Japan FSA Passkeys: Push für Phishing-resistente MFA (2026)

1. Einführung: Warum die FSA-Seite vom 16. April 2026 wichtig ist#

Die Seite der japanischen FSA vom 16. April 2026 ist von Bedeutung, da sie den Fokus öffentlich von generischer MFA auf Phishing-resistente Authentifizierung verlagert. Die Seite nennt Passkeys und PKI als bevorzugte Beispiele, lehnt E-Mail- und SMS-OTP als ausreichenden Schutz gegen modernes Phishing ab und verwandelt eine rein brancheninterne Compliance-Diskussion in ein marktrelevantes Signal für Verbraucher.

Die Ankündigung der FSA vom 16. April 2026 in Japan wirkt auf den ersten Blick bescheiden. Es ist kein neues Gesetz. Es ist keine direkte Durchsetzungsmaßnahme. Sie veröffentlicht keine neue Compliance-Frist. Stattdessen führt sie eine öffentliche Kampagne mit herunterladbaren Broschüren und Postern ein.

Was die Financial Services Agency (FSA) hier tat, war, das Gespräch von einem Branchen-/Regulierungskanal in die Öffentlichkeit zu verlagern. Die Aufsichtsbehörde sagt nicht mehr nur Banken, Brokern und Wirtschaftsverbänden, dass sie die Authentifizierung stärken müssen. Sie sagt jetzt normalen Nutzern, dass:

• Nur-Passwort-Authentifizierung schwach ist,
• E-Mail- und SMS-OTP nicht mehr ausreichen,
• Nutzer Phishing-resistente MFA bevorzugen sollten und
• Passkeys und PKI-Authentifizierung die richtige Richtung sind.

Das ist eine deutliche Änderung im Ton. Und in stark regulierten Branchen wie dem Bankwesen wird der Ton oft lange vor dem Erscheinen des nächsten formellen Regelungstextes zu einem Implementierungsdruck.

Diese öffentliche Kampagne entstand auch nicht aus dem Nichts. In ihrem eigenen englischsprachigen Briefing-PDF vom Juni 2025 hatte die FSA bereits gewarnt, dass Authentifizierung nur mit ID/Passwort anfällig ist und dass Einmalpasswörter, die per E-Mail oder SMS gesendet werden, nicht effektiv genug gegen Phishing sind. Unterdessen beschrieben Branchenberichte Ende 2025 den japanischen Markt mit 64 Organisationen in der FIDO Japan Working Group und über 50 Passkey-Anbietern, die live oder geplant sind, was darauf hindeutet, dass die Dynamik der Bereitstellung bereits vor der öffentlichen Kampagne im April 2026 real war (Berichterstattung von CNET Japan). Einen umfassenderen Überblick darüber, wie sich japanische Banken, Plattformen und Aufsichtsbehörden in Richtung Passwordless bewegen, finden Sie in unserem Überblick über Passkeys in Japan.

2. Was die FSA am 16. April 2026 tatsächlich veröffentlichte#

Die Seite vom 16. April ist ein koordiniertes öffentliches Kampagnenpaket, keine einzelne Pressemitteilung. Es bündelt neun wiederverwendbare Assets (fünf PDF-Broschüren und vier Werbevideos), bringt Banken, Wertpapiergruppen und die Polizei hinter der gleichen Botschaft zusammen und sagt Verbrauchern, dass Phishing-resistente MFA die Abhängigkeit von Passwörtern plus OTP für risikoreiche Finanzvorgänge ersetzen sollte.

Die offizielle Seite verlinkt fünf PDF-Broschüren, organisiert als Überblick plus detaillierte Versionen von zwei Themen (Phishing-resistente MFA und Phishing-E-Mail-Sensibilisierung):

• Überblick (概要版)
• Phishing-resistente MFA, Überblick
• Phishing-resistente MFA, detailliert
• Phishing-E-Mail-Sensibilisierung, Überblick
• Phishing-E-Mail-Sensibilisierung, detailliert

Neben den PDFs bewirbt die Seite vier Werbevideos zu denselben beiden Themen, die sowohl im Drama- als auch im Manga-Format produziert wurden, damit die Kampagne verschiedene Altersgruppen und Lesekontexte erreichen kann, nicht nur politische Leser.

Die Kampagne ist als gemeinsame Anstrengung der FSA mit folgenden Parteien positioniert:

• landesweiten Bankenverbänden,
• Shinkin-Banken,
• Kreditgenossenschaften,
• Arbeitsbanken,
• Branchengruppen der Wertpapierwirtschaft und
• der National Police Agency.

Diese Breite ist wichtig. Dies ist keine Nischenwarnung nur für Wertpapiere. Es ist eine koordinierte Botschaft im gesamten japanischen Finanzökosystem für Privatkunden.

2.1 Die zentrale politische Botschaft#

Der Schlüsselbegriff, der in der Kampagne verwendet wird, ist フィッシングに耐性のある多要素認証, was Phishing-resistente Multi-Faktor-Authentifizierung bedeutet.

Die Broschüren erklären, dass ältere Authentifizierungsmethoden hinter das aktuelle Bedrohungsmodell zurückgefallen sind:

• Passwörter können durch Phishing gestohlen oder wiederverwendet werden,
• E-Mail / SMS OTP können in Echtzeit gestohlen werden,
• Malware kann die Nutzersitzung beobachten oder manipulieren, und
• gefälschte Websites können die echte Marke so genau nachahmen, dass eine visuelle Überprüfung keine zuverlässige Verteidigung darstellt.

Die Kampagne präsentiert dann zwei Hauptbeispiele für eine stärkere Authentifizierung:

1. Passkeys
2. PKI-basierte Authentifizierung

Dieser zweite Teil ist wichtig. Japan rahmt dies nicht rein als "Jeder muss Passkeys verwenden". Die Regulierungsbehörde rahmt das gewünschte Ergebnis als Phishing-resistente Authentifizierung ein, und Passkeys sind einer der klarsten Wege dorthin für den Massenmarkt.

Um diese Unterscheidung konkret zu machen, trennt das Framing der FSA implizit Authentifizierungsmethoden wie folgt:

2.2 Die Kampagne ist auch verhaltensorientiert#

Die Materialien konzentrieren sich nicht nur auf die Authentifizierungstechnologie. Sie weisen Nutzer auch darauf hin:

• zu vermeiden, sich über Links in E-Mails oder SMS anzumelden,
• Lesezeichen oder offizielle Apps zu verwenden,
• unbekannten Bildschirmen und ungewöhnlichen Aufforderungen zu misstrauen,
• offizielle App-Stores zu bevorzugen und
• vorsichtig bei seltsamen Browser-Anweisungen wie unerwarteten Tastenkombinationen zu sein.

Mit anderen Worten: Die FSA tut nicht so, als ob die Authentifizierungstechnologie allein das gesamte Problem löst. Sie kombiniert technische Gegenmaßnahmen mit Verhaltenshygiene.

3. Was hier neu ist und was nicht#

Die Seite vom 16. April ist neu, weil sie den öffentlichen Rahmen verändert, nicht weil sie ein neues eigenständiges Gesetz schafft. Die eigentliche Entwicklung besteht darin, dass die japanische Regulierungsbehörde nun öffentlich erklärt, warum Passkeys und PKI besser sind als Passwort-plus-OTP-Abläufe, und den Finanzinstituten damit eine stärkere Rückendeckung gibt, um die Authentifizierung auf Phishing-Resistenz umzustellen.

3.1 Was tatsächlich neu ist#

Die Seite vom 16. April ist in mindestens viererlei Hinsicht neu:

3.1.1 Passkeys sind nun Teil des öffentlichen Vokabulars der Regulierungsbehörde#

Viele Regulierungsbehörden sprechen in abstrakten Begriffen über MFA. Die japanische FSA macht etwas Konkreteres: Sie teilt der Öffentlichkeit mit, dass Passkeys ein stärkerer Schutz gegen Phishing und Identitätsdiebstahl sind als ältere Login-Muster.

Das ist wichtig, weil die öffentliche Benennung Produktentscheidungen verändert. Sobald die Regulierungsbehörde Passkeys öffentlich nennt, können Finanzinstitute Investitionen intern leichter rechtfertigen:

• Compliance-Teams können die Regulierungsbehörde zitieren,
• Risiko-Teams können Passkeys direkt mit der Reduzierung von Phishing-Verlusten in Verbindung bringen,
• Produkt-Teams können Passkeys so positionieren, dass sie mit den offiziellen Leitlinien übereinstimmen und nicht als optionales Innovationsprojekt gelten.

3.1.2 Die FSA stuft OTP öffentlich herab#

Das ist keine subtile Andeutung. Die Materialien besagen, dass OTP, das per E-Mail oder SMS zugestellt wird, immer noch umgangen werden kann durch:

• Echtzeit-Phishing,
• Man-in-the-Middle-Interception und
• Malware-gestützten Diebstahl.

Das ist stärker als ein allgemeiner Best-Practice-Hinweis, der besagt, OTP sei "weniger sicher". Es ist die Regulierungsbehörde, die der Öffentlichkeit sagt, dass OTP-basierte MFA keinen nennenswerten Phishing-Schutz bietet.

3.1.3 Die Botschaft ist branchenübergreifend#

Japan beschränkt dies nicht auf eine Branche. Banken, Broker und andere Finanzakteure sind alle Teil desselben öffentlichen Signals. Das erhöht die Wahrscheinlichkeit einer breiteren Ökosystem-Normalisierung:

• Banken können Nutzer dahingehend trainieren, stärkere Logins zu erwarten,
• Broker können stärkere Authentifizierung zur Voreinstellung für risikoreiche Aktionen machen,
• Nutzer werden institutionsübergreifend auf ähnliche Formulierungen stoßen anstatt auf widersprüchliche Erklärungen.

3.1.4 Die FSA klärt den Verbraucher direkt auf#

Dies ist der wichtigste Punkt.

Es gibt einen großen Unterschied zwischen:

• einer Regulierungsbehörde, die Finanzinstituten sagt, was sie implementieren sollten, und
• einer Regulierungsbehörde, die Kunden sagt, wie sichere Authentifizierung heute aussieht.

Der zweite Schritt reduziert das politische und UX-Risiko des Rollouts. Eine Bank oder ein Broker kann nun sagen: "Das ist nicht nur unsere Idee; dies ist die Richtung, die die Regulierungsbehörde selbst fördert."

3.2 Was nicht neu ist#

Die Seite selbst schafft nicht:

• ein neues eigenständiges Mandat,
• eine neue Implementierungsfrist,
• eine detaillierte technische Spezifikation für Passkeys,
• eine Erklärung, dass Passkeys die einzige akzeptable Technologie sind, oder
• eine Liste von Sanktionen, die direkt an diese Kampagne gebunden sind.

Diese Unterscheidung ist wichtig, da viele Leser die Ankündigung als "Japan hat gerade Passkeys vorgeschrieben" überbewerten werden. Das ist nicht präzise genug.

Die bessere Lesart ist:

Das ist strategisch wichtig, auch wenn es für sich genommen keine neue Regel ist.

4. Warum es richtig ist, dass sich die FSA auf Phishing-resistente MFA statt auf generische MFA konzentriert#

Die FSA hat Recht, denn generische MFA lässt den Hauptbetrugsweg weiterhin intakt. Ein Passwort plus OTP fügt lediglich ein weiteres wiederverwendbares Geheimnis hinzu, während Phishing-resistente MFA das Protokoll so ändert, dass die gefälschte Website die Authentifizierung nicht abschließen kann, selbst wenn der Nutzer zur Eingabe verleitet wird.

4.1 OTP löst das Problem von gestern#

SMS- und E-Mail-OTP wurden entwickelt, um das Replay von Credentials zu erschweren. Sie wirken gegen einige ältere Angriffsmuster, aber moderne Angreifer müssen einen Code nicht Stunden später wiederholen. Sie stehlen ihn in Echtzeit. Dies ist in einem Markt umso wichtiger, in dem die Wiederverwendung von Passwörtern immer noch extrem hoch ist, was bedeutet, dass der erste Faktor häufig bereits kompromittiert ist, bevor der OTP-Schritt überhaupt beginnt.

Das ist das Kernproblem bei Echtzeit-Phishing:

1. Ein Opfer landet auf einer gefälschten Website.
2. Das Opfer gibt Benutzername und Passwort ein.
3. Der Angreifer leitet diese Anmeldeinformationen an die echte Website weiter.
4. Die echte Website fordert ein OTP an.
5. Die gefälschte Website bittet das Opfer um das OTP.
6. Der Angreifer verwendet es sofort, um das echte Login abzuschließen.

In diesem Ablauf stoppt das OTP den Angreifer nicht. Es wird einfach zu einem weiteren Geheimnis, das dem Opfer entlockt werden kann.

4.2 Passkeys verändern das Vertrauensmodell#

Passkeys funktionieren anders, weil sie origin-bound (an den Ursprung gebunden) sind. Das Credential kann nur auf der legitimen Website verwendet werden, die mit der Relying Party des Passkeys verknüpft ist. Die technische Grundlage für dieses Verhalten findet sich in der W3C WebAuthn-Spezifikation und der Passkey-Dokumentation der FIDO Alliance, die beide das Site-gebundene Challenge-Response-Modell beschreiben, das verhindert, dass eine gefälschte Domain ein für die echte Domain erstelltes Credential wiederverwendet.

Das bedeutet, dass eine gefälschte Domain den Nutzer nicht einfach bitten kann, "den Passkey einzugeben", wie sie es bei einem Passwort oder OTP tut. Es gibt nichts Wiederverwendbares zum Eintippen, und der Browser / das Betriebssystem überprüft den Site-Kontext, bevor die Authentifizierung fortgesetzt werden kann.

Aus diesem Grund sind Passkeys für die Phishing-resistente Authentifizierung von zentraler Bedeutung:

• es gibt kein Shared Secret, das erneut eingegeben werden muss,
• der Nutzer wird nicht aufgefordert, einen wiederverwendbaren Code manuell zu übertragen,
• der private Schlüssel verlässt das Nutzergerät niemals und
• der Authenticator ist an den legitimen Ursprung gebunden.

Aus diesem Grund ist die Kampagne vom 16. April wichtig. Die FSA sagt nicht nur: "Nutzen Sie bessere MFA". Sie weist auf Authentifizierungsmethoden hin, bei denen die Phishing-Site auf der Protokollebene scheitert, anstatt den Nutzer aufzufordern, den Betrug manuell zu erkennen.

4.3 PKI ist ebenfalls wichtig#

Japans Kampagne hebt auch PKI hervor und erwähnt ausdrücklich, dass My Number Card-Credentials in Authentifizierungskontexten verwendet werden können.

Das ist kein Zufall. Japan hat eine tiefere institutionelle Geschichte mit zertifikatsorientierten Identitätsmodellen als viele westliche Verbrauchermärkte. Der wahrscheinliche japanische Endzustand ist also nicht "nur Passkeys". Es ist eher:

• Passkeys für Mainstream-Verbraucher-Logins und Step-up-Abläufe,
• PKI / zertifikatsbasierte Authentifizierung für höhere Sicherheit oder Use Cases im Bereich Identität, die dem öffentlichen Sektor ähneln,
• und eine breitere regulatorische Präferenz für Phishing-resistente Ergebnisse.

Für Produkt-Teams bedeutet das, dass der richtige strategische Vergleich nicht "Passkeys vs. Passwörter" lautet. Er lautet eher:

• Passkeys vs. E-Mail/SMS OTP für Verbraucher-Logins,
• Passkeys vs. In-App Soft Tokens für Banking UX,
• Passkeys vs. PKI für Assurance und Identity Proofing Ebenen.

5. Warum der 16. April im Kontext von Japans früherer regulatorischer Ausrichtung noch wichtiger ist#

Der 16. April ist wichtig, weil er einen aufsichtsrechtlichen Trend in eine öffentliche Norm verwandelt. Nachdem die FSA im Jahr 2025 davor gewarnt hat, dass Nur-Passwort- und OTP-lastige Authentifizierung zu schwach sind, sagt die Kampagne im April 2026 den Verbrauchern direkt, wie der Ersatz aussehen sollte: Phishing-resistente MFA unter Verwendung von Passkeys, PKI oder beidem.

Bis 2025 und Anfang 2026 bewegte sich der japanische Finanzsektor nach Phishing-bedingten Konto-Kompromittierungen bei Wertpapieren und anderen Online-Finanzdienstleistungen bereits auf stärkere Kontrollen zu. Der Hintergrund ist eine Reihe von hochkarätigen Datenschutzverletzungen in Japan, die Account Takeover und Credential-Diebstahl auf der regulatorischen Agenda hielten. In zugehörigen FSA-Materialien und späteren Kommentaren zu Richtlinienänderungen traf die Regulierungsbehörde eine schärfere Unterscheidung zwischen:

• "irgendeiner MFA" und
• Phishing-resistenter MFA.

Dieser Unterschied ist alles.

Generische MFA kann Nutzer immer noch anfällig machen für:

• OTP-Diebstahl,
• Weiterleitung auf gefälschte Websites,
• Push-Müdigkeit / Missbrauch von Bestätigungen,
• kompromittierte Endgeräte,
• schwache Wiederherstellungsabläufe.

Im Gegensatz dazu versucht Phishing-resistente MFA explizit, den zentralen Betrugsweg zu blockieren, anstatt nur eine weitere Hürde hinzuzufügen. Die Kampagne vom 16. April ist daher am besten als öffentliche Operationalisierung einer größeren Richtung zu sehen, die sich in Japan bereits formiert hat:

• Finanzdienstleistungen sollten nicht nur für mehr Reibung sorgen,
• sie sollten zu Authentifizierungsmethoden übergehen, die die Wirtschaftlichkeit von Phishing brechen.

Auf einen Blick verläuft die Entwicklung über vier Meilensteine in weniger als einem Jahr:

Mit Quellenangaben liest sich dieselbe Entwicklung wie folgt:

• Juni 2025: Die englischsprachige Problemzusammenfassung der FSA stellt fest, dass Nur-Passwort-Authentifizierung schwach ist und dass E-Mail / SMS OTP nicht effektiv genug gegen Phishing sind.
• 15. Juli 2025: Der JSDA-Richtlinienentwurf drängt auf Phishing-resistente MFA für sensible Wertpapieraktionen wie Login, Auszahlung und Bankkontoänderungen.
• Ende 2025: Marktberichte beschreiben 50+ Passkey-Anbieter und 64 FIDO Japan Working Group-Organisationen in Japan (CNET Japan).
• 16. April 2026: Die öffentliche Kampagne der FSA bringt dieselbe Phishing-resistente Botschaft direkt zu den Verbrauchern.

In diesem Sinne ist die Seite weniger "Awareness-Marketing" als sie aussieht. Sie ist das öffentliche Gesicht einer tieferen regulatorischen und ökosystemischen Verschiebung.

6. Was dies für japanische Banken, Broker und Fintechs bedeutet#

Japanische Finanzinstitute sollten die Kampagne vom 16. April als angehobene Mindesterwartung für Login, Kontowiederherstellung und risikoreiche Kontoaktionen behandeln. Sobald die Aufsichtsbehörde öffentlich sagt, dass E-Mail- und SMS-OTP nicht effektiv genug sind, lässt sich schwache, stark auf Fallbacks ausgerichtete MFA aus Betrugs-, Produkt- und Aufsichtssicht schwerer verteidigen.

6.1 "MFA verfügbar" reicht nicht mehr aus#

SMS-OTP als Fallback anzubieten und die Erfahrung gleichzeitig als "sichere MFA" zu vermarkten, wird immer schwerer zu rechtfertigen. Die öffentliche Botschaft der Regulierungsbehörde trifft nun eine anspruchsvollere Unterscheidung: Phishing-resistente MFA sollte das Ziel sein. Breitere Branchenbemühungen zur Mandatierung von MFA mit Passkeys weisen in die gleiche Richtung.

Das bedeutet, dass Organisationen bewerten sollten:

• wo SMS/E-Mail OTP noch existieren,
• welche Abläufe mit hohem Risiko verbunden sind,
• ob Passkeys optional sind oder wirklich gefördert werden,
• wie viel Abhängigkeit von phishbaren Fallback-Methoden bleibt.

6.2 Risikoreiche Abläufe erfordern eine besondere Behandlung#

Die empfindlichsten Abläufe sind nicht nur das Login. In der Praxis sollten Institute jede phishbare Oberfläche überprüfen:

• Login,
• Auszahlung / Abhebung,
• Änderung des Zielkontos,
• Kontowiederherstellung und Re-Binding von Geräten,
• Änderung von Profil- und Kontaktdaten,
• API- oder Aggregationszugriff.

Viele Institutionen schützen die Login-Seite immer noch stärker als den Pfad der Kontowiederherstellung. Das ist verkehrt herum. Angreifer werden den schwächsten verfügbaren Weg nutzen.

6.3 Recovery wird zu einem strategischen Produktproblem#

Sobald Phishing-resistente Authentifizierung zum Maßstab wird, wird die Kontowiederherstellung zum schwierigsten Teil des Designs.

Ein Passkey-Rollout kann operativ immer noch scheitern, wenn die Wiederherstellung auf schwache E-Mail-Flows, Social Engineering oder Support-Verfahren zurückgreift, die phishbare Schritte wieder einführen. Die FSA-Kampagne Japans löst diese Designherausforderung nicht, macht sie aber unmöglich zu ignorieren.

6.4 "Offizieller Zugang"-UX sollte Teil des Produktdesigns werden#

Ein wenig beachtetes Detail aus den Broschüren ist der Vorstoß in Richtung Lesezeichen und offizielle Apps. Das deutet auf eine breitere Produktlektion hin:

• Branding allein reicht nicht aus,
• Einstiegspunkte für das Login sind wichtig,
• sicheres Routing ist wichtig,
• Anti-Phishing UX ist Teil des Authentifizierungs-Stacks.

Für Finanzinstitute bedeutet das:

• App-basierte Login-Pfade prominent machen,
• E-Mail-Link-Abhängigkeit reduzieren,
• klar erklären, wo das offizielle Login beginnt,
• die Hygiene eingehender Links als Teil der Betrugsprävention behandeln.

6.5 Soft Token sind nicht dasselbe wie Passkeys#

Einige Institutionen werden reagieren, indem sie die App-basierte Freigabe stärken und das Problem als gelöst bezeichnen. Das kann die Sicherheit verbessern, ist aber nicht gleichwertig mit Passkeys.

Warum?

• Viele proprietäre Soft-Token-Flows hängen immer noch davon ab, dass der Nutzer eine echte Website von einer gefälschten unterscheidet.
• Einige Flows können immer noch durch Echtzeit-Relay-Angriffe oder Freigabe-Manipulation missbraucht werden.
• App-Wechsel und Code-Handhabung sorgen für Reibung und Verwirrung.

Passkeys sind wichtig, weil sie sowohl die Phishing-Gefahr als auch den Aufwand für den Nutzer reduzieren.

6.6 Die Messlatte für Wettbewerber hat sich gerade verschoben#

Sobald die FSA beginnt, Verbraucher direkt aufzuklären, werden Nachzügler sichtbarer. Ein Unternehmen, das sich immer noch auf Passwort + OTP verlässt, könnte im Vergleich zu Wettbewerbern, die Folgendes anbieten, bald veraltet aussehen:

• Passkeys,
• stärkere gerätegebundene Authentifizierung,
• oder klar gebrandete, Phishing-resistente Login-Erfahrungen.

Das verändert die Wettbewerbslandschaft, nicht nur die Compliance-Landschaft.

Das meiste davon ist kein Neuland. Der Enterprise Passkeys Guide führt Schritt für Schritt durch Bewertung, Stakeholder-Alignment, Integration und Tests für groß angelegte Passkey-Deployments für Endkunden. Zudem stellen 10 Fehler bei der Passkey-Einführung von Banken die wiederkehrenden Fehlermodi zusammen, die bei überstürzten Rollouts im Bankwesen immer wieder auftreten. Was die FSA-Kampagne hinzufügt, ist Dringlichkeit und öffentliche Unterstützung, kein neues Handbuch.

7. Was dies speziell für Passkeys bedeutet#

Die Kampagne vom 16. April in Japan hilft Passkeys auf drei konkrete Arten: Sie rahmt Passkeys als Betrugskontrollen und nicht als Komfortfunktionen ein, sie erweitert die Argumentation für eine Implementierung gegenüber internen Stakeholdern, und sie lehrt Verbraucher, dass Passkeys Teil des sicheren Finanz-Login-Modells sind, das die Regulierungsbehörde nun bevorzugt.

7.1 Es positioniert Passkeys als Betrugskontrolle, nicht als Komfortfunktion#

Viele Passkey-Rollouts für Verbraucher werden vermarktet als:

• einfachere Anmeldung,
• keine Passwörter zu merken,
• schnelleres Login.

Das Framing der FSA ist viel schärfer:

• Passkeys sind eine Verteidigung gegen Identitätsdiebstahl,
• Passkeys helfen, Phishing zu blockieren,
• Passkeys reduzieren die Abhängigkeit von wiederverwendbaren Geheimnissen.

Das ist genau der Rahmen, den Banken und Broker intern brauchen. Sicherheitsbudgets werden für die Reduzierung von Betrug leichter genehmigt als nur für mehr Komfort.

7.2 Es erweitert das Passkey-Publikum innerhalb von Finanzinstituten#

Ein Authentifizierungsprojekt muss normalerweise Unterstützung gewinnen von:

• Produkt,
• Betrugsabteilung,
• Sicherheit,
• Compliance,
• Rechtsabteilung,
• Operations,
• und Support.

Die FSA-Seite gibt jeder dieser Gruppen einen Grund, sich zu interessieren:

• Betrugsabteilung sieht Phishing-Reduzierung,
• Sicherheit sieht ursprungsgebundene (origin-bound) Kryptographie,
• Compliance sieht Übereinstimmung mit Regulierungsbehörden,
• Operations sieht weniger Reibung durch OTP,
• Produkt sieht eine stärkere Story für Verbraucher.

7.3 Es hilft, Passkeys für normale Nutzer zu normalisieren#

Dies könnte der dauerhafteste Effekt sein.

Wenn eine nationale Aufsichtsbehörde, Finanzverbände und die Polizei Passkeys alle als empfohlene Verteidigung präsentieren, ändert sich die Wahrnehmung der Nutzer. Das Produktteam muss Passkeys nicht mehr als seltsame neue Funktion vorstellen. Sie können sie als die Sicherheitsmethode vorstellen, auf die sich das Ökosystem einigt.

Das ist wichtig, da der Erfolg eines Rollouts oft weniger von der Kryptographie abhängt, sondern vielmehr davon, ob Nutzer dem neuen Ablauf genug vertrauen, um ihn zu übernehmen.

7.4 Es weitet die Passkey-Zielgruppe über technikaffine Segmente hinaus aus#

Die FSA-Kampagne landet nicht nur in Banking-Apps, die von technikaffinen Verbrauchern genutzt werden. Sie deckt Wertpapierkonten, Arbeitsbanken, Shinkin-Banken und Kreditgenossenschaften ab – die Teile des japanischen Finanzsystems, auf die sich ältere und weniger technikaffine Kunden im Alltag verlassen. Das ist strategisch wichtig für Passkeys. Sobald diese Kunden Passkeys durch ihren Broker, ihre Arbeitsbank oder ihre lokale Genossenschaft kennenlernen, verbreitet sich die Vertrautheit mit Passkeys weit über das Early-Adopter-Segment hinaus und beginnt sich über den gesamten Kundenstamm zu normalisieren. Für die Passkey-Adoption bei Verbrauchern in Japan ist das die Art von Rückenwind, den man mit einem reinen Marketingbudget nicht kaufen kann.

Aber das Schwert ist zweischneidig. Eine breitere demografische Basis bedeutet auch eine viel größere Vielfalt an Geräten, Betriebssystemversionen, In-App-Browsern und Verhaltensweisen von Credential Managern, als dies bei einem technikaffinen Rollout der Fall wäre. Genau hier werden Passkey-Fehler bei nativen Apps zu einem produktionskritischen Anliegen und nicht nur zu einem Randfall. Banken und Broker, die auf das Signal der FSA reagieren, sollten vom ersten Tag an Vielfalt bei Geräten und App-Umgebungen einplanen und diese nicht erst bei einem Anstieg der Support-Anfragen nach Einführung einer Pflicht entdecken.

8. Was andere Länder aus dem japanischen Ansatz lernen können#

Japan entwickelt sich zu einer nützlichen Fallstudie, weil es Aufsicht, öffentliche Aufklärung und die Einführung im Ökosystem nacheinander kombiniert. Andere Märkte überarbeiten häufig Richtlinien, ohne den Nutzern das neue Sicherheitsmodell zu erklären. Das verlangsamt die Adoption und lässt eine stärkere Authentifizierung als isolierte Produkthürde anstelle eines systemweiten Upgrades erscheinen.

8.1 Öffentliche Kampagnen können die technische Migration beschleunigen#

Viele Regulierungsbehörden überarbeiten Richtlinien, verzichten aber auf öffentliche Aufklärung. Japan zeigt ein anderes Muster:

1. der Betrugsdruck steigt,
2. die Aufsichtsrichtung verhärtet sich,
3. die Aufsichtsbehörde beginnt, Phishing-resistente Methoden öffentlich zu nennen,
4. Akteure im Ökosystem erhalten Rückendeckung, um sie schneller auszurollen.

Diese Abfolge kann die Reibung beim Rollout auf eine Weise reduzieren, die reine Richtlinientexte oft nicht bieten.

8.2 Das Ziel sollte Phishing-Resistenz sein, nicht nur OTP-Ersatz#

Einige Länder konzentrieren sich zu eng auf den "Ersatz von SMS OTP". Das hilft, ist aber unvollständig.

Japans Kampagne ist besser strukturiert, weil sie die grundlegendere Frage stellt:

Das ist der richtige Test.

8.3 Verbraucherauthentifizierung könnte am Ende hybrid sein#

Japans gleichzeitige Betonung von Passkeys und PKI deutet auf eine breitere Wahrheit hin, die viele Märkte wiederentdecken werden:

• Passkeys eignen sich hervorragend für die Massenadoption bei Verbrauchern,
• PKI bleibt wichtig für hochsichere Identitäten,
• die stärksten Ökosysteme werden beides kombinieren, anstatt eine Technologie zu zwingen, alles zu tun.

Das ist besonders relevant in regulierten Sektoren mit nationalen Programmen für digitale Identität.

9. Die praktische Roadmap für Teams, die auf dieses Signal reagieren#

Die richtige Reaktion auf das Signal vom 16. April ist eine schrittweise Migration, kein überstürztes Austauschprogramm. Teams sollten zunächst phishbare Abläufe abbilden und dann entscheiden, wo Passkeys sofort passen, wo PKI oder eine stärkere Identitätsbindung weiterhin erforderlich ist und wie die Wiederherstellung neu gestaltet werden kann, ohne schwache, Phishing-freundliche Ausnahmen zu schaffen.

9.1 Schritt 1: Alle phishbaren Authentifizierungsoberflächen abbilden#

Beginnen Sie mit:

• Login,
• Recovery,
• Kontoänderungen,
• Transaktionsbestätigung,
• Änderung verknüpfter Konten,
• Einstiegspunkte über E-Mail-Links,
• Override-Prozesse im Callcenter.

9.2 Schritt 2: Identifizieren, wo Passkeys sofort passen#

Passkeys sind oft der klarste Gewinn für:

• Retail-Login,
• häufige Reauthentifizierung,
• First-Party-App/Web-Abläufe,
• Consumer-Browser-Sessions.

9.3 Schritt 3: Entscheiden, wo PKI oder stärkere Identitätsbindung noch erforderlich ist#

Einige Abläufe benötigen möglicherweise:

• zertifikatsgestützte Identitätsprüfung,
• Bindung an eine nationale ID,
• stärkere Absicherung bei sensiblen Änderungen,
• Hardware- oder organisatorische Kontrollen, die über Consumer-Passkeys hinausgehen.

9.4 Schritt 4: Recovery neu gestalten, bevor Adoption erzwungen wird#

Starten Sie keine starke Authentifizierung, ohne eine starke Wiederherstellung zu entwerfen. Andernfalls wird die Organisation lediglich phishbare Workarounds durch Support und Ausnahmeregelungen nachbilden.

9.5 Schritt 5: Nutzern beibringen, wie offizieller Zugang funktioniert#

Die Botschaft der FSA "Verwenden Sie Lesezeichen / Verwenden Sie offizielle Apps" sollte Teil von Onboarding und Support werden:

• den sicheren Weg aufzeigen,
• erklären, warum Login-Links riskant sind,
• den offiziellen Zugangspfad leicht merkbar machen,
• Abhängigkeit von unsicheren Bequemlichkeits-Shortcuts verringern.

10. Fazit#

Der 16. April 2026 war nicht der Tag, an dem Japan Passkeys gesetzlich vorgeschrieben hat. Es war der Tag, an dem die FSA Phishing-resistente Authentifizierung zu einer öffentlichen Erwartung machte, OTP-basierte Sicherheit öffentlich herabstufte und Banken, Brokern und Fintechs ein viel klareres Signal gab, dass das langfristige Ziel Passkeys, PKI und andere nicht phishbare Login-Modelle sind.

Japans FSA-Seite vom 16. April 2026 sollte nicht falsch interpretiert werden als "Japan hat heute Passkeys gesetzlich vorgeschrieben". Das ist nicht passiert.

Es wäre jedoch ebenso falsch, sie als unbedeutende Sensibilisierungsseite abzutun.

Was passiert ist, ist strategisch bedeutsamer:

• die Regulierungsbehörde hat den Verbrauchern öffentlich mitgeteilt, dass reine Passwort- und OTP-basierte Abläufe nicht mehr ausreichen,
• sie nannte Passkeys und PKI als Beispiele für stärkere Authentifizierung,
• sie stimmte diese Botschaft mit Finanzverbänden und der Polizei ab,
• und sie verlagerte die Marktdiskussion von generischer MFA hin zu Phishing-resistenter Authentifizierung.

Das ist genau die Art von Signal, das Roadmap-Prioritäten bei Finanzdienstleistungen verändert.

Für Japan stärkt dies das Argument für einen breiteren Passkey-Einsatz bei Banken, Brokern und Fintechs. Für den Rest der Welt ist es ein klares Beispiel dafür, wie eine Regulierungsbehörde mehr tun kann, als Regeln aufzustellen: Sie kann das Narrativ der Authentifizierung selbst neu gestalten.

Wenn es eine Erkenntnis gibt, dann diese:

Der zukünftige Zustand ist nicht "mehr MFA". Der zukünftige Zustand ist Phishing-resistente Authentifizierung. Japans FSA spricht das jetzt laut aus.

Über Corbado#

Japans FSA hat Password-plus-OTP öffentlich herabgestuft, aber dass Regulierungsbehörden Passkeys nennen, ist nur die halbe Arbeit. Banken und Broker müssen phishbare Fallbacks auf fragmentierten Geräteflotten immer noch ausmustern, ohne Nutzer auszusperren.

Corbado ist die Passkey-Analytics-Plattform für Enterprise CIAM-Teams. Sie fügt Ihrem bestehenden IDP Passkey-Analytics und Rollout-Kontrollen hinzu, sodass Institutionen, die die FSA-Anforderung an Phishing-resistente MFA erfüllen, SMS- und E-Mail-OTP mit revisionssicherer Sichtbarkeit und Kill-Switches auf Geräteebene schrittweise abschaffen können, anstatt mit blinden Vorgaben zu operieren.

Erfahren Sie, wie japanische Finanzinstitute Phishing-resistente MFA ohne endgültige Aussperrungen einführen können. → Sprechen Sie mit einem Passkey-Experten

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

FAQ#

Hat die japanische FSA am 16. April 2026 Passkeys zur Pflicht gemacht?#

Nein. Die Seite vom 16. April 2026 ist eine öffentliche Aufklärungskampagne, kein eigenständiger Gesetzestext. Wichtig ist jedoch, dass die Financial Services Agency (FSA) öffentlich und ausdrücklich Phishing-resistente Multi-Faktor-Authentifizierung (MFA) fördert, Passkeys und PKI als Beispiele hervorhebt und diese Botschaft mit Banken, Wertpapierfirmen und der Nationalen Polizeibehörde abstimmt.

Warum sagt die FSA, dass E-Mail- und SMS-OTP nicht mehr ausreichen?#

Die Kampagnenmaterialien erklären, dass per E-Mail oder SMS gesendete OTPs weiterhin durch Echtzeit-Phishing, Man-in-the-Middle-Angriffe und Malware umgangen werden können. Mit anderen Worten: Das Hinzufügen eines Codes reicht nicht aus, wenn der Angreifer den Benutzer dazu verleiten kann, ihn auf einer gefälschten Website einzugeben, oder ihn vom Endgerät stehlen kann.

Sind Passkeys die einzige in Japans Finanzsektor akzeptierte Phishing-resistente Option?#

Nein. Die Kampagnenmaterialien der FSA stellen Passkeys und PKI-basierte Authentifizierung als die beiden Hauptbeispiele für Phishing-resistente MFA dar. Das bedeutet, dass Passkeys stark favorisiert werden, die breitere regulatorische Richtung jedoch auf Phishing-resistente Authentifizierungsergebnisse abzielt und nicht auf eine einzige verbindliche Verbrauchertechnologie.

Warum ist der 16. April 2026 so wichtig, wenn sich die japanische aufsichtsrechtliche Ausrichtung schon früher änderte?#

Weil es einen Wechsel vom Signalisieren zwischen Regulierungsbehörde und Industrie hin zum Signalisieren an die Öffentlichkeit markiert. Sobald die FSA den Verbrauchern direkt mitteilt, dass Passkeys und PKI sie besser schützen als ein Passwort plus OTP, erhalten japanische Banken und Broker eine stärkere Rückendeckung, um die Kundenauthentifizierung auf Phishing-resistente Methoden umzustellen.