MFA-Update für das IT-Risikomanagement der malaysischen Zentralbank

Diese Seite wurde automatisch übersetzt. Lesen Sie die englische Originalversion hier.

Banking-Passkeys-Report. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.

Wichtige Fakten

Die RMiT vom November 2025 wandelt die BNM-Authentifizierungsrichtlinien in bindende Vorschriften um, die alle lizenzierten Banken, Versicherer, E-Geld-Emittenten und Betreiber von Zahlungssystemen in Malaysia abdecken.
SMS OTP ist als alleiniger zweiter Faktor nun ausdrücklich nicht mehr konform. Die MFA muss manipulationssicher (interception-resistant) sein und an bestimmte Empfänger und Beträge gebunden werden.
Gerätebindung (Device Binding) ist standardmäßig auf ein Mobilgerät pro Konto festgelegt. Der Zugriff mit mehreren Geräten erfordert ein ausdrückliches Opt-in des Kunden und einen auditierbaren Ausnahmeprozess.
Passkeys (FIDO2/WebAuthn) erfüllen gleichzeitig die Anforderungen an Phishing-resistente MFA, passwortlose Authentifizierung und Gerätebindung, was sie zum direktesten Weg zur vollständigen Compliance macht.
Malaysische Banken blockierten 2024 betrügerische Transaktionen in Höhe von über 383 Mio. Ringgit (über 100 Mio. US-Dollar), was den Wechsel zu obligatorischen Phishing-resistenten Kontrollen vorantreibt.

1. Einführung#

Die Bank Negara Malaysia (BNM) hat im November 2025 eine aktualisierte Risk Management in Technology (RMiT) Richtlinie herausgegeben, die die Version von Juni 2023 ersetzt. Während das Update ein breites Spektrum an Technologierisikobereichen abdeckt, betreffen die folgenreichsten Änderungen die Themen Authentifizierung, Gerätebindung, Multi-Faktor-Authentifizierung und Betrugsprävention. Diese Banking-Regulierung in Malaysia für Finanzinstitute ist nicht länger nur Best Practice oder eine Empfehlung, sondern nun ein verpflichtender Standard.

Die BNM hat Institute seit 2023 langsam von SMS-OTPs wegbewegt. Der Grund dafür war einfach: Betrüger haben Tools entwickelt, um SMS-Authentifizierungscodes abzufangen, bevor Kunden sie sehen konnten, und SIM-Swapping-Angriffe ermöglichten es Kriminellen, Codes auf von ihnen kontrollierte Geräte umzuleiten. Bis 2024 blockierten malaysische Banken laut ihrem Jahresbericht kollektiv betrügerische Transaktionen im Wert von über 383 Mio. Ringgit Malaysia (über 100 Mio. US-Dollar). Das Update vom November 2025 greift diese Entwicklung auf und verankert sie in bindenden Vorschriften.

Dieser Artikel schlüsselt die wichtigsten Änderungen bezüglich Authentifizierung und MFA in der aktualisierten RMiT auf, erklärt den regulatorischen Kontext und zeigt, wo Passkeys und Phishing-resistente Authentifizierung in das Compliance-Bild passen. Wir beantworten die folgenden Fragen:

Was ist die RMiT-Richtlinie und für wen gilt sie?
Wie sah die Authentifizierungslandschaft vor November 2025 aus?
Was sind die wichtigsten Änderungen an den Authentifizierungs- und MFA-Anforderungen?
Wie helfen Passkeys Finanzinstituten bei der Einhaltung der aktualisierten RMiT?

Aktuelle Artikel

2. Was ist die Risk Management in Technology (RMiT) Richtlinie der Bank Negara Malaysia (BNM)?#

Die RMiT-Richtlinie ist der zentrale regulatorische Rahmen der BNM, der regelt, wie regulierte Finanzinstitute Technologierisiken verwalten. Die RMiT-Compliance der BNM legt Anforderungen an IT-Governance, Cybersicherheit, digitale Dienste, Cloud-Nutzung und Authentifizierungskontrollen fest, mit dem Ziel, Finanzdienstleistungen verfügbar, belastbar und vertrauenswürdig zu halten, während sich digitale Kanäle und Bedrohungslagen weiterentwickeln.

Die Richtlinie behandelt auch die Cloud-Nutzung als Form des Outsourcings und verlangt von Instituten, angemessene Eigentums- und Kontrollrechte über Kundendaten und kryptografische Schlüssel zu behalten. In der Praxis ist die RMiT die Compliance-Basis, an der jedes regulierte Finanzinstitut in Malaysia sein Risikoprofil im Technologiebereich ausrichten muss.

3. Wer muss die RMiT-Richtlinie einhalten?#

Die RMiT-Anforderungen gelten für alle von der BNM regulierten Finanzinstitute. Der Anwendungsbereich ist breit gefächert und umfasst nicht nur traditionelle Banken, sondern auch Versicherer, E-Geld-Emittenten, Betreiber von Zahlungssystemen und Überweisungsinstitute. Die folgende Tabelle fasst die Hauptkategorien zusammen:

Institutskategorie	Beispiele
Lizenzierte Banken	CIMB Bank, Maybank, HSBC Malaysia, Hong Leong Bank, AmBank, Public Bank
Lizenzierte Investmentbanken	CIMB Investment Bank, Affin Hwang, AmInvestment Bank
Lizenzierte islamische Banken	Bank Islam Malaysia, Bank Muamalat, CIMB Islamic Bank
Lizenzierte Versicherer & Rückversicherer	AIA Berhad, Allianz General, Etiqa General, AXA Affin
Takaful-Betreiber & Retakaful	AIA PUBLIC Takaful, Etiqa Family Takaful, FWD Takaful
Entwicklungsfinanzinstitute	Agrobank, Bank Rakyat, BSN, SME Bank, EXIM Bank
Zugelassene E-Geld-Emittenten	Boost, GrabPay, BigPay, TNG Digital, Kiplepay
Betreiber von Zahlungssystemen	Visa, Mastercard, PayNet, UnionPay, JCB, Alipay Connect
Registrierte Merchant-Acquirer	iPay88, Adyen Malaysia, GHL Cardpay, Revenue Monster
Vermittelnde Überweisungsinstitute	MoneyGram, Western Union, Merchantrade Asia, Tranglo

Praktisch ausgedrückt: Wenn Ihre Organisation über eine BNM-Lizenz, -Registrierung oder -Zulassung für den Betrieb im Finanzsektor Malaysias verfügt, gilt die RMiT für Sie.

Abonnieren Sie unseren Passkeys Substack für aktuelle News.

4. Wie sahen die Authentifizierungsanforderungen der BNM vor November 2025 aus?#

Bereits vor dem Update im November 2025 enthielt die RMiT bedeutsame Authentifizierungsanforderungen, aber viele befanden sich eher auf der Ebene von Empfehlungen anstatt von obligatorischen Standards. Das Verständnis dieser Ausgangsbasis hilft zu klären, wie viel sich geändert hat.

4.1 MFA-Kontrollen#

MFA war für risikoreiche Transaktionen erforderlich, insbesondere für offene Geldtransfers an Dritte und Zahlungstransaktionen.
Ein besonderer Fokus lag auf Transaktionen über 10.000 RM, obwohl die Version von 2023 anfing, MFA für alle digitalen Transaktionen voranzutreiben.
Die Version von 2023 forderte explizit den Übergang zu einer Authentifizierung auf, die „resistent gegen Abfangen oder Manipulation“ ist, und signalisierte damit den Anfang vom Ende der SMS-basierten OTPs.
MFA wurde 2023 von „Guidance“ (Best Practice) auf „Standard“ (verpflichtend) hochgestuft.

4.2 Authentifizierungskontrollen und Zugriffsmanagement#

Institute mussten das Prinzip der geringsten Rechte (Principle of Least Privilege) anwenden und Zugriffsmatrizen mindestens jährlich überprüfen.
Privilegierte Konten erforderten strengere Kontrollen, einschließlich einer obligatorischen MFA, unabhängig davon, ob der Zugriff intern oder extern erfolgte.
Fernzugriff auf interne Netzwerke (z. B. via VPN) erforderte MFA als nicht verhandelbaren Standard.

4.3 Kontrollen digitaler Dienste#

Anhang 11 der RMiT 2023 war die wichtigste Referenz für die Sicherheit im Digital Banking. Sie forderte Transaktionssignierung (Verknüpfung von MFA mit Transaktionsdetails wie Empfänger und Betrag), Gerätebindung (Verknüpfung der digitalen Identität eines Nutzers mit einem vertrauenswürdigen Gerät) und allgemeine Betrugsbekämpfungsmaßnahmen.

5. Was sind die wichtigsten Änderungen der BNM RMiT-Richtlinie?#

Das Update vom November 2025 konsolidiert und stärkt mehrere frühere Rundschreiben und Spezifikationen, einschließlich der Spezifikationen zur Betrugsbekämpfung von 2022 und 2024. Das Ergebnis ist eine einzige, umfassende Richtlinie mit schärferen, obligatorischen Anforderungen dafür, wie Institute Nutzer authentifizieren und digitale Dienste schützen. Dabei sind fünf Bereiche von größter Bedeutung.

5.1 Standardmäßig ein Gerät pro Nutzer#

"ensure secure binding and unbinding processes for restricting authentication of digital service transactions by default to one mobile device or secure device per account holder"

— RMiT Anhang 3, Absatz 3(a)

Dies ist eine direkte Reaktion auf SIM-Swapping-Betrug und Account-Takeover-Angriffe, bei denen Betrüger ein neues Gerät für ein bestehendes Konto registrieren und es leeren, während das legitime Gerät aktiv bleibt. Der Begriff „standardmäßig“ ist wichtig: Kunden können sich für die Nutzung mehrerer Geräte entscheiden, aber sie müssen dies ausdrücklich anfordern und die damit verbundenen Risiken akzeptieren. Das Institut darf die Nutzung mehrerer Geräte nicht als Standard festlegen.

In der Praxis bedeutet dies, dass Onboarding- und Authentifizierungsabläufe die Geräteregistrierung nachverfolgen, standardmäßig eine einzige Bindung erzwingen und einen klaren, auditierbaren Prozess für vom Kunden beantragte Ausnahmen aufrechterhalten müssen.

5.2 Robuste Verifizierung bei Änderungen der Telefonnummer#

"the registration of new mobile phone number or replacement of existing mobile phone number is only processed after applying robust verification methods to confirm the authenticity of the customer"

— RMiT Anhang 3, Absatz 3(c)

Viele Institute verarbeiten Änderungen von Telefonnummern immer noch lediglich mit einem OTP, das an die aktuelle Nummer gesendet wird. Dieser Ansatz schlägt fehl, wenn die Nummer bereits kompromittiert oder die SIM-Karte getauscht wurde. „Robuste Verifizierung“ im Sinne der BNM bedeutet Methoden, die über den Kanal hinausgehen, der geändert wird: erneute Identitätsprüfung, Step-up-Authentifizierung mittels Biometrie oder Bestätigung in der Filiale für risikoreiche Änderungen.

5.3 Abkühlphasen (Cooling-off) und Transaktionslimits für neue Geräte#

"apply appropriate verification and cooling-off period for first time enrolment of digital services or secure device and multiple successive high-volume transactions or other abnormal transaction patterns"

— RMiT Anhang 3, Absatz 3(e)

Ein neu registriertes Gerät sollte nicht sofort über volle Transaktionsfunktionen verfügen. Institute müssen zeitbasierte Einschränkungen und Geschwindigkeitskontrollen implementieren, die nach und nach freigeschaltet werden, während Gerät und Nutzerverhalten eine Vertrauenshistorie aufbauen. Wenn sich ein Hacker Zugang verschafft, versucht er in der Regel, das tägliche Überweisungslimit zu erhöhen und sofort Geld zu transferieren. Eine Abkühlphase gibt dem rechtmäßigen Eigentümer und dem Betrugsteam der Bank ein Zeitfenster, um die Sitzung zu erkennen und zu stoppen.

In Kombination mit den Betrugserkennungsstandards, die Verhaltensprofiling und Risikobewertung in Echtzeit erfordern, entsteht eine klare Erwartungshaltung: Die Authentifizierungsschicht muss den Kontext erkennen und darf sich nicht nur auf die Zugangsdaten verlassen.

5.4 MFA, die sicherer ist als unverschlüsselte SMS#

Dies ist die wichtigste Authentifizierungsanforderung des Updates. Sie baut auf den jahrelangen Empfehlungen der BNM auf und macht sie zu einem verbindlichen Standard:

"deployment of MFA technology and channels that are more secure than unencrypted SMS … the MFA solution is resistant to interception or manipulation by any third party throughout the authentication process"

— RMiT Anhang 3, Absätze 5 und 6

Die Richtlinie geht noch weiter und führt das Transaction Binding (Transaktionsbindung) ein:

"authentication code must be initiated and generated locally by the payer/sender using MFA … authentication code generated by payer/sender must be specific to the confirmed identified beneficiary and amount"

— RMiT Anhang 3, Absätze 6(c) und 6(d)

Transaktionsbindung bedeutet, dass der Authentifizierungscode an die spezifischen Transaktionsdetails (Empfänger und Betrag) gebunden sein muss, nicht nur an eine Sitzung oder einen Login. Dies richtet sich direkt gegen „OTP-Redirect“-Angriffe, bei denen Betrüger die Transaktion manipulieren, nachdem sich der Nutzer bereits authentifiziert hat. Ein OTP, das für eine Zahlung von 500 RM an Konto A generiert wurde, kann nicht für eine Zahlung von 50.000 RM an Konto B wiederverwendet werden.

Für Institute, die sich immer noch auf SMS-OTP als primären zweiten Faktor verlassen, ist dies das bisher deutlichste Signal: Der Migrationspfad ist nicht optional. Die nachstehende Tabelle fasst zusammen, welche MFA-Methoden den neuen Anforderungen entsprechen:

MFA-Methode	Phishing-resistent?	RMiT-konform?
SMS OTP	Nein	Nein
TOTP (z. B. Google Authenticator)	Nein	Teilweise (nur vorübergehend)
Push-Benachrichtigung	Nein	Teilweise (nur vorübergehend)
In-App OTP mit Transaktionsdetails	Teilweise	Ja (falls abhörsicher)
Passkeys (FIDO2 / WebAuthn)	Ja	Ja
Hardware-Sicherheitsschlüssel (FIDO2)	Ja	Ja

5.5 Passkeys und kryptografische schlüsselbasierte Authentifizierung für BNM RMiT#

Die BNM verlangt außerdem ausdrücklich von den Instituten, passwortlose Alternativen anzubieten:

"offer to its customer a robust cryptographic key-based authentication such as digital certificate or passwordless as an alternative to existing password-based authentication method"

— RMiT Anhang 3, Absatz 9

Dies ist eine klare Vorgabe, sich in Richtung Passkeys, hardwaregestützter Authentifizierung oder zertifikatsbasierter Methoden zu bewegen. Anders als das MFA-Upgrade, das sich auf den Ersatz von SMS-OTPs konzentriert, zielt diese Anforderung auf das Passwort selbst ab. Die beiden Anforderungen wirken zusammen: Institute müssen für den zweiten Faktor von SMS wegkommen und eine Alternative zum Passwort für den ersten Faktor anbieten.

Passkeys eignen sich hier am besten. Ein einzelner Passkey erfüllt beide Anforderungen gleichzeitig. Es handelt sich um eine kryptografische schlüsselbasierte Authentifizierungsmethode (Absatz 9), sie ist sicherer als unverschlüsselte SMS (Absätze 5–6) und da Passkeys die Authentifizierung an den spezifischen Ursprung (Website oder App) binden, unterstützen sie auch die Intention hinter der Transaktionsbindung.

6. Zusammenfassung: Vor und nach dem Update von November 2025#

Bereich	Vor November 2025	Nach November 2025
Gerätebindung	Erforderlich, aber Mehrfachgeräte waren üblich und locker geregelt	Standardmäßig ein Gerät pro Nutzer; mehrere Geräte nur auf ausdrücklichen Kundenwunsch mit Audit-Trail
Änderung der Telefonnummer	Wurden oft mit SMS OTP an die aktuelle Nummer durchgeführt	Robuste Verifizierung erforderlich (Biometrie, Filialbesuch oder unabhängiger Kanal)
Registrierung neuer Geräte	Sofortiger voller Zugriff nach Registrierung war üblich	Verpflichtende Abkühlphase (Cooling-off); Transaktionslimits während der Vertrauensaufbauphase
SMS OTP	Abgeraten, aber als primärer zweiter Faktor geduldet	Ausdrücklich nicht konform als alleinige MFA; muss durch abhörsichere Methoden ersetzt werden
Transaktionsbindung	Erforderlich für Hochrisikotransaktionen (allgemein)	Auth-Code muss spezifisch für Empfänger und Betrag sein; lokal generiert werden

7. Regionaler Kontext: Malaysia steht nicht allein da#

Die aktualisierte RMiT Malaysias fügt sich in einen breiteren regionalen Trend ein. Im gesamten asiatisch-pazifischen Raum einigen sich die Finanzaufsichtsbehörden auf dieselben Anforderungen: gerätegebundene Authentifizierungsmerkmale, Phishing-resistente MFA und die Abkehr von Passwörtern und SMS-OTPs.

Singapur (MAS): Die Monetary Authority of Singapore schreibt seit Langem Gerätebindung und Transaktionssignierung für das Digital Banking vor und hat ihre Technology Risk Management (TRM)-Richtlinien schrittweise in eine Richtung verschärft, die dem Ansatz der BNM stark ähnelt.
Indien (RBI): Die Reserve Bank of India hat zusätzliche Authentifizierungsfaktoren und transaktionsspezifische Autorisierungen vorangetrieben, insbesondere für Card-not-present- und UPI-Transaktionen.
Hongkong (HKMA): Die E-Banking-Richtlinien der Hong Kong Monetary Authority verlangen eine starke Kundenauthentifizierung und Kontrollen der Geräteregistrierung für hochgradig riskante Vorgänge.
Vietnam (State Bank of Vietnam): Das Rundschreiben 45/2025 verlangt von den Banken, die Biometrie der Kunden für bestimmte Transaktionen von hohem Wert mit dem chipbasierten Personalausweis (Citizen ID) oder einer nationalen Datenbank abzugleichen, womit ein zentraler Verifizierungsschritt eingeführt wird.

Die Architektur, die für die RMiT-Compliance erforderlich ist, einschließlich kryptografischer Gerätebindung, Passkeys und Transaktionsauthentifizierung, spiegelt die Richtung wider, in die sich die gesamte Region bewegt. Institute, die jetzt in diese Architektur investieren, rüsten sich für eine regionale regulatorische Konvergenz und nicht nur für eine einzige nationale Richtlinie.

8. Wie Corbado Finanzinstituten hilft, die aktualisierte RMiT zu erfüllen#

Die Plattform von Corbado ist für genau die Authentifizierungsherausforderungen ausgelegt, die mit der aktualisierten RMiT angegangen werden sollen. Hier sehen Sie, wie die wichtigsten Anforderungen mit den Funktionen von Corbado übereinstimmen:

Phishing-resistente MFA und passwortlose Authentifizierung: Die Passkey-Implementierung von Corbado bietet einen direkten Weg zur Erfüllung der BNM-Anforderungen an eine MFA, die sicherer als unverschlüsselte SMS (Absätze 5–6) ist, und an eine kryptografische schlüsselbasierte Authentifizierung als Alternative zu Passwörtern (Absatz 9). Ein einzelner Passkey erfüllt beide Anforderungen gleichzeitig.
Gerätebindung: Corbado unterstützt gerätegebundene Passkeys und kryptografische Zugangsdaten, die an ein bestimmtes Gerät gebunden sind. Registrierungsabläufe können den Standard von einem Gerät pro Nutzer mit klaren Mechanismen für vom Kunden beantragte Ausnahmen durchsetzen, alles mit einem vollständigen Audit-Trail.
Audit- und Compliance-Bereitschaft: Die Telemetrie-, Ereignisprotokollierungs- und Berichtsfunktionen von Corbado machen es einfach nachzuweisen, dass Authentifizierungskontrollen nicht nur gut konzipiert sind, sondern auch effektiv funktionieren. Corbado operiert unter einem ISO 27001-zertifizierten ISMS und besitzt eine SOC 2 Type II-Bescheinigung, wodurch die eigene Sicherheitsaufstellung an den Erwartungen ausgerichtet ist, die an malaysische Finanzinstitute gestellt werden.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

9. Fazit#

Das RMiT-Update vom November 2025 verwandelt jahrelange BNM-Empfehlungen zur Authentifizierungssicherheit in verbindliche Vorschriften. SMS OTP ist als alleiniger zweiter Faktor nicht mehr konform. Gerätebindung ist standardmäßig verpflichtend. Transaktionsauthentifizierungen müssen an spezifische Zahlungsdetails gebunden sein. Und Institute müssen kryptografische, schlüsselbasierte Alternativen zu Passwörtern anbieten.

Für Institute, die bereits damit begonnen haben, sich von SMS zu verabschieden und auf Phishing-resistente Methoden umzusteigen, verankert das Update das, was sie bereits getan haben. Für jene, die dies noch nicht getan haben, ist die Lücke zwischen der aktuellen Praxis und dem neuen Standard beträchtlich, und der Compliance-Zeitplan steht nun fest.

Passkeys sind der direkteste Weg, um die aktualisierten Anforderungen zu erfüllen. Ein einziger Passkey erfüllt das MFA-Upgrade, die passwortlose Alternative und die Gerätebindungsanforderungen in einer einzigen Implementierung. In Kombination mit Step-up-Authentifizierung für sensible Operationen und Abkühlphasen-Logiken für neue Registrierungen erhalten Institute so eine kohärente Architektur anstelle eines Flickenteppichs von Einzellösungen.

Wir konnten auch die wichtigsten Fragen zu diesem Thema beantworten:

Was ist die RMiT-Richtlinie und für wen gilt sie? Die RMiT ist der zentrale Technologierisikorahmen der BNM, der für alle regulierten Finanzinstitute in Malaysia gilt, einschließlich Banken, Versicherer, E-Geld-Emittenten, Betreiber von Zahlungssystemen und Überweisungsdienstleister.
Wie sah die Authentifizierungslandschaft vor November 2025 aus? MFA war für risikoreiche Transaktionen und privilegierten Zugriff bereits obligatorisch, aber SMS-OTP wurde noch toleriert, Setups mit mehreren Geräten waren nur lose geregelt und passwortlose Alternativen waren noch nicht vorgeschrieben.
Was sind die wichtigsten Änderungen bei Authentifizierung und MFA? Fünf Änderungen stechen hervor: standardmäßig ein Gerät pro Nutzer, robuste Verifizierung bei der Änderung von Telefonnummern, verpflichtende Abkühlphasen für neue Geräte, MFA, die sicherer ist als SMS, mit Transaktionsbindung sowie die Anforderung, Passkeys oder eine kryptografische schlüsselbasierte Authentifizierung anzubieten.
Wie helfen Passkeys Finanzinstituten bei der Compliance? Passkeys erfüllen das MFA-Upgrade, die passwortlose Alternative und die Anforderungen an die Gerätebindung in einer einzigen Implementierung und sind gleichzeitig resistent gegen Phishing, SIM-Swapping und Angriffe, bei denen OTPs abgefangen werden.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Was bedeutet „Transaktionsbindung“ im Kontext der BNM RMiT-Compliance?#

Transaktionsbindung erfordert, dass jeder Authentifizierungscode vom Zahler lokal generiert wird und mathematisch an das spezifische Empfängerkonto und den zu autorisierenden Zahlungsbetrag gebunden ist. Dies verhindert OTP-Redirect-Angriffe, bei denen ein Betrüger Transaktionsdetails manipuliert, nachdem sich der Nutzer bereits authentifiziert hat. Ein für eine Zahlung an ein Konto generierter Code kann nicht wiederverwendet werden, um eine andere Zahlung oder einen anderen Betrag zu autorisieren.

Warum erfordert das RMiT 2025 Update eine Abkühlphase (Cooling-off), nachdem ein Kunde ein neues Gerät registriert hat?#

Die Abkühlphase verhindert, dass Betrüger, die sich Zugriff auf ein Konto verschaffen, sofort über ein neu registriertes Gerät Gelder überweisen. Die BNM verlangt von den Instituten, während einer anfänglichen Vertrauensaufbauphase für neu registrierte Geräte Transaktionslimits und zeitbasierte Beschränkungen anzuwenden. Dies gibt sowohl dem rechtmäßigen Kontoinhaber als auch dem Betrugsteam des Instituts ein Erkennungsfenster, bevor die vollen Transaktionsfunktionen freigeschaltet werden.

Wie vergleicht sich die aktualisierte RMiT Malaysias mit den Authentifizierungsrichtlinien anderer asiatischer Länder?#

Malaysias RMiT 2025 steht im Einklang mit einem regionalen asiatisch-pazifischen Trend, bei dem die MAS in Singapur, die RBI in Indien, die HKMA in Hongkong und die State Bank of Vietnam alle zu gerätegebundenen Authentifizierungsmerkmalen, Phishing-resistenter MFA und der Abschaffung von SMS-OTP übergehen. Vietnams Rundschreiben 45/2025 schreibt speziell eine biometrische Verifizierung gegen den chipbasierten nationalen Personalausweis für Transaktionen mit hohem Wert vor. Institute, die in eine RMiT-konforme Architektur investieren, positionieren sich somit für eine regionale regulatorische Konvergenz und nicht nur für eine einzige nationale Anforderung.

Welche Verifizierung verlangt die BNM RMiT nun, wenn ein Kunde seine registrierte Handynummer ändert?#

Die aktualisierte RMiT erfordert eine robuste Verifizierung, bevor eine Telefonnummernänderung verarbeitet wird, was über das bloße Senden eines OTPs an die aktuelle Nummer hinausgeht. Akzeptable Ansätze umfassen eine erneute Identitätsüberprüfung, biometrische Step-up-Authentifizierung oder die Bestätigung in einer Filiale, um sicherzustellen, dass der Verifizierungskanal unabhängig von dem Kanal ist, der ersetzt wird. Dies geht direkt gegen SIM-Swapping-Angriffe vor, bei denen ein Betrüger, der bereits eine Telefonnummer kontrolliert, andernfalls die Änderung selbst autorisieren könnte.