SMS-Codes für Bankgeschäfte: Vereinigte Arabische Emirate ziehen Notbremse

Ab Dienstag ist Schluss: Banken in den Vereinigten Arabischen Emiraten schalten SMS-TANs für Online-Zahlungen endgültig ab. Der radikale Schritt markiert eine globale Zeitenwende in der mobilen Sicherheit.

Seit diesem Morgen, dem 4. Januar 2026, steht fest: Die Ära der SMS-Codes für Online-Banking neigt sich dem Ende zu. In einer beispiellosen Sicherheits-Offensive stellen große Finanzinstitute in den Vereinigten Arabischen Emiraten (VAE) ab Dienstag, dem 6. Januar, die Versendung von SMS-basierten Einmalkennwörtern (OTP) für Kartentransaktionen komplett ein. Diese „harte Deadline“, die von Analysten als „Sicherheitsrevolution“ bezeichnet wird, ist der bislang aggressivste Schritt weg von der anfälligen Telekom-basierten Verifikation hin zu biometrischer App-Authentifizierung.

Kunden führender Banken erhielten in den letzten Tagen finale Warnungen: Jede Online-Transaktion nach dem 6. Januar wird ohne SMS-Code ausgelöst. Stattdessen werden Zahlungen abgelehnt, sofern sie nicht über die jeweilige Banking-App freigegeben werden.

Passend zum Thema digitale Bank-Sicherheit: Viele Unternehmen und Privatnutzer sind auf neue Angriffsmuster wie SIM‑Swapping und ausgefeilte Phishing‑Methoden nicht ausreichend vorbereitet. Ein kostenloser Cyber‑Security‑Report erklärt die aktuellen Bedrohungen, wie Push‑to‑Verify und App‑Authentifizierung geschützt werden können und welche konkreten Schritte Sie als Nutzer oder IT‑Verantwortlicher jetzt ergreifen sollten — von einfachen Hardening‑Maßnahmen bis zu Passkey‑Strategien. Jetzt kostenlosen Cyber‑Security‑Guide sichern

Hinter dem drastischen Schritt steht eine Direktive der Zentralbank der VAE (CBUAE), die die digitale Banken-Infrastruktur des Landes absichern will. Während einige Institute den Übergang bereits 2025 freiwillig einleiteten, unterstreicht die nun verpflichtende Abschaltung die Dringlichkeit, bekannte Sicherheitslücken zu schließen. Die Vorgehensweise ist ungewöhnlich radikal – die meisten Regionen setzen auf graduelle Abschaffung. Doch der massive Betrug durch abgefangene SMS-Nachrichten hat den Zeitplan offenbar beschleunigt.

„Push-to-Verify“: So funktioniert die neue Sicherheit

Der Ersatz für den umständlichen und unsicheren SMS-Code ist ein elegantes, app-basiertes Freigabesystem, oft „Smart Pass“ genannt. Startet ein Kunde einen Kauf auf einem Laptop oder einer fremden Website, erhält sein registriertes Smartphone eine Push-Benachrichtigung.

Ein Tipp darauf öffnet die Banking-App und zeigt alle Transaktionsdetails an – Händler, Betrag und Währung. Die Freigabe erfolgt dann per biometrischer Authentifizierung wie FaceID oder Fingerabdruck oder über eine spezielle PIN.

Sicherheitsexperten sehen drei klare Vorteile gegenüber SMS-OTPs:
1. Transparenz: Nutzer sehen genau, was sie autorisieren. Das erschwert Social-Engineering-Angriffe, bei denen Betrüger Opfer zur Preisgabe von Codes für betrügerische Transaktionen manipulieren.
2. Gerätebindung: Die Freigabe ist kryptografisch an das spezifische, vertrauenswürdige Gerät gebunden. Das Stehlen einer Telefonnummer (SIM-Swapping) wird damit wertlos.
3. Kein Phishing: Da kein Code mehr in eine Website eingegeben werden muss, können Phishing-Seiten diese Sicherheitsstufe nicht mehr umgehen.

Warum SMS-Codes nicht mehr zu retten sind

Die Dringlichkeit des Wechsels wird durch die eskalierenden Schwachstellen im globalen Signalisierungssystem für SMS, SS7 (Signaling System No. 7), getrieben. Cybersicherheitsforscher warnen seit langem, dass SS7-Lücken es Angreifern ermöglichen, Textnachrichten abzufangen, ohne physischen Zugang zum Handy des Opfers zu haben.

Hinzu kommt die Welle des „SIM-Swappings“: Dabei überredet ein Krimineller den Mobilfunkanbieter, die Handynummer des Opfers auf eine neue SIM-Karte zu übertragen. Der Angreifer erhält danach alle SMS-OTPs und hat freie Bahn zu Bankkonten und digitalen Identitäten.

Indem die Authentifizierung von der Telefonnummer entkoppelt und stattdessen an die Hardware und die Banking-App selbst gebunden wird, nehmen die Institute den Mobilfunkanbieter aus der Sicherheitskette. Die „App-basierte“ Verifikation nutzt Internetverbindungen und auf dem Gerät sicher gespeicherte kryptografische Schlüssel – nicht das anfällige Mobilfunknetz.

Globale Signalwirkung: Druck auf Europa und Nordamerika

Der Stichtag in den VAE ist Teil eines globalen Trend, der sich 2025 deutlich beschleunigte. Finanzaufsichten in Singapur, Indien und Malaysia kündigten ähnliche Pläne an, SMS-OTPs auszuphasieren.

Marktbeobachter vermuten, dass das entschlossene „Cut-off“-Modell der VAE als Blaupause für andere Nationen dienen könnte. Europäische und nordamerikanische Banken, die app-basierte Verifikation bisher meist nur als Option anbieten, könnten unter Druck geraten, nachzuziehen – zumal Betrug zunehmend in Regionen mit schwächeren Sicherheitsstandards abwandert.

Die Kehrseite: Der Schritt erhöht den Druck auf Verbraucher, aktuelle Smartphones zu nutzen. Da Banking-Apps moderne Betriebssysteme benötigen, droht eine digitale Kluft für Nutzer älterer Geräte. Die Banken haben ihre Kundensupport-Kanäle jedoch verstärkt, um bei der Migration zu helfen.

Ausblick: Der Weg zu unsichtbarer Sicherheit

Nach dem Stichtag wird der Fokus zunächst auf der technischen Stabilität der Banking-Apps unter der erhöhten Last liegen. Gelingt der Übergang, dürften andere Sektoren – wie E-Commerce-Plattformen oder Social-Media-Giganten – motiviert werden, ihre Abschaltung von SMS-OTPs zu beschleunigen.

Für 2026 erwartet die Branche eine Bewegung hin zu „Passkeys“ und FIDO2-Standards. Diese könnten langfristig sogar die Push-Benachrichtigung überflüssig machen und eine nahtlose, unsichtbare Sicherheitsschicht schaffen. Die Botschaft für Nutzer ist jedoch schon jetzt klar: Die Zeit, sechsstellige Codes aus Textnachrichten abzutippen, ist vorbei. Die Ära der biometrischen App-Sicherheit hat begonnen.

PS: Die Umstellung von SMS‑OTPs auf App‑Authentifizierung macht den Schutz vor Phishing und SIM‑Angriffen zentral. Unser kostenloses E‑Book erklärt in praxisnahen Schritten, wie Organisationen und Privatanwender Konten effektiv absichern — inklusive Checklisten für sichere App‑Einstellungen, Passkey‑Einrichtung und Biometrie‑Konfiguration. Ideal für alle, die nach der Abschaltung ihre Zahlungen und digitalen Identitäten schützen wollen. Gratis E‑Book zur Cyber‑Security herunterladen