Der_CreditManager_4-2019-HQ

Weitere Magazine

Empfehlungen

Info

CMI AKTUELLPSD2: OPEN BANKINGBRAUCHT SICHERHEITBanken müssen externen Finanzdienstleistern, insofern der Kunde dies wünscht, zukünftig Zugriff auf die Datenihrer Kunden geben. So fordert es die EU-Richtlinie PSD2, deren zweite Stufe am 14. September 2019 in Krafttrat. Durch dieses „Open Banking“ sollen Wettbewerb und Service beim Online-Banking erhöht werden. Die neueSchnittstelle bietet aber auch einen neuen Angriffspunkt für Hacker. Die Banken benötigen deshalb dringendneue Sicherheitskonzepte, um die Kundendaten vor Missbrauch zu schützen. Ein Beitrag von Daniel Heck, VicePresident Marketing bei Rohde & Schwarz Cybersecurity, einem weltweit tätigen IT-Sicherheitsunternehmen.Die zweite Zahlungsdiensterichtlinieder EU – kurz PSD2 – öffnet mit ihrerzweiten Stufe den Zahlungsverkehrgegenüber Drittparteien. Durch dieses„Open Banking“ können Kunden beispielsweisebeim Einkauf im InternetZahlungsauslösedienste (ZAD) beauftragen.Das ermöglicht eine Bezahlungper Sofort-Überweisung. Die ZAD lösenbei dem kontoführenden Kreditinstituteine Überweisung aus und schickendem Verkäufer eine Zahlungsbestätigung.Auch wenn er noch keinen Zahlungseingangverbuchen kann, erhältder Verkäufer die Gewissheit, dass dieZahlung auf dem „Weg“ ist. Er wirddie Ware oder Dienstleistung sofortfreigeben oder versenden. Für Kundensoll das Bezahlen im Internet dadurchgenauso schnell und einfach werden,wie bar an der Kasse. Zudem könnenKunden, die Konten bei verschiedenenBanken haben, durch die neuenRegularien Kontoinformationsdienste(KID) nutzen: Diese zeigen alle Umsätzeund Kontostände in einer zentralenÜbersicht an. Für die Kunden bedeutetOpen Banking also mehr Komfort, fürFintechs ermöglicht es einen besserenZugang in den Markt.RegulierungsstandardsDamit ZAD und KID ihre Dienstleistungenanbieten können, benötigensie Zugriff auf die Daten der Kunden.Die PSD2 definiert daher sogenannteApplication Programming Interfaces(APIs). Mit diesen Schnittstellen lassensich die Online-Services verbinden undDaten übertragen. Online-Banking sollaber nicht nur bequemer, sondern auchsicherer werden. Aus diesem Grundverpflichtet die PSD2 Zahlungsdienstleisterdazu, eine sogenannte starkeKundenauthentifizierung – abgekürztSCA – zu entwickeln. In den technischenRegulierungsstandards (RTS) wird dafüreine Kombination aus mindestens zweivoneinander unabhängigen Elementenvorgegeben: Kombiniert werden kannbeispielsweise etwas, das der Kundeweiß, also ein Passwort, mit etwas, daser besitzt – also z. B. einer Tan – odermit einem biometrischen Merkmal, wieeinem Fingerabdruck.Für Banken ist die technische Umsetzungdieser neuen Vorgaben eineenorme Herausforderung. Sie müssengewährleisten, dass die neuen Au-thentifizierungsverfahren bei der Anbindungder Drittparteien umgesetztwerden. Insbesondere benötigen sieaber auch neue Schutzmechanismen,da APIs einer Vielzahl von Angriffsszenarienausgesetzt sind. Einige wichtigeAspekte beim Absichern von Open Bankingwerden im Folgenden beschrieben.Nichterreichbarkeit verhindernSind Online-Finanzdienste nicht erreichbar,erleidet der Finanzdienstleistereinen enormen Imageschaden. Ausgelöstwerden kann die Verweigerung desDienstes durch einen Distributed Denialof Service (DDoS)-Angriff auf die API.Angreifer senden dabei sintflutartigeAnfragen an das Netzwerk des jeweiligenOpfers. Die Masse eingehenderNachrichten erzwingt ein Abschaltendes Systems und aller über dieses Systembereitgestellten Dienste. Häufigwerden diese Angriffe mit Lösegeldforderungenverbunden. Die Hacker sendendann zunächst eine Nachricht andas jeweilige Finanzinstitut und drohenmit einer Anfragenattacke, sollte einbestimmter Geldbetrag nicht gezahltwerden. Eine Drohung, die ernst zu24
CMI AKTUELLnehmen ist. Schließlich haben DDoS-Attacken in der Vergangenheit bereitsschwerwiegende Schäden ausgelöst.Die Bewältigung eines solchen Ransom-DDoS-Angriffs kann eine Bank mehrereHunderttausend Euro kosten.Gegen diese Attacken können herkömmlicheNetzwerk-Firewalls wenigausrichten. Da Firewalls in der Regel dieerste Verteidigungslinie gegen Attackenaus dem Internet darstellen, sollten siezwar beim Sicherheitskonzept auf keinenFall fehlen. Da APIs jedoch auf Web-Ebene kommunizieren, sind zusätzlicheSchutzmechanismen erforderlich.Kern dieses Schutzes ist eine sogenannte„Web Application Firewall“. Diesekann – im Unterschied zu herkömmlichenFirewalls – Daten überprüfen, dieim HTTP- bzw. HTTPS-Protokoll verkehren.Sobald bestimmte Inhalte als verdächtigeingestuft werden, verhindertdie Web Application Firewall den Zugriff.Im Falle von DDoS- oder DoS-Attackengreift ein Scoring-Modell: Nimmtman als Schwellenwert zum Beispiel dieAnzahl der Anfragen, die eine einzelne IPinnerhalb eines festgelegten Zeitraumsübermitteln darf, werden Anfragen gestoppt,die über diese Anzahl hinausgehen.Auf diese Weise sind Finanzinstitutegeschützt und brauchen Attackendieser Art nicht zu fürchten.EU-DSGVO einhaltenDaten, die über APIs in Web- und Cloud-Anwendungen bereitgestellt werden,lassen sich nicht mit klassischen Sicherheitssystemenvor Angriffen schützen.Denn die Verarbeitung und Speicherungder Daten verlagert sich aus demeigenen Netzwerk auf externe Systeme.Die herkömmliche „Perimetersicherheit“reicht nicht mehr aus. Hinzukommt, dass nicht nur Benutzer undAdministratoren Zugriff auf die Datenhaben. Auch Cloud-Provider oder Hackerkönnen sich Zugriff verschaffen,wenn Daten ungeschützt und unverschlüsseltabliegen.Die Lösung für dieses Problem liegt inder „datenzentrischen Sicherheit“. Dabeiwerden ausschließlich die Metadateneines Dokuments als Platzhalterin die Cloud geladen. Das Originaldokumentwird hingegen in einem Streaming-Verfahrenverschlüsselt.Die Fragmentierung der Dokumentein mehrere kleine Teile, den sogenanntenChunks, sowie die konfigurierbareverteilte Speicherung bieten weiterenSchutz.Der Vorteil: Das Originaldokument istnie vollständig einsehbar und nur inForm von Fragmenten hinterlegt. Selbstbei einem Angriff auf die Cloud oderwenn Hacker in ein System eindringen,bleiben die vertraulichen Inhalte fürAngreifer oder nicht befugte Personenunlesbar. Egal, wo ein Angreifer Zugrifferlangt: Er kann keinen großen Schadenmehr anrichten. Zudem bleiben die Datenbei dieser Methode in Deutschlandund ihre Speicherung entspricht denstrengen Datenschutz- und Sicherheitsvorgabender EU-DSGVO.Ressourcen schonenDie vor allem mittelständisch aufgestelltenBanken und Sparkassen benötigenIT-Sicherheitsstrategien, die auf dievorhandenen Ressourcen zugeschnittensind. IT-Sicherheitsanwendungendürfen daher nicht zu komplex sein,sodass auch ein kleines Team mit wenigManpower sie bedienen kann. Zudemsollten die Lösungen nicht zu viel interneRechenleistung belegen – denn daskann teuer werden. Besonders effizientsind Software as a Service-Lösungen.Web Application Firewall as a Service-Lösungen ermöglichen Finanzinstituten,ihre Webanwendungen zu schützen,ohne die gesamte erforderlicheBack-end-Infrastruktur verwalten undneue Fähigkeiten erlernen zu müssen.Eine solche IT-Security aus der Cloud istbesonders nutzerfreundlich und skalierbar:Je nach Bedarf lassen sich Featuresan die Bedürfnisse einer Bank anpassen.Entscheidend dabei ist allerdings, dassdie Daten innerhalb der EU gespeichertund so die europäischen Datenschutzvorschriftenerfüllt werden.Banken sollten jetzt aktiv werden undsich hinsichtlich der Absicherung derneuen Schnittstellen beraten lassen.Denn nur, wenn Open Banking sicherist, kann es sich bei den Kunden durchsetzen– und damit zum Erfolg werden,für etablierte Banken und neue Dienstleistergleichermaßen.Daniel HeckVice President MarketingRohde & Schwarz Cybersecurityinfo@rohde-schwarz.com25
Seite 1: 1/2019 4/2019DerOffizielles Organ d
Seite 4 und 5: NEWSNEWSCoface stuft Chemie-Branche
Seite 6 und 7: BVCM-KONGRESSVON DATENFLUT BIS DATE
Seite 8 und 9: BVCM-KONGRESSDeshalb wurde bei Bosc
Seite 10 und 11: BVCM-KONGRESSgen ist das Credit Man
Seite 12 und 13: BVCM-KONGRESSÜberforderung für Me
Seite 14 und 15: 14BVCM-KONGRESS
Seite 16 und 17: INTERNCLOUD VERSUS„ON PREMISE“
Seite 18 und 19: PRAXISQUALIFIZIERTE MITARBEITER ALS
Seite 20 und 21: CREDITFACTSZAHLUNGSMORAL GUT, ABER
Seite 22 und 23: PRAXISEINE RÄUMLICHE PERSPEKTIVEAU
Seite 26 und 27: BLICK IN DIE BILANZHAT DIE BAYER AG
Seite 28 und 29: AKTUELLVERBÄNDE BEFÜRCHTEN NACHTE
Seite 30 und 31: PRAXIS KOLUMNE DES PRÄSIDENTENLieb
Seite 32 und 33: CMI AKTUELLCMI® - DÜSTERER AUSBLI
Seite 34 und 35: CREDITWER?Coface Finanz GmbHIsaac-F
Seite 36 und 37: LAST WORDSWEN BESCHENKT DERWEIHNACH
Seite 38 und 39: Der BvCM-Vorstand im ÜberblickRudo

Der_CreditManager_4-2019-HQ

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?