FinTechs erfreuen sich bei Verbrauchern und kriminellen Organisationen wachsender Beliebtheit

Die Verbraucher bereiten sich darauf vor, der digitalen Wirtschaft in diesem Jahr schätzungsweise „843 bis 859 Milliarden US-Dollar zuzuführen. Das sind mehr als doppelt so viele wie im Jahr 2002, als die gesamten Weihnachtsumsätze nur 416,4 Milliarden US-Dollar betrugen.“

Letztlich wird dies alles über die Finanzdienstleistungsinstitute laufen. Unabhängig davon, ob die Zahlung über Apple Pay, Venmo, PayPal oder eine Debitkarte abgewickelt wird, ist immer ein Konto bei einem Finanzdienstleistungsinstitut erforderlich.  

Dies führt natürlich zu Versuchen böswilliger Akteure, Zugriff auf diese Konten zu erhalten, insbesondere über FinTechs. Ob durch Betrug, wie ihn Zelle-Benutzer oder Robinhood-Kundendienstmitarbeiter erlebt haben, oder direkt durch Credential Stuffing oder Brute-Force-Angriffe: Angriffe können denjenigen, die ihre Bemühungen nicht aufgeben, unerwartete Gewinne bescheren.

Die meisten erfolgreichen Angriffe, von denen wir heute hören, werden direkt über die Benutzeroberflächen von Finanzdienstleistungsinstituten ausgeführt: über eine Webanwendung, eine Textnachricht oder eine E-Mail. Daher ist es beunruhigend, die möglichen Auswirkungen des explosionsartigen Wachstums der APIs zu bedenken, die das digitale Finanz-Ökosystem antreiben – und die Folgen der damit verbundenen Risiken durch Dritte, die von kriminellen Organisationen schnell als lukrativer Angriffsvektor erkannt werden.

APIs werden für kriminelle Organisationen zunehmend attraktiv

Den Verbrauchern steht heute ein zunehmend vielfältigeres Zahlungsökosystem zur Verfügung, mit dem sie ihre Urlaubsausgaben finanzieren können:

• Mehr als zwei Drittel der Käufer der Generation Z planen, in dieser Weihnachtssaison über nicht traditionelle Kanäle wie Instagram, WhatsApp und Livestreams einzukaufen. 
• Laut einer NPD-Umfrage vom Juni 2021 geben mehr als 50 % der Verbraucher an, Einkäufe über Instagram oder Facebook getätigt zu haben. 15 % dieser Verbraucher nannten TikTok als Social-Media-Plattform, auf der sie Produkte entdecken und sich über sie informieren. (Quelle: E-Commerce-Statistiken und Trends zum Weihnachtseinkauf 2021 )
  

Ein florierendes Zahlungsökosystem ist auf die Verwendung von APIs angewiesen, um digitale Finanztransaktionen zu ermöglichen. Durch die Standardisierung wird der Bedarf an schnellen und sicheren Transaktionen unterstützt, um der Ungeduld der Verbraucher Rechnung zu tragen und die Anpassungs- und Wachstumsfähigkeiten digitaler Unternehmen zu stärken. Der führende Standard ist heute FDX (Financial Data Exchange), und seit September 2021 nutzen 22 Millionen Verbraucherkonten die FDX-API für den offenen Austausch von Finanzdaten. Dies hat insbesondere zu einem deutlichen Anstieg des Volumens der API-Aufrufe geführt, das auf knapp 2 Milliarden pro Monat angestiegen ist. (Quelle: FinExtra )

Ein kürzlich veröffentlichter Bericht des CTO-Büros von F5, „ Continuous API Sprawl: Herausforderungen und Chancen in einer API-gesteuerten Wirtschaft “ weist auf die schnelle Verbreitung von APIs und die damit verbundenen Governance- und Sicherheitsrisiken hin. 

Dabei stellte sich heraus, dass es derzeit rund 200 Millionen APIs gibt, die alles von digitalen Zahlungen bis hin zu Unterhaltungsdiensten ermöglichen und robuste Marktplätze ermöglichen. Bis 2030 könnte diese Zahl 1,7 Milliarden erreichen.

Zusammen mit den Erkenntnissen aus der Forschung von F5 Labs , die zeigen, dass die Zahl der API-Sicherheitsvorfälle jedes Jahr steigt – viele davon im Zusammenhang mit Drittanbietern wie FinTechs –, haben die Finanzinstitute weitaus mehr Grund zur Sorge als das Potenzial bevorstehender Regulierungsmaßnahmen und Wettbewerbskräfte.

Verteidigung der digitalen Wirtschaft

Die Sicherung von APIs und der Schutz von Verbrauchern und Unternehmen vor Betrug rücken für digitale Unternehmen aller Branchen, insbesondere jedoch für Unternehmen im Finanzdienstleistungssektor, immer stärker in den Fokus.

Außerdem: „Verschiedene Entwicklungsteams, die an mehreren Anwendungen arbeiten, verwenden oft unterschiedliche Toolsets. Das bedeutet, dass herkömmliche Sicherheitsteams möglicherweise nicht über eine zentrale Kontrollstelle zur Gewährleistung der Sicherheit verfügen. Dies erfordert einen Standardsatz von Tools, um die richtigen Kontrollen in die API-Entwicklungs- und Verwaltungsprozesse einzubetten.“ (Quelle: F5 CTO Security Renuka Nadkarni, „Sichern Sie die FDX-API, um Daten im Open Banking zu schützen “)

Der Leitfaden zu F5-Open-Banking-Lösungen bietet einen umfassenden Ansatz zu F5-Lösungen für Open Banking. Darüber hinaus weist Nadkarni darauf hin, dass „FDX umfassende Hinweise zu den Kontrollen veröffentlicht hat, die umgesetzt werden sollten, um vor Bedrohungen und Risiken für die Kontoinformationen und die Serviceintegrität der Verbraucher zu schützen.“ Zu diesen Steuerelementen gehören:

• Softwaresicherheit – Kontrolle der OWASP Top 10 und anderer Softwareschwachstellen – einschließlich der Bereitstellung einer Web Application Firewall (WAF)
• Netzwerk- und Systemsicherheit
• Betriebssicherheit
• Physische Sicherheit
• Geschäftskontinuität und Notfallwiederherstellung
• Lieferantensicherheit
• Entwurfsmuster für authN/authZ einschließlich Kontrollen für Credential Stuffing
• Muster für eine sichere Gateway-Architektur (SGA), einschließlich in das API-Gateway integrierter API-Sicherheitskontrollen

Abschließend muss darauf hingewiesen werden, dass der Schutz von Finanzdaten – ob während der Übertragung oder im Ruhezustand – in einer Wirtschaft, in der die Digitalisierung als Standard gilt, zunehmend an Bedeutung gewinnt. Während für Unternehmen natürlich ein erhebliches Betrugsrisiko besteht, ist das Risiko für den Verbraucher noch größer.