---
url: 'https://www.corbado.com/de/blog/singapur-passkeys-banken'
title: 'Banken in Singapur und Passkeys: Der Ersatz für SMS-OTP'
description: 'Erfahren Sie, warum Banken in Singapur OTPs zugunsten sichererer digitaler Token auslaufen lassen müssen und warum Passkeys der bessere Ersatz für die Sicherheit im Bankwesen sind.'
lang: 'de'
author: 'Vincent Delitz'
date: '2025-07-15T13:17:04.115Z'
lastModified: '2026-03-27T07:03:00.928Z'
keywords: 'passkeys singapur, sicherheit banken singapur'
category: 'Passkeys Strategy'
---

# Banken in Singapur und Passkeys: Der Ersatz für SMS-OTP

## Übersicht

## 1. Einleitung

Die **Monetary Authority of Singapore (MAS)** hat
[angekündigt](https://www.mas.gov.sg/news/media-releases/2024/banks-in-singapore-to-strengthen-resilience-against-phishing-scams),
dass alle großen Privatkundenbanken des Landes in den nächsten drei Monaten OTPs auslaufen
lassen und durch „digitale Token“ ersetzen müssen. Dieser Schritt, in Zusammenarbeit mit
der **Association of Banks in Singapore (ABS)**, soll Verbraucher vor
[Phishing](https://www.corbado.com/glossary/phishing) und anderen Betrugsmaschen schützen, die im Jahr 2023
Kosten von über 14 Millionen US-Dollar verursacht haben. In diesem Blogbeitrag möchten wir
Folgendes besprechen:

- **OTP abschaffen:** Warum priorisiert die MAS die Abschaffung von OTPs?
- **Digitale Token:** Was sind digitale Token und warum sind sie sicherer?
- **Passkeys:** Könnten Passkeys dabei helfen, die neuen Anforderungen zu erfüllen?

Beginnen wir mit einem genaueren Blick auf die Ankündigung der **Monetary Authority of
Singapore (MAS)**
„[Banks in Singapore to Strengthen Resilience Against Phishing Scams](https://www.mas.gov.sg/news/media-releases/2024/banks-in-singapore-to-strengthen-resilience-against-phishing-scams)“.

## 2. Ankündigung der Monetary Authority of Singapore (MAS) zu Phishing-Betrug und digitalen Token

Am 9. Juli 2024 kündigten die Monetary Authority of Singapore (MAS) und die Association of
Banks in Singapore (ABS) einen wichtigen Schritt zur Erhöhung der
[Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) im digitalen
[Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse) an, indem die Verwendung von
Einmalpasswörtern (OTPs) schrittweise eingestellt wird. Dieser Übergang soll in den
nächsten drei Monaten erfolgen und zielt darauf ab, Verbraucher besser vor
[Phishing](https://www.corbado.com/glossary/phishing)-Betrug zu schützen, der zur Hauptbedrohung im digitalen
[Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse) geworden ist. **Obwohl sich die Ankündigung
nur auf „Einmalpasswörter“ und OTPs bezieht, zielt sie speziell auf SMS-OTPs ab**.

Kunden, die ihre digitalen Token auf ihren mobilen Geräten aktiviert haben, müssen diese
Token nun für die Anmeldung bei ihren Bankkonten über Browser oder mobile
[Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse)-Apps verwenden. Der digitale Token
authentifiziert die Anmeldungen der Kunden, ohne dass OTPs benötigt werden, die von
Betrügern gestohlen oder durch Täuschung von Kunden erlangt werden können. Im nächsten
Kapitel werden wir genauer erläutern, was digitale Token sind.

Technologische Fortschritte und ausgefeilte [Phishing](https://www.corbado.com/glossary/phishing)-Techniken haben
die [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden), die SMS-OTPs einst boten,
überholt. Betrüger erstellen mittlerweile gefälschte Bank-Websites, die echten Seiten sehr
ähnlich sehen, um Kunden zur Eingabe ihrer OTPs und anderer Anmeldedaten zu verleiten. Der
Wechsel zu Phishing-resistenten Authentifizierungsfaktoren stärkt die
[Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) und macht es für Betrüger erheblich
schwieriger, unbefugten Zugriff auf das Konto eines Kunden zu erlangen.

Phishing-Betrug bleibt in Singapur ein anhaltendes Problem. Die Banken arbeiten weiterhin
eng mit der MAS und der Polizei von Singapur zusammen, um Maßnahmen zu entwickeln und
einzuführen, die die kollektive Widerstandsfähigkeit gegen die sich ständig
weiterentwickelnde Betrugslandschaft stärken. Frau Ong-Ang Ai Boon, Direktorin der ABS,
betonte, dass die neue Maßnahme zwar einige Unannehmlichkeiten mit sich bringen mag, aber
ein notwendiger Schritt sei, um Betrug zu verhindern und Kunden zu schützen.

Frau Loo Siew Yee, Assistant Managing Director (Policy, Payments & Financial Crime) bei
der MAS, hob hervor, dass die MAS sich verpflichtet fühlt, eng mit den Banken
zusammenzuarbeiten, um Verbraucher vor Betrug im digitalen Banking zu schützen. Sie merkte
an, dass diese neueste Maßnahme gute Cyber-Hygienepraktiken ergänzen wird, die Kunden
weiterhin befolgen sollten, wie zum Beispiel den Schutz ihrer Bankdaten.

Diese Maßnahme von MAS und ABS zeigt ihr Engagement für die Verbesserung der Sicherheit im
digitalen Banking durch die Vorschrift zur Verwendung digitaler Token. Was in der
Ankündigung fehlt, ist eine klare Beschreibung der Anforderungen an digitale Token im
Sinne der Authentifizierung. Schauen wir uns das im nächsten Abschnitt genauer an.

## 3. Was sind digitale Token und warum sind sie sicherer?

Digitale Token stellen einen Fortschritt in der Online-Sicherheit dar und bieten eine
stärkere Alternative zu herkömmlichen SMS-Einmalpasswörtern (OTPs). Im Gegensatz zu
SMS-OTPs, die per SMS (oder E-Mail) übertragen und abgefangen oder durch Phishing erbeutet
werden können, sind digitale Token an ein bestimmtes Gerät gebunden, typischerweise ein
Mobiltelefon. Dies stellt sicher, dass nur der Gerätebesitzer die erforderlichen
Authentifizierungscodes generieren kann.

### 3.1 Wie digitale Token funktionieren

Digitale Token können unterschiedlich funktionieren:

- **Zeitbasierter digitaler Token (weniger sicher)**: Diese Token sind zeitbasierte,
  dynamische Codes, die zur Authentifizierung der
  [Identität](https://www.corbado.com/de/blog/digital-credentials-api) eines Nutzers verwendet werden. Sie werden
  von einer nativen App auf dem Mobilgerät des Nutzers erzeugt, wie zum Beispiel einer
  proprietären App der Bank. In den meisten Implementierungen wird der eigentliche Code
  nicht mehr angezeigt, sondern nur noch eine Push-Benachrichtigung, die den Nutzer um
  Zustimmung zu den Transaktionsdetails bittet und dann an den Bankserver zurückgesendet
  wird.
- **Kryptografischer digitaler Token (sicherer)**: Ein kryptografischer digitaler Token
  stellt eine noch sicherere Authentifizierungsmethode im Vergleich zu zeitbasierten Token
  dar. Er nutzt ein Public-Private-Key-Paar, das in der App oder in der
  [Secure Enclave](https://www.corbado.com/glossary/secure-enclave) des Mobiltelefons gespeichert ist. Während
  des Authentifizierungsprozesses sendet der Bankserver eine „Challenge“ (Herausforderung)
  an das Gerät des Nutzers. Das Gerät verwendet dann seinen privaten Schlüssel, um diese
  Challenge zu signieren, und die signierte Antwort wird an den Server zurückgesendet. Der
  Server überprüft die Signatur mit dem entsprechenden öffentlichen Schlüssel. Diese
  Methode stellt sicher, dass selbst wenn ein Angreifer die Kommunikation abfängt, er den
  Authentifizierungsprozess ohne Zugriff auf den privaten Schlüssel des Nutzers, der
  sicher auf dem Gerät gespeichert bleibt, nicht nachbilden kann.

### 3.2 Verbesserte Sicherheitsmerkmale digitaler Token

Die Sicherheit digitaler Token wird durch mehrere Schlüsselmerkmale gestärkt:

1. **Gerätebindung**: Der Token ist an ein bestimmtes Gerät gebunden, was bedeutet, dass
   die Authentifizierungscodes nur von diesem Gerät generiert werden können. Diese
   Gerätebindung macht es für Angreifer extrem schwierig, den Token zu replizieren oder
   auf ein anderes Gerät zu übertragen.
2. **Multi-Faktor-Einrichtung**: Die erstmalige Einrichtung des digitalen Tokens erfordert
   oft die Verwendung von OTPs, die per SMS und E-Mail gesendet werden, um die
   [Identität](https://www.corbado.com/de/blog/digital-credentials-api) des Nutzers zusätzlich zur Banking-PIN zu
   überprüfen (einige Banken ersetzen mit diesem Ansatz auch physische Token. Dann kann
   der physische OTP-Token verwendet werden). Sobald der Token aktiviert ist, wird er zur
   primären Authentifizierungsmethode, wodurch die Notwendigkeit zukünftiger OTPs und
   ihrer damit verbundenen Schwachstellen entfällt. Zum Beispiel verwendet die DBS Bank
   eine Kombination aus SMS- und E-Mail-OTPs bei der Ersteinrichtung des digitalen Tokens,
   danach basiert die laufende Authentifizierung ausschließlich auf dem Token.
3. **Zeitbasierter oder kryptografischer Schutz**: Digitale Token verwenden starke
   kryptografische Algorithmen oder zeitbasierte Algorithmen
   ([TOTP](https://www.csa.gov.sg/alerts-advisories/Advisories/2023/ad-2023-006)), um die
   Authentifizierungscodes zu generieren. Dies stellt sicher, dass die Codes selbst bei
   einem Abfangen der Kommunikation zwischen dem Gerät und dem Authentifizierungsserver
   nicht einfach entschlüsselt oder gefälscht werden können.

### 3.3 Fallstudie: Die Implementierung der DBS Bank

Die DBS Bank, ein großes Finanzinstitut in Singapur, hat erfolgreich digitale Token
[implementiert](https://www.dbs.com.sg/personal/support/bank-ibanking-digital-token-setup.html),
um die Sicherheit für ihre Kunden zu erhöhen. Die Bank verlangt:

- **Etwas, das der Nutzer weiß:** PIN
- **Etwas, das der Nutzer hat:** SMS-OTP (Zugriff auf das der Telefonnummer zugewiesene
  Telefon)
- **Etwas, das der Nutzer hat:** E-Mail-OTP (Zugriff auf die dem Konto zugewiesene E-Mail)

um den digitalen Token auf dem Mobilgerät eines Kunden einzurichten. Einmal eingerichtet,
wird der digitale Token zur alleinigen Methode zur Authentifizierung von Anmeldungen und
Transaktionen, was das Risiko von Phishing-Angriffen, die auf OTPs abzielen, wirksam
mindert.

![Digitaler Token der DBS Bank](https://www.corbado.com/website-assets/dbs_bank_digital_token_647d6b3705.png)

Falls die verknüpfte E-Mail-Adresse nicht aktuell ist und kein physischer Token verfügbar
ist, kann der Nutzer den digitalen Token mit Fallback-Optionen einrichten:

![Singpass](https://www.corbado.com/website-assets/singpass_095c2516f5.png)

Die Fallback-Optionen umfassen die digitale [Identität](https://www.corbado.com/de/blog/digital-credentials-api)
mit Singpass, die Nutzung eines Video-Teller-Automaten (VTM) in einer Filiale in der Nähe
des Kunden oder die Anforderung eines Registrierungscodes, der innerhalb von 3-5 Tagen per
Post zugesandt wird.

### 3.4 Vorteile digitaler Token gegenüber OTPs

Der Wechsel von OTPs zu digitalen Token behebt mehrere Schwachstellen, die mit
traditionellen Authentifizierungsmethoden verbunden sind:

- **Teilweise Phishing-Resistenz**: Da digitale Token direkt auf dem Gerät des Nutzers
  generiert und verwendet werden, besteht kein Risiko des Abfangens durch Phishing. Selbst
  wenn ein Betrüger einen Nutzer dazu verleitet, seine Anmeldedaten preiszugeben, kann er
  ohne physischen Zugriff auf das Gerät nicht den erforderlichen Authentifizierungscode
  generieren.
- **Reduzierte Angriffsfläche**: Durch den Wegfall von SMS und E-Mail als
  Übertragungskanäle für Authentifizierungscodes reduzieren digitale Token die
  Angriffsfläche, die Betrüger ausnutzen können.
- **Benutzerfreundlichkeit**: Obwohl die Ersteinrichtung zusätzliche Schritte erfordern
  kann, ist die laufende Nutzung digitaler Token für die Nutzer nahtlos und bequem. Sie
  müssen nicht mehr auf das Eintreffen eines OTPs per SMS oder E-Mail warten, was manchmal
  verzögert oder blockiert werden kann.

### 3.5 Unvollständige Lösung gegen Phishing

Obwohl der Schutz vor Phishing teilweise verbessert wird, besteht das neue Risiko darin,
dass Kunden Opfer von
[MFA-Fatigue-Angriffen](https://www.proofpoint.com/us/blog/information-protection/preventing-mfa-fatigue-attacks)
werden. Da sie ständig an Authentifizierungsanfragen für digitale Token gewöhnt sind,
könnte ein Angreifer dies ausnutzen und eine solche Anfrage von einer Phishing-Seite aus
senden.

![Anfrage für digitalen Token](https://www.corbado.com/website-assets/digital_token_request_8e0f4a5134.png)

Aus diesem Grund haben größere Tech-Unternehmen (z. B. Google und Microsoft), die viele
Sicherheitsverletzungen erlebt haben, begonnen, „Challenges“ (Herausforderungen) in diese
Push-Benachrichtigungen einzubauen, zum Beispiel durch die Auswahl der richtigen Zahl, um
Kunden zu schützen.

![Microsoft Push-Challenge](https://www.corbado.com/website-assets/microsoft_push_challenge_74dda10c71.png)

Digitale Token bieten eine sicherere Methode zur Authentifizierung in der digitalen
Bankenlandschaft, eliminieren das Phishing-Risiko jedoch nicht vollständig. Ein Angreifer
könnte ein Opfer immer noch dazu verleiten, seinen Zugriff zu authentifizieren, indem er
es überzeugt, Anfragen für digitale Token zu bestätigen. Die Implementierung der DBS Bank
hat gezeigt, dass es möglich ist, Kunden einfach in eine andere Form der Authentifizierung
zu überführen, indem man bestehende Faktoren kombiniert. An diesem Punkt stellt sich die
Frage: Warum führen die MAS und die DBS Bank keine Passkeys ein? Schauen wir uns das an.

## 4. Passkeys für das singapurische Bankwesen

Wie wir gesehen haben, stellen digitale Token im Vergleich zu herkömmlichen SMS-OTPs einen
Fortschritt bei der Absicherung von digitalen Bankgeschäften dar. Obwohl digitale Token
verbesserte Sicherheitsfunktionen bieten, sind sie nicht vollständig
[Phishing-resistent](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden). Ein Angreifer könnte ein
Opfer immer noch dazu verleiten, eine betrügerische Anfrage zu authentifizieren, indem er
es überzeugt, Aufforderungen für digitale Token zu bestätigen. Diese anhaltende
Schwachstelle deutet darauf hin, dass digitale Token zwar eine Verbesserung darstellen,
aber keinen ausreichend mutigen Schritt zur Absicherung des Online-Bankings bedeuten.

### 4.1 Passkeys sind sicherer als digitale Token

Passkeys bieten eine wirklich Phishing-resistente Authentifizierungsmethode. Im Gegensatz
zu digitalen Token sind Passkeys von Natur aus resistent gegen Phishing-Angriffe, da sie
nur auf der korrekten Website oder Anwendung verwendet werden können. Dies stellt sicher,
dass Nutzer nicht dazu verleitet werden können, ihre Anmeldedaten auf einer betrügerischen
Seite einzugeben. Passkeys basieren auf der Public-Private-Key-Kryptografie, bei der der
private Schlüssel sicher auf dem Gerät des Nutzers gespeichert und in der Cloud des
zugehörigen Betriebssystems sicher verschlüsselt wird. Der öffentliche Schlüssel wird mit
dem authentifizierenden Dienst geteilt.

So erhöhen Passkeys die Sicherheit:

1. **Phishing-Resistenz**: Passkeys eliminieren das Risiko, Authentifizierungsdetails auf
   gefälschten Websites einzugeben. Da der Authentifizierungsprozess nur auf der legitimen
   Seite fortgesetzt werden kann, die die Challenge ausgestellt hat, werden
   Phishing-Versuche wirkungslos. Es ist technisch unmöglich, einen Passkey auf der
   falschen Seite zu verwenden, und es ist für einen durchschnittlichen Verbraucher auch
   unmöglich, einen Passkey an eine fremde Partei zu exportieren.
2. **Unterstützung für mehrere Geräte**: Im Gegensatz zu digitalen Token, die oft an ein
   einziges Gerät gebunden sind, können Passkeys auf sichere Weise über authentifizierte
   Geräte innerhalb derselben Cloud oder desselben Passwort-Managers synchronisiert
   werden. Dies bietet Flexibilität und Komfort für Nutzer, die von verschiedenen Geräten
   auf ihre Bankdienstleistungen zugreifen.
3. **Starke Gerätesicherheit**: Passkeys erfordern, dass
   [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) innerhalb der mobilen Betriebssystem-Ökosysteme
   (wie [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) oder
   [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)) aktiviert ist. Diese zusätzliche
   Sicherheitsebene stellt sicher, dass selbst bei einem kompromittierten Gerät der
   Angreifer die [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) des Geräts umgehen müsste, um auf
   die Passkeys zuzugreifen. Wir haben die Details bereits bei der Erläuterung der
   [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk)/[PSD2](https://www.corbado.com/blog/psd2-passkeys)-Details
   zu Passkeys erläutert und erklärt, warum synchronisierte Passkeys für das Banking
   verwendet werden können.

### 4.2 Das Plädoyer für Passkeys: Australien als Vorbild

Australien hat die Bedeutung der Phishing-resistenten Authentifizierung in seinem
Essential Eight Standard anerkannt, der Best Practices für die Cybersicherheit umreißt.
Der Standard erwähnt ausdrücklich die Notwendigkeit technischer Anforderungen, die
Phishing-Risiken mindern, und positioniert Australien als führend in der Cybersicherheit
im asiatisch-pazifischen Raum. Singapur sollte mit seiner fortschrittlichen digitalen
[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) dem Beispiel Australiens folgen,
indem es Passkeys in seine Standards und Empfehlungen für Unternehmen integriert. Dies
würde nicht nur die Sicherheit stärken, sondern Singapur auch an globale Best Practices in
der digitalen Sicherheit anpassen.

### 4.3 Ein Aufruf zur regulatorischen Handlung

Die Bankenbranche wartet auf klare regulatorische Leitlinien, die die Verwendung von
synchronisierten Passkeys im Bankwesen ausdrücklich erlauben würden. Ein solcher Schritt
würde den Banken das Vertrauen geben, diese fortschrittliche Technologie zu übernehmen und
ihren Kunden eine wirklich sichere und bequeme Authentifizierungsmethode anzubieten. Die
Monetary Authority of Singapore (MAS) hat die Möglichkeit, einen neuen Standard in der
digitalen Banksicherheit zu setzen, indem sie die Verwendung von Passkeys befürwortet.
Damit würde die MAS ihr Engagement für wegweisende Sicherheitsmaßnahmen signalisieren und
sicherstellen, dass Singapur an der Spitze der Innovation im digitalen Banking bleibt.

## 5. Empfehlungen für Banken in Singapur

Die Umstellung der Nutzer auf sicherere digitale Token ist ein bedeutender Schritt zur
Verbesserung der Online-Banking-Sicherheit in Singapur. Mit Blick auf die Zukunft ist es
jedoch für Banken unerlässlich, mit der Einführung von Passkeys zu beginnen, die zum
De-facto-Standard für die Web-Authentifizierung werden. Hier sind einige wichtige
Empfehlungen für Banken in Singapur, um ihre
Sicherheits-[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) zukunftssicher zu
machen:

1. **Frühzeitig mit dem Sammeln von Passkeys beginnen:** Während der Umstellung auf
   digitale Token sollten Banken auch damit beginnen, Passkeys von Nutzern zu sammeln.
   Dieser proaktive Ansatz bereitet die Banken auf einen nahtlosen Übergang vor, sobald
   Passkeys weithin akzeptiert und angenommen werden. Durch die Integration der
   Passkey-Sammlung in die aktuellen Onboarding- und Authentifizierungsprozesse können
   Banken schrittweise eine sichere Datenbank von Passkeys aufbauen.
2. **PINs durch Passkeys ersetzen:** Ein praktischer und sofortiger Schritt zur Einführung
   von Passkeys ist der Ersatz traditioneller PINs durch Passkeys. Passkeys bieten eine
   sicherere und bequemere Alternative zu PINs und nutzen die
   Public-Private-Key-Kryptografie. Durch die Implementierung von Passkeys als primäre
   Authentifizierungsmethode können Banken die Sicherheit erhöhen und gleichzeitig ein
   reibungsloseres Nutzererlebnis bieten.
3. **Passkeys als ersten Faktor oder zusätzliche Risikomaßnahme einsetzen:** Passkeys
   können als erster Authentifizierungsfaktor oder als zusätzliche Risikomaßnahme in
   Multi-Faktor-Authentifizierungs-Setups (MFA) verwendet werden. Die Einbindung von
   Passkeys in den Authentifizierungsprozess bietet eine zusätzliche Sicherheitsebene und
   macht es für Angreifer erheblich schwieriger, Nutzerkonten zu kompromittieren. Banken
   können damit beginnen, Passkeys als optionale Sicherheitsfunktion anzubieten und sie
   schrittweise zu einem Standardbestandteil des Authentifizierungsprozesses zu machen.
4. **Kunden über Passkeys aufklären:** Eine erfolgreiche Implementierung von Passkeys
   erfordert das Bewusstsein und die Akzeptanz der Kunden. Banken sollten in
   Aufklärungskampagnen investieren, um Kunden über die Vorteile und Sicherheitsmerkmale
   von Passkeys zu informieren. Eine klare Kommunikation darüber, wie Passkeys
   funktionieren und welche Rolle sie beim Schutz vor Phishing-Angriffen spielen, wird
   mehr Kunden ermutigen, diese Technologie zu übernehmen.
5. **Mit Regulierungsbehörden und Branchenkollegen zusammenarbeiten:** Banken sollten
   aktiv mit Regulierungsbehörden wie der Monetary Authority of Singapore (MAS) und
   Branchenkollegen zusammenarbeiten, um standardisierte Richtlinien für die
   Implementierung von Passkeys zu etablieren. Gemeinsame Anstrengungen gewährleisten
   einen konsistenten und sicheren Ansatz im gesamten Bankensektor und verbessern die
   allgemeine Sicherheit des digitalen Bankings in Singapur.
6. **In Infrastruktur und Support-Systeme investieren:** Die Implementierung von Passkeys
   erfordert eine robuste [Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) und
   Support-Systeme. Banken sollten in die notwendige Technologie und Ressourcen
   investieren, um die [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) zu
   unterstützen, einschließlich sicherer Schlüsselverwaltungssysteme und der Integration
   in bestehende Authentifizierungs-Frameworks. Ein reibungsloses und sicheres
   Nutzererlebnis ist für eine breite Akzeptanz entscheidend.
7. **Aufkommende Bedrohungen überwachen und sich anpassen:** Die regelmäßige Überwachung
   der Bedrohungslandschaft und die entsprechende Aktualisierung der Sicherheitsmaßnahmen
   helfen den Banken, potenziellen Risiken einen Schritt voraus zu sein. Passkeys,
   kombiniert mit laufenden Sicherheitsverbesserungen, bieten eine widerstandsfähige
   Verteidigung gegen aufkommende Phishing- und Betrugstaktiken.

Durch die Befolgung dieser Empfehlungen kann die Sicherheit der Authentifizierung im
singapurischen Bankensektor weiter erhöht werden und auch ihre Integration in
Compliance-Frameworks und Standards wie den
[Safe App Standard](https://www.csa.gov.sg/Tips-Resource/publications/2024/safe-app-standard)
finden, der derzeit die Erwähnung von Passkeys als Authentifizierungstechnologie vermissen
lässt.

## 6. Fazit

Zusammenfassend lässt sich sagen, dass die Ankündigung der Monetary Authority of Singapore
(MAS), SMS-OTPs auslaufen zu lassen und auf digitale Token umzusteigen, einen
entscheidenden Schritt zur Stärkung der Sicherheit im digitalen Banking darstellt. Dieser
Schritt begegnet der eskalierenden Bedrohung durch Phishing-Betrug, der Verbraucher und
den Bankensektor erheblich beeinträchtigt hat.

- **Warum OTPs abschaffen:** Die MAS priorisiert die Abschaffung von OTPs aufgrund ihrer
  Anfälligkeit für Phishing und Abfangen. Betrüger haben die Schwachstellen von SMS-OTPs
  ausgenutzt, was die Notwendigkeit sichererer Authentifizierungsmethoden erforderlich
  macht.
- **Was sind digitale Token:** Digitale Token bieten erhöhte Sicherheit, da sie an ein
  Gerät gebunden sind und starke kryptografische Algorithmen verwenden. Dies macht sie
  widerstandsfähiger gegen Phishing-Angriffe im Vergleich zu herkömmlichen OTPs. Sie
  bieten auch Komfort und reduzieren die Angriffsfläche, indem sie die Notwendigkeit von
  SMS- oder E-Mail-basierten Authentifizierungscodes eliminieren.
- **Können Passkeys dem singapurischen Bankwesen helfen:** Passkeys erweisen sich als
  überlegene Alternative und bieten eine robuste, Phishing-resistente Authentifizierung.
  Durch die Nutzung der Public-Private-Key-Kryptografie stellen Passkeys sicher, dass die
  Authentifizierung nur auf legitimen Seiten erfolgen kann, was die Phishing-Risiken
  erheblich mindert. Ihre Unterstützung für mehrere Geräte und die starke Gerätesicherheit
  erhöhen ihre Attraktivität zusätzlich.

Bei der Untersuchung der Vorteile digitaler Token haben wir ihre Grenzen bei der
vollständigen Beseitigung von Phishing-Risiken festgestellt. Passkeys hingegen bieten eine
umfassende Lösung, die mit internationalen Best Practices in der digitalen Sicherheit
übereinstimmt. Während der Übergang zu digitalen Token ein Schritt nach vorne ist, sollte
das oberste Ziel die Einführung von Passkeys als zukünftiger Standard für die
Authentifizierung im digitalen Banking sein.