PSD2 (European Payment Services Directive)

Probleme durch Bereitstellung von APIs für Drittanbieter

| Autor / Redakteur: Martin Kuppinger * / Peter Schmitz

Die PSD2 zwingt in Kombination mit der DSGVO Unternehmen dazu, sich nicht nur im Bereich der IT-Sicherheit, sondern der gesamten IT-Architektur und im Umgang mit Kunden zu verändern.
Die PSD2 zwingt in Kombination mit der DSGVO Unternehmen dazu, sich nicht nur im Bereich der IT-Sicherheit, sondern der gesamten IT-Architektur und im Umgang mit Kunden zu verändern. (Bild: Pixabay / CC0)

Während die Änderungen bei den Authentifizierungsverfahren im Rahmen der PSD2 (European Payment Services Directive) aktuell viel Aufmerksamkeit erhalten, geht ein wesentlich heikleres Thema mit viel größeren und komplexeren Auswirkungen auf die IT-Sicherheit beinahe unter: Die verpflichtende Bereitstellung von APIs für Drittanbieter.

Neben den Änderungen bei den Authentifizierungsverfahren (Fachbeitrag auf Security-Insider) verlangt die PSD2, dass Application Programming Interfaces (APIs) zu verschiedenen Aspekten rund um den Zahlungsverkehr für Drittanbieter bereitgestellt werden. Das hat faktisch zwei wesentliche Konsequenzen.

  • Die eine ist, dass man solche APIs definieren, verwalten, bereitstellen und absichern muss.
  • Die zweite ist, dass sich auch die Zugriffe auf die Kernsysteme von Finanzunternehmen verändern können, wenn hier nun Dritte mit ihren Apps und Diensten zugreifen.

Der zweite Aspekt beeinflusst unmittelbar eine bisher eher intern getriebene Diskussion in vielen Unternehmen: Wie kann man in einer „bimodalen“ IT mit unterschiedlichen Entwicklungsgeschwindigkeiten arbeiten, um die Kernsysteme (die sich oft nicht ohne Weiteres und nur mit massivem Aufwand verändern lassen) stabil zu halten und auf der anderen Seite mit hoher Entwicklungsgeschwindigkeit neue Anwendungen zu entwickeln, mit denen die Anforderungen der „Digitalen Transformation“ bedient werden, also beispielsweise die Unterstützung neuer Geschäftsmodelle und neuer Schnittstellen wie Apps für die Interaktion mit Kunden.

Ergänzendes zum Thema
 
European Identity & Cloud Conference (EIC) 2017

Die IT der zwei Geschwindigkeiten

Mit der PSD2 gibt es nun weitere Anforderungen an eine solche IT mit zwei Geschwindigkeiten. Denn während die internen Systeme stabil bleiben müssen, wird zwangsläufig ein Ökosystem von Drittanbietern entstehen, das sich mit unterschiedlicher Geschwindigkeit entwickelt und über Schnittstellen zugreift.

Hier ist es wichtig, über klar definierte Architekturen zu verfügen, aber auch Aspekte wie die Authentifizierung solcher Zugriffe Ende-zu-Ende zu verstehen und zu adressieren, ebenso wie die sich verändernden Anforderungen an die Skalierbarkeit und Lastverteilung. Entsprechende Architektur- und Sicherheitsmodelle müssen zeitnah entwickelt werden.

Außerdem müssen die Schnittstellen verwaltet und gesichert werden. Hier wird es aus unserer Sicht entscheidend sein, ein Konzept und technische Lösungen für das API-Management und die API-Sicherheit zu implementieren.

Problem: Kunde

Beide Themen stehen dann auch in unmittelbarem Zusammenhang mit dem Thema KYC (Know Your Customer) aus regulatorischer Sicht ebenso wie dem Thema Customer/Consumer Identity Management. Während es bei KYC im engeren Sinne zunächst um die den regulatorischen Vorgaben entsprechende Identifikation von Kunden geht, rückt zunehmend auch die optimale Bedienung des Kunden ins Blickfeld.

Dazu gehören beispielsweise die flexible Unterstützung von Authentifizierungsmechanismen und der sichere Rollout solcher Verfahren an einen identifizierten Kunden. Ebenso wichtig ist es, eine Kundenbindung zu schaffen und Wissen über den Kunden zusammenzutragen und zu nutzen, mit dem dieser in einer Welt mit immer mehr Drittanbietern ans eigene Unternehmen gebunden wird. Darüber hinaus zwingt die parallele EU-GDPR dazu, den Umgang mit dem Kunden beispielsweise bezüglich der Zustimmung zur Nutzung von Kundendaten (Consent Management) zu verändern.

Finanzunternehmen, aber auch – gerade mit Blick auf KCY und Consumer Identity Management – andere Firmen im PSD2-Umfeld wie Online-Handelsunternehmen müssen hier aktiv werden und neue Konzepte für KYC und das Consumer Identity Management entwickeln und umsetzen. Bei KYC können beispielsweise auch Blockchains für das Management der Identität und der damit verknüpften Dokumente eine Option sein, wie sie schon heute von einzelnen Unternehmen eingesetzt wird.

PSD2 und DSGVO setzen Unternehmen unter Druck, sich zu verändern. Martin Kuppinger: „Viel Zeit dafür ist nicht mehr – schnelles, aber dennoch durchdachtes Handeln ist hier gefordert!"
PSD2 und DSGVO setzen Unternehmen unter Druck, sich zu verändern. Martin Kuppinger: „Viel Zeit dafür ist nicht mehr – schnelles, aber dennoch durchdachtes Handeln ist hier gefordert!" (Bild: KuppingerCole)

PSD2, noch mehr in Kombination mit der DSGVO, zwingt die Unternehmen, im Bereich nicht nur der IT-Sicherheit, sondern der gesamten IT-Architektur und im Umgang mit Kunden zu verändern. Viel Zeit dafür ist nicht mehr – schnelles, aber dennoch durchdachtes Handeln ist hier gefordert.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44616406 / APIs)