Passkeys: Banken rüsten gegen Phishing-Angriffe auf

Die Finanzbranche führt passwortlose Passkeys ein, um Kunden besser zu schützen. Die Technologie soll Phishing und MFA-Bombing unwirksam machen.

Angesichts immer raffinierterer Betrugsmaschen wie dem „MFA-Bombing“ setzen Banken auf einen neuen Standard. Dabei überhäufen Kriminelle Nutzer mit Authentifizierungsanfragen, bis diese versehentlich eine betrügerische Transaktion freigeben. Als Antwort darauf beschleunigen deutsche und europäische Institute die Einführung von Passkeys.

So funktionieren die digitalen Schlüssel

Passkeys ersetzen das klassische Passwort durch ein kryptografisches Schlüsselpaar. Der private Schlüssel bleibt sicher auf dem Smartphone oder Computer des Nutzers. Nur der öffentliche Teil geht an die Bank.

Passend zum Thema Passkeys und Phishing: Moderne Angriffe wie MFA‑Bombing zielen gezielt auf die Schwachstelle „menschliches Verhalten“ und machen klassische Passwörter nutzlos. Das kostenlose Anti‑Phishing‑Paket erklärt in 4 Schritten, welche technischen Maßnahmen und Verhaltensregeln Banken und Kunden sofort schützen, welche psychologischen Tricks Hacker nutzen und wie Sie Transaktionen sicherer gestalten. Ideal für IT‑Verantwortliche und sicherheitsbewusste Nutzer. Anti-Phishing-Paket jetzt kostenlos herunterladen

Für den Login fordert die Bank eine digitale Signatur an, die nur mit dem privaten Schlüssel auf dem Nutzergerät erstellt werden kann. Der Nutzer bestätigt dies per Fingerabdruck oder Gesichtserkennung. Da kein Passwort übertragen wird, laufen Phishing-Angriffe ins Leere – selbst auf perfekt gefälschten Webseiten.

Druck von Regulierern und der Konkurrenz

Der Push für sicherere Methoden kommt nicht nur von der Bedrohungslage, sondern auch von der EU-Richtlinie PSD2. Sie schreibt eine Starke Kundenauthentifizierung vor. Viele etablierte Verfahren wie SMS-TANs gelten jedoch als nicht mehr zeitgemäß.

Internationale Vorreiter wie Revolut, Bank of America und BBVA haben Passkeys bereits eingeführt. Die Umstellung erfolgt meist schrittweise: Banken bieten zunächst ein Hybridmodell an, das Passwörter und Passkeys parallel unterstützt. Das langfristige Ziel ist ein vollständig passwortloses Banking.

Mehr Sicherheit, weniger Aufwand

Für Kunden bedeutet der Wechsel nicht nur mehr Sicherheit, sondern auch mehr Komfort:
* Das Merken und Ändern komplexer Passwörter entfällt.
* Anmeldungen und Transaktionsfreigaben laufen sekundenschnell über die Smartphone-Biometrie.
* Passkeys sind geräteübergreifend nutzbar, etwa über iCloud oder das Google-Konto.

Für Logins auf fremden Geräten genügt das Scannen eines QR-Codes mit dem eigenen Smartphone – sensible Daten verbleiben nicht auf dem Fremdgerät.

Ein Paradigmenwechsel mit Herausforderungen

Die Einführung von Passkeys markiert einen Wendepunkt: die Abkehr vom passwortbasierten System als größter Schwachstelle. Die FIDO-Allianz treibt diesen Standard seit Jahren voran.

Für die Banken liegt die Herausforderung nun in der Aufklärung. Sie müssen Kunden vermitteln, dass der Verlust des Smartphones nicht den Zugangsverlust bedeutet – sofern die Wiederherstellungsoptionen bei Apple oder Google eingerichtet sind. Zudem müssen sie zwischen bequemen, synchronisierten Schlüsseln und gerätegebundenen Schlüsseln für Hochsicherheitsanwendungen abwägen.

Wann kommt der passwortlose Standard?

Die vollständige Umstellung wird ein Marathon. Branchenbeobachter erwarten, dass in den kommenden ein bis zwei Jahren die Mehrheit der deutschen Banken Passkeys als optionale Methode anbietet. Die hohe Sicherheit und der Komfort könnten zu einer schnellen Akzeptanz führen.

Mittel- bis langfristig haben Passkeys das Potenzial, traditionelle Passwörter und einige TAN-Verfahren vollständig zu verdrängen. Für Verbraucher wäre das ein einfacher, aber hochwirksamer Schutzwall gegen Phishing.

PS: Phishing-Angriffe werden immer ausgefeilter – für einen zusätzlichen Schutz lohnt sich ein strukturierter Sicherheitsplan. Das Anti‑Phishing‑Paket fasst eine sofort umsetzbare 4‑Punkte-Strategie zusammen, kombiniert Technik, Mitarbeiter- und Kundenmaßnahmen und zeigt typische Angriffsvektoren wie MFA‑Bombing. Wenn Sie Kontoschutz und Transaktionssicherheit verbessern wollen, bietet dieser Gratis-Report einen klaren Startplan. Jetzt Anti‑Phishing‑Guide sichern