Offene Schnittstellen in der Finanzindustrie

API-Standards für mehr Sicherheit und Qualität

| Autor / Redakteur: Mitesh Soni * / Stephan Augsten

Verschiedene Kreditinstitute und deren Verbände einigen sich im Zuge der PSD2-Richtlinie auf übergreifende API-Standards.
Verschiedene Kreditinstitute und deren Verbände einigen sich im Zuge der PSD2-Richtlinie auf übergreifende API-Standards. (Bild: rawpixel - Unsplash.com)

Die EU-Zahlungsdienste-Richtlinie PSD2 bringt Bewegung in die Software-Entwicklung im Finanzsektor und vernetzt Banken mit anderen Marktteilnehmern. API-Standards müssen dabei für Qualität und Interoperabilität sorgen.

Fehlende Interoperabilität trotz PSD2-Regulierung

Die PSD2-Regulierung verpflichtet Banken (nach deren Einverständnis) zwar zur Öffnung ihrer Kundendaten für andere Marktteilnehmer wie Fintechs. Doch sie lässt viel Spielraum bei der Ausgestaltung der jeweiligen Schnittstellen. Ergänzt wird die Richtlinie durch hohe technische regulatorische Standards der EU, die auf sicherer Kundenauthentifizierung und Kommunikation basieren.

Zum 13. Januar 2018 mussten die Gesetzgeber der einzelnen Staaten die PSD2 ins nationale Recht übernehmen. Doch die wichtigste Deadline für die Finanzinstitute steht noch bevor: Bis zum 14. September 2019 müssen EU-Banken die entsprechenden Anforderungen umsetzen und sechs Monate vor der Markteinführung ihre APIs zur Verfügung stellen.

Diese regulatorischen Spezifikationen der APIs auf Basis von REST beschreiben einen technischen Standard, dessen genaue Interpretation jedoch von Bank zu Bank variieren kann. Selbst eine einfache Anfrage wie „Get account“ implementieren Banken auf unterschiedliche Art und Weise. Entwickler von Finanzanwendungen, die diese Schnittstelle nutzen wollen, müssen ihren Code daher für jede einzelne Bank anpassen.

Um wirtschaftlich zu bleiben, können Programmierer sich entweder mit verschiedenen Anwendungen auf das Ökosystem einer Bank spezialisieren, oder sie konzentrieren sich auf eine Finanzapplikation, die sie für die Schnittstellen verschiedener Banken adaptieren. In beiden Fällen sind die Vermarktungsmöglichkeiten für Entwickler aufgrund der fehlenden Interoperabilität begrenzt und Innovationen werden so verlangsamt.

Entwicklung von Branchenstandards weit vorangeschritten

Doch es gibt Bestrebungen von Seiten der Marktteilnehmer, im Rahmen von PSD2 genauere und übergreifende API-Standards für die Branche zu schaffen. Beispielsweise hat STET, ein französisches Zahlungssystem, eigens eine PSD2-API definiert. Auch die Open Banking Organisation im Vereinigten Königreich hat eine Reihe von Open-API-Spezifikationen und Datenstandards entwickelt, die Markteintrittsbarrieren reduzieren sollen.

Neben verschiedenen Einzelbanken und -unternehmen widmet sich zudem die Berlin Group der Herausforderung einheitlicher API-Standards. Das ist eine Initiative aus Banken, Bankenverbänden, Zahlungsverbänden, nationalen und internationalen Zahlungssystemen sowie weitere Finanzmarktakteure.

Die Berlin Group will offene und harmonisierte XS2A-Schnittstellenstandards (XS2A = Access to Accounts) für Prozesse, Daten und Infrastrukturen auf Basis von PSD2 definieren; denn diese sind notwendige Bausteine für einen offenen und interoperablen Markt. Diese Bestrebungen tragen zu weiteren Fortschritten für einen europäischen Binnenmarkt bei und kommen nicht nur den Zahlungsdienstanbietern, sondern durch ein breiteres Angebot an Finanzanwendungen auch Unternehmen und Verbrauchern zugute.

Als erstes Ergebnis hat die Berlin Group im Februar Version 1.0 des NextGenPSD2 Access to Accounts (XS2A) Frameworks veröffentlicht, für Oktober 2018 ist bereits Version 1.3 geplant. Das Framework spezifiziert eine PSD2-konforme XS2A-Schnittstelle, die das Abfragen von Transaktionen und das Auslösen von Überweisungen vereinheitlicht.

Solche Kerndienstleistungen zur Zahlungsinitiierung, Kontoinformation oder Fondsbestätigung müssen die Banken laut PSD2 allen Drittanbietern bereitstellen. Darüber hinaus können die Finanzinstitute aber auch weitere APIs anbieten und diese beispielsweise nur bestimmten Partnern zugänglich machen. Zu diesem Zweck enthält das Framework einen Baukasten, mit dem Banken einen eigenen API-Standard kreieren können.

Zusätzliche Qualitätssicherung für APIs notwendig

Über die API-Standards hinausgehend sollten Banken auch weitere Qualitätsanforderungen an die Schnittstellen definieren. Denn diese sind zentrale Komponenten für eine sichere und reibungslose Benutzererfahrung. Beispielsweise kann eine minderwertige API zu einer Flut an Supportanrufen von verärgerten Kunden führen, weil sie keine Verbindung zu ihrer Bank herstellen können.

Ausfallsicherheit, Benutzerfreundlichkeit, Schutz vor Missbrauch und eine einfache Einbettung in bestehenden Code sind die wichtigsten Qualitätsanforderungen an eine API. Die Voraussetzung für eine gleichbleibende Benutzererfahrung ist außerdem, dass die bankeigenen APIs konsistent sind. Auch sollten Wartung und Weiterentwicklung einer API bereits während der Programmierung bedacht werden. Denn ist diese erst einmal in Betrieb, sind nachträgliche Änderungen häufig nicht rückwärtskompatibel und lassen sich nur noch mit hohem Aufwand umsetzen.

Unternehmensweite API-Styleguides helfen dabei, diese Weiterentwicklungsmöglichkeiten sowie die Konsistenz von vornherein sicherzustellen. So hat beispielsweise PayPal im Laufe der Jahre bei der (Weiter-)Entwicklung von APIs für seine Plattform solche Designrichtlinien aufgesetzt. Diese enthalten unter anderem auch Anwendungsfälle mit Code-Beispielen. Styleguides helfen nicht nur den Nutzern der Schnittstellen, sondern reduzieren auch den Wartungsaufwand für den Entwickler der API.

Zentrale Plattform mit API-Bibliothek und Qualitätssicherung

Eine hohe API-Qualität, welche Sicherheit, Benutzerfreundlichkeit, Konsistenz sowie Weiterentwicklungsmöglichkeiten sicherstellt, lässt sich beispielsweise über eine zentrale Banking-Plattform realisieren. Darin wird jede einzelne API vor Veröffentlichung umfassend getestet sowie in einer Bibliothek archiviert und verwaltet.

Software-Entwickler und Banken können sich darauf verlassen, dass die APIs in der Plattform die notwendigen regulatorischen Standards erfüllen und darüber hinaus auch interoperabel sind. Unabhängig davon, wie ein Branchenstandard im Rahmen von PSD2 genau definiert ist und ob sich die Spezifikationen der Berlin Group oder einer anderen Organisation durchsetzen, lassen diese sich in der Plattform implementieren.

Neu entwickelte Finanzanwendungen müssen Programmierer damit nicht mehr mühsam für verschiedene Banken anpassen, was ihre Anwenderschaft deutlich vergrößert und ihre Wirtschaftlichkeit verbessert. Eine Bankenplattform hat damit das Potenzial, die Software-Entwicklung in der Finanzindustrie zu vereinfachen und von Grund auf zu verändern.

* Mitesh Soni ist Senior Director of Innovation and Fintech bei Finastra.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45536474 / APIs)