Open Banking: Wie erfolgreiche API-Plattformen funktionieren - Senacor

Die Seite wird erstellt Matthias Pape
 
WEITER LESEN
Seite 69 - BIT 1/2021

                                                              Kay Wossidlo
                                                              Adrian Rochau

                                                      Open Banking erreicht zunehmend den
                                                      Alltag. Digital- und Smartphone-Banken
Open Banking: Wie erfolgreiche                        wie Revolut setzen voll darauf, ihre Ange-
                                                      bote künftig auch über Schnittstellen zu
 API-Plattformen funktionieren                        vertreiben statt alleine auf der eigenen
                                                      Webseite oder über eine App. Auch in
         Deutschland fangen die Banken an umzudenken und veröffentlichen teils gar auf
         eigenen Portalen ihre APIs, damit Drittanbieter die so bereitgestellten Dienste in ihre
         Plattformen, Apps oder Software einbauen. Dafür reicht es aber nicht schon aus, dass
         den Endkunden die angedachten Services attraktiv erscheinen. Auf dem Weg dahin
         muss es zunächst gelingen, dass eine API der Zielgruppe gefällt, die direkt damit arbei-
         tet: den Entwicklern der Services. Worauf es dabei ankommt und was eine erfolgreiche
         API-Plattform für Open Banking ausmacht, erläutert dieser Beitrag aus der Praxis.

         1. Ausgangslage                                      integrieren zu lassen, wie eine von Lünendonk
         Die britische Smartphone-Bank Revolut will in        & Hossenfelder durchgeführte und von Senacor
         Deutschland wachsen. Fast 350 Prozent mehr           fachlich unterstützte Studie zeigt ([Zillmann
         Kunden bis Ende des Jahres, lautet das Ziel.         2020, S. 36], vgl. Abbildung 1).
         Gelingen soll das vor allem mit Open Banking.
         Ausgerechnet da knausern die deutschen Wett-         Vielmehr scheint ihnen zu reichen, die regulato-
         bewerber: Sie bieten ihren Kunden zwar „online“,     rischen Pflichten aus der PSD2 zu erfüllen.
         aber nicht „open“.
                                                              2. Banken sind in ihren Öffnungsplänen
         73 Prozent der Bundesbürger regeln ihre Finan-       zögerlich
         zen inzwischen online, 60 Prozent verlassen          Gerade einmal 27 Prozent der Institute wollen in
         sich dabei auf die App ihrer Hausbank, wenn          den nächsten drei bis vier Jahren in Plattformen
         sie über das Smartphone oder vom Tablet auf          investieren, die sich für Open Banking eignen –
         ihre Konten zugreifen. Das ergibt eine aktuelle      also eigene Dienste für andere App-Anbieter
         Umfrage, durchgeführt vom Digitalverband Bit-        über eine API zugänglich zu machen oder deren
         kom [Bitkom Research 2021]. Online und Mobi-         Dienste selbst einzubinden. Vielmehr wollen
         le Banking haben sich durchgesetzt. Trotzdem         sich die Banken zuerst um andere Dinge küm-
         scheinen deutsche Banken sich für die Öffnung        mern [Zillmann 2020, S. 36]. Das Problem: Weil
         ihrer Kanäle kaum zu interessieren. Zwar bauen       nur jeder fünfte Verbraucher überhaupt bereit
         sie immer neue Dienste in ihre eigenen Apps ein,     ist, seine Bankdaten zu teilen, würde sich der
         wie Push-Nachrichten, falls die Kreditkarte belas-   Aufwand kaum lohnen. Eine Senacor-Umfrage
         tet wird. Doch sie scheuen sich, Geld in die Hand    aus dem letzten Frühjahr unter 1.000 möglichen
         zu nehmen, ernsthaft in Open Banking zu inves-       Kunden legt offen, dass die Deutschen inzwi-
         tieren und auch in Apps von Dritten ihre Dienste     schen auch genau darüber Bescheid wissen, was
Open Banking    Seite 70 - BIT 1/2021

Abbildung 1:
Open Banking
spielt bis 2025
in Banken kaum
eine Rolle.
[Zillmann 2020,
S. 36.]

                   ihre privaten Daten wert sind.                      Zugriffszahlen über die vom Gesetzgeber für
                                                                       zugelassene Drittanbieter vorgeschriebene
                   Fast alle Verbraucher, die auch darüber nachden-    PSD2-Schnittstelle (XS2A) zeigen. Die Commerz-
                   ken, ob sie eines Tages ihre persönlichen Daten,    bank verzeichnete innerhalb der ersten 30 Tage
                   wie etwa Umsätze auf dem eigenen Konto, mit         bis zum 26. März 2020, als die ersten Markttests
                   anderen teilen, möchten kontrollieren, wer sie      liefen, rund 3,4 Mio. Zugriffe – und das durch
                   bekommt. Und sie möchten die Erlaubnis, diese       nur 27 von insgesamt 228 registrierten „Third
                   Daten zu nutzen, problemlos wieder zurückzie-       Party Providern“ (TPP). Die meisten Anbieter, die
                   hen können. Das ist aber noch nicht alles. Wer      berechtigt sind, für ihre Kunden auf deren Konto
                   sich einverstanden erklärt, dass jemand anderes     zuzugreifen, blieben also passiv. Bei der Deut-
                   die eigenen Daten nutzt, will im Gegenzug etwas     schen Bank beliefen sich die Zahlen auf gerade
                   dafür bekommen. 82 Prozent erwarten etwa,           mal auf etwas mehr als 60.000 Zugriffe, davon
                   dass sich ihre finanziellen Geschäfte dadurch       kaum welche durch TPPs [Dohms 2021].
                   leichter erledigen lassen ([Wolfangel 2020], vgl.
                   Abbildung 2). Mehr als zwei Drittel wünschen        Was auf den ersten Blick vermuten lässt, dass
                   sich, woanders Geld sparen zu können, ähnlich       Open Banking nur kostet aber nichts bringt,
                   wie bei einem Loyalty-Programm. Die meisten         irrt möglicherweise dennoch. So weist der
                   wollen auch sofort wissen, was sie für ihre Daten   Branchendienst Finanzszene darauf hin, dass
                   erhalten.                                           über die drei großen Institute – Deutsche Bank,
                                                                       Commerzbank und Hypovereinsbank – und die
                   Die Hürden für Open Banking erscheinen also         beiden Verbände – Sparkassen sowie Volks- und
                   ziemlich hoch. Darüber hinaus wirkt es so, als      Raiffeisenbanken – hinweg mehr als 75 Prozent
                   fehle auch die tatsächliche Nachfrage, wie die      der Zugriffe auf nur einen einzigen TPP zurück-

Abbildung 2:
Deutsche Ver-
braucher wollen
ihre Daten nicht
verschenken
[Wolfangel
2020]
Wossidlo/Rochau   Seite 71 - BIT 1/2021

gehen [Dohms 2021]. Hier wächst also ein erster      matik (FI) Drittanbietern ermöglichen, auf mehr
großer Anbieter, der offenbar über Dienste ver-      als 5.000 Funktionen von OSPlus, dem Gesamt-
fügt, die aktiv genutzt werden und damit Open        banksystem der Sparkassen Finanzgruppe, zuzu-
Banking weiter den Weg bahnen. Denn sollte           greifen. Ihre PSD2/XS2A-Schnittstelle gilt schon
dieser Anbieter sein Angebot ausbauen, steigt        jetzt als eine der besten am Markt. Damit gehen
automatisch über deren Kunden auch der Druck         die Sparkassen deutlich über das hinaus, was der
auf die Banken, ihre Schnittstellen zu verbessern.   Gesetzgeber verlangt. Das seien Bohrplattfor-
                                                     men für TPPs, um ihnen Zugang zu bestimmten
3. Open Banking als attraktives Ge-                  Ölfeldern zu geben, so FI-Bereichsleiter Carsten
schäftsmodell                                        Wendt. „Was aber machen Institute mit ihren
Die Sparkassen haben bereits erkannt, dass Ban-      anderen Ölfeldern?“ [IT Finanzmagazin 2021].
ken, die wie Revolut gezielt auf Open Banking        Die Antwort: sich selbst und die eigenen APIs
setzen, eine Gefahr darstellen. Der Grund: Sie       interessant für Drittanbieter und deren Ideen –
bieten ihren Kunden damit eine neue Art, ihre        und davon gibt es viele.
Finanzen zu regeln. Mobil, unkompliziert und
in ihren Alltag integriert. Apple, Google oder       Sowohl für Privat- als auch für Firmenkunden
Amazon machen mit ihrer Software und ihren           bietet sich durch Open Banking die Chance, neue
Geräten vor, dass die Bedenken ihrer Kunden          Dienste zu entwickeln, die einem das Leben
schnell hinter dem Nutzen zurücktreten, den          erleichtern. Beispielsweise kann eine von einem
ihre Dienste versprechen. Anders ausgedrückt:        TPP entwickelte App dabei helfen, eine günsti-
Je besser das Angebot, desto weniger halten sich     gere Versicherung zu finden, wenn sie das Konto
die Kunden zurück, auch wenn sie sich etwa um        eines Nutzers analysieren darf. Firmenkunden
ihre persönlichen Daten sorgen. Zudem weisen         dürften sich darüber freuen, wenn sie Zahlun-
die Plattformen exponentielles Wachstum auf,         gen direkt aus ihren ERP-Systemen veranlassen
in der digitalen Welt gilt häufig: der Gewinner      können und eingehende Beträge automatisch
bekommt alles.                                       abgeglichen werden (vgl. Abbildung 3). Eini-
                                                     ge Banken überlegen wohl auch, ob sie solche
Bequemlichkeit schlägt Datenschutz                   Drittanbieter-Dienste direkt in ihre Apps integ-
Deutsche Verbraucher gehen sehr vorsichtig mit       rieren. Bestes Beispiel: Eine Finanz-App, in der
ihren Daten um – meint man. Mehr als die Hälf-       Freiberufler ihre Konten verwalten, Rechnungen
te wäre sogar bereit, Geld für kostenfreie Dienste   schreiben und ihre Umsatzsteuer beim Finanz-
wie Facebook, Whatsapp oder Twitter zu zahlen,       amt anmelden.
wenn diese aufhörten, ihre Daten zu sammeln und
auszuwerten. Immerhin bis zu fünf Euro monat-        Wenn sich die Bank dafür entscheidet, neue
lich [OmniQuest 2021]. Doch Verzicht kommt           Produkte zu entwickeln, geschieht das häufig
trotz der Sammelwut nicht in Frage. So sollen sich   mit Partnern. Beispielsweise könnte die Soft-
jede Woche mehr als zwei Millionen Nutzer in die     ware, die Freiberuflern erlaubt, in einer App
erst vor kurzem gestartete Audio-App Clubhouse       ihre Rechnungen zu erstellen und zu verwalten,
einloggen, davon 300.000 aus Deutschland. Ham-       von einem Fintech oder Startup kommen. Über
burgs Behörden warnen vor der App, genau wie         die Elster-Schnittstelle landen die Steuerdaten
die Verbraucherzentralen. Facebook erreicht trotz    beim zuständigen Finanzamt und die eingehen-
der Skandale um den Datenschutz seit Jahren kon-     den Beträge gleicht das System über die XS2A-
stant mehr als 30 Millionen Nutzer in Deutschland.   Schnittstelle mit dem Konto ab. Die Bank, die
                                                     den Kontozugang stellt, kann darüber hinaus mit
Vor diesem Hintergrund beginnen die Sparkas-         zusätzlichen Diensten punkten. Dazu gehören
sen damit, ihre Software zu öffnen, um sich als      etwa Cashback, Kredite oder eine weitgehend
Partner für Open Banking zu positionieren. Über      automatisierte Steuererklärung, denn die Bank
eine eigene API-Plattform will die Finanz Infor-     verfügt ja bereits über nahezu alle dafür nöti-
Open Banking    Seite 72 - BIT 1/2021

Abbildung 3:
Wie sich Open
Banking für
Kunden durch
neue Dienste
auszahlt
[Senacor]

                gen Daten – Umsatzdaten, Rechnungen und die                Systeme, die über eine API die Firmenkon-
                angemeldete Umsatzsteuer.                                  ten einbinden.

                4. Wege in die Umsetzung                              Ideal sind Plattformen, die beides ermöglichen
                Vom konkreten Dienst hängt ab, was die bereit-        (vgl. Abbildung 4). Wer sich nur auf PSD2 und die
                gestellten Schnittstellen einer Bank leisten müs-     gesetzlichen Vorgaben konzentriert, bleibt pas-
                sen und welche Rolle sie selbst dabei spielt. Viele   siv und lässt sich zusätzliche Einnahmen durch
                Produkte entstehen bereits, wenn sich das Ins-        Open Banking entgehen. Ohne selbst aktiv zu
                titut mit anderen Unternehmen zusammentut,            handeln, verkommt eine solche Bank zu einem
                um eine Idee wie die Freiberufler-App zu realisie-    reinen Datenlieferanten für alle anderen Markt-
                ren. Wenn es aber darum geht, die eigenen APIs        teilnehmer und wird zu einem austauschbaren
                zu monetarisieren, verwandeln sich die Schnitt-       Zahlungsverkehrsanbieter. Besser ist, im ersten
                stellen selbst in ein Produkt. Im einfachsten Fall    Schritt über APIs auch Dienste von anderen
                entwickelt die Bank daraus direkt ein neues           Anbietern einzubinden. Banken, die das tun, ver-
                Angebot, wie ein auf Knopfdruck berechnetes           halten sich wie API-Konsumenten, um ihre eige-
                Kreditlimit oder eine Banking-App, die alle Kon-      nen Dienste aufzuwerten. Auf der anderen Seite
                ten eines Kunden gemeinsam anzeigt. Darüber           stehen Provider-Banken, die ihre IT-Systeme
                hinaus fallen die Angebote meist in eine der bei-     über APIs öffnen, damit andere Unternehmen
                den folgenden Kategorien:                             die bestehenden Funktionen nutzen können, um
                                                                      selbst neue Angebote zu schaffen.
                1. Cross-Selling: Eine Bank holt sich Daten von
                   Dritten, um daraus einen neuen Dienst zu           Mit dieser zweiten Rolle haben die Banken der-
                   entwickeln. Beispiel: Ein Kontowechselser-         zeit noch am meisten zu kämpfen. Bis 2025 will
                   vice, der auch die erteilten Daueraufträge         gerade mal ein Drittel der Institute diese Stra-
                   vom abgebenden Institut übernimmt und              tegie verfolgen. Das liegt vor allem daran, weil
                   bestehende SEPA-Mandate mit den neuen              nicht sofort auf der Hand liegt, wie eine Bank
                   Kontodaten selbständig aktualisiert.               mit einer API-Plattform Geld verdienen will. Das
                                                                      Problem: Weil die eigene API in einer Software
                2. Integration: Eine Bank nutzt den Dienst            aufgeht, die nicht zuerst zu einem Finanzprodukt
                   eines anderen Finanzdienstleisters oder            gehört, fällt es den Banken schwer, den richti-
                   klinkt sich in die Wertschöpfungskette von         gen Hebel zu finden, um den Vorteil, den das
                   Firmenkunden ein. Beispiele dafür sind             integrierende Unternehmen bekommt, zu Geld
                   Versicherungen, die sich vergleichen und           zu machen. Dafür muss die Bank das Geschäfts-
                   umdecken lassen, sowie CRM- oder ERP-              modell desjenigen verstehen, der die API nutzen
Wossidlo/Rochau   Seite 73 - BIT 1/2021

Abbildung 4:
API-Consumer,
-Provider oder
beides – die
neue Rolle
der Banken
[Senacor]

                 möchte. Nur so kann sie den tatsächlich gebote-       automatisiert abzugleichen.
                 nen Mehrwert in einen Preis übersetzen.
                                                                     Damit diese Varianten aufgehen, müssen die
                 In der Praxis dürften die Banken einem oder         Banken investieren – und zwar in Plattformen,
                 mehreren dieser vier Wege zum Geld folgen:          über die sie eigene Dienste anbieten und frem-
                                                                     de integrieren. Dabei kommt es besonders auf
                 § Indirektes Retail-Geschäft: Die Bank ermög-       zwei Komponenten an: die API-Management-
                   licht einem Drittanbieter, Bankprodukte zu        Plattform, die steuert, wie und welche APIs die
                   verkaufen, um dadurch das eigene Angebot          Daten zwischen verschiedenen Eingangskanä-
                   aufzuwerten. Beispiel: Eine in einen Online-      len und der Backend-Systemen makeln, und das
                   shop eingebaute digitale Antragsstrecke für       Entwicklerportal (vgl. Abbildung 5). Über das
                   Kredite.                                          Entwicklerportal erschließen sich die Institute
                                                                     eine neue Zielgruppe: Software-Entwickler, die
                 § Direktes Retail-Geschäft: Dieses Modell sieht     mit den Banken-APIs arbeiten und sie im besten
                   einen von der Bank bereitgestellten Dienst        Fall schnell verstehen und gegenüber den APIs
                   vor, der in einem anderen Produkt steckt,         von Wettbewerbern bevorzugen.
                   beispielsweise eine digitale Signatur, die des-
                   halb funktioniert, weil die Bank ihren Kunden     5. Entwickler wie Kunden behandeln
                   bereits authentifiziert hat.                      Selbstverständlich ist es wichtig zu analysieren,
                                                                     ob die Endkunden die angedachten Services
                 § Indirektes Firmenkundengeschäft: Die Bank         auch schätzen würden. Aber das reicht nicht,
                   stellt einen Dienst bereit, aus dem ein Dritter   um diese Services erst einmal Realität werden
                   ein eigenständiges Angebot entwickelt und         zu lassen. Weil es so wichtig ist, dass sich die APIs
                   an Firmenkunden verkauft. Später lässt sich       leicht integrieren lassen, sollten sich Banken dar-
                   die Nutzung etwa über die Kontoführungsge-        an gewöhnen, diejenigen, die Software entwi-
                   bühr abrechnen.                                   ckeln, wie Kunden zu behandeln. Das bedeutet,
                                                                     die notwendigen APIs bereitzustellen und dafür
                 § Direktes Firmenkundengeschäft: Ein Fir-           zu sorgen, dass sie sich leicht bedienen und ohne
                   menkunde bindet von der Bank über eine API        Umstände integrieren lassen. Ein Entwicklerpor-
                   bereitgestellte Dienste in die eigenen IT-Sys-    tal darf deshalb keine Hürden schaffen, die der
                   teme ein. Heute geschieht das bereits häufig      Developer Experience entgegenstehen (vgl. Kas-
                   im Cash Management, um Kontobewegungen            ten). Das bedeutet, möglichst schnell auf Rück-
Open Banking   Seite 74 - BIT 1/2021

Abbildung 5:
Architektur-
Schema für eine
Open-Banking-
Plattform in
einer Bank
[Senacor]

                  fragen zu antworten, in der Community aktiv zu     Von unschätzbarem Wert sind darüber hinaus
                  sein und sowohl eine Dokumentation wie auch        Testdaten, die sich möglichst nahe am realen
                  eine Sandbox bereitzustellen, in der sich die      Kundenstamm orientieren. Fehlende oder qua-
                  angebotenen APIs testen lassen.                    litativ wenig hochwertige Daten führen häufig
                                                                     dazu, an dem vorbei zu entwickeln, was sich die
                  5 Regeln für ein gutes Entwicklerportal            Kunden tatsächlich wünschen. Wer etwa eine
                  § Verfügbare APIs sowie deren Beschreibung         App entwickeln möchte, die mit künstlicher
                    und Dokumentation sollte ohne eine vorheri-      Intelligenz Umsatzdaten nach Versicherrungen
                    ge Registrierung sichtbar sein und bekannten     durchsucht, um bessere Angebote machen zu
                    technischen Standards wie OpenAPI folgen.        können, ist darauf angewiesen, bereits vor dem
                                                                     ersten Zugriff über die XS2A-Schnittstelle die KI
                  § Beispiele für Request und Response gehören       mit Testdaten zu trainieren. Die Bank sollte diese
                    in die freie Dokumentation und nicht in den      Daten deshalb ebenfalls bereitstellen, idealer-
                    zugangsbeschränkten Bereich.                     weise in aggregierter und anonymisierter Form,
                                                                     damit auch die datenschutzrechtlichen Voraus-
                  § Eigene Anwendungen im Portal zu regis-           setzungen dafür erfüllt bleiben.
                    trieren, sollte möglich sein, damit sich die
                    gewünschte Kombination verschiedener             Was für das Entwicklerportal gilt, gilt auch für
                    Komponenten vorab testen lässt.                  die veröffentlichten Schnittstellen selbst: je
                                                                     zugänglicher, desto besser. Dabei kommt es
                  § Preise für gängige Anfragevolumina und -grö-     darauf an, Entwicklern genau das zu bieten, was
                    ßen sollten ebenfalls frei zugänglich sein und   sie erwarten. In verteilten Systemen, zu denen
                    kein Geheimnis der Sales-Abteilung, das erst     auch API-Plattformen zählen, beziehungsweise
                    erfragt werden muss.                             in der Software, die APIs nutzt, sind das Archi-
                                                                     tekturparadigmen wie REST (Representational
                  § Benutzerfreundlichkeit gehört auch zu einem      State Transfer). REST-konforme APIs oder kurz
                    Entwicklerportal zwingend dazu, genau wie        REST-APIs orientieren sich an der aus dem World
                    eine unkomplizierte Registrierung, um die        Wide Web bekannten Infrastruktur aus Web- und
                    APIs zu nutzen.                                  Application-Server, HTTP-fähigen Clients, HTML-
Wossidlo/Rochau   Seite 75 - BIT 1/2021

und XML-Parsern sowie gängigen Sicherheits-           § Fehlendes API Management: Jeder Client
mechanismen. Web-Dienste sind deshalb häufig            sollte nur ihm bekannte Client Credentials
von sich aus REST-konform. Wie strikt eine API          nutzen. Eine Bank kann dadurch den Zugriff
dem REST-Paradigma folgt, geben Metriken wie            auf Kundendaten nur für berechtigte Clients
das Richardson Maturity Modell (RMM) an, und            freigeben und überwachen. Wer eine API
nur ein hoher Wert gewährleistet, dass Entwick-         nutzt und ob sie sich monetarisieren lässt,
ler die Schnittstelle akzeptieren.                      erfährt das Institut dadurch ebenfalls. Schließ-
                                                        lich erlauben Client Credentials, vereinbarte
Neben diesen eher technischen Vorgaben                  Service Level Agreements oder Volumenlimits
bestimmt auch der fachliche Zuschnitt einer API,        kundenspezifisch zu vereinbaren – und abzu-
ob und wie leicht sie sich verwenden lässt. Ein         rechnen.
Konzept, das sich für solche Aufgaben bereits vor
mehr als zwanzig Jahren etabliert hat, ist Domain     § Fehlende Abwärtskompatibilität: Die bank-
Driven Design. Gemeint ist einerseits, dass die         fachliche Realität zwingt dazu, APIs gelegent-
Domäne, die eine API abbilden soll,fachlich klar        lich zu verändern. Leichtfertig mit der Gegen-
abgegrenzt ist, und andererseits, dass sich alle        wart zu brechen, kann jedoch gefährlich
Beteiligten untereinander gut verstehen. Gerade         werden. Die Anpassungen sollten abwärts-
letzteres ist wichtig, weil sich mit den APIs nicht     kompatibel erfolgen, damit Clients weiterhin
nur Personen aus unterschiedlichen Abteilungen          funktionieren. Alternativ lassen sich APIs auch
beschäftigen, sondern auch aus völlig verschie-         versioniert bereitstellten, so dass jede Client-
denen Unternehmen. Eine ubiquitäre Sprache,             Anwendung die Version nutzt, für die sie sich
frei von Fachausdrücken und nur im eigenen              registriert hat.
Haus bekannten Begriffen, hilft Missverständ-
nisse zu vermeiden. So konzipierte APIs lassen        § Fehlende Vorwarnzeit: Nicht immer lässt sich
sich leichter verstehen, schneller erlernen und         vermeiden, eine API so anzupassen, dass sie
sie tragen zudem dazu bei, die Komplexität der          nicht mehr kompatibel mit Client-Systemen
eigenen IT zu verringern.                               ist. Solche APIs abzukündigen, sollte mit
                                                        ausreichend zeitlichem Puffer geschehen.
6. Entwicklung und Pflege als kontinuier-               Idealerweise überwacht die Bank durch das
liche Aufgabe sehen                                     richtige Monitoring, ob und durch wen eine
Sobald die APIs erstellt und veröffentlicht sind,       abzukündigende API-Version noch genutzt
geht es um die Hygiene. Weil sich die Welt immer        wird.
weiterentwickelt, müssen auch die APIs folgen.
Eine Bank braucht deshalb eine klare Vorstellung      Darüber hinaus zählen hohe Verfügbarkeit der
davon, wie sie APIs richtig pflegt. Bewährt hat       APIs sowie die Performance zu den relevanten
sich, möglichst viele Standards zu nutzen, wie        Erfolgsfaktoren für Open Banking. Erscheint eine
OAuth2 oder OpenID Connect, um Kunden und             AI als wenig stabil oder schwach performant,
Clients zu authentifizieren. Dadurch lassen sich      dürften sowohl das Institut als Provider wie
vorhandene Bibliotheken und schon entwickel-          auch die Schnittstelle an sich schnell an Akzep-
te Komponenten nutzen, die auf diesen Modu-           tanz einbüßen und andere Anbieter dagegen als
len aufbauen. Zudem vermeidet die Bank, dass          attraktiver erscheinen. Im digitalen Wettbewerb
sich Entwickler mit Modulen auseinandersetzen         kann sich das gerade für kleinere oder speziali-
müssen, die mit der API an sich kaum bis gar          sierte Institute zu einem Problem auswachsen,
nichts zu tun haben. Das rächt sich spätestens        weil ihre Angebote an Reichweite einbüßen,
dann, wenn es darum geht, APIs aktuell zu halten      wenn Finanz-Apps oder große Internetportale
und die Nutzer zu informieren. Auf drei Fallstri-     auf die API verzichten.
cke sollten die Institute achten:
Open Banking    Seite 76 - BIT 1/2021

Schließlich sollten die Institute auch die Schnitt-   Quellen
stellen zu Ihrer Kernbank-IT auf den Prüfstand        Bitkom Research (2021). Repräsentative Bevöl-
stellen. Viele Core-Banking-Systeme sind veral-       kerungsbefragung unter 1.004 Personen ab 16
tet und darauf ausgelegt, in Batchläufen große        Jahren, Berlin. https://www.bitkom.org/Presse/
Datenmengen zu verarbeiten, oft über Nacht.           Presseinformation/Banking-Apps-setzen-sich-
Einzelne Abfragen und Aufträge, die bevorzugt         durch, zuletzt abgerufen am 24. Februar 2021.
in Echtzeit stattfinden sollen, überfordern diese
                                                      Dohms, H.-R. (2020). Hier kommen die Nutzer-
Anwendungen häufig. Hinzu kommt, dass Kern-
                                                      zahlen für die PSD2-Schnittstellen. In: Finanz-
banksysteme meist deutsche Bezeichnungen
                                                      Szene.de, Hamburg. https://finanz-szene.de/
für Attribute verwenden und teils komplexe
                                                      digital-banking/hier-kommen-die-nutzerzah-
Datenkonstrukte zurückgeben, obwohl moderne
                                                      len-fuer-die-psd2-schnittstellen/, zuletzt abge-
API-Standards englische Ausdrücke und einfach
                                                      rufen am 24. Februar 2021.
strukturierte Rückgabedaten erwarten. Wegen
der gesetzlich geforderten 2-Faktor-Authen-           IT Finanzmagazin (2020). Sparkassen als Open-
tifizierung (2FA) sollte eine Bank transparente       Banking-Partner, Immenstadt. https://www.
Schnittstellen zur Kernbanken-IT definieren und       expressvpn.com/blog/study-germans-willing-
sowohl ihre Nutzerdaten wie auch diesen zwei-         to-pay-a-monthly-fee-for-facebook-services/,
ten Faktor außerhalb des Core-Banking-Systems         zuletzt abgerufen am 24. Februar 2021.
verwalten, um unabhängiger von dessen Her-            OmniQuest (2021). Repräsentative Bevöl-
steller und alten Strukturen zu bleiben und beide     kerungsbefragung unter 1.000 Personen im
Elemente leichter in eigene Apps integrieren zu       Auftrag von ExpressVPN, Köln. https://www.
können.                                               expressvpn.com/blog/study-germans-willing-
                                                      to-pay-a-monthly-fee-for-facebook-services/,
7. Fazit und Ausblick                                 zuletzt abgerufen am 24. Februar 2021.
Durch Open Banking fügen sich künftig Bankge-
schäfte, wie ein Kredit am Point of Sale oder eine    Wolfangel, C. (2020). Banking 2025 – Wie freigie-
Versicherung kurz vor dem Abflug in den Urlaub,       big sind die Deutschen mit ihren Daten? Senacor
nahtlos in unseren Alltag ein. APIs fällt dabei die   Technologies AG, Eschborn.
entscheidende Rolle zu. Sie erlauben Drittan-         Zillmann, M. (2020). Lünendonk®-Studie Digital
bietern, aber auch den Banken selbst, eigene          Outlook 2025: Financial Services, Lünendonk &
Angebote für andere zu veröffentlichen und            Hossenfelder GmbH, Mindelheim.
wiederum deren Dienste zu integrieren. Was wie
eine rein technische Aufgabe klingt, ist jedoch       Autoren
auch eine organisatorische. Die Banken müssen         Kay Wossidlo ist Partner bei der Senacor Tech-
sich auf eine vollkommen neue Zielgruppe ein-         nologies AG in München. Er ist spezialisiert auf
stellen: Software-Entwickler, die diese Services      digitale Transformationen.
realisieren und mit den Schnittstellen arbeiten
müssen. Sich auf deren Bedürfnisse einzustellen,      Adrian Rochau ist Partner bei Senacor Techno-
ist Voraussetzung dafür, dass eine API-Plattform,     logie AG in Eschborn. Er ist Experte für IT-Archi-
auf der die Musik künftig spielt, auch funktio-       tekturen und API-basierte Banking-Plattformen.
niert – und das heißt vor allem, dass sie aktiv
genutzt wird.
Sie können auch lesen