Drei lohnende Möglichkeiten für den Einsatz der dynamischen Autorisierung für Unternehmensarchitekten im Finanzsektor

Die Pandemie hat die bereits begonnene Entwicklung beschleunigt. Das Filialbanksystem verliert an Bedeutung zugunsten der digitalen Kanäle. Unternehmen und Kunden verwalten ihre Finanzen zunehmend mithilfe einer wachsenden Zahl digitaler Dienste. Immer mehr Verbraucher, die auf ein ausgewogenes Verhältnis zwischen Komfort und Gesundheitsrisiken bedacht sind, nutzen die Technologie täglich – darunter auch diejenigen, die ihre Angelegenheiten bisher nur selten oder gar nicht online erledigt haben. Im Jahr 2021 haben zweieinhalb Milliarden Nutze über Smartphones, Tablets, PCs und Smartwatches auf Finanzdienstleistungen im Privatkundengeschäft zugegriffen, während es im Jahr 2018 noch zwei Milliarden waren. Mehr als 76% der Briten haben im letzten Jahr das Onlinebanking genutzt. Diese Zahlen wachsen stetig, da Endverbraucher den verzögerungsfreien Zugriff auf On-Demand-Apps über digitale Kanäle bevorzugen.

Da sowohl die Kunden als auch die Mitarbeiter ihre Prozesse ins Internet verlagern, können sich die Erwartungen an die Interaktion mit Dienstleistungen rasch ändern. An verschiedenen Standorten tätige Teammitglieder sollten ausschließlich auf diejenigen Finanzdaten Zugriff erhalten, für die sie auch autorisiert sind. Das Durchsetzen der Aufgabentrennung bei hochriskanten, sensiblen Aktivitäten ist ein Muss. Verbraucher haben möglicherweise den Wunsch, Familienmitgliedern oder Dritten den Zugriff auf Daten und Konten zu erlauben, möchten dabei aber die angemessenen Zugangsebenen und Präferenzen bei Ausgaben individuell einrichten.

Diese Nutzertrends fordern zusätzliche Flexibilität bei der Art und Weise, wie Unternehmen und Teams Finanzinformationen nutzen und austauschen sowie Vorgänge ermöglichen. Angesichts strenger Compliance-Vorschriften und ständiger Cyberbedrohungen müssen Flexibilität und Sicherheit jedoch in ausgewogenem Verhältnis stehen.  Im November 2021 wurden durch einen Hackerangriff bei Robinhood die Daten von mehr als sieben Millionen Nutzern offengelegt. Finanzdienstleister müssen Wege finden, um außergewöhnliche, benutzerfreundliche Erfahrungen zu bieten und gleichzeitig die Sicherheit zu stärken.

Das Festlegen, wer auf welche Daten zugreifen kann, ist bei Finanzdienstleistern an den ersten Platz der Prioritäten gerückt.  Die Anforderungen an die Datensicherheit werden immer komplexer, daher setzen Finanzdienstleister auf die dynamische Autorisierung, um die Sicherheit zu stärken und die Benutzerfreundlichkeit zu verbessern.

Die Autorisierung erfolgt traditionell anhand einer rollenbasierten Zugriffskontrolle (RBAC), bei der Benutzergruppen eine Rolle mit vordefinierten Berechtigungen zugewiesen wird.  Mit wachsenden Anforderungen führt dies zu einer explosionsartigen Zunahme der Rollen oder Bereiche. Um die Flexibilität zu erhöhen und neue Anwendungsfälle zu implementieren, haben Entwickler in jede einzelne Anwendung eine Autorisierungslogik eingebunden, die nur langsam geändert werden kann, unsichtbar und fehleranfällig ist.

Jetzt tritt ein neues Modell auf den Plan. Die dynamische Autorisierung ist die Durchsetzung einer fein abgestimmten Geschäftslogik in Echtzeit und regelt, was Benutzer in welchem Kontext und zu welchem Zweck sehen und tun können. Sie basiert nicht auf einer statischen rollenbasierten Logik wie die rollenbasierte Zugriffskontrolle (RBAC). Stattdessen berücksichtigt sie, dass eine Autorisierungsentscheidung oft zahlreiche weitere Datenquellen und Risikosignale nutzt, um festzustellen, ob ein Zugang angemessen gewährt wird.  Der Kontext einer Transaktion erhält mehr Gewicht. Die Autorisierungsrichtlinien bewerten mehr als nur ein einzelnes Attribut (wie z.B. Rollen), sondern mehrere wie unter anderem Zeit, Standort, Art und Umfang der Transaktion, Zugriff auf Daten und so weiter. Dynamische Autorisierungslösungen werten die aktuell verfügbaren Daten aus und treffen eine Zugriffsentscheidung zum Zeitpunkt der Transaktion. 

Grundsätzlich geht die dynamische Autorisierung also über die Identität hinaus, um zu bestimmen, wer auf was zugreifen darf. Viele Produkte bieten eine Erweiterung der RBAC, die sich darauf beschränkt, die Beziehung zwischen Rollen, Ressourcen und Aktionen auszudrücken. Die dynamische oder externe Autorisierung nutzt mehr als die RBAC (d.h. die Identität). Sie verwendet zusätzliche Attribute für Autorisierungsentscheidungen, um die Flexibilität und Sicherheit zu erhöhen. Ausgehend von der attributbasierten Zugriffskontrolle (Attribute-based Access Control, ABAC) nutzt sie die fein abgestimmte Zugriffskontrolle, damit die Autorisierung außerhalb von Anwendungen erfolgen kann. Der Kontext wird für jede Zugriffsanfrage separat bewertet. Die auf diese Weise erzielte Flexibilität fehlt bei der herkömmlichen Autorisierung.

Mit der dynamischen Autorisierung sind wir in der Lage, fundiertere und intelligentere Autorisierungsentscheidungen näher am Zugriffspunkt zu treffen. Dadurch wird es möglich, das Verhalten der Anwendungen auf den Kontext der Anfrage abzustimmen: Wenn zum Beispiel eine Transaktion mit einem höheren Risiko verbunden ist, können wir verlangen, dass der Benutzer einen abgestuften Multi-Faktor-Authentifizierungsprozess (MFA) durchläuft, bevor er fortfahren kann. Auf diese Weise können wir die Online-Erfahrung ausgehend vom Benutzer, der Ressource und den Informationen anpassen, die wir am Zugriffspunkt nutzen.

Ein ABAC-Ansatz geht über die Grundlagen hinaus und ist flexibel genug, um die meisten Anwendungsfälle zu bewältigen. Finanzdienstleister stellen unterschiedliche Anforderungen an die Entscheidungsfindung. Dabei sind die Flexibilität von Ausdruck und die Datenmodellierung unverzichtbare Faktoren auf dem Weg zum Erfolg.

Wir nehmen drei Anwendungsfälle unter die Lupe, die Kunden von Ping Identity im Bereich der Finanzdienstleistungen im Jahr 2021 eingeführt haben, um die Sicherheit und das Kundenerlebnis zu verbessern:

Betrugsprävention

Digitaler Bankbetrug ist eine wachsende Bedrohung und mit der Zahl der Vorfälle steigen die Kosten. Die Anzahl von Kriminellen, die sich Zugang zu Online-Konten von Kunden verschaffen und unbefugt Überweisungen tätigen, stieg im Jahr 2020 um 43%. Die dadurch erzeugten Kosten beliefen sich allein in Großbritannien auf 159,7 Millionen Britische Pfund.

Finanzdienstleister überprüfen ihre Sicherheitsmaßnahmen kontinuierlich und gehen nun von der Erkennung zur Eindämmung in Echtzeit über. Es ist jedoch allgemein bekannt, dass dies nicht auf Kosten einer angenehmen Online-Erfahrung für die rechtmäßigen Kunden gehen darf.  Erfolgreiche Unternehmen stellen diese Balance her, indem sie einen Schwerpunkt auf Vertrauen und Sicherheit setzen, ohne alle ihre Benutzer mit zusätzlichen Sicherheitsmaßnahmen zu belasten. 

Wie gehen sie an die Sache heran? Das Aufbauen von Vertrauen beinhaltet das Verarbeiten vieler verschiedener Signale während der gesamten User Journey.  Diese Signale können von Diensten zur Betrugserkennung und Risikobewertung stammen oder es sind Informationen über den Benutzer, das verwendete Gerät und die aktuelle Aktivität.  Der Benutzer kann je nach Vertrauensstufe zu unterschiedlichen Benutzererfahrungen geleitet werden (z.B. zur Anforderung einer MFA für bestimmte Transaktionen, wenn die Vertrauensstufe niedrig ist).  Dies geschieht in der Absicht, das Ausmaß an Reibung der Aktion anzupassen, die der Benutzer gerade ausführt.

Mithilfe der dynamischen Autorisierung können Mitglieder des Teams zur Betrugserkennung Signale aus dem gesamten Unternehmen verarbeiten und Richtlinien erstellen, um so die User Journeys für verschiedene Vertrauensstufen festzulegen. Da die Autorisierungsrichtlinien aus den Anwendungen ausgeklammert und in eine gemeinsame, zentralisierte Benutzeroberfläche integriert werden, können die Teams neue Signale direkt bei ihrer Verfügbarkeit eingliedern und ausprobieren, wie sie bei verschiedenen User Journeys angewendet und durchgesetzt werden. Sie sind dadurch nicht länger an die langsame Vorgehensweise der Zeitpläne für IT-Freigabe gebunden und können Betrügern zuvorkommen, wenn ihnen neue Bedrohungen auffallen.  Auf diese Weise können Finanzdienstleister ihre Online-Erfahrungen kontinuierlich und in geeignetem Maße an die Vertrauensstufe des jeweiligen Nutzers anpassen.

Einwilligungsmanagement für Open Data-Verordnungen

Im Zuge ihrer Akzeptanz für digitale Dienste suchen die Verbraucher nach Mechanismen, mit denen sie ihre Daten in einer für sie vorteilhaften Weise nutzen und zwischen den Diensten austauschen können.  Immer mehr von ihnen geben ihre Finanzdaten über Screen Scraping-Dienste weiter, um Zugang zu innovativen Finanzprodukten zu erhalten. Als Screen Scraping wird die automatisierte, programmgesteuerte Nutzung einer Website bezeichnet, die sich als Webbrowser ausgibt, um Daten zu extrahieren oder Aktionen auszuführen, die Benutzer normalerweise manuell durchführen würden. Beispiele hierfür sind Mint.com oder Plaid.com, die automatisch Bankdaten in Ihrem Namen sammeln, um eine konsolidierte Ansicht zu präsentieren. Das Screen Scraping birgt jedoch Sicherheitsrisiken für die Verbraucher, da sie ihre Login-Daten für das Bankgeschäft an Drittanbieter weitergeben müssen. 

Das Speichern der Login-Daten von Benutzern ist riskant. Viele Benutzer verwenden ihre Passwörter für mehrere Konten, und im Falle von Datenschutzverletzungen können dadurch Bankkonten und andere Online-Konten kompromittiert werden. Der einzige Weg, die Zugriffsberechtigung zurückzuziehen, ist das Ändern der Passwörter, und leider erinnern sich die meisten Menschen nicht an alle Websites und Apps, zu denen sie Zugang gewährt haben oder an die entsprechende Zugriffsebene.  Außerdem werden die Benutzerfreundlichkeit und die Funktionalität beim Screen Scraping häufig durch kleinere Systemänderungen seitens der Finanzdienstleister gestört. 

Es gibt eine Alternative. Open Banking ermöglicht den kontrollierten Datenfluss zwischen Unternehmen über eine API, die Verbrauchern und kleinen Unternehmen die sichere und effiziente Übertragung ihrer Finanzdaten an Finanzinstitute und akkreditierte Drittanbieter ermöglicht. Die Unterstützung des Open Banking ist in Europa weiter fortgeschritten als in den USA und Kanada, was sich aber mit der FDX-Spezifikation und dem jüngsten kanadischen Mandat ändern wird, die eine Einführung des Open Banking bis Januar 2023 vorsehen.

Die gemeinsame Nutzung von Daten birgt Risiken, und es ist von entscheidender Bedeutung, dass die Finanzdienstleister im Zuge ihrer Umstellung auf API-first-Ansätze auch Governance-Prozesse rund um den Datenschutz und die Sicherheit persönlicher Daten entwickeln. Ein besonders wichtiger Punkt ist, dass der Datenfluss über Open-Banking-APIs immer nur mit ausdrücklicher Einwilligung erfolgt. Dies bedeutet, mit anderen Worten, dass die Verbraucher darüber bestimmen können, welche Daten sie weitergeben, wann die Freigabe erfolgt und wem sie zur Verfügung stehen werden.

Um dem nachzukommen, müssen die Finanzdienstleister mit einem fein abgestimmten Einwilligungsdatensatz arbeiten, der Kunden die Kontrolle über den Zugriff auf ihre Daten ermöglicht. Sobald ein solcher Einwilligungsdatensatz vorliegt, kann die dynamische Autorisierung für die Durchsetzung der Einwilligung verwendet werden, indem mit jeder einzelnen API-Anfrage mehrere Abgleichskontrollen durchgeführt werden, um zu bestätigen, dass der Anfragende über die entsprechende Einwilligung für den Datenzugriff verfügt.

PingAuthorize zentralisiert die Funktion der Einwilligungsdurchsetzung, so dass sie nicht in jeder Anwendung separat eingebettet werden muss. Dadurch kann die Bank für alle Anwendungen eine konsistente, fein abgestimmte Autorisierungsebene bereitstellen. Dies bietet den Verbrauchern letztlich eine sichere Methode für die Weitergabe ihrer Daten, verringert das mit dem Screen Scraping verbundene Risiko und gibt ihnen einen einfachen Mechanismus an die Hand, mit dem sie genau kontrollieren können, wie ihre Daten weitergegeben werden. Für die Finanzdienstleister bedeutet dies eine Verbesserung der Sicherheit, der Transparenz, des Markenvertrauens und der geschäftlichen Flexibilität. Es ist ein Gewinn für alle Beteiligten.

Genehmigungen und Berechtigungen

Finanzdienstleister haben Regeln, die darüber bestimmen, wer auf welche Informationen zugreifen und wer bestimmte Operationen durchführen darf. Manchmal sind diese Regeln durch geltendes Gesetz und Bestimmungen oder durch interne Unternehmensrichtlinien festgelegt. In anderen Fällen und um ihren Kunden mehr Flexibilität und wünschenswerte Erfahrungen zu bieten, schaffen Finanzdienstleister Regeln für bestimmte Vorgänge, mit deren Hilfe die Kunden Zugriffsrechte an andere Endnutzer wie beispielsweise Angestellte oder Verwandte delegieren können.

So kann beispielsweise eine Zahlung im Business Banking, die einen bestimmten Betrag übersteigt, vor der Bearbeitung eine zusätzliche Genehmigung erfordern. Ein Bediensteter kann die Zahlung veranlassen, aber sie muss von Vorgesetzten genehmigt werden. Im Privatkundengeschäft kann es vorkommen, dass ein Bediensteter nur Zugriff zu den Konten von Kunden erhält, die in seiner Filiale oder Region betreut werden, oder ein Kunde erhält als gesetzlicher Vormund des Kontoinhabers möglicherweise Zugriff zu einem untergeordneten Konto.

In diesem Fall wird die Autorisierung durch die Beziehungen zwischen dem Benutzer, den Ressourcen, auf die er zugreift, und der durchgeführten Aktion bestimmt. Früher war es dann notwendig, separate rollenbasierte Richtlinien für die Zugriffskontrolle (RBAC) zu erstellen, um die Berechtigungen für jede Kategorie von Mitarbeitern und Kunden festzulegen – ein Ansatz, der mit einem hohen Verwaltungsaufwand für veraltete Berechtigungen einherging.

Die dynamische Autorisierung bietet eine effizientere Lösung. Genehmigungen für das Agieren mit Ressourcen werden durch explizite Richtlinien ausgedrückt, wobei kontextbezogene Berechtigungsinformationen aus zugehörigen Datenspeichern hinzugezogen werden. Das Unternehmen definiert präzise die Beziehungen zwischen Kunden, Mitarbeitern, Ressourcen und Aktionen und kann sich schnell anpassen, ohne statische RBAC-Richtlinien zu überarbeiten.

Dies sorgt auf der Grundlage von Least-Privilege-Prinzipien für mehr Datensicherheit. Es verbessert das Benutzererlebnis, da nur diejenigen Objekte und Aktionen angezeigt werden, die ein Benutzer auch verwenden kann, und das Unternehmen kann mit einem konsistenten und erkennbaren Mechanismus die geschäftlichen Regeln für den Zugriff implementieren.

Die dynamische Autorisierung ist die Durchsetzung einer fein abgestimmten Geschäftslogik in Echtzeit und regelt, was Benutzer in welchem Kontext und zu welchem Zweck sehen und tun können. Sie basiert nicht auf einer statischen rollenbasierten Logik wie die RBAC. Sie berücksichtigt hingegen, dass der Kontext einer Transaktion oft zahlreiche weitere Risikosignale und Datenquellen nutzt, um die Angemessenheit einer Zugriffsberechtigung festzustellen. Dynamische Autorisierungslösungen werten die aktuell verfügbaren Daten aus und treffen eine Zugriffsentscheidung zum Zeitpunkt der Transaktion. 

Die Menge der Kundendaten, die von Finanzdienstleistern gesammelt und gespeichert werden, ist aufgrund des Weltgeschehens in der letzten Zeit rapide angestiegen. Damit wird es schwieriger, die Daten sicher und doch zugänglich aufzubewahren.  Anbieter von Finanzdienstleistungen implementieren die dynamische Autorisierung, um die Sicherheit zu erhöhen und das Benutzererlebnis zu verbessern. In der gesamten Branche führen die Unternehmensarchitekten die dynamische Autorisierung als zentrale Architekturkomponente ein und ebnen den Weg für neue Anwendungsfälle.

Die Finanzkunden von Ping Identity setzen auf die dynamische Autorisierung zur Vorbeugung von Betrugsfällen, zum Verwalten der Einwilligungen für Open Data-Vorschriften und zur Kontrolle der Genehmigungen und Berechtigungen für ihre Mitarbeiter. Unsere Plattform bietet den Benutzern ausreichende Flexibilität für eine einfache Aktualisierung der Autorisierungsrichtlinien und liefert die Basis für die Implementierung dynamischer Autorisierung bei jedem neuen Anwendungsfall, den ein Unternehmen implementieren möchte.

Die Bedeutung der dynamischen Autorisierung als fundamentales Element bei der Entwicklung und der Konstruktion von Unternehmenssystemen wird zunehmen. Dies wird sowohl die Informationssicherheit als auch die Benutzerfreundlichkeit verbessern und weitere neue Anwendungsfälle berücksichtigen, bei denen Institutionen die Vorteile einer zentralen, fein abgestimmten Kontrolle darüber nutzen können, wer auf Kundendaten zugreifen kann und wie Verbraucher mit Ihren Unternehmens-APIs interagieren.

Weitere Informationen über ABAC und die dynamische Autorisierung finden Sie in unserem Whitepaper.