Hongkong verbietet unsichere Passwörter: Broker müssen auf Passkeys umsteigen
Veröffentlicht: 13.07.2026 um 00:06 Uhr, Redaktion boerse-global.de
Ein Schritt mit Signalwirkung für die gesamte Region.
Die Hongkonger Securities and Futures Commission (SFC) hat am heutigen Sonntag eine richtungsweisende Verfügung erlassen. Alle Internet-Broker und lizenzierten Plattformen für virtuelle Vermögenswerte müssen künftig auf phishing-resistente Authentifizierungsverfahren setzen. Die traditionellen Einmal-Passwörter (OTPs) haben damit ausgedient – sie sollen durch Technologien wie Passkeys ersetzt werden.
Haftung für Sicherheitslücken
Die neue Regelung betrifft sowohl Kunden-Logins als auch die Gerätebindung. Während große Broker die Maßnahmen sofort umsetzen sollen, gewährt die Aufsicht der Branche eine Übergangsfrist von zwölf Monaten für System-Upgrades und Kundenaufklärung.
Ein entscheidender Punkt: Die Institute haften künftig für finanzielle Verluste ihrer Kunden, wenn diese durch die vorgeschriebenen Sicherheitsprotokolle hätten verhindert werden können. Dr. Eric Yip, Exekutivdirektor der SFC, betonte die Notwendigkeit dieser ganzheitlichen Maßnahmen zum Schutz des digitalen Handelsökosystems.
Asien setzt auf Passwortlosigkeit
Hongkong reiht sich damit in einen breiteren Trend im asiatisch-pazifischen Raum ein. Singapur hatte bereits am 1. Juli sein Singpass-Passkey-System gestartet, das auf den Standards der FIDO-Allianz basiert. Die Verschlüsselungsschlüssel sind dort an bestimmte Mobilgeräte gebunden – und das System ist bereits mit über 1.400 Diensten integriert, darunter große Banken und Gesundheitsdienstleister. Sicherheitsanalysten vermelden: In den vergangenen fünf Jahren gab es keinen einzigen erfolgreichen Angriff auf das Singpass-Ökosystem.
Wer die neuen SFC-Vorgaben für Passkeys ignoriert, riskiert Haftung für Kundenschäden – bei durchschnittlichen Datenpannen-Kosten von 4,5 Millionen Euro. Dieser Report liefert die Checkliste für die Migration und den DORA-Fahrplan. Jetzt kostenlosen Compliance-Report anfordern
Auch auf den Philippinen vollzieht sich der Wandel. Banken und E-Wallet-Anbieter steigen dort von OTPs auf sogenannte stille oder risikobasierte Authentifizierung um. Hintergrund ist die Frist zur Einhaltung der BSP Circular 1213, die bereits im Juni 2025 ablief.
Neue Abwehrzentren gegen Cyberkriminalität
Die Region rüstet weiter auf: Am 10. Juli begann in Hanoi, Vietnam, der Bau eines neuen Regional Counter Cybercrime Hub. Die Einrichtung wird von der UN-Behörde für Drogen- und Verbrechensbekämpfung unterstützt und soll internationale Forschung, Schulungen und Informationsaustausch gegen Cyberbedrohungen ermöglichen.
Parallel dazu hat der südkoreanische Telekommunikationsriese KT am heutigen Sonntag ein Informationssicherheits-Beratungskomitee ins Leben gerufen. Externe Experten sollen das Unternehmen zu Zero-Trust-Architekturen und proaktiven Präventionsstrategien beraten. Yoonyoung Park, CEO von KT, betonte die wachsende Bedeutung moderner Zugangskontrollen angesichts immer raffinierterer Cyberangriffe.
Die nächste Welle der Angriffe
Während Hongkong OTPs verbietet, steigen Cyberangriffe auf Zugangsdaten rasant – Okta warnt vor Vishing-Kampagnen mit gefälschten Passkey-Seiten. Sichern Sie Ihr Institut mit dem Whitepaper zu phishing-resistenter Authentifizierung. Whitepaper jetzt sichern
Doch während die Sicherheitsbranche aufrüstet, passen sich auch die Angreifer an. Der Sicherheitsdienstleister Okta warnt vor einer Vishing-Kampagne, die seit April 2026 beobachtet wird und auf Microsoft-365-Zugangsdaten abzielt. Die Täter nutzen gefälschte Registrierungsseiten, um Nutzer zur Hinterlegung von Angreifer-kontrollierten Passkeys zu bewegen. Besonders betroffen sind die Gesundheits-, Luftfahrt- und Automobilbranche.
Die Dringlichkeit solcher Maßnahmen unterstreichen aktuelle Branchendaten: Die durchschnittlichen Kosten einer Datenpanne lagen 2024 bei umgerechnet rund 4,5 Millionen Euro. Softwareanbieter wie Rocket Software reagieren bereits mit neuen Tools für sicheren Host-Zugriff, die Multi-Faktor-Authentifizierung und Single-Sign-On integrieren – und so Unternehmen bei der Einhaltung internationaler Regularien wie dem Digital Operational Resilience Act (DORA) unterstützen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
