Von der Pflicht zur Kür – so nutzen Sie die BAIT als Wettbewerbsvorteil

Die Kunden in Deutschland vertrauen ihren Banken beim Thema Datenschutz – zu Recht?

Ist Ihnen als Verantwortlicher für die IT-Sicherheit bewusst, welche Verantwortung Sie für die Daten Ihrer Kunden übernehmen? Ihre Kunden vertrauen Ihnen täglich sensible Daten an. Das beginnt bei der Offenlegung der Vermögensverhältnisse, bei der Baufinanzierung, bis hin zu privaten Informationen im Verwendungszweck der Überweisung. 

Da die Kundendaten heiß begehrt sind, werden sie immer häufiger zum Ziel von internen und externen Angreifern. Dieses Gefahrenpotenzial haben auch die Aufsichtsbehörden erkannt und unter anderem mit den BAIT Anforderungen zum Identity and Access Management Vorgaben zum Schutz vor Angriffen von Innen gemacht. Das Risiko besteht bei internen Angriffen vor allem darin, dass vertrauliche Daten in die Hände von unbefugten Mitarbeitern gelangen. Durch unvorsichtiges – oder noch schlimmer – vorsätzliches Handeln können diese Daten dann leicht nach außen gelangen. In diesem Fall ist der Reputationsschaden für Ihr Haus hoch und kann nur durch hohe Investitionen im Kommunikationsbereich wieder repariert werden.

Aktuell ist es noch so, dass Ihre Kunden Ihnen als Bank beim Schutz der Daten großes Vertrauen entgegenbringen. So gaben in der Digitalstudie 2019 der Postbank 78% der Deutschen an, dass sie ihrer Bank beim Thema Datenschutz vertrauen (Studie abrufbar unter: https://www.presseportal.de/pm/6586/4359810). Doch sind wir mal ehrlich – der Vertrauensvorschuss ist nicht selbstverständlich und muss täglich verteidigt werden. 

Aus diesem Grund empfehle ich all meinen Kunden: Nutzen Sie die Regulatorik als Wettbewerbsvorteil gegenüber weniger regulierten Marktteilnehmern! Stellen Sie den Aufwand, den Sie zum Schutz der Kundendaten betreiben ins Schaufenster! Als ein Beispiel möchte ich Ihnen die Möglichkeiten des Identity and Access Management vorstellen.

Mit Hilfe eines robusten Identity and Access Management rechtfertigen Sie den Vertrauensvorschuss Ihrer Kunden

Mittlerweile kenne ich so gut wie keine Kunden mehr, die nicht unzählige Aktivitäten laufen haben, um die Kundendaten vor unerlaubten Zugriffen zu schützen. In den meisten Fällen liegt der Fokus dabei auf den Angreifern von außen, wie Maßnahmen gegen Phishing-E-Mails und Social Engineering. Dabei werden Opfer so manipuliert, dass sie sensible Informationen aushändigen, die für böswillige Zwecke verwendet werden können. Wenn ich mir jedoch die Umfrage Cybersicherheit 2019 von SolarWinds ansehe, sehe ich, dass 80% der Datenlecks aus dem Kreis der Mitarbeiter kommen (Quelle: SolarWinds Worldwide, LLC., Umfrage Cybersicherheit, 2019; abrufbar unter: https://www.businesswire.com/news/home/20191007005070/de/ ). In der BAIT Kapitel 5 stellt die BaFin konkrete Anforderungen an das Berechtigungsmanagement, um so sensible Kundendaten vor unerlaubten Zugriffen der eigenen Mitarbeiter zu schützen. Ich möchte Ihnen hierzu ein paar Einblicke in meine Erfahrungen aus meinen Beratungsprojekten geben.

Meinen Kunden empfehle ich beim Thema Berechtigungsmanagement, die jeweiligen Identitäten und Berechtigungen ihrer Mitarbeiter aktiv zu gestalten. Rollen und Rechte eines Mitarbeiters können von Aufgabe zu Aufgabe und für jede IT-Anwendung anders geschnitten sein. Muss jeder Mitarbeiter einer Abteilung die gleichen Rechte für eine Applikation haben? Sicherlich nicht! Der Zuschnitt sollte nach dem sogenannten „least-privilege“ Prinzip erfolgen. Das heißt, Sie statten Ihre Mitarbeiter nur mit den Rechten aus, die diese zum Ausüben ihrer Tätigkeit unbedingt brauchen. Überlegen Sie sich dabei auch, Rechte nur temporär zu vergeben, bis eine bestimmte Aufgabe erledigt ist. 

Sie fragen sich nun bestimmt, wie Sie mit Mitarbeitern umgehen sollen, die zum Ausüben ihrer Tätigkeit viele Rechte und hohe Privilegien benötigen? Auf diese Frage gibt es im Grunde nur eine Antwort: Ein adäquates Recording und Monitoring der privilegierten Nutzer. Dies betrifft nicht nur die persönlichen Nutzerkonten, sondern insbesondere auch die nicht personalisierten, technischen Nutzerkonten, die von mehreren Mitarbeitern genutzt werden. Diese Konten sind insbesondere bei der Administration von Systemen notwendig und erlauben den Mitarbeitern Zugang zu einer Vielzahl sensibler Daten. In diesen Fällen müssen Sie den Kreis der Administratoren so klein wie möglich halten und deren Tätigkeiten streng überwachen. 

Zu guter Letzt müssen Sie noch die Frage beantworten, auf welche technischen Beine das Identity and Access Management gestellt werden soll. An dieser Stelle erarbeite ich mit meinen Kunden einen individuellen Kriterienkatalog. Nur so stellen wir sicher, dass am Ende alle relevanten Funktionalitäten zur Verfügung stehen, um die Anforderungen an passgenaue Rechte erfüllen zu können.
Sie wollen wissen, wie die Vorgaben der BAIT im Bereich Identity and Access Management effektiv umgesetzt werden können? Sie fragen sich, mit welchen Tools Sie die Kundendaten smart schützen können? Gleichzeitig wollen Sie mit Ihrer Infrastruktur ein effizientes Berechtigungsmanagement ermöglichen? Die Antworten finden Sie in meinem Whitepaper „Wie leistet ein gutes Berechtigungsmanagement einen Beitrag zum IT Risikomanagement?“. Das Whitepaper können Sie auf der PPI Homepage unter folgendem Link abrufen: www.ppi.de/wp-iam

Nutzen Sie die Aufwände zur Umsetzung der Anforderungen aus dem Identity and Access Management als Wettbewerbsvorteil

Zu guter Letzt kann ich Ihnen nur raten: Investieren Sie in Ihre Infrastruktur im Identity and Access Management. Mit einer State-of-the-Art Infrastruktur schaffen Sie den Sprung von der Pflicht zur Kür. Durch den aktiven Schutz der Kundendaten vor unerlaubten Zugriffen schaffen Sie einen Mehrwert für Ihre Kunden. Nutzen Sie also die Vorgaben der BAIT und verschaffen Sie sich damit einen Wettbewerbsvorteil. Werben Sie mit Ihren Aktivitäten und bauen Sie den Vertrauensvorsprung gegenüber den FinTechs weiter aus.

Das ist meine Meinung – ich freue mich auf Ihre Kommentare und eine spannende Diskussion.


Bleiben Sie sicher,


Andreas Bruckner


Open Banking - Banken, Ökosysteme und der neue “Place-to-be”

Eine App für alles

Wenn ich so durch mein Smartphone swipe, zähle ich diverse Apps: zwei für Banking, zwei von Versicherungen, eine zum Organisieren meines Aktiendepots, eine Authentifizierungs-App und zwei weitere Applikationen für online Zahlungen. Und dabei ist mir mit Sicherheit etwas entgangen, was sich unter den Begriffen Finance und Insurance einordnen lässt. 

Wäre es nicht viel einfacher, wenn alle diese zwar unterschiedlichen, doch irgendwie zusammenhängenden – Applikationen gebündelt werden könnten? Vielleicht ließen sich sogar neue Funktionen wie ein Vertragsmanager oder der Handel von Kryptowährungen einbauen. Das wäre der perfekte “Place-to-be” für meine Finanzen. Meine Kundendaten sind zentral für alle Anwendungen verfügbar, keine Passwortprobleme mehr – und vor allem: Alles was ich benötige aus einer Hand und auf einen Blick. Stand jetzt habe ich meinen “Place-to-be” noch nicht gefunden. Dank Open Banking ist dies jedoch nur noch eine Frage der Zeit, denn es bietet Banken genau diese Möglichkeit: Das Erschaffen eines Ökosystems für Kunden!

Neue Player, neue Regeln – PSD2 als Gamechanger 

Open Banking ist ein Begriff, den man in den letzten Monaten vermehrt in allerlei Medien antrifft. Dabei wird häufig von neuen Möglichkeiten zur Interaktion mit Kunden sowie Partnerschaften mit spezialisierten FinTechs durch neue, komplexe und zugleich standardisierte APIs gesprochen. Doch zugegebenermaßen gewann diese Idee erst durch die europäische Zahlungsdiensterichtlinie PSD2 richtig an Form.

Wie meine Kolleginnen Lilli Jo Horn und Thi Hong Dung Vu in ihrem Beitrag zur PSD2 schreiben: „Ziel der Richtlinie ist es, nicht nur den europäischen Zahlungsverkehr für Kunden sicherer und komfortabler zu gestalten, sondern auch für mehr Wettbewerb zu sorgen.“ Seit dem 14.09.2019 ist die zweite Zahlungsdiensterichtlinie (PSD2) im europäischen Raum in Kraft getreten, wodurch etablierte Banken mit neuen Chancen und Risiken konfrontiert sind! Doch was hat das alles mit Open Banking zu tun? 

Mehr Chance als Risiko für etablierte Banken

Im Zuge der PSD2-Richtlinie werden Banken aufgefordert, ihre Informationen und Kundendaten mit Drittanbietern zu teilen. Dies unterstreicht die Relevanz dieser Daten für die Banken und ihre Wettbewerber. Daten sind das Öl des 21. Jahrhunderts – und Banken verfügen über eine ungemeine Menge dieses neuen Rohstoffs. Allerdings ist es bis heute noch fast keiner Bank gelungen, diese Daten nachhaltig zu monetarisieren. Open Banking bietet nun genau diese Möglichkeit, indem sich Banken nicht als Monopolisten, sondern als Partner in einem Ökosystem mit anderen, teils auch branchenfremden, Dienstleistern entlang der Customer Journey verstehen. Dabei erhalten FinTechs und andere Drittanbieter Zugriff auf die Kunden der Bank und deren Daten – im Gegenzug erhalten die Banken Provisionserlöse für die Nutzung der Kundendaten.

Die Zusammenarbeit mit Drittanbietern ermöglicht den Banken sich strategisch neu zu positionieren. Durch die Erweiterung ihres Serviceangebots erhöhen die Institute ihre Bindung zu den Kunden nachhaltig. Außerdem führt die Anbindung neuer Module über Drittanbieter auch zu einer deutlich beschleunigten Weiterentwicklung der eigenen Produkte und Services.

Open Banking IST und KANN noch so viel mehr!

Lasst uns noch einmal an das eingangs erläuterte Beispiel der „App für alles“ zurückdenken. Durch die Zusammenarbeit von Banken, FinTechs und branchenfremden Drittanbietern wird der Wunsch einer zentralen Applikation real. Mit der Bank als Orchestrator und erster Anlaufstelle für den Kunden, können klassische Bankendienstleistungen, Insurance Use-Cases und auch branchenfremde Services in Zukunft schnell an das Ökosystem der Bank angebunden und dort zentral verwaltet werden. Der Nutzen für den Kunden steigt hierbei mit jeder Anbindung eines weiteren Drittanbieters. Die Liste der potentiellen Use-Cases erscheint unendlich lang und letzten Endes profitieren alle Beteiligten – eine Win-Win-Win Situation. 

Ein kleiner Ausblick: In Deutschland steckt Open Banking noch in den Kinderschuhen – doch wie sieht es in anderen Ländern aus? In unserem nächsten Beitrag werden wir uns den Schweizer Markt und deren Sicht auf die neuen Ökosysteme anschauen. Dies ist der Startschuss und ich freue mich bereits darauf, das Thema Open Banking in zukünftigen Beiträgen aus anderen Blickwinkeln zu beleuchten. Denn davon lebt ein Blog!


Die Diskussion ist eröffnet. Ich freue mich auf eure Kommentare!

Viele Grüße

Georgios Volovotsis

Mehr zu den Herausforderungen der PSD2 erfahren Sie im Beitrag meiner Kolleginnen Lilli Jo Horn und Thi Hong Dung Vu zum Thema Frustrationsfaktor oder Mehrwert – die neuen Spielregeln und das Ende des Bankmonopols?

Wie sehen Sie die Zukunft? Mehr Details zu diesem und weiteren Aspekten des Open Banking haben meine Kollegen Guido Köhler und Florian Hartmann in unserer Marktstudie Open-Banking-Plattformen zusammengetragen.