Sicherheit im Zeitalter der Datenökonomie – Ein wealthAPI Grundpfeiler

In einer Ära, in der Daten die wertvollste Währung darstellen, ist es unsere Verantwortung, sicherzustellen, dass jeder Aspekt unserer Arbeit darauf ausgerichtet ist, die Integrität und Vertraulichkeit dieser Daten zu schützen. Sicherheit im Zeitalter der Datenökonomie, das bedeutet für uns technische Maßnahmen, wie das Hosting in einem hochsicheren Rechenzentrum in Frankfurt, die Verwendung offener APIs, die seit Jahren produktiv verwendet werden, aber auch die Anwendung eines modernen Technologiestacks.

In Summe ergibt sich Sicherheit bei wealthAPI aus einer Kombination der Kriterien:

  • Qualitätsstandards bei der Software-Entwicklung
  • Sichere Infrastruktur
  • Organisatorische Maßnahmen (Need-to-Know)
Wolfram-Stacklies-casual
wealthAPI CTO Wolfram Stacklies

Qualitätsstandards bei der Software-Entwicklung

Um höchste Code-Qualität mit Agilen Release-Zyklen zu vereinbaren, setzen wir voll auf die Methode der testgetriebenen Entwicklung – sprich, die Applikation wird bei jeder kleinsten Änderung  vollumfänglich und vollautomatisch getestet. So werden insbesondere während der Einarbeitung neuer Mitarbeiter Fehler abgefangen. Aus dem gleichen Grund ist uns enges Coaching bzw. die kontinuierliche Zusammenarbeit mit Kunden und Partnern wichtig. Dies stellt fortlaufend sicher, dass unsere Systeme höchste Qualität und Sicherheit bieten und auch der Umgang mit ihnen einen Mindestsicherheitsstandard voraussetzt und erreicht.

Sichere Infrastruktur

Beim Hosting setzen wir voll auf die Google Cloud. Ich halte den Einsatz der von Google auditierten und gehärteten Standardkomponenten wie z.B. Google Intrusion Detection und Web Application Firewall für wesentlich sicherer als Eigenlösungen. Hinzu kommt eine überragende Skalierbarkeit, die mit individuellen Lösungen kaum zu erreichen ist.

Innerhalb der Google-Cloud verwenden wir eine abgekapselte Infrastruktur. Alle Komponenten laufen in ihrem eigenen “Virtual Private Netzwerk” (VPC) und sind nicht von außen sichtbar. Unsere Backups sind verschlüsselt (Data at rest encryption) und besonders sensible Daten wie Bank-Login-Daten sind innerhalb dieser Gesamtverschlüsselung nochmals separat einzeln verschlüsselt. Darüber hinaus trennen wir innerhalb der wealthAPI Infrastruktur nach sensiblen und weniger sensiblen Systemen. Abgerundet wird das Ganze durch innovative AI Services zur Intrusion Detection.

Organisatorische Maßnahmen (Need-to-Know)

Auch die sicherste Technik hilft nicht, wenn Mitarbeiter Fehler machen oder ungewollt sensible Daten herausgeben. Sicherheit im Zeitalter der Datenökonomie bedeutet daher auch, organisatorische Maßnahmen als wichtiges Element im eigenen Sicherheitskonzept zu verankern. Ein striktes Zugriffsmanagement und davon abgeleitete Rollenkonzepte, verstärkt durch die zentrale Authentifizierung mit Google Services stellen sicher, dass bei wealthAPI nur Mitarbeiter mit einem “Need-to-Know” Zugriff haben. Darüber hinaus gewährleisten spezialisierte Teams, bei wealthAPI sind das aktuell Brokerage APIs, Finanzmanager und Frontend, dass sensible Daten nur für autorisierte Mitarbeiter zugänglich sind.

Die verbindliche Durchführung von Peer Reviews (4 Augen Prinzip) für alle Codeänderungen sind ein weiteres Element der organisatorischen Qualitätssicherung, um individuelles Fehlverhalten auszuschließen. Darüber hinaus investieren wir kontinuierlich in die Weiterbildung unserer Mitarbeiter, um sicherzustellen, dass sie stets auf dem neuesten Stand der Sicherheitsbestimmungen sind. Im Umgang mit Daten in Deutschland betrifft das insbesondere die Regelungen der Datenschutzgrundverordnung (DSGVO). Eine Besonderheit ist hier für uns die DSGVO Regelung zur Auftragsdatenverarbeitung: Wir sind unseren Partnern (zB. finAPI, von denen wir PSD2 Daten beziehen) gegenüber weisungsbefugt und unsere Kunden (z.B. Finanzfluss, die von uns Bank- und Brokerage- Daten zur Weitergabe an wiederum ihre Kunden beziehen) sind uns gegenüber weisungsbefugt. Also kann der Kunde Finanzfluss von uns verlangen, bestimmte Daten zu löschen, denn Finanzfluss behält in jedem Fall die Hoheit über die eigenen Kundendaten. Wir wiederum sind dann berechtigt bzw. verpflichtet, entsprechende vom Kunden beauftragte Datenlöschungen auch von unseren Partnern zu verlangen.

Organisation und regulatorischer Rahmen

Als reguliertes Zahlungsinstitut sind wir der Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterworfen. Die damit einhergehenden organisatorischen Verpflichtungen zur Erlangung der Lizenz waren für uns Anfangs eine große Hürde. Im Rückblick waren die Anfangs erzwungenen Maßnahmen allerdings sehr sinnvoll, um schon “von klein an” ein professionelles Risiko- und Sicherheitsmanagement zu etablieren. Mittlerweile stellen diese Maßnahmen einen sehr sinnvollen und wichtigen Baustein unserer organisatorischen und technischen Sicherheitsarchitektur dar. Ebenfalls Pflicht für uns ist ein jährlicher Wirtschaftsprüfungsprozess, in dessen Rahmen auch unsere IT-Prozesse in einem Risikobericht auditiert werden. Die
Dokumentation darüber erfolgt in einem Organisationshandbuch. Zudem bestehen Meldepflichten, z.B. in Hinblick auf die Anzahl der Zahlungsverkehrskonten oder Daten zur Zahlungsverkehrsstatistik. Außerdem müssen wir einer Meldepflicht in Hinblick auf die Anzahl der Zahlungsverkehrskonten, Daten zur Zahlungsverkehrsstatistik (da wir keine Zahlungen verarbeiten, ist das in unserem Fall dann eine Negativmeldung) und Eigentümerstruktur nachkommen. Die BaFin gibt darüber hinaus klar vor, welche Bankdaten wir mit unseren Kunden teilen dürfen. Demografische Daten sowie Adressdaten sind in jedem Fall ausgeschlossen. Ebenso laufen zwar MIFID Datensätze durch unser System, diese werden aber von uns weder gespeichert noch weitergegeben.

Sicherheit im Zeitalter der Datenökonomie – Fazit

Unsere Überzeugung ist, dass Sicherheit nicht nur auf Technologie beschränkt ist, sondern in der gesamten Organisation verankert sein muss. Organisatorische Sicherheit und IT-Sicherheit sind untrennbar miteinander verbunden, und jedes Designprinzip muss den Sicherheitsaspekt berücksichtigen. Wir sind uns bewusst, dass Menschen Fehler machen, daher ist es entscheidend, dass unsere Systeme so gebaut sind, dass Fehler frühzeitig erkannt und ihre Auswirkungen minimiert werden. Testgetriebene Entwicklung und Peer-Reviews sind hierfür optimale Werkzeuge.

Blicken wir in die Zukunft, so sehen wir die ständige Prüfung und Weiterentwicklung der wealthAPI IT-Sicherheit als Standard Disziplin an. Die Zusammenarbeit mit Partnern im Bereich IT-Sicherheit oder die Erlangung einer ISO-Zertifizierung stehen ebenso auf unserer Agenda wie die Einführung eines Bug Bounty-Programms, um die Schwachstellen unserer Systeme proaktiv zu identifizieren und zu beheben. In einer Welt, in der die Sicherheit unserer Daten von entscheidender Bedeutung ist, stehen wir als Fintech-Unternehmen an vorderster Front, um sicherzustellen, dass unsere Kunden und Partner die höchsten Standards an Vertraulichkeit, Integrität und Verfügbarkeit genießen können.