Open Banking - Öffnung als zentrales Element der zukünftigen Bankenlandschaft

FinTechs sind mittlerweile aus der Rolle der „Niche Player“, hin zu einem erstzunehmenden Partner für etablierte Finanzinstitute herangereift. Darüber hinaus sorgen regulatorische Anreize wie die PSD2, mit weitreichenden Öffnungen des Kontos für Dritte oder die künftige Anforderung von Instant Payment, für beschleunigten Wettbewerb und den digitalen Umbruch um somit nicht zuletzt den aktuellen Kundenforderungen gerecht zu werden.

„Öffnung“ ist ein zentrales Element der zukünftigen Bankenlandschaft. Öffnung beschränkt sich hierbei weder nur auf den originären Zahlungsverkehr noch auf rein technische Aspekte wie API Konzepte. Vielmehr wird die Idee des „Open Banking“ institutsübergreifend Auswirkung auf das derzeitige Geschäftsmodell haben. Neu geschaffene Rollen wie die des „Heads of Digital Transformation“ oder „Head of Open-API“ sind nur einige Beispiele der organisatorischen Neuordnung. Die Integration von neuen externen Services, wie beispielsweise „Account Information Services“ in der bankeigenen Finanz-App zeigen bereits heute eine Erweiterung des Service Spektrums mit Hilfe von Dritten.

Wir wollen in den nächsten Wochen einen technischen und vor allem praktischen Hintergrund zur „Öffnung“ der Finanzbranche und dem Einsatz von API Konzepten vermitteln. Hierbei ist uns wichtig, aufzeigen, dass APIs bei einer korrekten Implementierung und Anwendung mehr als ein Medium für den Austausch von Daten sein können.

Die Inhalte dieser Blogreihe stammen aus unserer Zusammenarbeit mit der EBA Association, für die Innopay schon seit Jahren die Arbeitsgruppe zu „Elektronic Alternative Payments“ (e-APWG) bei der Erstellung von Positionspapieren begleitet. Die Arbeitsgruppe hat sich vor kurzem in Open Banking Working Group (OBWG) umbennant und wird damit den sich änderneden Rahmenbedingungen und neuen Trends gerecht.

In unserem ersten Blog wollen wir Ihnen eine kurze Einführung in die Thematik geben und anschließend die wesentlichen, technischen Grundlagen beleuchten.

Diese Blogreihe basiert auf einem Information Paper “Understanding the business relevance of Open APIs and Open Banking for banks“, das Innopay in enger Zusammenarbeit mit der EBA Association erstellt hat. Das vollständige Dokument ist unter folgendem Link in englischer Sprache abrufbar.

Open Banking Blog 1: Öffnung durch APIs – Eine kurze Einführung


Öffnung gegenüber Dritten ist nichts Neues, außerhalb der Bankenwelt wären digitale Unternehmen (wie z.B. Google, Apple, Facebook, Amazon, Salesforce und Twitter) im letzten Jahrzehnt nicht so schnell gewachsen, wenn sie nicht Ihr Geschäftsmodell mit Hilfe von Öffnung gegenüber Dritten unter Verwendung von API-Funktionen beschleunigt hätten. Die Öffnung gegenüber neuen Marktteilnehmern außerhalb der eigenen Organisation hat mehrfach erfolgreich bewiesen, dass hiermit Kundennutzen geschaffen und vom umliegenden Ökosystem profitiert werden kann.

Banken stehen vor wesentlichen Herausforderungen und Entscheidungen. Bis Ende 2016 werden die ersten Schritte in Richtung umfangreicher Öffnung durch die PSD2 final angeordnet sein. Wichtige und zu gleich schwierige Entscheidungen bleiben jedoch bestehen, wenn es um die strategische Positionierung der Bank sowie das Nutzen von Netzwerkeffekten geht.

Besonderheiten der APIs

APIs können als „intelligente“ Schnittstelle (Interface) zwischen Software Applikationen, sowohl innerhalb einer Organisation als auch zwischen unterschiedlichen Organisationen eingesetzt werden. Das Besondere an APIs ist, dass sie die Kommunikation zwischen Software Applikationen ermöglichen, wobei hier die eine Software die Funktionalitäten einer anderen Software abrufen kann.

Jede API ist ein Interface, allerdings ist nicht jedes Interface eine API. Es handelt sich hierbei um ein spezifisches Konzept aus der Softwarearchitektur, in dem es darum geht, dass die Interfaces skalierbar, wiederverwendbar und sicher sind, und gleichzeitig benutzerfreundliche Selbstbedienungsmöglichkeiten für Entwickler darstellen. Dies sind die wesentlichen Aspekte, die dazu früheren, dass der Einsatz von APIs die Kosten und Lieferzeit von gekoppelten Systemen reduzieren, und somit maßgeblich die Geschwindigkeit, Kosten und Qualität von Innovation positiv beeinflussen.

Im weiteren Verlauf beschäftigen wir uns mit den verschiedenen Geschäftsdimensionen von APIs, beginnend mit dem Konzept der Öffnung in Bezug auf APIs.

Einfürung in das zentrale technische Konzept von APIs

In ihrer einfachsten Form sind API’s standardisierte Sets von Anforderungen, die bestimmen wie Software Applikationen miteinander kommunizieren. Diese Anforderungen zielen darauf ab, Qualitätsstandards zu erhalten und die Benutzerfreundlichkeit dieser Interfaces zu steigern. Gemeinschaften und individuelle Parteien, die häufig Standards als ‘Open Source’ zur Verfügung stellen, haben viele dieser heutigen, technischen Standards für APIs entwickelt und geprägt.

Das Ergebnis dieser evolutionären Standardisierung sind die nachfolgenden technischen Standards für APIs:

  • ‘Data Transmission’ (Datenübertragung): Das Verfahren, mit welchem Daten sicher übertragen werden. Fast alle APIs verwenden HTTP/HTTPS als ‘Transport Layer’, weil diese Übertragungsstandards einfach und weitgehend kompatibel sind, wenngleich es auch  APIs gibt, die für eine größere Anzahl von Transportprotokollen benutzt werden können.
  • ‘Data Exchange’ (Datenaustausch): Das Format des Datenaustauschs. Die am häufigsten gebrauchten Formate sind XML und JSON. Während XML etwas mehr Funktionalität als JSON bietet, gewinnt das Letztere immer mehr an Beliebtheit. JSON kann für mehr Anwendungen genutzt werden, ist weniger detailliert und erlaubt somit einen schnelleren Austausch. Es wird außerdem als besser maschinenlesbar erachtet. Manche Unternehmen bieten ihre APIs auch in beiden Formaten an, während andere nur ein Format zur Verfügung stellen.
  • ‘Data Access’ (Datenzugriff): ‘Access Management’ („Wer hat Zugriff auf welche Daten und wie wird dieser Zugriff geregelt?“). Hierfür existieren mehrere Standards, wobei SAML und OAuth 2.0 zu den Beliebtesten gehören. Das erste ist ein ‘Framework’ welches auf XML basiert ist und oft in 'Business-To-Business' Prozesskopplungen verwendet wird. OAuth ist ein ‘Framework’, welches aus der Welt der Verbraucher Web-Services entstanden ist.
  • API Design: Die Art und Weise in der APIs gestaltet werden. Gängige standardisierte Designprinzipien für APIs sind REST (Abkürzung für eng. ‘Representational State Transfer’ = Darstellende Übertragung von Zuständen) und SOAP (Abkürzung für eng. Simple Object Access Protocol = Protokoll für einfachen Datenzugriff). Wegen des Fokus auf Problemlösungen in Bezug auf Leistung, Skalierbarkeit, Modifizierbarkeit, Übertragbarkeit und Zuverlässigkeit ist REST derzeit beliebter. Obwohl SOAP im  Unternehmensumfeld immer noch eingesetzt wird, gilt die Implementierung als komplizierter.

Ganz gleich ob APIs 'Open’ oder 'Closed’ ausgeprägt sind, werden sie anhand dieser oben beschriebenen offenen, globalen, technischen Standards designt und erstellt.

Der Grad der Öffnung von APIs bestimmt die potenzielle Reichweite

Nachdem wir uns mit den grundsätzlichen Konzepten von APIs befasst haben, wollen wir nun zeigen wie die Öffnung der API die Reichweite (den ‚Reach’) beeinflusst.

APIs ermöglichen einen sicheren, kontrollierten und kosteneffizienten Zugang zu Daten und/oder Funktionen, möglicherweise auch durch Drittparteien.

Wenn der Zugriff auf APIs nur innerhalb der Grenzen einer Organisation gestattet ist, werden sie auch als 'Closed’ oder ‚Private’ APIs bezeichnet. Wenn jedoch auch Drittparteien (außerhalb der organisatorischen Grenzen) Zugriff auf die APIs haben, werden sie 'Open APIs’ genannt. Der Fokus unserer Blogreihe liegt auf 'Open APIs’. 'Open’ in diesem Kontext bedeutet nicht, dass jede Drittpartei nach eigenem Ermessen Zugriff auf das Bankensystem hat. Es wird weiterhin immer eine Form von Kontrolle der Banken geben, um die Sicherheit, Privatsphäre und Vertragsbedingungen zu gewährleisten. Diesen Aspekt werden wir später weiter erläutern. 

In der Praxis werden verschiedene Levels der API Öffnung beobachtet. Dies ist ein wichtiger Aspekt, da das Level der API Öffnung nicht nur die potenzielle Anzahl der Parteien mit Zugriff bestimmt, sondern auch die potenzielle Reichweite (‚Reach’) der Funktionalität, welche durch die APIs ermöglicht wird. In unserem Blog werden die folgenden Levels der API Öffnung verwendet:

  1. Private APIs: Private APIs sind geschlossen und deswegen ausschließlich für Parteien innerhalb der Grenzen der Organisation zugänglich. Per Definition werden diese APIs in diesem Blog nicht als ‘Open APIs’ betrachtet.
  2. Partner APIs: APIs, die ausgewählten Partnern auf Basis von bilateralen Verträgen zur Verfügung stehen. Ebenso wie Private APIs, sind Partner APIs ausschließlich nach dem Ermessen des API Anbieters zugänglich. Bilaterale Verträge über den spezifischen Datenaustausch zwischen einer Bank und einem ERP (Abkürzung für ‘Enterprise Resource Planning’) Software-Anbieter ist ein Beispiel einer Partner API.
  3. ‘Member APIs’: Dieser API-Typ ist zugänglich für alle, die ein offizielles Mitglied einer Gemeinschaft sind und geht mit einem definierten Set von Mitgliedschaftsregeln einher. Sobald man Mitglied einer solchen Gemeinschaft wird, erteilt der API-Anbieter denjenigen Mitgliedern Zugriff, die die Regeln der Gemeinschaft erfüllen. Zukünftige PSD2-mandatierte ‘Account Information’ und ‘Payment Initiation Services’ fallen unter diese Kategorie, weil nur befugte und registrierte ‘Third Party Provider’ Zugang erhalten.
  4. Acquaintance APIs: Dieser Typ einer ‘Open API’ ist für alle zugänglich, die einem vordefinierten Set von Anforderungen nachkommen. Entwicklerportale vertreiben diesen API Typ, der ebenfalls über eine bestimmte Form von standardisierten Vereinbarungen verfügt. Der Zugriff von Händlern auf POS (Abkürzung für eng. ‘Point Of Sale’ = Ort des Verkaufs) APIs ist ein Beispiel dieser Kategorie. 
  5. ‘Public APIs’: ‘Public APIs’ sind für alle zugänglich und gehen typischerweise mit einer bestimmten Form von Registrierung zur Identifizierung und Authentifizierung einher.

Die Levels der API Öffnung sind in der unten stehenden Abbildung dargestellt:

Picture1Abbildung 1: Level der API Öffnung

Zu beachten ist, dass sich die Fachbegriffe rundum APIs noch in der Entwicklungsphase befinden und deswegen nicht einheitlich in Fachpublikationen verwendet bzw. definiert werden.

In unserem nächsten Blog werden wir darauf eingehen, dass erfolgreiche API Strategien nichts Neues in der Industrie sind und wie Unternehmen durch Öffnung Werte geschaffen haben.

*This blog series is based on the Open Banking Information Paper “Understanding the business relevance of Open APIs and Open Banking for banks“, which was co-developed with EBA Association. This full EBA report (in English) can be downloaded here *

〈  Back to overview