PSD2-Passkeys: Phishing-resistente und PSD2-konforme MFA

Im digitalen Banking müssen Sicherheit und Nutzererlebnis kein Widerspruch mehr sein. Passkeys vereinen diese beiden Faktoren und bieten eine Phishing-resistente MFA, die den Anforderungen von PSD2 und SCA entspricht. Passkeys sind die sicherste und benutzerfreundlichste Form der Authentifizierung, die in allen Finanzdienstleistungen implementiert werden kann. Dieser Fortschritt kommt zu einem entscheidenden Zeitpunkt, da die Bankenbranche mit der Umsetzung der Zweiten Zahlungsdiensterichtlinie (PSD2) ringt – einem regulatorischen Rahmenwerk, das die Sicherheit und Wettbewerbsfähigkeit des europäischen Bankensektors verbessern soll.

Passkeys erweisen sich in diesem Kontext nicht nur als Compliance-Lösung, sondern auch als eine großartige Form der Innovation. Sie versprechen, die strengen Anforderungen von PSD2 zu erfüllen, ohne die User Experience zu beeinträchtigen. In diesem Blogbeitrag analysieren wir die Feinheiten von PSD2 und das damit verbundene Mandat zur Starken Kundenauthentifizierung (SCA): Es wird deutlich, dass Passkeys die Zukunft der Phishing-resistenten MFA im Banking darstellen.

PSD2 ist eine Richtlinie der Europäischen Union, die die Zahlungsdienste und die Bankenlandschaft in Europa revolutionieren soll. Ihre Hauptziele sind die Steigerung des Wettbewerbs, die Verbesserung des Verbraucherschutzes und die Förderung von Innovationen im digitalen Zahlungsverkehr. Indem PSD2 den offenen Zugang zu Finanzinformationen von Kunden für zugelassene Drittanbieter (mit Zustimmung des Kunden) vorschreibt, ebnet sie den Weg für ein integrierteres, effizienteres und benutzerfreundlicheres Finanzökosystem. Doch mit großer Macht kommt große Verantwortung, und PSD2 trägt dem durch ihren Fokus auf Sicherheit Rechnung, insbesondere durch Authentifizierungsprotokolle.

Im Zentrum der Sicherheitsmaßnahmen von PSD2 steht die Anforderung der Starken Kundenauthentifizierung (SCA), ein Protokoll, das Betrug drastisch reduzieren und die Sicherheit elektronischer Zahlungen erhöhen soll. SCA basiert auf dem Prinzip, dass elektronische Zahlungen nicht nur nahtlos, sondern auch sicher genug sein sollten, um verschiedenen Bedrohungen standzuhalten. Dieses Authentifizierungs-Framework ist für Zahlungsdienstleister, Banken und elektronische Zahlungs-Gateways, die unter die PSD2 fallen, verpflichtend.

Die Umsetzung der SCA unter PSD2 ist durch mehrere entscheidende Anforderungen definiert:

Die Authentifizierung muss mindestens zwei Elemente aus den folgenden Kategorien umfassen:

• Wissen: Etwas, das nur der Nutzer weiß, wie ein Passwort oder eine PIN.
• Besitz: Etwas, das nur der Nutzer besitzt, wie ein Mobilgerät, eine Smartcard oder ein Hardware-Token.
• Inhärenz: Etwas, das dem Nutzer eigen ist, einschließlich biometrischer Merkmale wie Fingerabdrücke, Gesichtserkennung oder Stimm-Muster.

Für jede Transaktion muss ein einzigartiger Authentifizierungscode generiert werden, der die Transaktion dynamisch mit spezifischen Details wie dem Betrag und der Kontonummer des Empfängers verknüpft.

Nutzer müssen sich in regelmäßigen Abständen, typischerweise alle 90 Tage, erneut authentifizieren, um den Zugang zu Online-Banking-Diensten aufrechtzuerhalten. Diese Anforderung wurde jedoch überarbeitet, um die Balance zwischen Sicherheit und Komfort zu optimieren.

SCA muss auf alle elektronischen Transaktionen angewendet werden, um sicherzustellen, dass die Authentifizierung spezifisch für den Betrag und den Zahlungsempfänger ist und so eine einzigartige Signatur für jede Transaktion erstellt wird.

Zahlungsdienstleister sollten einen risikobasierten Ansatz zur Anwendung der SCA verfolgen, bei dem Transaktionen mit geringerem Risiko von der SCA ausgenommen werden können, um den Zahlungsprozess zu optimieren, ohne die Sicherheit zu beeinträchtigen (man beachte hier bereits die Verbindung zu Passkeys).

Der gesamte Authentifizierungsprozess muss nachvollziehbar und prüfbar sein, wobei Aufzeichnungen geführt werden müssen, um die Einhaltung der SCA-Anforderungen nachzuweisen.

Durch die Einführung der SCA hat PSD2 den Standard für die Transaktionssicherheit im Bankensektor erheblich angehoben. Im Folgenden konzentrieren wir uns auf die verschiedenen Faktoren der Multi-Faktor-Authentifizierung (MFA). Diese Faktoren haben auch Auswirkungen auf die Anforderung der transaktionsspezifischen Authentifizierung (mehr dazu weiter unten).

Im Folgenden stellen wir die verschiedenen Entwicklungsstufen der Authentifizierung im Bankensektor vor.

Die Geschichte der Authentifizierung im Bankwesen begann mit der Verwendung von Persönlichen Identifikationsnummern (PINs) und Transaktionsnummern (TANs). Kunden erhielten eine Liste von TANs, von denen jede einmal zur Transaktionsverifizierung verwendet wurde. Diese Methode war damals revolutionär, hatte aber auch ihre Nachteile, wie das Risiko, dass TAN-Listen gestohlen oder missbraucht werden.

Mit dem technologischen Fortschritt führten die Banken elektronische TANs (eTANs) und mobile TANs (mTANs) ein, bei denen TANs generiert und per SMS an das Mobilgerät des Kunden gesendet wurden. Diese Methode verbesserte die Sicherheit, indem sie die TAN an das Gerät koppelte, brachte aber auch neue Schwachstellen mit sich, wie das Risiko des Abfangens von SMS und die Unannehmlichkeit, auf diese Nachrichten warten und sie verwalten zu müssen. Bis zur Einführung von Passkeys gelten SMS-OTPs aus UX-Sicht immer noch als die komfortabelste verfügbare 2FA-Option für das Banking.

Um die Sicherheit weiter zu erhöhen, setzten Banken auf Smartcards und Token-Geräte, die einzigartige Codes zur Authentifizierung generierten. Diese hardwarebasierten Lösungen boten ein höheres Maß an Sicherheit, brachten aber auch zusätzliche Komplexität und Unannehmlichkeiten für die Kunden mit sich, die nun ein zusätzliches Gerät bei sich tragen mussten.

Die jüngste Entwicklung in der Bankenauthentifizierung umfasst Biometrie (Fingerabdruck- oder Gesichtserkennung) und Mobile-Banking-Apps mit integrierten Sicherheitsfunktionen. Diese Methoden zielten darauf ab, Sicherheit und Komfort in Einklang zu bringen, indem sie die einzigartigen biologischen Merkmale des Nutzers und die Allgegenwart von Smartphones nutzten. Sie erfordern jedoch auch, dass Kunden für jede genutzte Bank eine separate App herunterladen und einrichten müssen.

Trotz dieser Fortschritte sind Kunden immer noch mit erheblichen Unannehmlichkeiten und Frustration bei den aktuellen Authentifizierungsmethoden im Banking konfrontiert und laufen Gefahr, von Betrügern ins Visier genommen zu werden:

• Komplexität und Unannehmlichkeiten: Die Aneinanderreihung mehrerer Authentifizierungsschritte ist zwar ein Sicherheitsgewinn, führt aber oft zu einem umständlichen Prozess für die Nutzer. Diese Komplexität ist nicht nur eine kleine Unannehmlichkeit; sie kann Kunden davon abhalten, digitale Bankdienstleistungen zu nutzen, und untergräbt damit den eigentlichen Zweck der digitalen Transformation.
• Geräte- und Plattformabhängigkeit: Der Wandel hin zur mobilen und biometrischen Authentifizierung bindet die Nutzer eng an ihre Geräte. Diese Abhängigkeit schafft im Falle eines Diebstahls eine fragile Verbindung. Auch technische Ausfälle können Bankdienstleistungen unzugänglich machen und Kunden im Stich lassen.
• Phishing-Schwachstellen: Trotz Fortschritten bleibt die Phishing-Anfälligkeit von Authentifizierungsfaktoren eine Schwachstelle, die von der SCA nicht adressiert wird. Traditionelle Faktoren wie PIN, Passwort, SMS-OTPs und E-Mail-OTPs können durch ausgeklügelte Phishing-Methoden kompromittiert werden, was Kundendaten und Finanzen gefährdet.

Bis heute warnen Banken, insbesondere traditionelle, ihre Kunden weiterhin vor dem erheblichen Risiko von Phishing.

Im folgenden Abschnitt erklären wir anhand eines realen Beispiels, wie das funktioniert.

Phishing-Angriffe sind seit langem eine erhebliche Bedrohung für die Sicherheit des Bankensektors. Sie nutzen menschliche Psychologie (Social Engineering) und technologische Schwachstellen aus, um unbefugten Zugriff auf sensible Finanzinformationen zu erlangen. Während die Banken ihre Authentifizierungsmethoden weiterentwickelt haben, haben sich auch die Betrüger angepasst und ausgeklügelte Schemata entwickelt, um Sicherheitsmaßnahmen zu umgehen. Das Verständnis, wie Phishing funktioniert, insbesondere im Kontext dieser gängigen Authentifizierungsmethoden, ist entscheidend, um die Dringlichkeit für nicht-phishing-anfällige Authentifizierungslösungen wie Passkeys zu erkennen.

Im Kern geht es beim Phishing darum, Personen dazu zu verleiten, sensible Informationen wie Anmeldedaten oder Finanzinformationen preiszugeben, indem man sich als legitime Kommunikation ihrer Bank ausgibt. Dies geschieht typischerweise in den folgenden Schritten:

1. Die Einleitung: Betrüger versenden Nachrichten (oft per E-Mail oder SMS), die offizielle Bankmitteilungen nachahmen, komplett mit Logos und einer Sprache, die vertrauenswürdig erscheint. Diese Nachrichten erzeugen in der Regel ein Gefühl der Dringlichkeit und behaupten, dass sofortiges Handeln erforderlich ist, um ein Problem zu lösen oder eine Kontoschließung zu verhindern.
2. Die Täuschung: Die Nachricht enthält einen Link zu einer betrügerischen Website, die dem offiziellen Online-Banking-Portal der Bank sehr ähnlich sieht. Ohne die Täuschung zu bemerken, wird das Opfer dazu verleitet zu glauben, es greife auf die legitime Website seiner Bank zu.
3. Die Erfassung: Auf der Phishing-Seite wird das Opfer aufgefordert, seine Authentifizierungsdaten einzugeben, wie z. B. seine PIN, oder eine Transaktion mit einem per SMS gesendeten OTP zu bestätigen. Im Glauben, mit seiner Bank zu interagieren, kommt das Opfer der Aufforderung nach und übergibt unwissentlich seine Anmeldedaten an die Angreifer.
4. Die Ausnutzung: Mit diesen Daten können die Betrüger dann auf das Bankkonto des Opfers zugreifen, nicht autorisierte Transaktionen durchführen oder Identitätsdiebstahl begehen.

Stellen Sie sich ein Szenario vor, in dem ein Kunde der Deutschen Bank eine SMS erhält, die ihn darüber informiert, dass sein Konto deaktiviert wird. Die Nachricht enthält einen Link zu einer Website, um die Identität des Kunden zu überprüfen, wobei „deutschebank“ Teil der URL ist und ein passendes SSL-Zertifikat vorhanden ist. Diese Seite, eine exakte Nachbildung der Anmeldeseite der Deutschen Bank (wie Sie in den Screenshots unten sehen können), fordert den Kunden zur Eingabe seiner Online-Banking-PIN und anschließend in Echtzeit zu einem SMS-OTP auf (aus Sicherheitsgründen in den Screenshots nicht sichtbar). Ohne es zu wissen, ermöglicht die Eingabe dieser Informationen auf der Phishing-Seite den Angreifern, vollen Zugriff auf sein Konto bei der Deutschen Bank zu erhalten und potenziell hohe Geldbeträge auf andere Konten zu überweisen.

Dies ist die Phishing-SMS mit der Aufforderung, den Zugang zum Bankkonto wiederherzustellen (nur deutsche Screenshots verfügbar):

Dies ist die Phishing-Webseite der Angreifer (https://deutschebank-hilfe.info):

Dies ist die originale Webseite als Referenz (https://meine.deutsche-bank.de), die die Angreifer fast perfekt kopiert haben (sie haben nur die Phishing-Warnung unten weggelassen):

Kunden, die es gewohnt sind, sich über diese identische Benutzeroberfläche anzumelden und SMS-OTP als Authentifizierungsfaktor zu verwenden, können leicht Opfer solcher Angriffe werden. Es gibt ein umfangreiches Ökosystem von Open-Source-Suiten, die sich zu Sicherheitsforschungszwecken auf Phishing-Angriffe gegen OAuth- oder Banksysteme konzentrieren (z. B. https://github.com/gophish/gophish). Diese Systeme können jedoch leicht für böswillige Zwecke angepasst werden.

Phishing im Bankensektor wird mit jedem Datenleck im Dark Web präziser. Typischerweise sind auch Zahlungsinformationen wie IBANs Teil dieser Lecks. Obwohl diese Informationen nicht direkt zum Stehlen von Geld verwendet werden können, können sie bei Spear-Phishing-Ansätzen genutzt werden, bei denen der Angreifer weiß, dass das Ziel tatsächlich ein Kunde der Bank ist.

Der entscheidende Fehler im obigen Szenario liegt in der Phishing-Anfälligkeit der Authentifizierungsfaktoren: Sowohl die PIN als auch das SMS-OTP können dem Kunden leicht unter falschen Vorwänden entlockt werden. Diese Schwachstelle unterstreicht die Notwendigkeit von Authentifizierungsmethoden, die nicht durch Social Engineering oder Phishing-Angriffe kompromittiert werden können.

Phishing-resistente Authentifizierungsfaktoren, wie sie durch Passkeys ermöglicht werden, bieten eine robuste Verteidigung gegen solche Schemata. Da Passkeys nicht auf geteilten Geheimnissen beruhen, die preisgegeben, einem Nutzer entlockt oder abgefangen werden können, verändern sie die Sicherheitslandschaft grundlegend. Mit Passkeys beinhaltet der Authentifizierungsprozess einen kryptografischen Identitätsnachweis, der von Betrügern nicht nachgebildet werden kann, wodurch der häufigste Angriffsvektor beim Phishing eliminiert wird.

Um Phishing-Bedrohungen wirksam zu begegnen, muss der Bankensektor einen vielschichtigen Ansatz verfolgen, der Folgendes umfasst:

1. Aufklärung der Kunden: Banken sollten ihre Kunden kontinuierlich über die Risiken von Phishing und die Erkennung betrügerischer Kommunikation informieren.
2. Implementierung von Phishing-resistenter Authentifizierung: Übergang zu Authentifizierungsmethoden, die nicht auf Informationen beruhen, die entlockt oder abgefangen werden können, und so vielen Phishing-Versuchen die Tür verschließen.
3. Verbesserung der Betrugserkennungssysteme: Einsatz fortschrittlicher Analysen und maschinellen Lernens zur Erkennung und Verhinderung nicht autorisierter Transaktionen, selbst wenn Phisher irgendeine Form von Authentifizierungsdaten erhalten.

Obwohl Phishing eine erhebliche Bedrohung für den Bankensektor bleibt, stellt die Einführung von Phishing-resistenten Authentifizierungsmethoden wie Passkeys einen entscheidenden Schritt zur Sicherung des Online-Bankings gegen Betrüger dar. Indem sie das schwächste Glied – die Phishing-Anfälligkeit von Authentifizierungsfaktoren – beseitigen, können Banken die Sicherheit der Vermögenswerte und persönlichen Informationen ihrer Kunden erheblich verbessern.

Bis heute haben die Europäische Zentralbank und die lokalen Bankenaufsichtsbehörden (z. B. BaFin) keine Stellungnahme dazu abgegeben, ob Passkeys insgesamt als 2FA eingestuft würden oder wie Banken sie verwenden sollten.

Im nächsten Abschnitt möchten wir erklären, warum wir glauben, dass Passkeys PSD2-konform sind.

In Gesprächen mit Stakeholdern aus den Bereichen Payment, Fintech und Banking taucht immer wieder eine Frage auf: Sind Passkeys PSD2-konform und können sie als alleinige Authentifizierungsmethode im Banking dienen? Die Beziehung zwischen Passkeys und der Zweiten Zahlungsdiensterichtlinie (PSD2) in der Europäischen Union ist nuanciert und erfordert eine detaillierte Untersuchung. Zur Verdeutlichung werden Passkeys in der Regel in zwei Typen unterteilt: Synchronisierte Passkeys (Multi-Device) und Nicht-synchronisierte Passkeys (Single-Device), die jeweils unterschiedliche Merkmale in Bezug auf die PSD2-Konformität aufweisen:

Die Einhaltung von Vorschriften ist für regulierte Unternehmen wie Banken und Versicherungen sehr wichtig. Es kann jedoch lange dauern, bis sich Compliance-Richtlinien ändern. Im Fall von Passkeys ist der größte Sicherheitsvorteil ihre Phishing-Resistenz, da Kunden diese Informationen nicht versehentlich an Angreifer weitergeben können.

Obwohl Passkeys die Sicherheit erheblich verbessern, da sie Phishing-resistent sind, verlagern sie einen Teil des Risikos auf den Cloud-Account des Kunden, wie zum Beispiel den Apple iCloud-Schlüsselbund. Dies macht den Cloud-Account zu einem attraktiveren Ziel für Angreifer. Allerdings verfügen Dienste wie Apple iCloud über robuste Sicherheitsmaßnahmen, insbesondere für Funktionen, die Passkeys unterstützen.

Erstens setzen iCloud-Passkeys voraus, dass die Zwei-Faktor-Authentifizierung (2FA) für das Konto aktiviert ist, was eine zusätzliche Sicherheitsebene darstellt. Das bedeutet, selbst wenn ein Angreifer das iCloud-Passwort des Kunden kennt, benötigt er immer noch Zugriff auf ein vertrauenswürdiges Gerät oder eine Telefonnummer, um den 2FA-Code zu erhalten.

Apple, und ähnlich auch Google für ihre Konten, investieren erhebliche Ressourcen in die Sicherung dieser Cloud-Dienste. Die Sicherheitsprotokolle für Konten, die Passkeys in der Cloud unterstützen, sind streng, was es für unbefugte Nutzer nahezu unmöglich macht, einzudringen. Dieser hohe Sicherheitsstandard wird durch ständige Updates und Sicherheitspatches aufrechterhalten (und sie haben auch Passkeys für ihre Konten eingeführt).

Darüber hinaus ist der Diebstahl von Geräten oder Cloud-Konten zwar ein potenzielles Risiko, aber nicht der häufigste Angriffsvektor für Banking-Anwendungen. Bei erhöhtem Sicherheitsbedarf, wie bei verdächtigen Transaktionen, könnten Banken weiterhin SMS-OTPs als zusätzlichen Faktor verwenden. Indem der PIN / das Passwort durch Passkeys ersetzt wird, wird der erste Authentifizierungsfaktor Phishing-resistent, was das Risiko erfolgreicher Phishing-Angriffe erheblich reduziert. Ein dritter Faktor könnte für Transaktionen eingeführt werden, die als verdächtig eingestuft werden, um eine robuste Sicherheitslage zu gewährleisten.

Entgegen der traditionellen (risikoscheuen) Ansichten zur PSD2-Konformität haben Finom und Revolut entschieden, dass der Schutz von Kundendaten wichtiger ist, und verwenden daher Passkeys, obwohl es keine öffentliche europäische Entscheidung darüber gibt, wie die Bankenaufsicht Passkeys in Bezug auf die PSD2-Konformität behandeln sollte. Neobanken und Fintechs wie Finom und Revolut fordern den Status quo heraus und beeinflussen damit die regulatorische Landschaft bezüglich der von PSD2 vorgeschriebenen Authentifizierungsmaßnahmen.

Indem sie die Sicherheit und Integrität der Kundendaten priorisieren, führen diese Fintech-Pioniere Passkeys ein, auch ohne explizite regulatorische Leitlinien von europäischen Behörden. Diese proaktive Haltung legt die Verantwortung auf die Regulierungsbehörden, ihre Compliance-Rahmenwerke angesichts technologischer Fortschritte, die überlegene Sicherheitslösungen bieten, neu zu bewerten.

Der mutige Schritt von Finom und Revolut, Passkeys zu implementieren, unterstreicht einen entscheidenden Aspekt der regulatorischen Compliance: Es sollte nicht darum gehen, Standards starr einzuhalten, sondern die zugrunde liegenden Ziele dieser Standards zu erreichen, was in diesem Fall die höchste Sicherheit von Kundendaten und Transaktionen ist. Indem sie den Datenschutz über eine strikte Einhaltung traditioneller Compliance-Modelle stellen, setzen diese Neobanken neue Maßstäbe für die Branche.

Aus regulatorischer Sicht besteht ein dringender Bedarf an Klarheit und Anpassung, um Fortschritte wie Passkeys im Rahmen der PSD2-Konformität zu berücksichtigen. Wir fordern die EU auf, eine klare Haltung zu Passkeys einzunehmen und sie als eine überlegene Form der Multi-Faktor-Authentifizierung (MFA) anzuerkennen, die mit den Kernzielen von PSD2 zur Stärkung der Sicherheit und zur Reduzierung von Betrug im digitalen Zahlungsverkehr übereinstimmt.

Passkeys bieten von Natur aus einen robusten, Phishing-resistenten Authentifizierungsfaktor, der die Sicherheitsfähigkeiten der meisten traditionellen MFA-Methoden übertrifft. Dies erhöht nicht nur die Sicherheit, sondern vereinfacht auch die User Experience und adressiert damit zwei entscheidende Aspekte der PSD2-Konformität.

Die Haltung der EU sollte sich weiterentwickeln, um den technologischen Fortschritten Rechnung zu tragen, die neu definieren, was eine effektive und sichere Authentifizierung ausmacht. Indem die EU Innovationen wie Passkeys aufgreift und in das regulatorische Gefüge integriert, kann sie ihr Engagement sowohl für den Schutz der Verbraucher als auch für die Förderung eines zukunftsorientierten digitalen Finanzumfelds unter Beweis stellen.

Da die Finanzbranche weiterhin innovativ ist, liegt es an den Regulierungsbehörden, klare, fortschrittliche Leitlinien bereitzustellen, die nicht nur mit dem technologischen Wandel Schritt halten, sondern auch zukünftige Entwicklungen vorwegnehmen. Neobanken führen derzeit die Bewegung an, aber letztendlich liegt es in der Verantwortung der Regulierungsbehörden, sicherzustellen, dass der Finanzsektor als Ganzes sicher und zuversichtlich in die Zukunft des digitalen Bankings gehen kann.

Die Einführung von Passkeys im Banken- und Fintech-Bereich ist ein Paradebeispiel für Innovation, die sowohl die Sicherheit als auch die User Experience erheblich verbessert. In unserem Artikel haben wir das Potenzial von Passkeys als zukunftsweisende Authentifizierungslösung dargelegt, die den strengen Sicherheitsanforderungen von PSD2 entspricht und gleichzeitig verbreitete Bedrohungen wie Phishing eindämmt. Neobanken/Fintechs wie Finom und Revolut haben durch die Integration von Passkeys in ihre Sicherheits-Frameworks einen Präzedenzfall geschaffen und damit ihre Wirksamkeit und ihren kundenorientierten Ansatz unter Beweis gestellt.

Ein Drei-Schritte-Aktionsplan für traditionelle Banken könnte wie folgt aussehen:

1. Dialog mit lokalen Regulierungsbehörden: Traditionelle Banken sollten proaktiv den Dialog mit ihren lokalen Regulierungs- und Bankenaufsichtsbehörden suchen, um die Implementierung von Passkeys zu diskutieren. Dieser Dialog sollte darauf abzielen, regulatorische Positionen zu klären und den Weg für die Integration von Passkeys in die bestehende Compliance-Struktur zu ebnen. Indem sie die Initiative ergreifen, können Banken dazu beitragen, ein regulatorisches Umfeld zu gestalten, das innovative Authentifizierungsmethoden unterstützt.
2. Von den Best Practices der Neobanken lernen: Es ist für traditionelle Banken unerlässlich, von Neobanken zu lernen, die Passkeys erfolgreich implementiert haben. Die Untersuchung dieser Best Practices liefert wertvolle Einblicke in die betrieblichen, technischen und kundenservicebezogenen Aspekte der Passkey-Einführung. Dieser Wissenstransfer kann traditionellen Banken helfen, ihre eigenen Strategien zur Einführung von Passkeys zu entwickeln.
3. Strategischer Übergang zu Passkeys: Mit regulatorischer Klarheit und einem Verständnis für Best Practices können traditionelle Banken einen umfassenden Plan für den Übergang der Kunden zur Passkey-basierten Authentifizierung entwickeln. Dieser Plan sollte Kundenaufklärungskampagnen umfassen, um die Vorteile und die Nutzung von Passkeys zu erklären, schrittweise Einführungen, um einen reibungslosen Übergang zu gewährleisten, und eine kontinuierliche Evaluierung, um eventuelle Herausforderungen zeitnah anzugehen.

Die Zukunft der Authentifizierung im Banking liegt in Technologien, die sowohl Sicherheit als auch Benutzerfreundlichkeit in den Vordergrund stellen. Passkeys sind ein Schritt in diese Richtung und bieten eine Phishing-resistente, benutzerfreundliche Authentifizierungsmethode, die den von PSD2 und anderen regulatorischen Rahmenwerken gesetzten Standards entspricht.

Für traditionelle Banken ist es jetzt an der Zeit, den Wandel anzunehmen und den Übergang zu Passkeys zu beginnen. Dieser Übergang sollte jedoch nicht abrupt erfolgen, sondern ein gut überlegter Schritt sein, der die einzigartigen Bedürfnisse ihrer Kundenbasis, das spezifische regulatorische Umfeld und die technologische Bereitschaft der Institution berücksichtigt.

Das oberste Ziel ist es, sicherzustellen, dass jeder Kunde von erhöhter Sicherheit profitiert, ohne auf Komfort verzichten zu müssen. Durch die Einführung von Passkeys schützen Banken nicht nur ihre Kunden mit modernster Technologie, sondern signalisieren auch ein Bekenntnis zu Innovation und Kundenorientierung in einer Ära des digitalen Finanzwesens.