Während SCA einige Cyberkriminelle vereiteln könnte, bieten Open Banking APIs eine neue Chance

Von Andy Still, CTO, Netacea 


Credential Stuffing plagt die Finanzdienstleistungsbranche schon seit einiger Zeit. Es handelt sich um eine Technik, bei der Cyberkriminelle Trial-and-Error verwenden, um gestohlene Benutzernamen und Passwörter mit hoher Geschwindigkeit in Anmeldeseiten zu „stopfen“, um sich betrügerischen Zugang zu Konten zu verschaffen. Bankkonten sind der Jackpot für Cyberkriminelle. Sobald sie sich angemeldet haben, können sie Geld bewegen, Einkäufe tätigen und sogar Lastschriften einrichten, ohne dass dies entdeckt wird. 

Doch das Aufkommen von PSD2 und die daraus resultierenden Anforderungen zur starken Kundenauthentifizierung (SCA), die bis zum 31st Dezember 2020 wird Credential Stuffing hoffentlich für viele in der Branche der Vergangenheit angehören. SCA verlangt, dass bestimmte Zahlungen eine Zwei-Faktor-Authentifizierung verwenden, was bedeutet, dass Cyberkriminelle viel härter arbeiten müssen, um zusätzliche Sicherheitsmaßnahmen zu umgehen. Ohne diesen zusätzlichen Schritt können Cyberkriminelle mithilfe von Bots jede Minute Tausende von gestohlenen Kartendaten und Passwörtern überprüfen. Diese Zugangsdaten, die durch Datenschutzverletzungen durchgesickert sind und dann im Dark Web verkauft werden, sind viel weniger effektiv, wenn Hacker auch versuchen müssen, Einmalpasswörter und andere Sicherheitsmethoden zu untergraben.

Die Erschwerung der Arbeit von Cyberkriminellen hat selten negative Auswirkungen. Aber das Problem, dem sich Banken und andere Finanzdienstleister stellen müssen, ist, dass Cyberkriminelle nicht einfach aufgeben, wenn eine Angriffsmethode vereitelt wird, sondern nach einem anderen Weg suchen. Und PSD2, die Verordnung, die SCA fordert, gibt ihnen eine Chance: APIs. 


APIs: Hauptziele für Cyberkriminelle?

Großbritannien hat dank der Open-Banking-Initiative bereits Banking-APIs eingeführt. Mit dem Ziel, die Bankenbranche zu demokratisieren, verlangt Open Banking von den Banken, ihre APIs zu öffnen, um Dritten den Zugriff auf die Finanzinformationen zu ermöglichen, die für die Entwicklung neuer Apps und Dienste erforderlich sind, und den Kontoinhabern eine größere finanzielle Transparenz zu bieten. Diese APIs sind jedoch ein Hauptziel für Cyberkriminelle.

Der Zugriff auf APIs ist auf regulierte Drittanbieter (TPPs) beschränkt, die einer umfassenden Überprüfung ihrer Sicherheit, Betriebsführung und Risikomanagementkontrollen unterzogen wurden. Dies bedeutet jedoch nicht, dass sie vollständig vor Angriffen geschützt sind. Unternehmen haben drei Schwachstellen – den Browser, die mobilen Apps und den API-Server – und alle diese können ausgenutzt werden, um Angriffe zu initiieren.



Lesen Sie mehr: Bot-Betreiber erweitern ihren Anwendungsbereich: von Sneakerbots zu allgemeinen Sniperbots



Darüber hinaus scheinen viele Unternehmen die mit APIs verbundenen Risiken nicht vollständig zu verstehen. Unser neuere Forschungen zeigt, dass Unternehmen, einschließlich Finanzdienstleister, Mobilgeräte und Websites als ungefähr gleich wahrscheinlich einstufen, dass sie von einem Bot-Angriff betroffen sind, mit APIs auf einem entfernten Drittel. Dies könnte auf einen Mangel an verfügbaren APIs zurückzuführen sein, aber es ist viel wahrscheinlicher, dass es auf einen Mangel an Bewusstsein, Sichtbarkeit oder Nachdenken über Bots hinweist, die APIs als Integration verwenden.

Doch selbst wenn Banken alle Vorkehrungen treffen, um sicherzustellen, dass ihre APIs sicher sind, gibt es Möglichkeiten, sie anzugreifen, die außerhalb ihrer Kontrolle liegen. Ein Hacker mit Zugriff auf das System eines TPP könnte es verwenden, um persönliche Daten zu kratzen. Oder eine schlecht gestaltete Drittanbieter-App könnte von einem Hacker verwendet werden, um den Zugriff auf eine API zurückzuentwickeln und automatisierte Angriffe zu verwenden, um zu versuchen, Konten zu übernehmen und Betrug zu begehen.

Banken werden aufgefordert, ihre APIs zu sichern. Aber selbst wenn sie dies perfekt machen, sind sie immer noch anfällig, wenn die Drittparteien, die sich mit ihren APIs verbinden, nachlässig sind. Das Blockieren von IPs und das Blacklisting bestimmter TPPs wird eine Teillösung darstellen, aber ein weiteres Problem bleibt bestehen – Banken werden ihren Datenverkehr nicht mehr verstehen.

Derzeit interagieren neben Menschen auch gute und schlechte Bots mit Online- und Mobile-Banking. Es ist genügend Verlauf verfügbar, um gute und schlechte Absichten zu identifizieren und diejenigen zu blockieren, die Konten übernehmen oder ähnliche Angriffe durchführen möchten. APIs haben nicht die gleiche Geschichte, was die Unterscheidung zwischen den Guten und den Bösen noch schwieriger macht. 


Stärkung der Position der Branche 

Banken müssen nicht nur ihre APIs sichern, sie müssen sich auch schnell damit vertraut machen, wie ehrliche und böswillige Absichten aussehen. Und der beste Ausgangspunkt ist, sich alle API-Interaktionen anzusehen. Sobald sich ein Gesamtbild darüber gebildet hat, wie TPPs mit Banking-APIs interagieren, wird schlechtes Verhalten offensichtlicher. 

Aber die Bot-Landschaft entwickelt sich so schnell, dass sich das, was vor sechs Monaten nach gutem und schlechtem Verhalten aussah, geändert haben wird. Eine regelmäßige Überprüfung der Aktivitäten, die auf APIs stattfinden, ist unerlässlich. Je mehr die Branche über APIs erfährt, desto stärker wird sie in der Lage sein, Angriffe in Zukunft zu bekämpfen.

Während Banken traditionell Informationen für sich behalten haben, hat Open Banking dies für immer geändert. Und die gleiche Offenheit sollte nun auch für die Cybersicherheit gelten. Banken müssen Gespräche mit Partnern, Wettbewerbern und Kunden führen, um das Verständnis der Branche für Angriffe zu stärken und sich im Kampf gegen Cyberkriminalität zu vereinen. 


Andi Still

Andy ist ein Pionier der digitalen Performance für Online-Systeme. Als Chief Technology Officer leitet er die technische Leitung der Produkte von Netacea und bietet Kunden Beratung und Vordenkerrolle. Andy hat mehrere Bücher über Computer- und Webleistung, Anwendungsentwicklung und nichtmenschlichen Webverkehr verfasst.

Ab Initio arbeitet mit der BT Group zusammen, um Big Data bereitzustellen

Lukas Konrad • 24. Oktober 2022

KI wird zu einem immer wichtigeren Element der digitalen Transformation vieler Unternehmen. Neben der Einführung neuer Möglichkeiten stellt dies auch eine Reihe von Herausforderungen für IT-Teams und die sie unterstützenden Datenteams dar. Ab Initio hat eine Partnerschaft mit der BT Group angekündigt, um seine Big-Data-Management-Lösungen auf BTs internem...

WAICF – Tauchen Sie ein in die KI und besuchen Sie eines der ...

Delia Salinas • 10. März 2022

Cannes veranstaltet jedes Jahr eine internationale Technologieveranstaltung namens World Artificial Intelligence Cannes Festival, besser bekannt unter dem Akronym WAICF. Eine der luxuriösesten Städte der Welt, an der französischen Riviera gelegen und Gastgeber der jährlichen Filmfestspiele von Cannes, der Midem und des Cannes Lions International Festival of Creativity. 

Resilienz von einer Naturkatastrophe erholen

Amber Donovan-Stevens • 16. Dezember 2021

In den letzten zehn Jahren haben wir einige der extremsten Wetterereignisse seit Beginn der Aufzeichnungen erlebt, die alle durch unseren menschlichen Einfluss auf die Anlage verursacht wurden. Unternehmen versuchen schnell, neue umweltfreundliche Richtlinien umzusetzen, um ihren Beitrag zu leisten, aber der Klimawandel hat Unternehmen auch gezwungen, ihren Ansatz zur Wiederherstellung nach Katastrophen anzupassen und neu zu definieren. Curtis Preston...