Im Jahr 2025 stellt sich die Frage, warum viele Banken immer noch veraltete und unsichere Verfahren zur Authentifizierung ihrer Kunden verwenden. Während die digitale Welt sich rasant weiterentwickelt und innovative Sicherheitslösungen längst verfügbar sind, kämpfen Finanzinstitute weiterhin mit spürbaren Schwächen in ihren Authentifizierungsprozessen. Besonders im Bereich der Zwei-Faktor-Authentifizierung (2FA) zeigen sich gravierende Defizite, die Nutzer regelmäßig in Schwierigkeiten bringen. Ein aktuelles Beispiel veranschaulicht dies deutlich: Ein Kunde der TD Bank in Kanada wurde während einer Reise in die USA komplett aus seinem persönlichen Online-Banking-Konto ausgesperrt, weil die Bank als zweiten Faktor ausschließlich SMS-Codes versendete. Dieses Verfahren ist nicht nur unsicher, sondern auch wenig nutzerfreundlich – insbesondere, wenn die SIM-Karte vorübergehend nicht erreichbar ist, etwa durch das Deaktivieren einer SIM im Ausland zur Vermeidung hoher Roaming-Gebühren.
In einem solchen Fall wird die SMS-basierte 2FA zum Problem, das den Zugang zum Konto quasi unmöglich macht. Diese Situationen zeigen, dass Sicherheitssysteme in der Praxis oft nicht auf die echten Bedürfnisse der Nutzer zugeschnitten sind. Anstatt Schutz zu bieten, verursachen sie Hürden und Frustration. Banken wie TD setzen nach wie vor auf ein geschlossenes System, das keine Alternativen oder Ausweichmöglichkeiten bietet. Ein simples Beispiel ist hier das Fehlen von TOTP-Unterstützung (Time-based One-Time Password) oder modernerer Standards wie Passkeys nach FIDO2/WebAuthn.
Stattdessen vertrauen sie auf eigens entwickelte Apps zur Codegenerierung, die weder mit Passwort-Managern noch mit anderen Authentifizierungs-Tools kompatibel sind. Das Ergebnis: Die Nutzer sitzen im digitalen Hamsterrad fest und sind für einfache Szenarien wie einen Auslandsaufenthalt kaum vorbereitet. Die Probleme der SMS-basierten 2FA sind seit Jahren bekannt und von Sicherheitsbehörden wie NIST und CISA eindeutig dokumentiert. Bereits 2017 wurde von offizieller Seite ausdrücklich davon abgeraten, SMS als primäres Sicherheitsmittel einzusetzen. Die Gründe sind vielfältig: SMS-Codes können leicht abgefangen werden, sei es durch SIM-Swapping, Phishing-Angriffe oder Schwachstellen im Mobilfunknetz.
Auch das kanadische Zentrum für Cyber-Sicherheit (Canadian Centre for Cyber Security) warnte 2023 eindringlich davor, SMS nur für hochsichere Transaktionen zu verwenden. Trotzdem bleibt diese unsichere Technik vielerorts der Standard. Die Diskrepanz zwischen empfohlener Sicherheitspolitik und der Praxis in Banken ist alarmierend, da Bankkonten grundsätzlich zu den am stärksten schützenswerten digitalen Identitäten gehören. Ein kurzer Blick auf die proprietären OTP-Apps der Banken zeigt ernüchternde Fakten. Obwohl sie SMS teilweise ablösen, sind sie oft ein Kompromiss, der an der Nutzbarkeit ansetzt.
Viele dieser Apps sind nicht offen und schließen Benutzer in eine geschlossene Infrastruktur ein. Zudem benötigen sie eine Anmeldung selbst zur Generierung eines Einmal-Codes, was die grundsätzliche Idee eines Autenthizitätstools ad absurdum führt. Noch dazu fehlt eine Integration mit weitverbreiteten Passwort-Managern oder physikalischen Sicherheits-Keys wie YubiKey. Dieser Mangel an Interoperabilität und offener Standardisierung behindert nicht nur den Nutzerkomfort, sondern verringert auch die Sicherheit, da Nutzer zu unsichereren Alternativen oder gar unsicheren Workarounds greifen. Die moderne Welt der Authentifizierung bietet weitaus effektivere und nutzerfreundlichere Lösungen.
Passkeys basieren auf FIDO2/WebAuthn-Standards und sind gegen Phishing und viele andere Angriffsszenarien resistent. Sie arbeiten gerätebasiert und ermöglichen eine biometrische Anmeldung, die den Nutzerkomfort erheblich steigert. Ebenso unterstützt der breit anerkannte TOTP-Standard diverse Apps wie Google Authenticator, Microsoft Authenticator oder Authy, die plattformübergreifend und vertraut sind. Im Zusammenspiel mit Hardware-Token lässt sich zudem ein Höchstmaß an Sicherheit gewährleisten, das weit über die Möglichkeiten von SMS hinausgeht. Ein wichtiger Aspekt moderner Authentifizierungsprozesse ist auch die Handhabung von Wiederherstellungsoptionen.
Anstatt auf fragilen SMS-Kanälen zu setzen, sollten Banken vertrauenswürdige Geräte, sichere Backup-Codes oder passwortlose Methoden mit Wiederherstellungsfeature anbieten. Dies reduziert Ausfälle und ermöglicht es Nutzern, sich auch bei Verlust eines Geräts sicher wieder einzuloggen. Die Kompatibilität mit Passwort-Managern ist dabei ebenso entscheidend, da viele Anwender heute auf solche Tools angewiesen sind, um komplexe und sichere Passwörter sowie Zugangsdaten leicht zu verwalten. Die Ursache für die weiterhin verbreiteten Schwächen in der Banken-Authentifizierung liegt nicht nur in der Technik selbst, sondern auch in mangelnder Umsetzung und Priorisierung. Häufig klaffen IT-Sicherheitsteams und Produktmanager auseinander – und die Nutzererfahrung gerät dabei ins Hintertreffen.
Systeme werden isoliert von der Realität der Kunden entwickelt, sodass simple Alltagsszenarien wie Auslandsreisen oder Gerätewechsel zu scheinbar unüberwindbaren Problemen werden. Ein sicherheitstechnisch robustes System, das Nutzer jedoch vom Zugang abschneidet, wird schnell als feindselig empfunden und schafft Misstrauen. Banken müssen daher dringend ihre Authentifizierungsprozesse kundenorientierter und robuster konzipieren. Der Wandel hin zu modernen und standardisierten Authentifizierungsmethoden ist längst überfällig. Es ist unverständlich, warum etablierte Standards wie Passkeys oder TOTP nicht flächendeckend implementiert sind, obwohl ihre Vorteile und Sicherheitsreserven klar dokumentiert sind.
Die Umstellung erfordert Investitionen und ein Umdenken, doch die Risiken und der Imageschaden durch mangelhafte Sicherheit sind ungleich größer. Kunden erwarten von Banken heute, dass digitale Zugänge sicher, flexibel und einfach zugänglich sind, ohne Kompromisse bei der Sicherheit einzugehen. Ein Blick in die Zukunft zeigt zudem spannende Entwicklungen im Bereich der digitalen Identität. Selbstsouveräne Identitäten (Self-Sovereign Identity, SSI), dezentrale Identitäten (DIDs) und moderne, föderierte Authentifizierungsinfrastrukturen könnten den Umgang mit Identitäten grundlegend verändern. Sie versprechen eine bessere Kontrolle und Datensouveränität für Nutzer sowie erhöhte Sicherheit.
Doch bis diese Technologien breit verfügbar und von Banken adoptiert sind, muss der Fokus auf der Verbesserung bestehender Authentifizierungslösungen liegen. Abschließend bleibt festzuhalten, dass das Jahr 2025 trotz aller technologischen Fortschritte in der Authentifizierung von Bankkonten aus Sicht vieler Kunden ernüchternd ist. Alte, unsichere Methoden wie SMS 2FA dominieren weiterhin, und proprietäre Apps bieten oft weder angemessene Sicherheit noch vernünftige Nutzerführung. Die Branche steht in der Verantwortung, Sicherheitsstandards neu zu denken und die Kundenbedürfnisse ins Zentrum zu stellen. Nur so lassen sich Vertrauen und Sicherheit im digitalen Banking nachhaltig gewährleisten.
Der Wandel ist nicht nur notwendig, sondern längst überfällig – für Banken und ihre Kunden gleichermaßen.
