Business > Meinung

12.01.2018 von Winston Bond, Technical Director EMEA, Arxan

PSD2: Die neue Zahlungsdienstrichtlinie der EU tritt in Kraft

„Die neuen Richtlinien von PSD2 werden unser Bank- und Zahlungsverkehrswesen, wie wir es bisher kennen, grundlegend verändern und eine neue Ära des ‘offenen Bankwesens’ einleiten, welche Bankkunden eine neue beispiellose Freiheit beim Zugang zu Finanzdienstleistungen eröffnet.", kommentiert Winston Bond, Technical Director EMEA beim Applikationssicherheits-Experten Arxan Technologies.

Autor: Winston Bond, Technical Director EMEA, Arxan

 

Bond fährt fort: "Für Banken bedeutet diese Öffnung, dass sie fortan  verpflichtet sind, ihre Programmierschnittstellen (APIs) auch für Anwendungen von Drittanbietern freizugeben.  Das Problem: Wie dies sicher gelingen kann, darüber sind sich viele Finanzdienstleister noch immer nicht im Klaren.

 

Die größte Schwachstelle bei der gemeinsamen Nutzung von APIs ist dabei die einfache Authentifizierung, die von den meisten API-Management-Lösungen eingesetzt wird, um die Echtheit der Client-App zu bestätigen und deren Zugriff auf die Serverressourcen freizugeben. Sind Cyberkriminelle nun in der Lage, die Sicherheitsbarrieren einer App zu durchbrechen und den Code zu dekompilieren, könnten sie möglicherweise die sensiblen Kodierungsschlüssel freilegen.  In einem weiteren Schritt könnten die Angreifer dann einen legitimen Client vortäuschen und sich auf diese Weise Zugriff auf grundsätzlich alle Systeme verschaffen, die zur API eine Verbindung herstellen dürfen. Um eine derartigen Missbrauch zu verhindern, müssen fortan also Banken sicherstellen, dass die kryptographischen Schlüssel, die sie zur Authentifizierung verwenden, vor Fremdzugriff geschützt sind, etwa durch spezielle Code-Verschleierungsmaßnahmen.

 

Die neue Zahlungsdienstrichtlinie stellt Banken und Finanzinstitute also vor große Herausforderungen, denn sie sind für die  Sicherheit und die Vertraulichkeit der Kontodaten ihrer Kunden verantwortlich. Folglich müssen Banken alles in ihrer Macht stehende tun, um ihren wohlbegründeten Ruf als sicherheitsbewusste Unternehmen weiterhin aufrechtzuerhalten. Dazu zählt auch die Entwicklung eines einheitlichen Ansatzes für das Gelingen eines sicheren Open Bankings.“