In der EU verpflichtet die Payment Services Directive 2 (PSD2) Institute zu einer starken Kundenauthentifizierung (SCA) sowie zu standardbasierten, dokumentierten und überwachten Schnittstellen gemäss den Regulatory Technical Standards (RTS), wobei jedoch kein EU-weit einheitlicher API-Standard vorgeschrieben ist. In der Schweiz gibt es weiterhin keine generelle gesetzliche API-Öffnungspflicht. Der Bundesrat setzt auf einen marktgetriebenen Ansatz und beobachtet die Entwicklung laufend. Für Institute zählen nun, aufbauend auf den FINMA-Vorgaben, eine robuste API-Security-Architektur, saubere Governance, Third-Party-Risk-Management und prüfbare Evidenzen. Erfahren Sie in diesem Artikel, welche Anforderungen es gibt und was die Best Practices sind.

Open Banking – Vom aufsichtsrechtliche Rahmen zu API Sicherheitsrisiken

In der EU konkretisieren die technischen Regulierungsstandards (RTS) der PSD2 die Mindestanforderungen. Diese umfassen zum einen die Starke Kundenauthentifizierung (SCA) und zum anderen «common and secure open standards of communication». Diese beinhalten spezifische Vorgaben für dokumentierte Schnittstellen, Testumgebungen (Sandbox) sowie Monitoring und Verfügbarkeitsstatistiken, welche die Zugriffe akkreditierter Drittanbieter (AISP/PISP/CBPII) regeln.

Dies hebt das Sicherheitsniveau und die Interoperabilität messbar an, ohne EU-weit einen verbindlichen API-Standard vorzuschreiben. In der Schweiz erfolgt die Standardisierung bottom-up über Brancheninitiativen:

• SFTI «Common API» erarbeitet beispielsweise Spezifikationen für Bank- und Versicherungs-APIs.
• SIX ermöglicht mit bLink die sichere, standardisierte Anbindung zwischen Banken und Drittanbietern, etwa für Account Information oder Payment Submission, und skaliert damit Multibanking-Use-Cases.

APIs erhöhen die Innovationsgeschwindigkeit, erweitern aber auch die potenzielle Angriffsfläche. In der Praxis können vor allem folgende Schwachstellen zu Datenabflüssen und Missbrauch führen:

• unsichere Autorisierungen
• übermässige Berechtigungen
• unzureichendes Logging/Monitoring
• unsichere Transport-/Protokollkonfigurationen.

Die aktuellen OWASP API Security Top 10 ordnen Autorisierungs- und Zugriffskontrollschwächen weiterhin ganz vorne ein. Saubere Authorization/Authentication-Konzepte und Schutz vor Ressourcenerschöpfung sind somit prioritär.

Regulatorische Anforderungen, die Sicherheitsarchitektur und Nachweise prägen

Unter PSD2 verlangen die Regulatory Technical Standards (RTS) unter anderem:

• Strong Customer Authentication (SCA)
• sichere und dokumentierte Kommunikationsschnittstellen
• Test-/Sandbox-Zugänge
• ein wirksames Monitoring mit Kennzahlen

Betroffene Institute müssen Drittzugriffe nachvollziehbar und sicher ermöglichen, inklusive Verfügbarkeits-/Performance-Transparenz. In der Schweiz erwartet die FINMA für digitale Kanäle, APIs eingeschlossen, ein adäquates Sicherheitsniveau und verankert diese Anforderungen in den Rundschreiben RS 2018/3 (Outsourcing) sowie RS 2023/1 (Operationelle Risiken & Resilienz – Banken). API-Risiken sind entsprechend im ISMS, Risikomanagement, ICS/IKS, Vertragswerk und in den Incident-Prozessen abzubilden inklusive prüfbarer Evidenzen.

Best Practices für sichere Open-Banking-APIs

• Sie bauen Ihre API-Security auf einem Zero-Trust-Prinzip auf, indem Sie jede Anfrage identitäts- und kontextbasiert prüfen und ausschliesslich minimal notwendige Rechte gewähren.
• Sie schützen Ihre Schnittstellen durch ein zentrales API-Gateway, das OAuth2/OIDC-basierte Token validiert, ein konsequentes Rate-Limiting erzwingt, Eingaben validiert und sicherheitsrelevante Ereignisse vollständig protokolliert.
• Sie implementieren starke Kundenauthentifizierung (SCA) dort, wo PSD2 diese verlangt, und dokumentieren nachvollziehbar Ausnahmen und Risikobewertungen.
• Sie integrieren APIs fest in Ihr ISMS und in Ihr Third-Party-Risk-Management, indem Sie Bedrohungen, Risiken, Kontrollen, KPIs und Lieferantenpflichten wie Audit-, Outsourcing- und Exit-Rechte sowie den Datenstandort eindeutig abbilden.
• Sie testen Ihre APIs regelmässig auf Schwachstellen, indem Sie eine Kombination von automatisierten Tests, Security-Assessments und Penetrationstests entlang realistischer Szenarien durchführen.
• Sie stellen für Sicherheitsvorfälle klare Melde- und Reaktionspfade sicher, indem Sie Incident-Klassifizierung, Playbooks und Reporting an Aufsicht und Partner verlässlich definieren und regelmässig üben.

Wie Redguard Sie unterstützt

Wir begleiten Sie von der Architektur bis zum Audit – pragmatisch, regulatorisch abgestimmt und prüfungssicher in den folgenden Punkten:

• API-Security & Governance-Design: Wir definieren mit Ihnen Rollen, Richtlinien, Authentifizierungs- und Autorisierungs Standards sowie SCA-Flows und Logging-Vorgaben, die auf PSD2/RTS und FINMA-Erwartungen abgestimmt sind.
• Third-Party-Risk-Management und Vertragsbausteine: Wir integrieren mit Ihnen API-Risiken in das TPRM, damit Audit-Rechte, Datenstandort, Outsourcing und Exit-Strategien adäquat abgedeckt sind.
• Testing & Readiness: Wir führen OWASP-API-Assessments, Penetrationstests und Tabletop-Übungen durch und bereiten Sie auf aufsichtsrechtliche Reviews vor.

Mehr zu unseren Services im Bereich Finanzen, finden Sie auf unserer dedizierten Finance Security-Seite. Wir freuen uns über Ihre Kontaktaufnahme.