Open Banking

Finance 2.0: Open Banking, Infrastruktur und Cybersecurity

Die Finance 2.0 im Schiffbau in Zürich
Finance 2.0 am 20. März 2018 im Schiffbau Zürich

Open Banking benötigt eine geeignete Infrastruktur und stellt neue Herausforderungen in Bezug auf Cybersecurity. Eine Auslegeordnung von Christoph Jaggi.

Von CRM zu CMR

Der Schwerpunkt der diesjährigen Finance 2.0 Flagship Conference steht unter dem Titel «From CRM to CMR», von Customer Relationship Management zu Customer Managed Relationship. Beide Ansätze haben eine gemeinsame Schwachstelle, die in der Natur der Sache liegt.

Aus Sicht eines Anbieters steht der Anbieter mit seinem Angebot im Mittelpunkt. Es geht um Customer Relationship Management mit dem Ziel der Ertragsoptimierung.

Aus Sicht eines Kunden steht der Kunde mit seinen Ansprüchen im Mittelpunkt. Es geht um Vendor Relationship Management mit dem Ziel der Maximierung von Möglichkeiten und Minimierung der Kosten.

Die Schnittmenge der beiden Sichtweisen hängt vom jeweiligen Anbieter und vom jeweiligen Kunden ab. Für Kunden werden das Kundenerlebnis und das Verhältnis von Kosten und Nutzen die beiden wichtigsten Kriterien bleiben. Anbietern wird es weiterhin um wettbewerbsfähige Angebote mit Gewinnpotential gehen. An den Grundlagen der Marktwirtschaft ändert die Sichtweise nichts.

Was ist Open Banking?

Open Banking stellt eine Schnittstelle (API) für Bankkonten zur Verfügung, die auch für Drittdienstleister zugänglich ist. Ziel ist das Ermöglichen von innovativen kundenorientierten Dienstleistungen, welche auf den Zugang zum Bankkonto oder zu den Bankkonten des Kunden angewiesen sind. Open Banking kann auf Konteninformationen und Zahlungen limitiert sein oder zusätzlich auch Wertschriftendepots umfassen. Umfang und Ausgestaltung können variieren. So ist Open Banking nicht darauf beschränkt, dass das Angebot von Drittdienstleistern nur ausserhalb des Angebots des primären Finanzdienstleisters verfügbar ist. Vielmehr kann eine Bank auch Angebote von Drittdienstleistern auf ihrer eigenen Plattform integrieren und ihren Kunden zugänglich machen.

Was ermöglicht Open Banking?

Open Banking kann es einem Kunden ermöglichen, mittels Drittdienstleister das Angebot seines primären Anbieters um Dienstleistungen zu erweitern, die so vom Anbieter selbst nicht verfügbar sind. Das heisst allerdings nicht, dass kontoführende Banken dazu verpflichtet sind, Infrastrukturdienstleistungen kostenlos zur Verfügung zu stellen und beliebigen Drittdienstleistern den Zugriff auf APIs zu gewähren. Auf der anderen Seite ermöglicht Open Banking Finanzdienstleistern die Einbindung von Angeboten von Drittdienstleistern in ihr eigenes Angebot.

Open Banking ermöglicht einer Applikation den Zugriff auf eines oder mehrere Bankkonten bei einer oder mehreren Banken. Eine solche Applikation kann von einer Bank oder von einer Drittpartei angeboten werden. Zielpublikum sind sowohl Privat- als auch Geschäftskunden. Die Bandbreite möglicher Applikationen ist gross und reicht vom Payment Service über Personal Finance Manager und Wealth Management bis zu Finanzmanagement für Firmen bis hin zur Buchhaltung mit Kontoanbindungen.

Moderne Schnittstellen, sogenannte APIs, sind für das gesamte Ökosystem sehr wichtig, insbesonders auch im Geschäftskundenbereich mit seinen vernetzten Prozessen. Es gibt bereits heute Anwendungen wie beispielsweise die Verknüpfung unseres E-Bankings mit der Buchhaltungssoftware von Bexio. Was derzeit bei uns und anderen Banken meist nur mit je einem Softwareanbieter bestens funktioniert, könnte in Zukunft über standardisierte Schnittstellen zwischen vielen Banken und Softwareanbietern umgesetzt werden. Ich bin überzeugt, dass wir in Zukunft noch viel mehr schnittstellenbasierte Anwendungen mit grossem Kundennutzen sehen werden.

Andreas Kubli, Head Multichannel Management & Digitization, UBS Switzerland AG

Zu den Pionieren gehört die «digitalste Bank der Schweiz», die Hypothekarbank Lenzburg. Ging es bisher vorwiegend um Angebote im Geschäftsbereich, so ist mittlerweile auch das erste Projekt im Retail-Bereich in den Startlöchern. «Wir lancieren derzeit mit dem Fintech-Unternehmen Sonect das erste Open-Banking-Projekt der Schweiz im Retail-Bereich», teilte Marianne Wildi, CEO der Hypothekarbank Lenzburg, auf Anfrage mit. Die dafür benötigte offene Schnittstelle (Open API) ist seit vergangenem Jahr im Testbetrieb. «Mit unserer Open API können Fintechs als Drittanbieter mit unserem Kernbankensystem Finstar Daten austauschen. Voraussetzung dafür ist das explizite Einverständnis des Kunden.» erläutert Wildi weiter. «Im Fall des Sonect-Projekts können Kunden der Hypothekarbank Lenzburg in ausgewählten Geschäften und Ladenlokalen mit ihrem Smartphone Bargeld beziehen. Die Bezüge werden direkt auf dem entsprechenden Kundenkonto verbucht.»

Auswirkungen von Open Banking

Open Banking erleichtert neue Angebote von Drittdienstleistern und deren Integration mit bestehenden Bankkonten. Branchenexperten erwarten eine Beschleunigung der Innovation in den Bereichen Payment Services und Wealth Management. So auch Spiros Margaris, weltbekannter Fintechexperte und Risikokapitalist:

Wir werden einen Innovationsschub erleben, der zu einer Verbesserung des Kundenerlebnis im Finanzsektor führt. Open Banking ist ein Enabler, der eine Vielfalt und Vielzahl neuer Angebote zur Folge haben wird. Das zwingt die Anbieter, ein gutes Kundenerlebnis zu bieten. Gleichzeitig erhöht es den Druck auf das Preisniveau bestehender und neuer Angebote. Allerdings werden sich nur wenige der neuen Angebote mittel- und langfristig auf dem Markt durchsetzen.

Direktiven, Gesetze und Standardisierungen

PSD2, die Payment Services Directive 2 der EU, setzt die Rahmenbedingungen für EU-Mitgliedsländer. Allerdings deckt sie nur ein Subset des Open Banking ab und ist auf Zahlungsdienstleistungen beschränkt. Die Direktive muss von den einzelnen Mitgliedsländern in nationalem Recht umgesetzt werden. PSD2 bestimmt nur die Rahmenbedingungen, die jeweilige Umsetzung innerhalb dieser Rahmenbedingungen ist Sache der Mitgliedsländer und entsprechend divers. Für Bereiche ausserhalb von Zahlungsdienstleistungen gibt es keine EU-Direktive.

In der Schweiz gibt es Bestrebungen der Finanzdienstleister, eine standardisierte API für Kontenzugriffe zu definieren. Diese soll sämtliche Finanzdienstleistungen abdecken und nicht auf Zahlungsdienstleistungen beschränkt sein. Allerdings befindet sich gemäss Auskunft der Swiss Fintech Innovation die Entwicklung noch in einem detailreichen Ergebnisfindungsprozess. Die Ergebnisfindungsprozesse für Pressemitteilungen sind da deutlich kürzer.

Das Problem der Sicherheit

IT-Sicherheit ist komplex. Einerseits müssen Verfügbarkeit, Integrität und Vertraulichkeit geschützt werden und andererseits müssen Zugriffsberechtigung, Authentisierung und Autorisierung unter Kontrolle sein. Kontenzugriffe, die direkt zwischen Kunde und Anbieter erfolgen sind einfacher abzusichern als Kontenzugriffe, welchen über einen Drittdienstleister erfolgen. Bei letzterem muss sowohl die Identität von Drittdienstleister verifiziert sein als auch die des Kunden, welcher zudem jeden Kontenzugriff individuell autorisieren können sollte. Für Zahlungsdienstleistungen ist es zudem einfacher zu bewerkstelligen als für die Verwaltung komplexer Vermögen. Letztere benötigen meist eine ausgefeilte granulare Sicherheitsarchitektur.

Stefan Thiel, vormals Enterprise Architect des Flynt Wealth Ecosystems, zeigt dies anhand realer Bedürfnisse auf:

Grundsätzlich muss jede natürliche, oder im Falle von automatisierten Dienstleistungen jede juristische, Person, die mit dem System interagieren will, über eine vom System akzeptierte Identität verfügen. Unsere Architektur trennt klar zwischen Identitäten, ihren zugeordneten Benutzern mit deren Rollen und Vollmachten, sowie den daraus resultierenden Berechtigungen. Benutzer mit ihren Rollen und Vollmachten sind Business-Entitäten. Der Beneficial Owner verwaltet die Zugriffe auf seine Daten als Vollmachten, und die Rollen für Dritt-Benutzer als Business-Daten. Eine Abbildung dieser Business-Daten zu Security-Daten - also zu Identitäten und ihnen zugängliche Security-Assets - erlaubt der strikt getrennten Security-Logik die Autorisierung jedes Datenzugriffs ohne dass auf Business-Daten zurückgegriffen wird. Semantische Kenntnis des Inhaltes der Business-Daten ist für die Autorisierung nicht erforderlich. Dies ist analog zu Zutrittsberechtigungen für Bürogebäude. Das Security-Personal eines Bürogebäudes muss wissen, wer wo Zutritt hat, aber nicht warum. Die für umfassendes Open Banking benötigten granularen Autorisierungen lassen sich am besten realisieren, indem man deren Modellierung von der semantischen Bedeutung der Daten trennt.

Im Rahmen der Umsetzung von PSD2 gibt es Richtlinien im Rahmen der Direktive und die Ausgestaltungen der jeweiligen Mitgliedsländer, so etwa für Deutschland und das UK. Da es absolute Sicherheit in der IT nicht gibt, sind unterstützende Massnahmen wie Betrugserkennung (Fraud Detection) und Betrugsverhinderung (Fraud Prevention) unerlässlich.

20. März: Die Finance 2.0-Konferenz

Am 20. März finden im Schiffbau Zürich die Finance 2.0 Flagship 2.0-Konferenz statt. Für Rino Borini, Mitgründer der Finance 2.0 und Leiter CAS Digital Finance an der HWZ, steht der Markt in einem anhaltenden Umbruch:

Neue Technologien führen zu neuen Möglichkeiten und diese zu einem geänderten Kundenverhalten. Entsprechend muss sich auch das Angebot weiterentwickeln. An der Konferenz zeigen wir die unterschiedlichen Entwicklungen und Möglichkeiten auf. Besonders stolz sind wir darauf, dass der neue Group CEO der SIX, Jos Dijsselhof, die Keynote halten und Einblicke in die Strategie geben wird. SIX ist ein wichtiges Puzzleteil in der Infrastruktur des Schweizer Finanzplatzes. An der Konferenz treffen sich hunderte Makers & Shakers aus dem Finanzsektor und der Tech-Szene. Eine perfekte Gelegenheit für den Gedankenaustausch.

Der Autor: Christoph Jaggi

Christoph Jaggi ist Experte für Digitalisierung, Technologie, Marketing und verbindet als Berater für internationale Kunden seine Kerndisziplinen zu Strategien, die sich an Zielgruppen, Menschen und Märkten orientieren. Im Bereich Business Development arbeitet Christoph Jaggi für einen internationalen Kundenstamm, vom Startup über KMU bis zu Grosskonzernen.

Als Autor mit weitreichender Erfahrung in den Branchen ITC, Finanzen, Medien und weitere, publiziert Christoph Jaggi regelmässig zu Entwicklungen in den Bereichen Digitalisierung und Technologie mit Fokus auf Anwender, Produkte und Märkte.