Was ist Screen Scraping und wie funktioniert es?
Ganz grundlegend beschreibt Screen Scraping das Auslesen von auf einem Bildschirm angezeigten Informationen – oftmals von einer Webseite. Die so gesammelten Informationen werden dann an anderer Stelle verwendet, um Aktionen auszuführen, die der Nutzer normalerweise selbst durchgeführt hätte.
Doch die Technologie hinter Screen Scraping sowie ethische Fragestellungen rund um das Thema haben seine Nutzung umstritten gemacht. Der Grund: Bei Screen Scraping werden oft gesicherte Online-Banking-Zugänge geteilt und somit vertrauliche Informationen unverschlüsselt gespeichert. Dies erhöht das Risiko für Datenlecks oder -pannen und beeinträchtigt die Nutzersicherheit.
Lange war Screen Scraping die einzige echte Option, um automatisch bestimmte Kundendaten auszulesen und wurde somit häufig im Open-Banking-Bereich eingesetzt. Doch infolge von Gesetzesänderungen haben andere Optionen wie Anwendungsschnittstellen (APIs) an Popularität gewonnen und ersetzen nun nach und nach die Technologie.
In diesem Artikel erfahren Sie, wie und warum Unternehmen Screen Scraping verwenden, die Vor- und Nachteile des Vorgangs und wie die Technologie mit Open Banking zusammenhängt.
Wie funktioniert Screen Scraping?
Bei Screen Scraping erhält ein Programm oder „Bot“ Zugang zu einem Kundenkonto und erfasst im Hintergrund die Daten auf dem Bildschirm, ohne dass der Kunde dafür anwesend ist.
Im Detail funktioniert Screen Scraping folgendermaßen:
Der Kunde teilt seine Anmeldedaten mit einem Drittanbieter.
Der Drittanbieter nutzt diese Daten, um sich beim Bankkonto des Kunden anzumelden.
Der Drittanbieter kopiert anschließend die Bankdaten des Kunden oder „schabt diese ab“ (engl. to scrape = abschaben), um sie außerhalb des Onlinebankings des Kunden weiterzuverwenden.
In Wirklichkeit imitiert das Unternehmen, welches Screen Scraping durchführt, den Nutzer (mit dessen Zustimmung).
Ein typisches Beispiel für Screen Scraping, das Ihnen vielleicht schon begegnet ist, sind smarte Budget-Apps. Hier erlauben Sie einem Drittanbieter den Zugriff auf Ihre Finanzdaten, damit die App Erkenntnisse aus diesen Daten gewinnen und Ihnen Möglichkeiten zur Budgetoptimierung und zum Sparen empfehlen kann.
Wofür kann Screen Scraping eingesetzt werden?
Screen Scraping hat verschiedene Anwendungsmöglichkeiten, die in zwei Kategorien unterteilt werden können. In manchen Fällen werden sensible Daten verarbeitet, da der Nutzer Anmelde- oder Kontoinformationen teilt, um Screen Scraping zu ermöglichen. Dieser Prozess ist auch als Credential Sharing bekannt.
Es gibt aber auch Fälle, in denen nur öffentlich zugängliche Informationen ausgelesen werden. So funktionieren zum Beispiel Vergleichswebseiten, das Prüfen von Anzeigenplatzierungen und die Übertragung alter Softwareversionen auf moderne Releases.
Beim Einsatz von Credential Sharing finden sich häufig die folgenden Beispiele:
Zugriff und Analyse von Bankkontoinformationen: Dies ist vermutlich die häufigste Nutzung von Screen Scraping. Finanzdienstleister können die Kontoinformationen eines Kunden auslesen und sich so bei seinem Onlinebanking anmelden, um dort seine Bankdaten zu erfassen und sie außerhalb der App weiterzuverwenden.
Zahlungsanweisung: Hierbei handelt es sich um einen Fall, in dem ein Unternehmen tatsächlich eine Aktion ausführt, statt nur Daten zu erfassen. Wenn ein Anbieter beispielsweise Zugang zu einem Bankkonto hat, kann er eine Zahlung an ein anderes Konto auslösen. Eine smarte Budget-App könnte so Geld an ein anderes Konto des Nutzers überweisen, um einen besseren Zinssatz zu erzielen.
Bonitätsprüfung: Wenn ein Unternehmen Ihre Finanzhistorie und Ausgabegewohnheiten prüfen möchte, fragt es Sie eventuell nach Ihrer Zustimmung zum Auslesen relevanter Informationen aus Ihrem Bankkonto. Möchten Sie beispielsweise einen Kredit aufnehmen, könnte der Kreditgeber Screen Scraping verwenden, um schnell zu prüfen, ob Sie sich den Kredit auch leisten können.
Daten zur späteren Verwendung speichern: Oft geht es beim Credential Sharing im Screen Scraping darum, ein vollständigeres Bild Ihrer finanziellen Lage zu erhalten. Ein Unternehmen erhebt diese Daten möglicherweise, um sie zu speichern und zu einem späteren Zeitpunkt zu nutzen.
Daten stehlen: Auch wenn Screen Scraping mehrheitlich von seriösen Unternehmen mit Zustimmung ihrer Kunden durchgeführt wird, können Cyberkriminelle es leider ebenfalls dazu verwenden, Daten von nichts ahnenden Internetnutzern zu stehlen.
Was sind die Vor- und Nachteile von Screen Scraping?
Als Hauptvorteil ermöglicht Screen Scraping es Unternehmen, in großem Umfang automatisch Kundeninformationen zu sammeln.
Doch die Nutzung von Screen Scraping zur Erfassung sensibler Daten hat auch Nachteile:
Anfälligkeit für Datenpannen
Daten, die über Screen Scraping erlangt werden, werden unter Umständen unverschlüsselt gespeichert, was bedeutet, dass die Bankinformationen und Ausgabegewohnheiten der Nutzer im Falle einer Datenpanne des Anbieters gefährdet sind.
Teure Instandhaltung
Für Unternehmen ist die Unterhaltung von Screen Scraping relativ zeitintensiv. Da die Screen-Scraping-Technologie jedes noch so kleine optische Detail einer Webseite erkennen muss, kann selbst das kleinste Update den Vorgang unter- oder komplett abbrechen. Dann kann sich der Kunde nicht mehr bei seiner Bank anmelden oder andere wichtige Dienstleistungen verwenden.
Keine Datenminimierung
Die Zustimmung zur Nutzung von Bankdaten für bestimmte Zwecke sollte nicht als Blankoscheck verstanden werden. Doch genau hier steht Screen Scraping leider im Widerspruch zum Grundsatz der Datenminimierung. Datenminimierung liegt dann vor, wenn ein Nutzer dem Zugriff auf bestimmte Daten zustimmt, die für einen bestimmten Service erforderlich sind. Doch Screen Scraping liest meist alle Daten aus, die auf einem Bildschirm erscheinen, was adäquate Kontrolle für die Kunden darüber schwierig macht, worauf zugegriffen wird und wie diese Informationen verwendet werden.
Ist Screen Scraping legal?
Nach PSD2 – dem EU-Gesetz, das den Wettbewerb in der Zahlungsbranche erhöhen soll – ist Screen Scraping legal, solange gewisse Sicherheitsschritte eingehalten werden. Hierzu gehört die Identifizierung des Drittanbieters bei der Bank, auf die er zugreift. Doch die meisten Banken bieten mittlerweile APIs an, um den Zugriff auf Kontodaten und Zahlungen zu ermöglichen.
Daher ist Screen Scraping nicht mehr nötig, auch ein vollständiges Verbot wurde schon mehrfach diskutiert. In Deutschland wurde Screen Scraping lange als Verbindung zwischen Banken und FinTechs genutzt. Doch nach PSD2 stellen nun auch deutsche Banken immer mehr auf APIs um. In Europa hat sich die Europäische Bankaufsichtsbehörde (EBA) dafür eingesetzt, die Methode abzuschaffen – doch Branchengespräche laufen noch.
Was ist der Unterschied zwischen Open Banking und Screen Scraping?
Open Banking ist eine Möglichkeit, regulierten Unternehmen einen sicheren, begrenzten Zugang zum Bankkonto eines Kunden zu gewähren – mit seiner expliziten Zustimmung. Vorher wären diese Informationen nur für Banken zugänglich gewesen. Open Banking hat zu mehreren neuen und innovativen Dienstleistungen geführt, die Kunden und Unternehmen dabei helfen, Transaktionen flexibler und effizienter zu gestalten und darüber hinaus ihre finanziellen Möglichkeiten zu optimieren. Manche Anwendungsbereiche von Open Banking umfassen auch die Zahlungsauslösung, bei der Drittanbieter mit Zustimmung des Kunden Zahlungen in seinem Namen ausführen.
Im Endeffekt ist Screen Scraping also selbst ein technologisches Vehikel für Open Banking, wenngleich eben mit einigen Nachteilen behaftet. Obwohl andere Technologien an Popularität gewinnen, ist Screen Scraping unter PSD2 noch immer zulässig, wenn die modernere und sicherere API-Technologien nicht verfügbar sind oder nicht funktionieren.
Screen Scraping vs. APIs
Die Hauptalternative zu Screen Scraping im Open-Banking-Bereich sind APIs. APIs verbinden verschiedene Anwendungen miteinander, damit diese Daten austauschen können. Doch im Gegensatz zu Screen Scraping machen sie dies auf sichere, einheitliche und komplett verschlüsselte Weise. Sie befolgen ebenfalls den Grundsatz der Datenminimierung, was bedeutet, dass (mit Zustimmung des Kunden) auf Teile der Account-Daten zugegriffen werden kann, statt stets auf alle Kundendaten, wie es bei Screen Scraping der Fall ist.
Banken stellen ihre eigenen APIs zur Verfügung, mit denen sich andere Unternehmen verbinden können. Dabei müssen die APIs in der EU den Anforderungen der Technischen Regulierungsstandards (RTS) entsprechen, die von der Europäischen Bankenaufsicht vorgegeben werden. Jeder, der sich mit diesen APIs verbinden will, muss ebenfalls eine Erlaubnis von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einholen. In der EU gibt es verschiedene Standards für APIs, die es Anbietern aber allesamt ermöglichen, die PSD2 umzusetzen.
Weiter Details zu Open Banking
Seit die PSD2 Anfang 2018 in Kraft getreten ist, haben sich die Open-Banking-APIs von Banken kontinuierlich verbessert. Und es gibt auch immer mehr Anwendungsmöglichkeiten.
In unserem ultimativen Open-Banking-Guide erfahren Sie mehr über die Funktionsweise von APIs, wofür sie eingesetzt werden können und welche Vorteile sie Unternehmen bieten.