Die Deadline für Banken, ihre Kontoschnittstellen auch Drittanbietern zur Verfügung zu stellen, ist inzwischen gut ein Jahr her. Das 2006 gegründete IT-Beratungsunternehmen adorsys entwickelt seit 2017 Open Source–Lösungen und bildet durch zahlreiche Mitgliedschaften u.a. im Berlin Group Advisory Board und im NISP (NextGenPSD2 Implementation Support Program), eine Brücke zwischen Kunden und den wichtigsten Open Banking-Gremien. Heute liefern Thilo Rottach (CTO) und Stefan Hamm (CSO) von adorsys, eine Einschätzung zur Marktsituation und erläutert, wie einige der aktuellen Herausforderungen mit einer ModelBank gelöst werden können.
Stefan, Euer Unternehmen arbeitet ja schon lange und intensiv im Thema Open Banking/XS2A – wie wurde das aus eurer Sicht bisher umgesetzt?
Stefan Hamm: Ich würde sagen, inzwischen hat sich die Lage einigermaßen beruhigt, davon konnte am Anfang aber keine Rede sein. Die Banken mussten den Drittanbietern ja sogenannte Sandboxes zur Verfügung stellen, also Testumgebungen, in denen die XS2A-Prozesse entwickelt und getestet werden können.
Als die Banken im September 2019 ihre produktiven Schnittstellen freigeschaltet haben, kam der große Schreck. Denn damals haben wir festgestellt, dass diese Schnittstellen mit dem, was die Banken in ihren statischen Sandboxes implementiert hatten, eigentlich gar nichts zu tun hatten.
Das heißt, alle Drittanbieter, die sich in den Markt reinbegeben hatten, haben in der Anfangszeit eine Situation vorgefunden, wo wir alle nicht wussten, was funktioniert denn schon und was funktioniert noch nicht. Mit der Erweiterung, um die Zwei-Faktor-Authentifizierung kam dann noch eine zweite Komplexitätsstufe hinzu. Ich würde sagen, in den letzten sechs bis neun Monaten hat sich die Situation konsolidiert, aber nach wie vor sind alle damit beschäftigt, die Straßen zu stabilisieren, über welche die Open Banking-Autos fahren sollen.
Thilo, wie seid ihr mit der Herausforderung umgegangen, euch in solch einem volatilen Umfeld zu bewegen?
Thilo Rottach: In der ganzen Open Banking-Welt gibt es ja verschiedene Player: Einmal die Banken, die verpflichtet sind, offene Schnittstellen zur Verfügung zu stellen, aber zum Teil auch eigene Use Cases oder sogar neue Business Modelle, die auf das Thema aufsetzen umsetzen möchten.
Und natürlich die Drittanbieter, die Third-Party-Providers, die aus den gleichen Motivationen auf diese Schnittstellen zugreifen wollen. Wir von adorsys stecken schon seit 2014 voll in den Themen Multi-Banking und Account Aggregation und haben deshalb die verschiedensten Herausforderungen selbst in unseren Projekten erlebt.
Eine der großen Herausforderungen ist zum Beispiel, dass jeder Drittanbieter da draußen für komplexere Testszenarien mit Echtkonten testen muss. Das heißt, er muss bei den unterschiedlichsten Banken ein Konto eröffnen, damit er überhaupt in der Lage ist, Tests zu fahren. Oder er muss seine Kollegen bitten, mit ihren echten Kontodaten zu arbeiten, was nicht nur unpraktisch ist, sondern früher oder später in einer Datenschutzthematik mündet. Oder wenn eine Bank unterschiedliche Customer Authentication Verfahren anbietet, Redirect und Embedded: Wie testest du das technisch und fachlich, am besten automatisiert?
An dem Punkt haben wir gemerkt, dass es einen wesentlichen Baustein in dem ganzen System nicht gibt, nämlich eine ModelBank, die in der Lage ist, wichtige Abläufe komplett, automatisierbar und verlässlich zu simulieren. Denn das Problem, nicht ordentlich testen zu können, ist seit der PSD2 Go-Live Deadline vor fast anderthalb Jahren eigentlich immer noch ungelöst.
Und so eine ModelBank habt ihr Euch dann wahrscheinlich gebaut?
Stefan Hamm: Nein, nicht einfach so. Da wird unter anderem selbst ein Multi-Banking Gateway als Lösung entwickelt haben, mussten wir dies im Zuge der agilen Entwicklungsprozesse ständig automatisiert testen. Durch die Mitarbeit im NextGenPSD2 Implementation Support Program kannten wir ein vollständiges Test-Set für den PSD-Standard sowie die alternativen Varianten und Freiheitsgrade, die dort vorkommen.
Dadurch waren wir auch in der Lage, eine an allen notwendigen Stellen ausreichend konfigurierbare ModelBank zu bauen. Als wir gemerkt haben, wie groß die Herausforderungen der Drittanbieter als Schnittstellen-Klienten beim Thema Open Banking sind, war es für uns der nächste logische Schritt, mit ModelBank sowohl die Probleme der Drittanbieter als auch der Banken zu lösen.
Was genau macht oder kann die ModelBank?
Thilo Rottach: Unsere ModelBank ist genau im Rahmen der PSD2 Compliance konfigurierbar und kann deswegen korrespondierend zum individuellen Verhalten jeder realen Bank konfiguriert werden, mit demselben Schnittstellen Portfolio, das die Bank anbietet. Mit ihr sind wir zum Beispiel in der Lage, in den unterschiedlichsten Projektkontexten sämtliche Varianten der Authentifizierung zu simulieren, Redirect, Embedded, Decoupled und OAuth.
Drittanbieter können sich Testkonten selbst über eine Oberfläche oder per API Aufruf generieren und beliebig befüllen, hier verhält sich die ModelBank angenehm anders wie eine reale Bank; API Transaktionen werden aber ebenso real durchgeführt auf diesen Testkonten. Außerdem ist die Erstellung von Test-Zertifikaten enthalten, da sie zum Test der API Kommunikation benötigt werden. Die frühe Mitgliedschaft in der NISP war sehr wichtig, denn dadurch waren wir der Lage, alle Testfälle im Rahmen der PSD2 Compliance schnell zu implementieren. Die ModelBank war am Ende das Ergebnis aus der Lösung verschiedener Probleme, die wir selbst im Projektalltag erlebt haben.
Heißt das, das Thema Open Banking steht und fällt mit dem richtigen Testing?
Thilo Rottach: Das natürlich auch nicht: Das Tolle am Open Banking sind ja die ganzen spannenden neuen Use Cases oder Geschäftsmodelle, die sich damit realisieren lassen. Wenn dann Drittanbieter aber Ressourcen, Zeit und Qualität durch ineffizientes Testing verlieren, bleibt für das eigentlich Spannende viel zu wenig Zeit. Die ModelBank ist eine Lösung, mit der man sich aus dieser Zwangsjacke erst mal befreien kann, denn wenn man gegen deren Schnittstellen implementiert, spart man nicht nur Entwicklungskosten, sondern kann effizient sicherstellen, dass man mit allen Spezifika der PSD2 umgehen kann.
Wir glauben, dass eine zuverlässige Testumgebung ein wichtiger Hygienefaktor ist. Drittanbieter, die dem Endkunden einen tollen neuen Service mit einer tollen UX bieten wollen, sollten sich hierauf konzentrieren können und sich nicht mit der Infrastruktur abmühen müssen.
Welche Zielgruppe sprecht ihr mit der ModelBank an?
Stefan Hamm: Sowohl das Auslösen von Zahlungsverkehrstransaktionen als auch deren intelligente Analyse bieten enorme Business Case Potenziale. In den letzten Monaten haben wir mit vielen Marktteilnehmern gesprochen, von Finanzunternehmen über Startups und andere IT Dienstleister bis hin zu Reiseunternehmen. Bei den Gesprächen merken wir aber, dass sich der Markt noch nicht so schnell entwickelt, wie es viele vielleicht geglaubt oder erhofft haben.
Was meint ihr, woran die Zurückhaltung beim Open Banking liegt?
Stefan Hamm: Letztlich braucht jedes Unternehmen, das aus Open Banking Nutzen ziehen will, eine Truppe von Leuten, die in der Lage ist, neue Use Cases zu erkennen. Ich habe neulich mit einem Manager einer Versicherung gesprochen, der als Reaktion auf unsere Ansprache auf das Thema sagte: Warum machen die Banken das denn, warum geben die uns ihre Daten?
„Warum machen die Banken das denn, warum geben die uns ihre Daten?“
Teilweise ist also noch gar nicht bekannt, dass es da so ein Gesetz gab. Unternehmen, die unsicher sind, ob und welche Open Banking Use Cases es für sie geben könnte, beraten wir gerne in Workshops.
Wie wird das Thema Open Banking in anderen Ländern aufgenommen?
Thilo Rottach: Was wir bisher erzählt haben, bezieht sich vor allem auf Deutschland. Natürlich gilt die PSD2 verpflichtend auch für die gesamte EU sowie Norwegen, Island und Liechtenstein. Außerhalb des Europäischen Wirtschaftsraums entwickelt sich Open Banking auf unterschiedliche andere Arten: Wir arbeiten in der Schweiz mit einigen Unternehmen und Standardorganisationen zusammen, die das alles selbstmotiviert betreiben, nicht regulatorisch gefordert.
Da hatten sowohl unsere ModelBank als Referenzbank, als auch unsere Open Banking Gateway ganz schnell Marktresonanz. Dort wird zur Zeit gefühlt in wenigen Monaten umgesetzt, worüber in Deutschland viele Monate diskutiert wird. Was wir auch sehen: Das Thema Open Banking wandert zunehmend um den Globus. Ob Türkei, die USA, Kanada oder Südamerika – immer mehr Länder erkennen die enormen Umsatz- und Digitalisierungspotenziale, inspiriert durch uns in der EU als Vorreiter und einer Initiative, die ihren Ursprung unter anderem im Verbraucherschutz hatte.
Vielen Dank für das Gespräch, Thilo und Stefan!
Wer die ModelBank von adorsys testen oder mehr Infos haben möchte, kann sich direkt an Stefan Hamm und Thilo Rottach wenden oder über die adorsys-Webseite Kontakt mit dem Team aufnehmen.
