Inhaltsverzeichnis
- Was ist Open Banking?
- «Open» Banking? Wie sicher kann das sein?
- Nur regulierter Zugriff auf APIs
- Kontrolle und Transparenz: Datenaustausch erfolgt auf Kundenwunsch
- Die schlechte Alternative: Screen Scraping
- FDX: Open Banking vs. Screen Scraping in den USA
- Open Banking ist wie ein Ladegerät, das für jedes Smartphone passt
Was ist Open Banking?
«Open Banking ist ein neuer Weg, Ihr Geld besser arbeiten zu lassen.» Die Institution, die verantwortlich ist für den britischen Open-Banking-Standard fasst treffend zusammen, wofür Open Banking steht. Und sie bringt die Vorteile auf den Punkt: «Es ist sicher, es ist schnell, es ist bequem.» Open Banking gilt als technologische Revolution im Finanzwesen, die offizielle Definition der Schweizerischen Bankiervereinigung lautet: «Open Banking ist ein Geschäftsmodell, das auf dem standardisierten und gesicherten Austausch von Daten zwischen der Bank und vertrauenswürdigen Drittanbietern basiert.»
Einfach gesagt geht es darum, dass Bankkundinnen und -kunden ihre Finanzdaten für andere Dienste freigeben und nützen können. Ein Beispiel? Eine FinTech-App aggregiert Ihre Vermögenswerte, auch wenn diese bei verschiedenen Finanzinstituten liegen. Möglich machen das beispielsweise die standardisierten Schnittstellen des Vereins OpenWealth, der sich für einen breiten und einheitlichen Datenaustausch in der Vermögensverwaltung einsetzt. Mitglieder sind namhafte Schweizer Banken sowie 42 WealthTechs – damit sind jüngere, meist technahe Unternehmen gemeint, die neue Anwendungen und Services entwickeln wie die erwähnte Aggregation von Kundendaten.
Wie gross das Potenzial von Open Banking für die Finanzbranche ist, zeigt die Schätzung des Marktforschungsinstituts Grand View Research: Der globale Markt für Open Banking soll von heute bis 2030 von 20 auf 135 Milliarden Dollar anwachsen. Jährliches Wachstum: 27 %.
«Open» Banking? Wie sicher kann das sein?
Eine «offene» Haustür ist eine Einladung für Einbrecher. Ein «offener» Brief ist für alle einsehbar. Eine «offene» Person gibt viel von sich preis. Es ist also durchaus verständlich, dass der Begriff Open Banking Fragen aufwirft. Man fragt sich: Ist es sicher, wenn Banken Daten mit Drittanbietern teilen?
Die Antwort lautet: Ja, Open Banking ist sehr sicher. Wenn eine Drittanbieter-App die Daten Ihres Bankkontos aggregiert, geschieht das über moderne Schnittstellen, Application Programming Interfaces (APIs) genannt. APIs sind eine bewährte Technologie in der digitalen Wirtschaft und ermöglichen den Austausch von Informationen zwischen Computerprogrammen. Dies findet durch einen klar definierten Prozess statt und nur die Daten werden ausgetauscht, die wirklich nötig sind. Das theoretische Konzept dazu stammt aus den 1940er-Jahren, seit den 1970ern werden sie APIs genannt. Schätzungen zufolge gibt es heute 200 Millionen verschiedene APIs, die unternehmensintern oder eben zum sicheren Datenaustausch mit Dritten genutzt werden.
Ein Schlüsselelement beim Open Banking ist die Standardisierung von APIs. Dabei werden strikte Regeln und Spezifikationen für den Datenaustausch definiert – zum Beispiel bei Zahlungen, bei der Vermögensverwaltung (vgl. OpenWealth) oder beim Kreditwesen. Dadurch entstehen einheitliche, effiziente und skalierbare Datenflüsse zwischen den teilnehmenden Finanzinstituten und Drittanbietern.
Nur regulierter Zugriff auf APIs
Für Banken und ihre technologische Infrastruktur gelten strenge regulatorische Sicherheitsanforderungen, die auch die APIs betreffen, die sie im Rahmen von Open Banking anbieten. Drittanbieter auf der anderen Seite erhalten nur Zugriff auf diese Schnittstellen, wenn sie bestimmte Sicherheitskriterien erfüllen und nachweisen können.
Viele Länder haben Open Banking per Regulierung eingeführt (z.B. Grossbritannien oder die EU mit PSD2). In diesen Ländern überprüfen die entsprechenden Finanzaufsichtsbehörden die Drittanbieter in Bezug auf die genannten Sicherheitsanforderungen und vergeben Lizenzen mit klar definierten Zugriffsrechten. Die Schweiz verfolgt aktuell (noch) einen marktgetriebenen Ansatz, das heisst, der Regulator überlässt der Branche die Umsetzung von Open Banking. Das bedeutet, dass Banken Drittanbieter selbst überprüfen – oder sie binden sich an eine zentrale API-Plattform wie bLink von SIX an, die eine standardisierte Zulassungsprüfung bei allen Teilnehmern vornimmt.
Kontrolle und Transparenz: Datenaustausch erfolgt auf Kundenwunsch
Sind die Leitungen zwischen Banken und Drittanbietern erst einmal gelegt, heisst das aber nicht, dass über diese willkürlich Daten ausgetauscht werden. Open Banking ist immer ein kundengetriebener Service, das heisst, der Zugriff auf Daten erfolgt nur auf expliziten Wunsch der Bankkundinnen und -kunden. Ein grosser Vorteil: Sie teilen dafür nicht ihre Login-Daten, PINs oder Passwörter mit Drittanbietern, sondern schalten diese bequem in ihrem Online-Banking via den Standard OAuth 2.0 (Autorisierung von Dritten für den Datenzugriff) und Zwei-Faktor-Authentifizierung (Identifikationsprüfung der Bankkundin bzw. des Bankkunden) frei. Sie geben also ihr Einverständnis, dass ausgewählte Drittanbieter für bestimmte Anwendungszwecke auf ihre Daten zugreifen dürfen. Dieses Zugriffsrecht können sie jederzeit wieder selbstständig entziehen und haben damit stets volle Kontrolle und Transparenz darüber, für wen sie ihre Daten freigeben und wofür diese verwendet werden. Im Jargon wird dieser Prozess «Consent Management» genannt.
Die schlechte Alternative: Screen Scraping
Eine andere, weltweit verbreitete Alternative für den Austausch von Daten zwischen verschiedenen Computerprogrammen (wobei dieser nur einseitig ist) heisst Screen Scraping, auf Deutsch etwa «vom Bildschirm kratzen». Damit ist das archaische Auslesen von Webinformation gemeint. Dazu müssen Bankkundinnen und -kunden dem Drittanbieter ihre Anmeldedaten für das Online-Banking geben und der Dienst liest dann die Daten aus. Das ist einerseits gefährlich, weil der Drittanbieter – und auch jeder Hacker, der diesen angreift – Zugriff auf alle Online-Bankdienstleistungen erhält. Und andererseits liefert es minderwertige Resultate, denn das fehlerfreie Auslesen eines Computerschirms ist anspruchsvoll. Kein Wunder, haben einige Länder Screen Scraping verboten.
FDX: Open Banking vs. Screen Scraping in den USA
Die USA verfolgen wie die Schweiz einen marktgetriebenen Open-Banking-Ansatz. Weil Banken ihre Daten nicht freiwillig teilen wollten, griffen amerikanische FinTechs lange auf Screen-Scraping-Methoden zurück. Dann wurde den Finanzinstituten jedoch bewusst, dass sie dabei keinerlei Kontrolle über den Datenzugriff durch Dritte haben und keine Transparenz herrschte. Und auch die Bankkundinnen und -kunden wussten nicht, welche Daten ein FinTech in ihrem Online-Banking ausliest.
Um dem entgegenzuwirken, formierte sich 2017 das Konsortium Financial Data Exchange (FDX). 200 Finanzinstitute und FinTechs schlossen sich an, darunter grosse Namen wie Chase, Citi, PayPal oder Plaid. FDX hat zum Ziel, einen effizienten Datenaustausch über standardisierte APIs in der US-Finanzbranche zu etablieren und damit Screen Scraping zu verdrängen.
Die Situation in den USA ist vergleichbar mit der in der Schweiz. «Wenn wir uns nicht auf eine Lösung einigen können, die wirklich Innovation und einen vollständigen Datenzugang bringt, dann wird der Regulator eingreifen und das Ganze regeln», sagte damals Steven Smith, CEO von Finicity und Co-Chair von FDX beim Eröffnungstreffen des Konsortiums. Heute sind über 53 Millionen Konten an die APIs von FDX angeschlossen.
Open Banking ist wie ein Ladegerät, das für jedes Smartphone passt
Arturo Bris, Professor an der renommierten IMD Business School in Lausanne, schreibt zu den Vorteilen von standardisierten APIs im Zusammenhang mit Open Banking: «Eine gute Analogie sind Smartphone-Ladegeräte: Stellen Sie sich den Komfort eines Universal-Ladegeräts vor, das mit iPhone, Samsung und Huawei funktioniert.» Und zur Sicherheit: «Solange Sie als Kundin oder Kunde kontrollieren können, wer auf Ihre Daten zugreift, ist es für Sie viel besser, wenn Ihre Bank Ihre Konten und Daten für Dritte öffnen kann. Die drei zentralen Punkte Effizienz, Sicherheit und Compliance sind erfüllt.»
bLink ist die für den Schweizer Finanzplatz entwickelte, skalierbare Open-Banking-Infrastruktur von SIX. Finanzinstitute und Drittanbieter können sich über die Plattform einfach und sicher verlinken, um Finanz- und Kundendaten auszutauschen. Als ganzheitliche Lösung mit standardisierten APIs, einem einzigen Teilnehmervertrag und einer einheitlichen Zulassungsprüfung ermöglicht bLink die effiziente Skalierung von Schnittstellenstandards, Partnerschaften und umfassenden Ökosystemen. Aktuell sind zwei Schnittstellen für «Kontoinformationen und Zahlungsverkehr (AIS/PSS)» sowie drei Schnittstellen für die «Vermögensverwaltung (OpenWealth)» live. Viele renommierte Schweizer Finanzinstitute und FinTechs haben sich bereits an die Plattform angeschlossen. Die aktuelle Teilnehmerliste können sie auf der offiziellen bLink-Website einsehen.
Jetzt mehr erfahren zu bLink