Data Banking: Datenkonten für alle

Von Ralf Keuper

Die Idee einer Personal Data Bank, einer Bank also, die für die Verwahrung und das Management der personenbezogenen Daten der Nutzer/Kunden zuständig ist, taucht immer häufiger auf (Vgl. dazu: Mit Datenkonten und Datenbörsen zu mehr Kundenbindung und besseren Finanzservices & Datenmonetarisierungs-Plattform UBDI in Europa gestartet).

In Digital Transformation: Why we need personal data accounts, similar to today’s personal bank accounts plädiert Karl Steinacker für die Einführung von Datenkonten für die Nutzer. Voraussetzung für sichere Datenkonten sind vertrauenswürdige Infrastrukturen für Digitale Identitäten, so Steinacker. Dabei sollten die Nutzer die Kontrolle über ihre Digitalen Identitäten ausüben können. Sind die technischen und regulatorischen Voraussetzungen für sichere Digitale Identitäten gegeben, wie mit der eID und eIDAS, besteht der nächste Schritt darin, Datenkonten für jeden anzubieten.

The concept of an personal data account is the cornerstone for effective data sovereignty for the simple reason that I can only control what is with me. This applies not only to my money but also to my personal data. My data account is the place where my patient file belongs – and only there. Data retention? Yes – if the storage takes place in my data account!

Nötig sind Anbieter, die Datenkonten als Service – Data Banking as a Service – zur Verfügung stellen. Ein großes Aufgabengebiet für Banken oder bankähnliche Institute, wobei neben den personenbezogenen Daten der Nutzer auch die Maschinendaten von großer Bedeutung sind.

Die Frage ist nun, wie man den Wert der Daten bemessen kann. Ein Eigentum an Daten existiert bis dato nicht. Diesem Punkt wendet sich Olaf Groth in Personal Data Is Valuable. Give Pricing Power to the People zu. Den Nutzern sollten Werkzeuge für die Gestaltung eigener Preislisten und Vertragskonditionen an die Hand gegeben werden. Damit können die Nutzer ihre Daten mit einem Identitätsmerkmal versehen. Auf diese Weise können die Nutzer die Verwendung ihrer Daten in Echtzeit verfolgen. Nötig sei weiterhin die entsprechende Marktinfrastruktur, wie Datenmarktplätze und Broker-Services, welche die Marktentwicklung beobachten, die Datenpreise festlegen und ggf. den Verkauf und Handel im Auftrag der Nutzer übernehmen.

Data Banking: Ein attraktives Zukunftsfeld.

Veröffentlicht unter Banking, Digitale Identitäten, Personal Data Bank | Kommentare deaktiviert für Data Banking: Datenkonten für alle

Why Big Tech Is Getting Into Finance | WSJ

Veröffentlicht unter Banking, Digitale Plattformen / Plattformökonomie | Kommentare deaktiviert für Why Big Tech Is Getting Into Finance | WSJ

EBA Report on Big Data and Advanced Analytics

A data-driven approach is emerging across the banking sector, affecting banks’ business strategies, risks, technology and operations. Corresponding changes in mindset and culture are still in progress. Following the cross-sectoral report by the Joint Committee of the European Supervisory Authorities (ESAs) on the use of big data by financial institutions, and in the context of the EBA FinTech Roadmap, the EBA decided to pursue a ‘deep dive’ review on the use of big data and Advanced Analytics (BD&AA) in the banking sector. The aim of this report is to share knowledge among stakeholders on the current use of BD&AA by providing useful background on this area, along with key observations, and presenting the key pillars and elements of trust that could accompany their use.

The report focuses on BD&AA techniques and tools, such as machine learning (ML) (a subset of Artificial Intelligence (AI)), that go beyond traditional business intelligence to gain deeper insights, make predictions or generate recommendations using various types of data from various sources. ML is certainly one of the most prominent AI technologies at the moment, often used in advanced analytics due to its ability to deliver enhanced predictive capabilities. …

Quelle / Link: EBA report identifies key challenges in the roll out of Big Data and Advanced Analytics

Weitere Informationen.

EBA identifies trust challenges from growing use of Big Data and AI in finance

Veröffentlicht unter Banking, Künstliche Intelligenz | Kommentare deaktiviert für EBA Report on Big Data and Advanced Analytics

Verwendung von Cloudflare durch die DKB sorgt für Diskussionen (Update)

Von Ralf Keuper

Die Entrüstung einiger Kommentatoren auf twitter und anderen sozialen Netzwerken über den Einsatz von Cloudflare durch die DKB bzw. deren IT-Dienstleister FI-TS hat in den letzten Tagen nachgelassen. Eigentlich ist alles gesagt – fast alles. In Kunden sorgen sich um eigene Daten: DKB setzt nach Server-Attacken auf US-Clouddienst kommt Andreas Mauthe,  Professor für IT- und Datensicherheit am Institut für Wirtschafts- und Verwaltungsinformatik der Universität Koblenz-Landau, zu Wort. Es sei nicht zwingend nötig, dass der Cloud-Dienst auch den verschlüsselten Teil des Datenverkehrs auslesen muss. So bestehe bei der Abwehr von DDoS-Attacken die Möglichkeit, an der Art der plötzlichen Anfragen zu erkennen, womit man es zu tun hat. Anders verhält es sich, wenn der Anbieter Zugang zu sensiblen Daten erhält. In dem Fall wäre zu prüfen, ob und inwieweit die DSGVO zum Tragen kommt. Die DKB selber wollte auf Nachfrage von Business Insider keine näheren Auskünfte erteilen und beschränkte sich auf die Aussage, dass man nur mit Anbietern zusammenarbeite, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gelistet und DSGVO-konform sind. Cloudflare ist beim BSI als ein solcher Anbieter gelistet.

Kontrovers, dabei in der Argumentation überwiegend ausgewogen und sachlich, geht es auf reddit in dem Diskussionsforum Sicherheitsinfrastruktur der DKB (und anderer Banken) – Post von Fefe zu. Gegenstand der Debatte ist, wie der Titel andeutet, der Beitrag von Fefe, in dem dieser ein recht ernüchterndes Bild vom Zustand der Bankeninfrastruktur zeichnet. Fefes Rundumschlag bleibt nicht ohne Widerspruch. Das Problem, so ein Kommentator, sein nicht die Cloud, sondern der Anbieter. Daneben gibt es Stimmen, die das Ganze entspannt(er) sehen.

Weitere Informationen:

Wie sicher sind meine Bank-Daten bei der DKB?

Veröffentlicht unter Bank-IT, Banking, Cybersecurity | Kommentare deaktiviert für Verwendung von Cloudflare durch die DKB sorgt für Diskussionen (Update)

DDoS-Attacken: Banken unter starkem Beschuss

Von Ralf Keuper

Die Banken genießen in Fragen der Datensicherheit großes Vertrauen bei den Kunden. Eigentlich ist es das einzig verbliebene Alleinstellungsmerkmal gegenüber den großen häufig als BigTech bezeichneten Technologiekonzernen wie Google oder Amazon (Vgl. dazu: Banks best Big Tech on trust, but not much else). In den letzten Jahren ist ein Anstieg von Cyberangriffen auf Banken zu beobachten. Ein Schwerpunkt sind die sog. DDoS-Attacken, welche die Systeme der Banken und Unternehmen lahmlegen können (Vgl. dazu: 20 Jahre Internetwaffe DDoS. Attacken mit immer größerer Wucht & Einmaleins der Denial-of-Service-Angriffe: Was ist das?). In seinem jährlichen Bundeslagebericht für das Jahr 2018 attestierte das Bundesamt für Sicherheit in der Informationstechnik eine hohe Bedrohung durch DDoS-Angriffe. Zu einem ähnlichen Ergebnis kam Bundeskriminalamt (BKA) im Bundeslagebild Cybercrime 2017. Demnach repräsentierten DDoS-Attacken die größte Anzahl unter den Cyberangriffen (Vgl. dazu: DDoS-Angriffe nehmen weiter Fahrt auf). Einige Marktteilnehmer sehen in der PSD2 einen weiteren Beschleuniger der Entwicklung (Vgl. dazu: PSD2 öffnet weitere Türen: die Risiken von Open Banking).

Die bislang größten Systemausfälle bei Banken ereigneten sich im Jahr 2017 als die Lloyds Bank, Halifax und Bank of Scotland über einen längeren Zeitraum für ihre Kunden online nicht mehr zu erreichen waren. Im Januar 2018 waren die drei größten Banken der Niederlande das Ziel von DDoS-Attacken (Vgl. dazu: DDoS-kritische Zeiten für Banken).

Der finanzielle Schaden eines DDoS-Angriffs beläuft sich für Banken auf durchschnittlich 1.754.000 US-Dollar; ganz abgesehen von dem Schaden für die Reputation (Vgl. dazu: So viel Schaden richtet eine DDoS-Attacke auf ein Finanzinstitut an). Für die Finanzinstitute ist es daher von großer Bedeutung, DDoS-Attacken frühzeitig zu erkennen (Vgl. dazu: So schützen sich Finanz­institute vor DDoS-Attacken). Der US-amerikanische Federal Financial Institutions Examination Council (FFIEC) verlangt, dass Banken und ähnliche Institute, die von der US-Bundesregierung reguliert werden, ihre Netzwerke regelmäßig auf DDoS-Angriffe überwachen (Vgl. dazu: Schutz von Finanzinstituten vor DDoS-Angriffen).

Im Jahr 2015 veröffentlichte das BSI die KRITIS-Sektorstudie
Finanz- und Versicherungswesen
. Darin nennen die Autoren einige Schwachpunkte der Bankeninfrastruktur. Dazu zählen Legacy-Systeme (Handlungsempfehlung: Legacy Systeme sollten durch moderne, den Sicherheitsanforderungen genügende Systeme ersetzt werden), mangelnde Diversität bei Hardware und Software sowie die Abhängigkeit von Weiterverkehrsnetzen und Providern (Handlungsempfehlung: Institutionen im Finanzsektor sollten sich auf verschiedene Provider mit im Idealfall disjunkter Infrastruktur abstützen). Weiterhin stellte der Bericht eine Konzentration bei den IT-Dienstleistern der Banken und Sparkassen fest.

In den letzten Jahren ist es in einigen Bereichen insbesondere in der Branche Kreditinstitute zu erheblichen Konzentrationen bei den Dienstleistern gekommen. Zu nennen sind hier die Bereiche der Sparkassen und der Volks- und Raiffeisenbanken, in denen es jeweils nur noch einen nennenswerten IT-Dienstleister gibt. Da diese Dienstleister nicht nur für den Betrieb der Systeme, sondern auch für die Entwicklung der Anwendungen zuständig sind, wirken sich Fehler und Ausfälle bei einem Dienstleister immer direkt auf eine große Anzahl von Instituten des jeweiligen Bereichs aus.

Die jüngsten Ausfälle bei der DKB und der dwp sind nach übereinstimmenden Berichten auf Probleme bei dem betreffenden IT-Dienstleister, der FI-TS, einer Tochter der Finanz Informatik, zurückzuführen. Insgesamt hat die Abhängigkeit der Banken von wenigen IT-Dienstleistern und Providern seit 2015 eher noch zu- als abgenommen (Vgl. dazu: Wie abhängig sind die europäischen Banken von Cloudflare, Akamai & Co. ?). Die digitale Souveränität der Banken nimmt weiter ab. Ohne die Unterstützung externer Lösungsanbieter, darunter auch BigTechs wie Amazon, sind die Banken künftig wohl kaum noch in der Lage, ihre Systeme halbwegs stabil und sicher zu halten.

Veröffentlicht unter Bank-IT, Banking, Cybersecurity | Kommentare deaktiviert für DDoS-Attacken: Banken unter starkem Beschuss

Wie abhängig sind die europäischen Banken von Cloudflare, Akamai & Co. ?

Von Ralf Keuper

Die aktuelle Diskussion um den Einsatz von Cloudflare durch die DKB gibt den Anstoss zu grundsätzlichen Überlegungen, wie sie beispielsweise auf Fefes Blog angestellt wurden. Das Bild, das dort gezeichnet wird, gibt zur Ernüchterung einigen Anlass.

Kann es sein, dass die europäischen Banken im Bereich Cybersecurity in eine Abhängigkeit von US-Unternehmen, wie Cloudflare und Akamai, geraten sind? Im Oktober 2018 monierte der Think Tank der niederländischen Regierung, CBP, dass die drei großen Banken des Landes, ABN Amro, ING und Rabobank, zu abhängig von Akamai geworden seien (Vgl. dazu: Three biggest Dutch banks ‘too dependent’ on one cyber security firm).

Veröffentlicht unter Bank-IT, Banking, Cybersecurity | Kommentare deaktiviert für Wie abhängig sind die europäischen Banken von Cloudflare, Akamai & Co. ?

Verwendung von Cloudflare durch die DKB sorgt für Diskussionen

Von Ralf Keuper

Auf twitter melden sich zunehmend Stimmen, die sich bestürzt darüber zeigen, dass die DKB anscheinend auf die Dienste des US-amerikanischen Unternehmens Cloudflare zurückgreift. Auf reddit wird darüber bereits intensiv und z.T. kontrovers diskutiert. Im Zentrum steht dabei die Frage, ob oder inwieweit Cloudflare einen Einblick in die personenbezogenen Daten der Nutzer bzw. Kunden hat.

In Deutschland wurde Cloudflare einem größeren Publikum bekannt, als Netzpolitik die Verwendung von Cloudflare durch den Deutschen Bundestag kritisierte (Vgl. dazu: CloudFlare: Deutscher Bundestag bezieht schon wieder Internet von US-Anbietern, diesmal für die eigenen Webseiten). In der Vergangenheit wurde bereits öfters über die Vor- und Nachteile von Cloudflare für Banken diskutiert, wie in Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?. Auf der anderen Seite setzt Mozilla seit 2018 Cloudflare als DNS over HTTPS – Service ein (Vgl. dazu: Cloudflare Resolver for Firefox). Dabei wurden strikte Datenschutz-Vereinbarungen getroffen.

Weitere Informationen:

Fefes Blog

Veröffentlicht unter Banking, Cybersecurity | Kommentare deaktiviert für Verwendung von Cloudflare durch die DKB sorgt für Diskussionen

Die Bank im Auto #3

Von Ralf Keuper

Wenn Autos letztlich nur mobile Devices sind, dann ergibt die Übernahme des IT-Spezialisten Diconium durch VW Sinn (Vgl. dazu: So will VW seine Autos zu digitalen Einkaufszentren machen). Der Autokonzern zielt dabei vor allem auf die Lösungen im Bereich E-Commerce. Die Fahrer bzw. Nutzer sollen künftig im Auto ihre Einkäufe erledigen können. Mit der Diconium-Plattform soll für es VW-Kunden demnächst möglich sein, das Parken, Tanken und Bezahlen über eine App abzuwickeln.

Zeitgleich stellt Amazon auf der CES 2020 eine verbesserte Alexa-Integration im Auto vor (Vgl. dazu: Amazons Zukunftsvision besetzt die Automobilindustrie). Dank Alexa können die Fahrer mit dem Befehl “Alexa, bezahl das Benzin” über Amazon Pay ihre Tankrechnung bezahlen. Zudem können die Nutzer im Auto FireTV Filme ihrer Wahl anschauen.

Alexa kann darüber hinaus in bestehende Navigationssysteme integriert werden, wie in Tom Tom. AWS und Blackberry arbeiten einer vernetzten Fahrzeugsoftware-Plattform, um die Sicherheit im Internet of Things zu erhöhen, wie mit einem autonomen Wahrnehmungssystems.

Der Wettlauf um die digitale Vorherrschaft im Auto ist spätestens jetzt offiziell eröffnet. Banken, so sieht es derzeit aus, werden in diesem Szenario eigentlich nicht mehr benötigt; wenn, dann bestenfalls noch für die Abwicklung im Hintergrund.

Veröffentlicht unter Banking, Internet der Dinge | Kommentare deaktiviert für Die Bank im Auto #3

Wie anonym ist ein digitaler Euro?

Von Ralf Keuper

Digitale Währungen wie der Bitcoin sind, anders als manchmal noch angenommen wird, nicht anonym; sie sind pseudoanonym. Die Identität des Nutzers kann, wenngleich mit hohem Aufwand, festgestellt werden (Vgl. dazu: Bitcoin und Geldwäsche – keine gute Idee).

Diese Aussage trifft auch auf einen digitalen Euro zu. Wie kann dennoch ein Mindestmaß an Anonymität beim digitalen Euro erreicht werden? Dieser Frage geht das Forschungsnetzwerk der EZB, EUROchain, in Exploring anonymity in central bank digital currencies nach. Das Forscherteam hat dazu ein Proof of Concept erstellt.

Wesentliche Erkenntnisse daraus:

The proof of concept drawn up by the ESCB demonstrates that it is possible to construct a simplified CBDC payment system that allows users some degree of privacy for lower-value transactions, while still ensuring that higher-value transactions are subject to mandatory AML/CFT checks.

Eingesetzt wurde mit Unterstützung von Accenture die in Banken schon relativ weit verbreitete Blockchain-Variante R3 Corda. Transaktionen können in dem Proof of Concept anonym durchgeführt werden. Zu diesem Zweck müssen die Nutzer sog. “anonymity vouchers” erwerben, die sie dazu berechtigen, bis zu einer bestimmten Höchstgrenze anonym zu bezahlen. Geht der Bedarf darüber hinaus, muss ein weiterer “anonymity voucher” beantragt werden.

Das Konzept sieht vier Instanzen vor:

  • Zwei Finanzintermediäre
  • eine Zentralbank und
  • eine Instanz für die Überwachung von Geldwäsche (AML Authority)

Die Intermediäre versorgen die Kunden mit digitalen Euros, die sie von der Zentralbank beziehen. Die Intermediäre führen im Auftrag ihrer Kunden die Transaktionen durch. Solange die Transaktionen der Kunden von den “anonymity vouchers” abgedeckt sind, werden die Zahlungen ohne AML-Check automatisch ausgeführt.

Weiterhin übernimmt der Intermediär das Onboarding der Kunden:

Each user is on-boarded by an intermediary, which provides its clients with pseudonymous identities that are used as network addresses for CBDC payments.

Die Zentralbank darf als einzige Instanz digitale Euros ausgeben und einziehen.

Die AML Authority überprüft die Identitäten der Nutzer/Kunden, die großvolumige Zahlungen vornehmen. Ihre weitere Aufgabe besteht darin, wie schon erwähnt, die “anonymity vouchers” auszustellen, sofern die Bedingungen dazu erfüllt sind.

Das Modell sieht darüber hinaus die Rolle eines digitalen Notars, eines “non-validating notary” vor.

In the proof of concept, a special node called a “non-validating notary” allows intermediaries to check the validity of states by maintaining a registry of all currently valid UTXOs. To protect users’ privacy, the notary has no access to data such as transaction values, users’ addresses or states’ histories.

Schlussfolgerungen

Das Modell enthält momentan noch einige Lücken.

Ein Problem:

Notwithstanding the data segregation model of Corda, a participant can therefore build a knowledge graph based on information collected from the CBDC units it receives over time. This means that details of past transactions can be seen by new holders’ intermediaries that were not involved in those transactions. Nevertheless, no intermediary has a full overview of all network activities at any given point in time. The central bank knows the amount that is currently in circulation, but only obtains information on individual CBDC units and the pseudonyms of their holders when those units are redeemed.

Eine mögliche Lösung:

To some extent, this challenge can be addressed through the process of trimming the history of a state – referred to as “chain snipping”. This is a technical procedure whereby an intermediary initiates the redemption of all CBDC units held in the accounts of its users and triggers the issuance of the relevant amount of CBDC for each user. By resetting the history of a user’s units, an intermediary reduces the amount of information that is visible to other participants. However, that has no impact on the user’s privacy vis-à-vis the central bank, which still receives all information carried by redeemed units.

Eine weitere Möglichkeit, die Anonymität und Privatsphäre der Nutzer zu schützen, sind rotierende Public Keys, Zero-knowlegde proof und enclave computing.

Using rotating keys, which would involve users generating new pseudonyms on a regular basis, would limit nodes’ ability to link transactions to individual users, since users would be using various different pseudonyms over time.

In gewisser Weise das gleiche Prinzip, das Apple in Sign in with Apple mit seinen Wegwerf – email-Adressen verfolgt.

Der Chef von Coinbase, Brian Armstrong, geht davon aus, dass Privacy Coins wie Monero oder Zcash, zum Standard werden (Vgl. dazu: Monero oder Zcash: Ein „Privacy Coin“ wird in den 2020’ern zum Mainstream – Coinbase CEO).

Veröffentlicht unter Digitale Währungen, Distributed Ledger Technology, Graphentechnologie | Kommentare deaktiviert für Wie anonym ist ein digitaler Euro?

Who Owns Your Banking Data?

Veröffentlicht unter Banking, Personal Data Bank | Kommentare deaktiviert für Who Owns Your Banking Data?