Open Banking fördert Innovationen, bringt aber auch Risiken für Finanzinstitute mit sich

In nur wenigen Jahren hat Open Banking – die Verwendung offener APIs, die es Dritten ermöglicht, Produkte und Dienstleistungen auf der Grundlage der Angebote von Banken, Versicherungsunternehmen und anderen Finanzinstituten zu entwickeln – die Landschaft der Finanzdienstleistungen verändert.

Durch die Möglichkeit, vorhandene Finanzdienstleistungsprodukte zu nutzen, um neue Angebote in Bereichen wie Kredite, Zahlungen und Versicherungen aufzubauen, ist es für Verbraucher wesentlich einfacher geworden, Transaktionen abzuschließen, ihr finanzielles Leben zu verwalten und ihre persönlichen Daten zu kontrollieren. Gleichzeitig treiben offene API-Protokolle Innovationen im Bereich Finanzdienstleistungen voran und schaffen erhebliche Einnahmequellen für Finanzinstitute. Und mit der neuen Version der FDX API 5.0 , die Standards für API-Sicherheit, Interoperabilität und Leistung kodifiziert, sowie der bevorstehenden Frist für die starke Kundenauthentifizierung (SCA) von PSD2 in der Europäischen Union, werden mit Sicherheit weitere Innovationen und neue Umsatzmöglichkeiten entstehen.

Doch wo es Belohnung gibt, gibt es immer auch Risiken. Offene APIs legen naturgemäß interne Daten und Kundendaten gegenüber Dritten offen und machen diese Daten dadurch anfälliger für den Zugriff durch böswillige Akteure. Dies ist insbesondere im Hinblick auf Kontoaggregatoren besorgniserregend, die wie Mint und Plaid Verbrauchern moderne Finanzdienstleistungen ermöglichen. Lesen Sie weiter, um zu erfahren, wie Kriminelle Aggregatoren nutzen, um Banken, Versicherungsunternehmen und andere Finanzinstitute anzugreifen und zu betrügen.

Beschleunigendes Risiko: Wie Aggregatoren und Drittanbieter von Zahlungsdiensten Credential Stuffing und die Übernahme von Konten ermöglichen

Finanzkonto-Aggregatoren können für Verbraucher einen echten Mehrwert darstellen, indem sie ihnen auf einem einzigen Bildschirm einen Überblick über ihr Finanzleben bieten. Darüber hinaus kommen sie den Finanzinstituten zugute, da sie Reibungsverluste bei Transaktionen reduzieren und neue Einnahmequellen schaffen. Aus diesem Grund lockern viele Finanzinstitute ihre Sicherheitsverfahren bei der Verbindung mit Aggregatoren. Da Aggregatoren jedoch Daten von Hunderten Millionen Konten speichern können, sind sie attraktive Ziele für Betrüger. Dies gilt insbesondere für kleinere Aggregatoren, denen es unter Umständen an der Finanzierung und den Sicherheitsvorkehrungen etablierterer Konkurrenten mangelt.

Gleichzeitig fördert die wachsende Zahl gestohlener Kontodaten, die Kriminellen zur Verfügung stehen, automatisierte Credential Stuffing -Angriffe, bei denen Kriminelle versuchen, über Botnetze und gestohlene Anmeldeinformationen auf Konten zuzugreifen. Diese Angriffe sind für Finanzinstitute zu einem erheblichen Problem geworden, da sie schwerwiegende Datendiebstähle und erhebliche finanzielle Verluste verursachen. Dies ging sogar so weit, dass das FBI den US-Finanzsektor vor Kurzem offiziell vor der Gefahr durch „Credential Stuffing“ warnte .

Das besorgniserregendste Ergebnis des Anstiegs von Credential Stuffing ist die Zunahme von Account Takeovers (ATOs), bei denen Angreifer die Kontrolle über die Konten übernehmen, zu denen sie Zugang erlangt haben, um diese Konten auf betrügerische Weise zu leeren. Laut der Identitätsbetrugsstudie 2021 von Javelin Strategy and Research führte ATO-Betrug im Jahr 2020 zu Gesamtverlusten von über 6 Milliarden US-Dollar.

Die Umfrage berechnete außerdem die durchschnittlichen Kosten von Credential Stuffing -Angriffen und kam zu dem überraschenden Ergebnis, dass diese mehr als das Sechsfache der Einnahmen betragen können, die durch monatlich aktive Benutzer erzielt werden.

Damit sind die Risiken jedoch noch nicht zu Ende und sie sind leider schwerwiegender, als manche vielleicht denken. Böse Akteure wissen, dass Aggregator-Verkehr weniger wahrscheinlich blockiert wird, daher nutzen sie diese gerne als Hintertüren zu Finanzinstituten. Im Jahr 2019 sah sich beispielsweise der Finanzdienstleistungsriese NCR Corp. gezwungen, bestimmten Aggregatoren vorübergehend den Zugriff auf seine digitale Banking-Plattform zu sperren, als er eine von diesen ausgehende Welle automatisierter Kontoübernahmen entdeckte.

Indem sie APIs für Aggregatoren öffnen, erhöhen Finanzinstitute auch das Risiko für die Systemleistung, da sie Verkehrsspitzen verursachen oder dazu beitragen. Dies liegt zum Teil daran, dass Aggregatoren zu den intensivsten Nutzern von Open-Banking-APIs gehören und 20 % des Datenverkehrs einer typischen Bank generieren. Ein weiterer Faktor besteht laut FBI darin, dass Credential Stuffing -Angriffe die Authentifizierungssysteme von Finanzinstituten so stark belasten können, dass diese davon ausgehen, dass es sich um einen Denial-of-Service-Angriff handelt .

Unter dem Strich sind Finanzinstitute durch Open Banking erheblichen, allgegenwärtigen Risiken ausgesetzt. Aus diesem Grund verfolgen wir bei F5 einen strategischen Ansatz, um Finanzinstituten bei der Verwaltung und Sicherung von Open-Banking-APIs zu helfen.

Wir unterstützen Finanzinstitute bei der sicheren Einführung von Open Banking

F5 ist bereits führend bei der Bereitstellung von API-Management, leistungsstarken API-Gateways und erweiterten Sicherheitskontrollen in einer Komplettlösung, wodurch die Tool-Vielfalt reduziert und die architektonische Komplexität begrenzt wird.

F5 überwacht Anmeldeversuche bei Konten von Finanzinstituten in Echtzeit und ermöglicht es Finanzinstituten, zwischen echten Benutzern, Bots und Automatisierung sowie manuellen (von Menschen gesteuerten) Betrugsversuchen zu unterscheiden. Wir sind davon überzeugt, dass dies einer der Gründe dafür ist, dass alle 15 größten US-Geschäftsbanken Lösungen von F5 verwenden. Jetzt arbeiten wir an Innovationen, um unser Lösungsangebot zu erweitern und Open Banking noch umfassender zu unterstützen.

In den kommenden Monaten werden Sie von F5 mehr zum Thema Open Banking erfahren, wobei der Schwerpunkt auf Themen wie einer besseren Verwaltung des Datenverkehrs von Aggregatoren und dem Schutz vor API-Angriffen liegen wird.

Ein Beispiel ist unser Produkt Aggregator Management, das F5-Kunden in der Open-Banking-Community mehr Einblick in den API-Verkehr, automatische Erkennung von Credential Stuffing, Erkennung von anomalem Datenverkehr und die Möglichkeit bietet, die Inhaltszugriffsrechte für Aggregatoren zu beschränken. Für Finanzinstitute bedeutet dies eine genauere Kontrolle über Aggregatoren, einen besseren Schutz der Verbraucherkonten vor Betrug, eine bessere App-Verfügbarkeit – und weniger Risiko.

Bleiben Sie dran! Und erfahren Sie in der Zwischenzeit mehr über die Risiken des Open Banking und wie Sie diese abwehren können:

• Sehen Sie sich unser Webinar „Trends, Herausforderungen und Chancen im Open Banking“ an, um mehr über Open Banking zu erfahren.
• Entdecken Sie unsere Aggregator-Management-Lösung .
• Entdecken Sie eine Blaupause zum Schutz vor Bot-Angriffen im Open Banking.
• Führen Sie unsere Bedrohungsanalyse durch, um zu sehen, wie effektiv Ihre aktuelle API-Sicherheit ist.
• Erfahren Sie, wie F5 Unternehmen dabei helfen kann , ATO-Angriffe zu verhindern, ohne den Benutzern zusätzliche Schwierigkeiten zu bereiten .
• Erfahren Sie, wie eine der zehn größten Banken Nordamerikas mithilfe der Shape-Technologie das Credential Stuffing eliminieren konnte.