FinTech: Acht beliebte Irrtümer und Fragen an die Betreiber der IT
Dirk Emminger ist Sales Manager bei FI-TS (Finanz Informatik Technologie Service) – einem auf Banken und Finanzdienstleister spezialisierten IT-Dienstleister, der zunehmend auch FinTechs adressiert. Wir haben Herrn Emminger gebeten, die aus seiner Sicht klassischen Fragen und häufigsten Irrtümer zu beantworten, die von FinTechs an ihn herangetragen werden.
von Dirk Emminger, FI-TS
FinTechs brauchen sich nicht um Regulatorik zu kümmern, solange eine Bank dahinter steht!
Der Gedanke ist zu kurz gegriffen. Ob ein FinTech unter die Regulierung fällt oder nicht, hängt natürlich stark von dem individuellen Business Case und der tatsächlichen Erbringung der Leistung ab. Mal ein kleines Beispiel: Erstellt ein FinTech anhand eines Web FrontEnds Anlagevorschläge für Sparprozesse, ermittelt ein Risikoprofil und bildet daraus resultierende Anlagestrategien über ETF Portfolios ab (mit einer Bank im Hintergrund als Abwicklungsplattform) fällt dieser Geschäftsvorfall nicht zwingend unter das KWG – ist aber sehr wohl reguliert. In diesem konkreten Fall gilt dann die Finanzanlagenvermittlungsverordnung und um diese Geschäftsmodell durchzuführen, benötigt ein FinTech dann eine spezielle Gewerbeerlaubnis. Also halten wir fest, trotz Bank im Hintergrund ist dieser Geschäftsbereich reguliert. Gleiches in anderer Form der Regulierung bzw. der anzuwendenden Gesetze und Verordnungen z.B. auch für Payment, Kreditvermittlung, Kontenmodelle etc.
Das ganze fängt aber in meinen Augen viel früher an. Möchte ein FinTech mit einer Bank kooperieren oder diese gar als Abwicklungsplattform nutzen, sollte es zwingend den eigenen Business Case und die daraus resultierenden Pflichten kennen. Keine Bank wird ein FinTech in Kooperationsverhandlungen ernst nehmen, wenn grundlegendes Wissen nicht vorhanden ist.
Solange keine großen User-Zahlen auf dem System sind, gibt es auch keine Cyber Angriffe!
Leider ist die Realität nicht so. Durch die hohe Automation auch bei Cyber Angriffen, erleben wir ein anderes Bild. Ein bekanntes FinTech aus Süddeutschland beispielsweise berichtet schon in einer frühen Betaphase über Versuche, das verwendete Content Management System von außen per automatisierter Suche (Exploit) nach einer an diesem Tag (zero-day) veröffentlichten Sicherheitslücke des CMS Herstellers anzugreifen. Gerade die erwähnten Zero-Day Exploits nehmen zu. Hier wird in der Regel nicht danach geschaut, wie wertvoll die Systeme sind, sondern vielmehr, ob es eine Möglichkeit gibt, diese Systeme schnell automatisiert zu übernehmen.
FinTechs haben gar nicht die Ressourcen, um sich mit komplexen Sicherheitsthemen & Compliance auseinanderzusetzen!
Grundsätzlich ist es natürlich für FinTechs hinsichtlich der Ressourcen schwierig, da die Entwicklung der eigenen Geschäftsidee und eine schnelle Time-to-Market häufig im Vordergrund stehen. Es ist aber auch hier eine Frage der Aufstellung der Teams, des individuellen Know-Hows und auch eine Frage der richtigen Kooperationspartner. Verglichen mit einer Bank wird ein FinTech nicht die gleiche Anzahl an Stabsmitarbeitern aufbauen und wohl auch nicht den Top Security Penetration Test Manager anheuern können. Es gibt aber auch Beispiele von FinTechs die diese Klaviatur beherrschen.
Identity Theft/ Account Take over ist zwar ein zunehmend großes Problem, dass liegt aber in der Verantwortung der Endnutzer!
Ich würde hier nicht unterscheiden wollen, denn leider tut das im Falle eines wirklichen Security Breach die Presse auch nicht. Ein wirtschaftlicher Verlust eines einzelnen Kunden oder ein Verlust von Kundendaten ist immer negativ. Hinsichtlich der Rechtsprechung gibt es unterschiedliche Urteile – aber häufig liegt hier die Haftung noch bei dem Getäuschten und damit nicht beim Endnutzer. Wichtig wäre aber, aktiv Kunden zu informieren welche Gefahren drohen und z.B. mit Tutorials im Vorfeld und schnellen Reaktionsprozessen im Schadensfall zu reagieren.
Vielleicht gibt es neben den großen Versicherungen ja bald auch ein FinTech aus dem Versicherungsbereich, das spezielle Produkte zur Absicherung der Netznutzung z.B. gegen Identitätsdiebstahl anbietet. Erste große Rechtsschutzanbieter spielen das Thema heute schon in der Bewerbung ihrer Rechtsschutzversicherungen.
Sind Banken und FinTechs aktuell überhaupt schon gerüstet, aktuelle Bedrohungsszenarien zu meistern? Wie sehen diese aus?
Gerüstet zu sein, ist ja immer eine Frage wie hoch das Budget und das interne KnowHow in den Bereichen gegenüber der konkreten Bedrohungslage ist. Die Verfügbarkeit an qualifiziertem IT Security Personal ist knapp. G gleichzeitig sinken die Kosten bzw. die Einstiegshürden um eine Attacke zu fahren; eine schwierige Aufgabe sowohl für FinTechs wie auch für Banken. Es gibt aber auch hier die Möglichkeit konkrete Dienstleistungen z.B. aus dem Bereich Security Operation Center (SOC) oder auch Services im klassischen Outsourcing einzukaufen.
Aktuell ist in meinen Augen für Banken, Versicherungen und generell große Unternehmen das Bedrohungsszenario durch APT Attacken (Advanced Persistent Thread) am kritischsten. Im Zuge solcher Angriffe gehen die Täter extrem zielgerichtet vor und nehmen gegebenenfalls großen Aufwand auf sich, um nach dem ersten Eindringen in einen Rechner/System immer tiefer in die IT-Infrastruktur des Opfers vorzudringen. Das Ziel eines APT ist es, möglichst lange unentdeckt zu bleiben, um über einen längeren Zeitraum sensible Informationen auszuspähen. Hierzu werden häufig komplett individualisierte Angriffsszenarien gefahren und auch extrem trickreiche Social Engineering Methoden benutzt. Bestes Beispiel ist aktuelle die Vorgehensweise der Carbanak-Gruppe.
Bei FinTechs sehe ich aber vielfach auch die Gefahr des BringYourOwnDevice Trends miti nicht abgesicherten Systemen und die häufig unbedachte Nutzung von Webtools z.B. vor dem Hintergrund der Einhaltung deutscher Datenschutzregelungen ebenfalls als kritisch. Ich möchte nicht wissen wie viele FinTechs z.B. Kundenlisten, Pitchdecks oder SourceCodes bei amerikanischen Anbietern in der Cloud gespeichert haben.
Wo liegen die Herausforderungen bei der Zusammenarbeit von FinTechs mit IT- Dienstleistern und Banken?
Grundsätzlich liegt die größte Herausforderung in dem gegenseitigen Verständnis für die Geschäftsmodelle. Auf der einen Seite sollten IT-Dienstleister und besonders Banken die Chancen von FinTechs erkennen und Ernst nehmen. Sei es als externer Innovationsbringer oder als Chance frühzeitig in FinTechs zu investieren um ggf. später sinnvolle Dienstleistungen zu integrieren. Gleichzeitig müssen aber auch die FinTechs erkennen, dass Banken und IT- Dienstleister alleine aufgrund der Größe nicht immer hinsichtlich der Schnelligkeit undRelease- Zyklen mithalten können und wollen.
Auch können wir z.B. als in Deutschland ansässiger Dienstleister mit extremen Know-How im Bereich Governance und Compliance für Finanzdienstleistungen, unsere Services nicht zu Preisen eines unzertifizierten Cloud Providers anbieten.
Wo liegen die Vorteile von IT-Dienstleistungen für FinTechs & Banken aus Deutschland?
Der geographische Standort Deutschland macht nur die halbe Miete. Durch die sehr speziellen Regulierungsvorschriften sind auch die IT-Dienstleister für die Finanzbranche verpflichtet, diese bis ins Detail umzusetzen und sowohl den Banken als auch den Regulierungsbehörden gegenüber nachzuweisen. Hierfür braucht es Partner, die branchenerfahren sind und mit den Kunden die nötigen Prozesse effizient gestalten und umsetzen können.
Vorhandende Schnittstellen zu Banking- und Trading Plattformen und ein tiefes Verständnis von Prozessen in der Finanzwelt sind extrem wichtig für ein erfolgreiches bestehen in dem Vertical Finance.
Wäre es sinnvoll, entsprechende Leitlinien zu entwickeln, um beide Seiten bei der Zusammenarbeit zu unterstützten?
Definitiv! Solche „Kochrezepte“ würden natürlich besonders den FinTechs helfen und die individuellen Aufwände reduzieren.
Problematisch ist aus meiner Sicht natürlich der hier zu investierende Zeitaufwand von Seiten der heutigen Know-How-Träger – hier sehe ich eine Art Interessensvertretung oder einen Verband wie den Bitkom im Lead, die richtigen Ansprechpartner an den Tisch zu kriegen. Fakt ist aber, dass es für den FinTech Standort Deutschland ein deutlicher Gewinn wäre.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/14456
Schreiben Sie einen Kommentar