Online-Banking-Richtlinie vernachlässigt Cybercrime

Open Banking lockt durch den vermehrten Datenaustausch, bei dem häufig auch nur kleinere Player als Drittanbieter beteiligt sind, verstärkt Cyberkriminelle an. So wies Trend Micro, einer der weltweit führenden Anbieter von IT-Sicherheitstechnologien, in einem White Paper mit dem Titel Ready or Not for PSD2: The Risks of Open Banking (PDF) bereits im Jahr 2019 detailliert auf unterschiedliche Schwachstellen hin. Als wesentliche Schwachpunkte bei der technischen Umsetzung des Open Banking wurden identifiziert:

Stellenmarkt
  1. Leitung der IT-Einheit für die Integration von Cloud Lösungen (m/w/d)
    Deutsche Bundesbank, Hamburg, Frankfurt am Main, Düsseldorf
  2. Softwareentwickler C++ (m/w/d)
    vitero GmbH, Stuttgart
Detailsuche

Geschultes Personal: Während Banken in aller Regel im IT-Bereich aufgrund langjähriger Erfahrung und einer entsprechend gut ausgebauten Infrastruktur hohes Vertrauen genießen, sind Drittanbieter meist kleine, erst seit kurzer Zeit am Markt agierende Unternehmen. Laut Trend Micro konnte in einer Umfrage unter einigen Fintechs ermittelt werden, dass diese durchschnittlich nur etwa 20 Mitarbeiter haben, von denen keiner ausschließlich für sicherheitsspezifische Belange abgestellt ist.

Open-Banking-Apps könnten als Einfallstor für bereits bekannte Phishing-Methoden genutzt werden. Dabei können je nach Anwendungsfall aufgrund der Kontenbündelung bei Informationsdiensten erheblich mehr sensible Daten abgegriffen werden, als dies beim herkömmlichen Onlinebanking überhaupt möglich ist.

Angriffe auf die einzelnen Schnittstellen (APIs) können nicht nur Zahlungssysteme lahmlegen, sondern auch ausnutzbare Schwachstellen im Backend offenlegen. Das kann nicht nur zu Problemen für Endkunden führen, wenn Zahlungen nicht ausgeführt werden, sondern auch Auswirkungen auf die Infrastruktur der Anbieter haben.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
  2. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
Weitere IT-Trainings

In dem White Paper schlagen die Autoren als Gegenmaßnahme vor, veraltete Protokolle wie OFX oder unsichere Techniken wie das Screen Scraping nicht mehr zu nutzen. Darüber hinaus solle das OAuth-2.0-Protokoll zur sicheren API-Autorisierung verwendet werden. Zudem solle die öfter anzutreffende Unsitte unterbleiben, sensitive Informationen in URL-Pfade zu packen.

Die automatisierte Datenweitergabe an Dritte, die Banking-Apps häufig beispielsweise bei Abstürzen oder Fehlern praktizieren, solle ebenso eingestellt werden, um potenzielle Einfallstore für Angriffsszenarien zu schließen.

Last but not least weisen die Autoren des White Papers darauf hin, dass Entwickler von Open-Banking-Apps ein besonderes Augenmerk darauf legen sollten, konzeptionell saubere Software zu entwickeln, die regelmäßig externen Sicherheitsaudits unterzogen werden solle.

Der Smart-Tarif bei N26

Klare Regularien müssen her

Die schöne neue Open-Banking-Welt ist bei genauerem Hinsehen mit vielen Schwächen und Defiziten behaftet. Zwar eröffnet die PSD2-Richtlinie Raum für Innovationen und schafft bessere Wettbewerbsbedingungen für Dienstleister, die auf Zahlungskonten von Bankkunden zugreifen wollen. Sie vernachlässigt jedoch gleichzeitig Sicherheitsaspekte und den Datenschutz.

Es ist daher dringend an der Zeit, mit klaren Regularien und strengen technischen Vorgaben die vorhandenen Defizite zu beseitigen und so auch in Deutschland eine höhere Akzeptanz für die Vorteile und Ziele des Open Banking zu schaffen. Denn viele Verbraucher sind nur dann bereit, Daten zu teilen, wenn Einsatzzweck und Umfang der benötigten Daten transparent kommuniziert werden - Geheimnistuerei und fehlende Kontrolle dürften deshalb ein größeres Hemmnis für einen verstärkten Wettbewerb im Finanzsektor darstellen als das bisherige Quasi-Monopol der Banken auf die Daten ihrer Kunden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nutzern fehlt die Kontrolle beim Open Banking
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


BluePhoenix 14. Jan 2022 / Themenstart

Ich habe mir den Beitrag durchgelesen, es wurde dort aber nicht erläutert wer welches...

demon driver 13. Jan 2022 / Themenstart

Welche "Abschottung"? Und inwiefern wird die "untergraben"?

chefin 13. Jan 2022 / Themenstart

Ja, das wünsche ich dir. Das du und nur du voll dafür verantwortlich bist. Sollte dein...

chefin 13. Jan 2022 / Themenstart

Sicherheit ist des Komfort Tot. Wie würdest du es finden, wenn man das abschalten dürfte...

chefin 13. Jan 2022 / Themenstart

Was ist ein gutes Bezahlsystem den? Gut weil Einfach? Wer trägt dann das...

Kommentieren



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Let's Encrypt: Was Admins heute tun müssen
    Let's Encrypt
    Was Admins heute tun müssen

    Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.
    Eine Anleitung von Hanno Böck

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /