahr ist ein Beleg für die rasche Akzeptanz des Systems in United Kingdom.
Politische Entscheidungsträger und Führungskräfte in Finanzdienstleistungs- und Fintech-Unternehmen kommen nicht umhin, sich hierbei auch mit allen wichtigen Sicherheitsmaßnahmen auseinanderzusetzen.
Schwachstelle offene API beseitigen
„Die Zukunft des Open Bankings (offenes Bankwesen) wird in den nächsten Jahren einen bedeutenden Aufschwung erleben. Viele Unternehmen beeilen sich Open Banking-APIs zu implementieren. Wenn Finanzinstitute jedoch keinen Eklat erleben wollen, sollten sie eine API-Sicherheitsstrategie entwickeln, bevor sie mit der Skalierung beginnen. Wir bieten jetzt sogar eine kostenlose Plattform, um die Sicherheitsüberwachung der APIs zu starten. Mit der Einführung von Graylog API Security V3.6 haben Unternehmen volle Funktionsparität, um die Vorteile der Überwachbarkeit ihrer APIs zu nutzen,“ geht Andy Grolnick, CEO vom Security-Anbieter Graylog, ins Detail.
Viele Unternehmen haben keinen vollständigen Einblick in ihre bestehenden APIs. Offene Bank-APIs verbreiten sich in einem Tempo, das schneller ist als die Fähigkeit der DevOps-Teams, Patches zu veröffentlichen oder mit ihrem API-Bestand Schritt zu halten. Da der Sektor zu einem API-First-Ansatz übergeht, wird der Versuch, in einem späteren Entwicklungsstadium Einblick in APIs zu erhalten, zu einer großen Herausforderung.
„Mit der zunehmenden Anzahl von APIs im Open Banking steigt auch die Komplexität der Beziehungen zwischen allen APIs in einem Netzwerk. Die meisten APIs sind voneinander abhängig und nutzen sich gegenseitig, um Funktionen auszuführen. Eine verwundbare API zu finden, ist wie die Suche nach einer Nadel im Heuhaufen,“ so Grolnick weiter. „Nehmen Sie zum Beispiel den Angriff auf Optus, bei dem ein ungeschützter API-Endpunkt dazu führte, dass die persönlichen Daten von 10 Millionen Kunden offengelegt wurden. Wenn Finanzinstitute diese Lücken in der Transparenz jetzt schließen, können sie das Problem in den Griff bekommen, bevor es außer Kontrolle gerät.“
Proaktive API-Sicherheit und -Governance sind für den Erfolg von Open Banking entscheidend
„Die Institute müssen eine Bestandsaufnahme der bestehenden APIs vornehmen und robuste Kontrollen für neue APIs einführen. Überwachung, Zugriffsmanagement und Testmethoden, die auf APIs zugeschnitten sind, sind erforderlich. Werden API-Schwachstellen nicht frühzeitig behoben, kann das sensible Kundendaten, das Vertrauen in die Technologie und die Zukunft des Open Banking gefährden. Es ist daher wichtig, dass Finanzinstitute heute Maßnahmen ergreifen, um Transparenz und Kontrolle über ihre API-Landschaft zu erlangen,“ rät Grolnick.
Eine gute API-Sicherheitsstrategie basiert auf drei grundlegenden Bausteinen, die einen TDIR-Ansatz (Threat Detection and Incident Response) zur Beseitigung von Cyberbedrohungen ermöglichen.
1. API-Governance für mehr Transparenz
Effektives API-TDIR und API-Governance gehen Hand in Hand. Eine gute Governance bedeutet, dass DevOps-Teams Wege finden, um bestehende APIs zu entdecken, und dass sie Richtlinien und Standards für die Funktionsweise von API-Eigenschaften festlegen, die bei jeder weiteren API-Entwicklung angewendet werden.
Sobald Richtlinien für API-Designstandards, Sicherheitsmaßnahmen, Dokumentationsanforderungen und Nutzungsrichtlinien festgelegt sind, müssen Prozesse für die Verwaltung des API-Lebenszyklus eingeführt werden. Damit wird sichergestellt, dass APIs kontinuierlich aktualisiert werden, die richtigen Nutzer Zugang zu ihnen haben und APIs verschiedene gesetzliche Rahmenbedingungen und Datenschutzstandards einhalten.
Eine ausgereifte API-Verwaltung verwandelt Erkenntnisse in umsetzbare KPIs und Analysen zur Bewertung der Sicherheitslage. Von dort aus können Unternehmen die Ergebnisse nutzen, um die API-Sicherheit durch messbare Fortschrittsverfolgung kontinuierlich zu verbessern.
2. Verbesserung der teamübergreifenden Zusammenarbeit
API-Sicherheit erfordert eine enge Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams, doch viele Unternehmen kämpfen mit isolierten Teams und unklaren Zuständigkeiten. DevOps konzentrieren sich auf schnelle Innovation und verlassen sich darauf, dass die Sicherheitsteams Schwachstellen identifizieren, während die Sicherheitsteams erwarten, dass die Entwickler Abhilfemaßnahmen implementieren. Der Mangel an Klarheit führt dazu, dass API-Sicherheit oftmals noch unzureichend Beachtung findet und es an der Umsetzung mangelt.
„Da APIs das Bindegewebe zwischen Anwendungen, Systemen und Benutzern bilden, stellt eine fehlende teamübergreifende Abstimmung zur API-Sicherheit ein erhebliches Risiko dar. Dies verlangsamt die Erkennung und Behebung von Schwachstellen, die Angreifer ausnutzen können, um in wertvolle Daten einzudringen und Dienste zu unterbrechen,“ erläutert Grolnick. „Um hier Abhilfe zu schaffen, müssen Unternehmen ein gemeinsames Verantwortungsgefühl für die API-Sicherheit zwischen Entwicklungs- und Sicherheitsteams fördern. Prozesse wie regelmäßige gemeinsame Überprüfungen von APIs und Bedrohungsmodellen können dabei helfen, die Teams auf ein gemeinsames Ziel auszurichten.“
Das Sicherheitsteam sollte entwicklerfreundliche Anleitungen für die Gestaltung sicherer APIs bereitstellen, während die Entwickler die empfohlenen Kontrollen und Praktiken umsetzen. Durch die Verbesserung der Zusammenarbeit können Finanzunternehmen operative Lücken schließen, die es ermöglichen, dass API-Schwachstellen die Integrität ihrer Dienste gefährden. Gemeinsame Verantwortung über den gesamten Software-Lebenszyklus hinweg ist für einen soliden API-Schutz unerlässlich.
3. Ein mehrschichtiger Ansatz
Da APIs allgegenwärtig sind, ist ein reiner Perimeter-Ansatz unzureichend. Angreifer sind sehr geschickt darin, sich durch Social Engineering und den Kauf von Zugangsrechten authentifizierten Zugang zu verschaffen. Auch Insider-Bedrohungen stellen ein großes Risiko dar, da autorisierte Benutzer ihre Privilegien absichtlich missbrauchen. Infolgedessen können herkömmliche Web Application Firewalls (WAFs) bösartige Aktionen von authentifizierten Benutzern nicht erkennen, da ihre Anfragen gültig erscheinen.
Die Sicherung von APIs erfordert eine mehrschichtige Strategie, die Bedrohungen jenseits des Perimeters identifiziert. So helfen beispielsweise Multi-Faktor-Authentifizierung, erweiterte Überwachung und Privilegienverwaltung dabei, den Zugriff von Insidern zu beschränken. Kontrollen auf Anwendungsebene bieten einen Einblick in die vollständigen Nutzdaten von Anfragen und Antworten, um Anomalien zu erkennen. Dies unterstützt die Erkennung unbekannter Bedrohungen, die den Perimeter-Schutz umgehen, indem sie innerhalb der erwarteten Parameter operieren.
„Im Wesentlichen müssen Finanzinstitute einen mehrschichtigen API-Schutz implementieren, der die Perimeter-, Netzwerk-, Anwendungs- und Datenebenen umfasst, da das alleinige Verlassen auf Netzwerkkontrollen ein falsches Gefühl von Sicherheit vermittelt. Ein ganzheitlicher API-Sicherheitsansatz schützt sowohl vor externen als auch vor internen Bedrohungen,“ betont Grolnick abschließend.
Der Blick in die Glaskugel
Die Zukunft des Open Banking ist vielversprechend, da die Akzeptanz zunimmt und die Behörden Wachstumsinitiativen unterstützen. Die Kunden könnten von mehr Transparenz, Kontrolle und innovativen Dienstleistungen profitieren. Der Fortschritt hängt jedoch von der Bewältigung einer Reihe von Herausforderungen ab, wobei die Sicherheit ganz oben auf der Liste steht. Wenn der Finanzdienstleistungssektor in der Lage ist, die API-Sicherheit durchgängig zu gewährleisten, kann Open Banking ein offeneres, kooperativeres und kundenorientierteres Finanzökosystem ermöglichen.
www.Graylog.com