Yubico drängt Banken zu FIDO2-Sicherheit

Phishing-Angriffe machen SMS-Codes angreifbar – EU-Verordnung DORA zwingt Finanzbranche zum Handeln. Die mobile Bankenwelt rüstet sich für einen Sicherheitsumbruch. Hintergrund sind immer raffiniertere Cyber-Angriffe, die herkömmliche Bestätigungsmethoden aushebeln. Experten fordern den flächendeckenden Einsatz phishing-resistenter Multi-Faktor-Authentifizierung (MFA).

SMS-Codes gelten als nicht mehr sicher

Der Druck auf die Finanzinstitute wächst von zwei Seiten: durch die Evolution der Cyberkriminalität und neue regulatorische Vorgaben. Das Cybersecurity-Unternehmen Yubico appellierte am gestrigen 19. Januar 2026 an Banken in der EU, ihre Authentifizierungspraktiken zu verstärken. Maßstab ist die seit Januar 2025 vollständig geltende Digital Operational Resilience Act (DORA). Diese Verordnung schreibt Finanzdienstleistern strikte Maßnahmen zur Abwehr von IT-Risiken vor.

Das Problem sind veraltete Sicherheitsverfahren. Traditionelle MFA-Methoden wie Einmalpasswörter per SMS oder einfache Push-Benachrichtigungen gelten als überholt. Cyberkriminelle nutzen längst ausgeklügelte „Phishing-Kits“, die wie SaaS-Plattformen funktionieren. Mit Techniken wie Adversary-in-the-Middle (AiTM)-Angriffen können sie SMS-Codes abfangen oder Nutzer mit MFA-Fatigue-Attacken überfordern – sie werden so lange mit Bestätigungsanfragen bombardiert, bis sie aus Versehen zustimmen.

SMS‑Codes lassen sich heute oft umgehen – gerade bei Mobile‑Banking. Wenn Sie Ihr Android‑Smartphone für Online‑Banking oder Zahlungen nutzen, sollten Sie einfache Schutzmaßnahmen kennen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schritte: sichere Authentifizierung ohne SMS, App‑Prüfung, automatische Updates, Biometrie‑Einstellungen und Kontopflege. Praktische Anleitungen helfen, Ihr Gerät und Ihre Finanzzugänge besser zu schützen. Jetzt kostenloses Android‑Sicherheitspaket herunterladen

Die globale Dimension der Bedrohung zeigt ein aktuelles Beispiel: Die Hongkonger Währungsbehörde (HKMA) warnte heute erneut vor betrügerischen Websites und Phishing-E-Mails, die Kunden mehrerer Banken ins Visier nehmen. Solche Warnungen häufen sich weltweit.

DORA-Verordnung setzt neue Maßstäbe

Als Antwort auf diese Bedrohungslage setzen Regulierer auf phishing-resistente MFA. Diese nächste Sicherheitsgeneration basiert auf Standards wie FIDO2/WebAuthn. Hierbei kommt eine kryptografische Verifizierung zum Einsatz, die nicht abgefangen oder durch Social Engineering geknackt werden kann. Typischerweise sind das physische Sicherheitsschlüssel oder gerätegebundene Passkeys.

Die DORA-Verordnung schreibt zwar keine konkrete Technologie vor, verlangt aber die Umsetzung von „starker Authentifizierung“. Die Branche versteht dies als klaren Auftrag, auf Lösungen umzusteigen, die modernen Phishing-Kampagnen standhalten. Das Ziel: Selbst wenn ein Nutzer auf eine betrügerische Seite hereinfällt, bleibt der Authentifizierungsvorgang selbst sicher. Diese Linie wird auch durch die EU-Richtlinie NIS2 gestützt.

Falsches Sicherheitsgefühl wird zur Falle

Für den Finanzsektor bedeutet dies eine große operative Veränderung. Viele Institutionen setzen laut Yubico noch primär auf einfache Benutzernamen und Passwörter. Die Kombination mit veralteter MFA erzeuge ein trügerisches Sicherheitsgefühl, das Angreifer geschickt ausnutzten. Die Kosten der Untätigkeit sind jedoch immens: Kontenübernahmen führen zu hohen finanziellen Schäden, Reputationsverlust und regulatorischen Strafen.

Hinzu kommt eine neue Gefahr: Deepfake-Technologien werden zunehmend genutzt, um Fern-Identitätsprüfungen zu umgehen. Dies macht den Sicherheitsumbruch noch dringlicher.

Ausblick: Biometrie statt SMS

Die kommenden Jahre werden den Abschied von veralteten Authentifizierungsmethoden erzwingen. Die Frage ist nicht mehr ob, sondern welche MFA eingesetzt wird. Finanzinstitute müssen in moderne Technologien wie FIDO2-basierte Sicherheitsschlüssel investieren, um konform zu bleiben.

Für Verbraucher ändert sich der Zugang zum Banking. SMS-Codes werden durch sicherere Methoden ersetzt, oft gekoppelt an Biometrie wie Fingerabdruck oder Gesichtserkennung auf dem persönlichen Gerät. Diese Umstellung erfordert eine Anpassungsphase – das Ergebnis wird aber ein deutlich widerstandsfähigeres mobiles Bankensystem sein.

Übrigens: Phishing‑Kits und AiTM‑Angriffe machen klassische MFA angreifbar – deshalb ist es wichtig, nicht nur Technik, sondern auch Verhalten und Prozesse zu stärken. Das gratis Anti‑Phishing‑Paket bietet eine 4‑Schritte‑Anleitung gegen Phishing, CEO‑Fraud und Account‑Hijacking, enthält konkrete Verhaltenstipps, technische Schutzmaßnahmen und Praxistricks für sichere MFA‑Einstellungen. Ideal für Bankkunden und alle, die ihr Konto effektiv schützen wollen. Jetzt Anti‑Phishing‑Paket herunterladen