Zum Inhalt springen

Gestohlene Zugangsdaten gehören laut der Studie weiterhin zu den beiden häufigsten Erstzugangswegen in allen Branchen, Verizon-Bericht zu Untersuchungen von Datenschutzverletzungen 2026—und bei Banken, wo digitale Konten direkten Zugang zu Finanzdienstleistungen ermöglichen, sind sie weiterhin die treibende Kraft hinter Kontoübernahmebetrug, „Credential Stuffing“ und groß angelegten Echtzeit-Phishing-Kampagnen.

Die Reaktion der Regulierungsbehörden war eindeutig: PSD3 und PSR1 werden derzeit in allen EU-Mitgliedstaaten aktiv umgesetzt, DORA ist in Kraft getreten, und die Regulierungsbehörden in der EU, den Vereinigten Staaten und im asiatisch-pazifischen Raum nähern sich einer einheitlichen Anforderung an – der phishing-resistenten Authentifizierung.

FIDO2-Passkeys sind derzeit der klarste Weg, um diese Anforderungen zu erfüllen. Doch das Thema endet nicht bei den Passkeys. Das Aufkommen des Quantencomputings bedeutet, dass die kryptografischen Grundlagen der heutigen Authentifizierungsarchitektur einer längerfristigen Bedrohung ausgesetzt sind, auf die vorausschauende Institutionen bereits heute reagieren müssen. Dieser Artikel erläutert, wie die passwortlose FIDO2-Authentifizierung im Bankwesen funktioniert, welche Anforderungen PSD3 und PSR1 stellen und warum Post-Quanten-Kryptografie in Ihrer Roadmap berücksichtigt werden sollte – ergänzt durch acht Fragen, mit denen Sie den aktuellen Stand Ihres Instituts einschätzen können.

Warum reichen Passwörter im Bankwesen nicht mehr aus?

Moderner Bankbetrug zielt selten isoliert auf Passwörter ab. Angreifer nutzen die um sie herum aufgebauten Systeme aus: Echtzeit-Phishing-Proxys fangen SMS-Einmalcodes ab, noch bevor die Nutzer diese vollständig eingegeben haben; bei SIM-Swap-Angriffen werden Bestätigungsnachrichten auf vom Angreifer kontrollierte Geräte umgeleitet; Social-Engineering-Angriffe an Helpdesk-Zugangspunkten umgehen die primäre Authentifizierung vollständig. Eine auf gemeinsamen Geheimnissen basierende Authentifizierung schafft Angriffsflächen, die sich durch Richtlinienkontrollen allein nicht schließen lassen.

Was macht den Bankensektor zu einem besonders attraktiven Ziel für Angriffe auf Zugangsdaten?

Betrug durch Kontoübernahme ist nach wie vor die häufigste Angriffsmethode im digitalen Bankwesen. Mit „Credential-Stuffing“-Tools werden in automatisierten Kampagnen Milliarden von zuvor offengelegten Benutzernamen-Passwort-Kombinationen bei Bankportalen ausprobiert. Die Multi-Faktor-Authentifizierung (MFA) hat die Sicherheitsstandards angehoben – doch nicht alle MFA-Verfahren sind gleichwertig. SMS-OTPs und Push-Benachrichtigungen sind weiterhin anfällig für Phishing: Ein Angreifer, der einen Nutzer dazu verleitet, eine Echtzeit-Push-Benachrichtigung zu bestätigen, erlangt Zugriff, unabhängig vom zweiten Faktor im Authentifizierungsablauf.

FIDO2-Passkeys lösen dieses Problem auf Architekturebene und nicht auf Richtlinienebene. Indem sie gemeinsame Geheimnisse überflüssig machen und Anmeldedaten an bestimmte Domänen der vertrauenden Partei (RP) binden, beseitigen sie den Mechanismus, der Phishing wirtschaftlich rentabel macht – es gibt nichts, was abgefangen, weitergeleitet oder wiederholt werden könnte.

Wie funktioniert die passwortlose FIDO2-Authentifizierung im Bankwesen?

FIDO2 ist ein offener Authentifizierungsstandard, der von der FIDO-Allianz in Zusammenarbeit mit dem W3C. Die WebAuthn-Spezifikation ermöglicht es Browsern und Anwendungen, Nutzer mithilfe kryptografischer Anmeldedaten – sogenannter Passkeys – anstelle von Passwörtern zu authentifizieren.

Wenn ein Nutzer einen Passkey registriert, generiert das Gerät ein Schlüsselpaar aus öffentlichem und privatem Schlüssel. Der private Schlüssel verlässt das Gerät zu keinem Zeitpunkt; die Bank speichert lediglich den öffentlichen Schlüssel. Bei der Authentifizierung sendet die Bank eine Challenge; das Gerät signiert diese mit dem privaten Schlüssel; die Bank überprüft die Signatur. Es werden keine Geheimnisse übertragen. Jede Zugangsberechtigung ist zudem kryptografisch an eine bestimmte Domain gebunden, sodass sie nicht auf einer Phishing-Seite verwendet werden kann – selbst wenn diese eine pixelgenaue visuelle Nachbildung des legitimen Bankportals darstellt.

Passkeys vs. Hardware-Sicherheitsschlüssel: Was ist die richtige Lösung für Ihre Bank?

Passkeys gibt es in zwei Hauptformen. Synchronisierte Passkeys werden über Plattform-Ökosysteme wie den Apple iCloud Keychain oder den Google Password Manager auf allen Geräten eines Nutzers repliziert. Sie vereinfachen die Wiederherstellung und eignen sich besonders gut für Privatkunden. Gerätegebundene Passkeys sind an ein einzelnes Gerät gebunden und werden niemals exportiert, was eine höhere Sicherheit für privilegierten Zugriff, Firmenkunden oder Transaktionen mit hohem Wert gewährleistet.

Für Institutionen, die ein Höchstmaß an Sicherheit benötigen – Firmenkunden, privilegierte Administratoren oder Umgebungen, in denen eine Trennung vom Hauptgerät des Benutzers vorgeschrieben ist –, bieten Hardware-Sicherheitsschlüssel ein dediziertes Authentifizierungsgerät ohne Internetverbindung und eine obligatorische Überprüfung der Anwesenheit des Benutzers bei jeder Nutzung. Die RSA iShield Key Serie 2 bietet eine FIDO2-zertifizierte Hardware-Authentifizierung, die sich in RSA ID Plus in Cloud-, Hybrid- und lokalen Umgebungen – so können Banken von einer einzigen Plattform aus für jede Nutzergruppe den passenden Authentifikator bereitstellen.

RSA hat die passwortlose Authentifizierung „FIDO2“ für seine gesamte weltweite Belegschaft eingeführt und innerhalb von zwölf Monaten eine nahezu vollständige Akzeptanz auf den verwalteten Endgeräten erreicht. Der vollständige Bericht – einschließlich der Vorgehensweise beim Umgang mit Altlasten und beim Änderungsmanagement auf Unternehmensebene – ist im Innerhalb von RSA: Bereitstellung von FIDO und passwortlosen Lösungen in großem Maßstab Fallstudie, die in Zusammenarbeit mit der FIDO-Allianz entwickelt wurde.

Entspricht FIDO2 den Anforderungen von PSD3 und PSR1?

Bei korrekter Implementierung erfüllt FIDO2 die Anforderungen der PSD2 an die starke Kundenauthentifizierung (SCA). Das Authentifizierungsgerät stellt den Besitzfaktor dar; ein biometrisches Merkmal oder eine PIN stellt den Inhärenz- bzw. den Wissensfaktor dar. Die dynamische Verknüpfung – also die Bindung der Authentifizierung an einen bestimmten Transaktionsbetrag und einen bestimmten Zahlungsempfänger – kann in FIDO2-Abläufe integriert werden, wodurch das Verfahren zu einer vollständigen SCA-Lösung sowohl für die Identitätsauthentifizierung als auch für die Zahlungsgenehmigung wird.

Was ändert sich durch PSD3/PSR1 bei der Authentifizierung im Bankwesen?

Für die PSD3 und die dazugehörige Verordnung PSR1 wurde 2025 eine politische Einigung erzielt; derzeit befinden sie sich in der aktiven Umsetzung, wobei sich die Übergangsfristen bis in die Jahre 2027 und 2028 erstrecken. Für Authentifizierungsteams sind drei Änderungen von besonderer Bedeutung. Erstens führen PSD3/PSR1 strengere Anforderungen an eine phishingresistente SCA ein – sie gehen über das grundlegende Zwei-Faktor-Modell der PSD2 hinaus und zielen auf Methoden ab, die nicht abgefangen oder weitergeleitet werden können. Zweitens sehen sich Banken einer erhöhten Haftung in Betrugsfällen gegenüber, in denen eine phishingresistente Authentifizierung verfügbar war, aber nicht eingesetzt wurde. Drittens müssen Finanzinstitute obligatorische alternative Authentifizierungsmethoden für Nutzer bereitstellen, die die primäre Methode nicht nutzen können, was eine Architektur mit mehreren Authentifikatoren anstelle einer Ein-Methode-Lösung erfordert.

FIDO2 mit gerätegebundenen Passkeys oder Hardware-Sicherheitsschlüsseln steht in direktem Einklang mit den Vorgaben von PSD3/PSR1. Institute, die FIDO2 bereits eingeführt haben, sind besser in der Lage, die Einhaltung der Vorschriften nachzuweisen – und die von den Aufsichtsbehörden geforderten Aufzeichnungen über Zugriffsprüfungen sowie Audit-Unterlagen vorzulegen. RSA Governance & Lebenszyklus automatisiert die Aufzeichnung von Zugriffskontrollen und die Erstellung von Compliance-Berichten und verkürzt so die Vorbereitungszeit für Audits von Wochen auf Stunden.

Warum ist die Post-Quanten-Kryptografie gerade jetzt für die Authentifizierung im Bankwesen von Bedeutung?

Quantencomputer, die in der Lage sind, die derzeitige asymmetrische Verschlüsselung zu knacken, sind noch nicht im Handel erhältlich. Das Planungsproblem besteht jedoch bereits. Die als “Harvest now, decrypt later” bekannte Angriffsstrategie – das Sammeln von verschlüsseltem Netzwerkverkehr heute mit der Absicht, ihn zu entschlüsseln, sobald die Quantenfähigkeiten ausgereift sind – wird bereits von versierten Angreifern umgesetzt, die es auf hochkarätige Institutionen abgesehen haben. Für Banken, bei denen Authentifizierungsdaten und langfristige Kundendaten Ziele von anhaltendem Interesse darstellen, bedeutet dies eine echte Risikolage, die Maßnahmen erfordert, bevor die Quantenbedrohung Realität wird.

Was versteht man unter der Bedrohung “Harvest now, decrypt later”?

Die heutige Standard-Kryptografie mit öffentlichen Schlüsseln – die Grundlage von TLS, digitalen Signaturen und FIDO2-Authentifizierungsvorgängen – stützt sich auf mathematische Probleme, die klassische Computer in großem Maßstab nicht lösen können. Ein ausreichend leistungsfähiger Quantencomputer, auf dem Shors Algorithmus läuft, könnte diese Probleme effizient lösen und damit alle nach den heutigen Standards verschlüsselten Daten rückwirkend offenlegen. Institutionen, die authentifizierungsbezogene Daten speichern oder übertragen, sollten davon ausgehen, dass versierte Angreifer diese möglicherweise bereits für eine zukünftige Entschlüsselung archivieren.

Die Post-Quanten-Standards des NIST und der Weg in die Zukunft für Banken

Im August 2024, Das NIST hat seine ersten drei Standards für Post-Quanten-Kryptografie fertiggestellt: ML-KEM (gitterbasierte Schlüsselkapselung), ML-DSA (gitterbasierte digitale Signaturen) und SLH-DSA (hashbasierte Signaturen) – alle darauf ausgelegt, sowohl gegen klassische als auch gegen Quantenangriffe sicher zu sein. Die FIDO-Allianz arbeitet aktiv daran, PQC-Algorithmen in den FIDO2-Standard zu integrieren, wodurch Passkeys und Hardware-Sicherheitsschlüssel ihre Phishing-Resistenz auch angesichts der fortschreitenden Entwicklung der Quantencomputer beibehalten können.

Die Unterstützung von RSA ID Plus für Hybrid- und On-Premises-Bereitstellungen bietet Finanzinstituten architektonische Flexibilität bei der Integration von PQC-Standards in ihre Identitätsinfrastruktur. Anstatt eine einzige groß angelegte Migration durchführen zu müssen, können Banken bereits heute ihre Authentifizierungsmethoden absichern und quantenresistente Algorithmen schrittweise einbinden, sobald die PQC-Spezifikationen der FIDO Alliance ausgereift sind. Erfahren Sie mehr Die umfassenden Funktionen von RSA zur passwortlosen Authentifizierung.

8 Fragen zur Bewertung Ihrer Strategie für passwortloses Banking

Diese Fragen basieren auf den Erfahrungen von RSA bei der Einführung in Unternehmen sowie auf den aktuellen regulatorischen Vorgaben für Finanzinstitute. Nutzen Sie sie, um Lücken zu erkennen, bevor sie zu Prüfungsfeststellungen werden.

  1. Haben Sie alle Passwortabhängigkeiten in Ihren Registrierungs-, Wiederherstellungs- und Richtlinienabläufen erfasst – und nicht nur den primären Anmeldepfad?

Die Abläufe bei der Registrierung und der Kontowiederherstellung sind die am häufigsten übersehenen Passwortabhängigkeiten. Ihre Beseitigung vor der Einführung von Passkeys ist für eine wirklich passwortlose Architektur unerlässlich.

  1. Erfüllen Ihre derzeitigen Authentifizierungsmethoden die Anforderungen von PSD3/PSR1 SCA hinsichtlich Phishing-Resistenz, einschließlich dynamischer Verknüpfung für die Zahlungsautorisierung?

FIDO2 erfüllt die SCA-Anforderungen – doch die Einhaltung der Vorschriften hängt von den Implementierungsdetails ab. Vergewissern Sie sich, dass Ihre Konfiguration sowohl die Identitätsauthentifizierung bei der Anmeldung als auch die Signierung von Transaktionen bei der Zahlungsgenehmigung abdeckt.

  1. Kann Ihre Authentifizierungsarchitektur verschiedene Authentifizierungstypen für unterschiedliche Benutzergruppen – Privatkunden, Unternehmenskunden, Filialmitarbeiter und Administratoren mit erweiterten Rechten – unterstützen?

Ein einziger Authentifizierungstyp wird den Anforderungen aller Benutzergruppen selten gerecht. Eine Architektur mit mehreren Authentifizierungstypen ist eine Planungsvoraussetzung und kein späteres Upgrade.

  1. Sind Ihre Verfahren zur Kontowiederherstellung genauso sicher wie Ihre primäre Authentifizierungsmethode?

Wiederherstellungsprozesse sind häufig das schwächste Glied in ansonsten phishingresistenten Architekturen. Social Engineering im Rahmen des Helpdesk-Wiederherstellungsprozesses ist ein gut dokumentierter Angriffsvektor.

  1. Entsprechen Ihre IKT-Verträge mit Drittanbietern für Authentifizierungsdienste den Anforderungen von Artikel 30 der DORA – einschließlich Verfügbarkeitsgarantien, Fristen für die Meldung von Vorfällen und Prüfungsrechten?

Authentifizierungsdienste gelten im Rahmen von DORA als kritische IKT-Drittanbieterdienste. Verträge, die vor Januar 2025 abgeschlossen wurden, müssen möglicherweise vor Ihrer nächsten aufsichtsrechtlichen Überprüfung angepasst werden.

  1. Haben Sie die Post-Quantum-Anfälligkeit Ihres derzeitigen Authentifizierungsstacks bewertet – insbesondere, welche kryptografischen Algorithmen verwendet werden und welche umgestellt werden müssen?

Dies ist eine Planungsmaßnahme, die jetzt in Angriff genommen werden sollte, solange die Zeitrahmen noch lang genug sind, um methodisch statt reaktiv vorzugehen.

  1. Unterstützt Ihre Identitätsplattform eine hybride oder eine On-Premises-Bereitstellung, um die Betriebsresilienz zu gewährleisten und die Vorschriften zur Datenlokalisierung einzuhalten?

Eine rein cloudbasierte Authentifizierung ohne hybrides Failover erfüllt möglicherweise nicht die Anforderungen der DORA an die Betriebskontinuität. Eine hybride Bereitstellung wird zunehmend von den Aufsichtsbehörden erwartet.

  1. Kann Ihre Plattform die für DORA, PSD3/PSR1 und nationale Aufsichtsprüfungen erforderlichen Zugriffsprotokolle, Vorfallprotokolle und Compliance-Berichte automatisch erstellen?

Eine manuelle Compliance-Berichterstattung in großem Umfang ist nicht nachhaltig. Die Automatisierung sollte bei der Bewertung von Authentifizierungsplattformen ein ausdrückliches Auswahlkriterium sein.

RSA ID Plus ist so konzipiert, dass alle acht Fragen mit „Ja“ beantwortet werden können. Entdecken Sie die Lösungen von RSA für die passwortlose Authentifizierung oder Eine Beratung anfragen zusammen mit dem RSA-Team für Identitätssicherheit.

Der Weg zum passwortlosen Banking

Passwortloses Banking ist keine Entscheidung für ein einzelnes Produkt – es handelt sich um einen architektonischen Wandel, der Authentifizierungsmethoden, Abläufe zur Kontowiederherstellung, behördliche Dokumentation, Verträge mit Drittanbietern und die langfristige kryptografische Planung betrifft. FIDO2-Passkeys bilden die Grundlage: Phishing-Resistenz, starke domänengebundene Kryptografie und direkte regulatorische Konformität mit PSD3/PSR1 und DORA. Eine erfolgreiche Einführung erfordert eine koordinierte Planung über all diese Bereiche hinweg.

RSA hat die passwortlose Authentifizierung „FIDO2“ für seine gesamte weltweite Belegschaft eingeführt und dabei jede Integrationsherausforderung, jede Abhängigkeit von Altsystemen und jede Hürde beim Änderungsmanagement dokumentiert. Entdecken Sie die passwortlosen Funktionen von RSA, lies den Fallstudie zur RSA-Implementierung in Unternehmen, oder Eine Beratung anfragen um die Bereitschaft Ihrer Einrichtung zu beurteilen.

Häufig gestellte Fragen zum passwortlosen Online-Banking
Was versteht man unter passwortloser Authentifizierung im Bankwesen?

Die passwortlose Authentifizierung im Bankwesen ersetzt Passwörter und gemeinsam genutzte Geheimnisse durch kryptografische Anmeldedaten, mit denen Benutzer authentifiziert werden, ohne dass sensible Daten übertragen werden. FIDO2-Passkeys nutzen die Kryptografie mit öffentlichen und privaten Schlüsseln: Der private Schlüssel verlässt niemals das Gerät des Benutzers; die Bank überprüft eine kryptografische Signatur. Die Zugangsdaten sind domänengebunden, wodurch Phishing und das Wiederverwenden von Zugangsdaten als Angriffsvektoren ausgeschlossen werden.

Wie funktionieren FIDO2-Passkeys im Bankwesen?

Wenn ein Benutzer einen Passkey registriert, generiert das Gerät ein Schlüsselpaar aus öffentlichem und privatem Schlüssel. Der private Schlüssel wird sicher auf dem Gerät gespeichert und niemals exportiert. Während der Authentifizierung sendet die Bank eine Anfrage; das Gerät signiert diese mit dem privaten Schlüssel; die Bank überprüft die Signatur anhand des gespeicherten öffentlichen Schlüssels. Jede Zugangsberechtigung ist kryptografisch an die Domain der Bank gebunden, sodass sie nicht auf Phishing-Seiten verwendet werden kann.

Entspricht FIDO2 den Anforderungen von PSD3 und PSR1?

FIDO2 erfüllt bei korrekter Implementierung die Anforderungen der PSD3/PSR1 an die starke Kundenauthentifizierung. Gerätegebundene Passkeys oder Hardware-Sicherheitsschlüssel erfüllen den Besitzfaktor; eine biometrische Authentifizierung oder eine PIN erfüllt den Inhärenz- bzw. den Wissensfaktor. Eine dynamische Verknüpfung zur Zahlungsautorisierung kann in die FIDO2-Abläufe integriert werden. Banken sollten sicherstellen, dass ihre spezifische Implementierung sowohl die Identitätsauthentifizierung als auch die Transaktionssignierung abdeckt.

Was ist der Unterschied zwischen synchronisierten Passkeys und gerätegebundenen Passkeys bei Banken?

Synchronisierte Passkeys werden über Plattform-Ökosysteme wie iCloud Keychain oder Google Password Manager geräteübergreifend repliziert, was die Benutzerfreundlichkeit verbessert und die Selbstwiederherstellung ermöglicht. Gerätegebundene Passkeys sind an ein einzelnes Authentifizierungsgerät gebunden und werden niemals exportiert, was ein höheres Maß an Sicherheit für privilegierten Zugriff, Firmenbankgeschäfte oder Transaktionen mit hohem Wert bietet.

Was ist Post-Quanten-Authentifizierung und warum ist sie für Banken von Bedeutung?

Die Post-Quanten-Authentifizierung nutzt kryptografische Algorithmen, die gegen Angriffe durch Quantencomputer resistent sind. Das derzeitige FIDO2-Verfahren basiert auf der Kryptografie mit elliptischen Kurven, die ein ausreichend leistungsfähiger Quantencomputer knacken könnte. Die Bedrohung ”Jetzt sammeln, später entschlüsseln“ bedeutet, dass Angreifer möglicherweise bereits verschlüsselten Authentifizierungsdatenverkehr für eine spätere Entschlüsselung archivieren. Das NIST hat im August 2024 drei Standards für Post-Quanten-Kryptografie (PQC) endgültig verabschiedet. Banken sollten die Planung der Umstellung auf PQC bereits jetzt in ihre Authentifizierungs-Roadmaps aufnehmen.

Inwiefern wirkt sich DORA auf die Authentifizierungsanforderungen im Bankwesen aus?

Die DORA verpflichtet Finanzinstitute in der EU, während Cybervorfällen die Betriebskontinuität ihrer IKT-Systeme – einschließlich Authentifizierungsdienste – aufrechtzuerhalten. Authentifizierungsplattformen müssen die Anforderungen von Artikel 30 der DORA für externe IKT-Anbieter erfüllen, darunter Verfügbarkeitsgarantien, Fristen für die Meldung von Vorfällen und Prüfungsrechte. Die DORA schreibt außerdem umfassende Prüfprotokolle und getestete Geschäftskontinuitätspläne vor, die die Verfügbarkeit der Authentifizierungssysteme abdecken.

Was ändert sich mit PSD3/PSR1 hinsichtlich der starken Kundenauthentifizierung?

PSD3 und PSR1 verschärfen die SCA-Anforderungen der PSD2 durch konkrete Vorgaben für eine phishingresistente Authentifizierung, eine erhöhte Haftung der Banken in Betrugsfällen, in denen phishingresistente Methoden verfügbar waren, aber nicht eingesetzt wurden, sowie durch verbindlich vorgeschriebene alternative Authentifizierungsmethoden. Die Übergangsfristen reichen bis in die Jahre 2027 und 2028.

Können cloudbasierte Authentifizierungslösungen die Anforderungen von DORA an die Betriebskontinuität erfüllen?

Eine cloudbasierte Authentifizierung kann die Anforderungen der DORA erfüllen, sofern die Plattform und die Verträge Artikel 30 entsprechen. Institute, die sich ausschließlich auf eine Cloud-Authentifizierung ohne hybrides Failover verlassen, könnten Schwierigkeiten haben, die von der DORA geforderte Betriebskontinuität nachzuweisen. RSA ID Plus unterstützt Cloud-, Hybrid- und On-Premises-Authentifizierung über eine einzige Plattform, wobei ein hybrides Failover sicherstellt, dass die Authentifizierungsdienste auch bei einer Unterbrechung der Cloud-Verbindung verfügbar bleiben.

Demo anfordern

Demo anfordern