Open Banking: API Management als zentrales Fundament
Während im letzten Artikel «Open Banking: Schlagwort oder Mehrwert?» vor allem die Chancen und Risiken der Open Banking Thematik besprochen wurde, wollen wir uns in diesem Artikel verstärkt auf die technische Dimension des damit verbundenen API-Managements konzentrieren. Wir wollen dabei aufzeigen, wie Drittanbieter mit traditionellen Banken zusammenarbeiten können und welche Aufgaben die Bank auf ihrer Seite wahrnehmen muss, um einen reibungslosen Service zu gewährleisten.
Um die Beziehung zwischen Drittanbietern (auf Englisch Third Party Provider oder TPP), Banken und Kunden im Open Banking Kontext zu verdeutlichen, haben wir ein eigenes Framework erstellt (vgl. Grafik). Dieses beschreibt grob die Verbindungen des Kunden (hier in grün) mit den Services seiner Bank (in dunkelblau) und anderen Anbietern (in hellblau). Traditionell kann der Kunde nur über die Front Services auf seine Produkte und Dienstleistungen zugreifen. Die Front Services umfassen einerseits offline Kanäle wie den Kundenberater oder Bankschalter, anderseits aber auch online Kanäle wie das E-Banking auf dem Smartphone oder Web. Die Bankprodukte umfassen die heute bekannten Services wie Zahlungsverkehr, Finanzierung oder die Vermögensverwaltung. Der Kunde kann zum Beispiel auf seiner App seinen Kontostand überprüfen oder seinen Kundenberater anrufen, um mit ihm seine Anlagestrategie zu besprechen.
Durch Open Banking kann der Kunde neu auch über Drittanbieter mit seinen Bankprodukten interagieren. Die Drittanbieter können dank einer Vereinbarung die persönlichen Daten des Kunden bei der Bank beziehen oder mit seinem Einverständnis Aufträge ausführen. Diese Zugriffe erfolgen über dedizierte Schnittstellen (APIs). Dies beschreibt eine Technologie, welche es erlaubt Anfragen anhand definierter Attribute zu stellen, um dann in Echtzeit die relevanten Informationen zu erhalten oder Aufträge auszulösen. Die Kunden können so beispielsweise via einer Smartphone-App eines Drittanbieters ihre Kontodetails all ihrer Konti bei unterschiedlichen Banken einsehen und Zahlungsaufträge auslösen. Die dafür notwendigen Daten werden für die Kunden nicht sichtbar, im Hintergrund, durch die App bei allen Banken via API ausgetauscht.
Open Banking
«Durch Open Banking kann der Kunde neu auch über Drittanbieter mit seinen Bankprodukten interagieren.»
Zudem sehen wir für Banken die Chance neuartige, ausschliesslich via API verfügbare Produkte im B2B Umfeld anzubieten, welche wir «Open Products» nennen. Dabei handelt es sich um kostenpflichtige Services, welche die Banken dank ihres riesigen Datenpools anbieten können und anderen Unternehmen einen Mehrwert bieten. Als Beispiel sehen wir eine Bonitätsauskunft ihrer Kunden. Einem Drittanbieter (z.B. Versicherung) würde es dadurch ermöglicht bei der Bank eine Anfrage zur Bonität des Kunden stellen. Die Bank würde mittels Algorithmen und anhand der ihr verfügbaren Informationen über den Kunden prüfen, ob diese gegeben ist oder nicht. Dadurch werden die Daten des Kunden nicht direkt an die Drittpartei weitergegeben, aber sie können trotzdem nützlich verwendet werden. Der Drittanbieter würde also nur eine Bestätigung oder eine Absage erhalten.
Die Bank, der Kunde und die Drittanbieter bilden dadurch ein Ökosystem. Ein Ökosystem beschreibt eine Kollaboration zwischen verschiedenen professionellen Akteuren, um ihren Kunden einen zusätzlichen Mehrwert zu bieten. Ziel dabei ist es die Kundenerfahrung zu verbessern und die Dienstleistungen und Produkte besser aufeinander abzustimmen. Im Artikel «Ökosysteme als Selbstläufer für zukünftiges Wachstum?» beschreiben unsere Kollegen wie ein Ökosystem funktioniert und was es für den Kunden attraktiv macht.
Lifecycle Management:
Generell ist es für APIs ratsam, diese über ihren gesamten Lebenszyklus – von der Erstellung bis zur Stilllegung – ganzheitlich und angemessen zu verwalten. Eine Governance hilft dabei Konsistenz über alle APIs hinweg zu wahren. Für externe APIs im Speziellen ist es aufgrund der unternehmensübergreifenden Charakteristik entscheidend, dass mittels Rückwärtskompatibilität keine Abhängigkeiten zu Drittparteien geschaffen werden.
API-Gateway:
Für Drittanbieter werden die APIs üblicherweise zentral via API-Gateway zur Verfügung gestellt. Dieser dient als Schnittstelle zu den Backend-Services, entkoppelt diese von den Drittanbietern und übernimmt Orchestrierungsaufgaben. Die meisten am Markt verfügbaren API-Gateways verfügen weiter über zusätzliche Funktionalitäten wie Monitoring, Logging und übernehmen Security-Aufgaben.
Security:
Genau wie bei den Front Services, bei welchen eine eindeutige Identifikation nötig ist, müssen die extern exponierten APIs durch ungerechtfertigte Zugriffe geschützt werden. Dies geschieht mittels eines speziellen Security-Layer. Ohne ausreichenden Schutz könnten Unbefugte Zugang zu den Bankprodukten erlangen und schädliche Manipulationen daran vornehmen.
Consent Management:
Damit die Kunden selbst bestimmen können, welche Drittanbieter auf welche Daten zugreifen dürfen, muss ihnen eine Möglichkeit gegeben werden, dies zu steuern. Sie müssen die Möglichkeit haben jederzeit einen Überblick zu erhalten, welche Anbieter welche Daten einsehen können und müssen dies auch unmittelbar widerrufen können.
Developer Portal:
Für die komfortable Einbindung der Bank-APIs ist es wichtig, den interessierten Drittanbietern einerseits eine aktuelle API-Dokumentation und andererseits auch eine Art Spielwiese (Sandbox) zur Verfügung zu stellen. In dieser kann geschriebener Code end-to-end gegenüber den APIs mit synthetischen Daten getestet werden. Je einfacher es für die Drittanbieter ist Bank-APIs einzubinden, desto mehr wird die interne IT mit Anfragen entlastet
Reporting & Analytics:
All die API-Zugriffe generieren Daten, welche ausgewertet und analysiert werden sollten. Damit können Verhaltensmuster von Kunden genauer untersucht werden, beispielsweise wofür sie ihr Geld ausgeben und welche Produkte sie ausserhalb der Bank nutzen. Solche Erkenntnisse können im Produktmanagement oder Marketing für die Kundenbindung oder -akquise verwendet werden.
Monetization:
Mittels «Open Products» werden zusätzliche Produkte via API im Ökosystem angeboten. Damit diese auch Umsatz generieren, gilt es geeignete Modelle (z.B. price-per-call / transaction) zu finden und technische Voraussetzungen für deren Anwendung zu schaffen.
Nachdem Sie nun einen groben Überblick über das Ökosystem und deren Akteuren erhalten haben, sowie eine Idee haben was sich hinter API-Management alles verbirgt, werden wir in den nächsten Beiträgen die einzelnen API-Management Themen nochmals aufgreifen und vertiefen.
Finanzsektor mit einer Vielfalt an komplexen Herausforderungen konfrontiert
Unterstützung für erfolgreiche Geschäftsmodelltransformationen
Open Banking: Schlagwort oder Mehrwert?
Wie gehe ich mit persönlichen Daten richtig um?