Eine neue Welle raffinierter Phishing-Angriffe zwingt deutsche Banken zum Handeln. Ihre Antwort: die Umstellung auf phishing-resistente Authentifizierung mit Technologien wie Passkeys. Diese sollen das Online-Banking endlich sicherer machen.
MFA-Bombing: Wenn der Schutz zum Angriffsziel wird
Cyberkriminelle haben ihre Taktiken verfeinert und zielen gezielt auf bestehende Sicherheitsmaßnahmen ab. Eine besonders perfide Methode ist das „MFA-Bombing“. Dabei überschwemmen Betrüger das Smartphone eines Opfers mit Dutzenden Push-Benachrichtigungen zur Transaktionsfreigabe.
Das Ziel: die sogenannte „MFA-Müdigkeit“ ausnutzen. Genervt oder in der Annahme eines Systemfehlers bestätigen viele Nutzer schließlich eine betrügerische Anfrage. Oft folgen fingierte Anrufe von angeblichen Bankmitarbeitern, die zusätzlichen Druck aufbauen.
Viele Phishing‑Angriffe nutzen Push‑Benachrichtigungen und psychologische Tricks wie das sogenannte MFA‑Bombing, um Kontozugriffe zu erzwingen. Wenn Sie Online‑Banking nutzen, reicht ein kurzer Fehlklick – und Betrüger haben Zugriff. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie gefälschte Anfragen erkennen, Push‑Angriffe abwehren und Konten schützen. Inklusive Praxisbeispielen, Checkliste und Sofortmaßnahmen zum Download per E‑Mail. Jetzt Anti‑Phishing‑Paket herunterladen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits zu Jahresbeginn vor der wachsenden Zahl und Raffinesse solcher Angriffe. Eine Umfrage des Bankenverbands zeigte zudem: Fast ein Viertel der Befragten wurde binnen zwei Jahren Opfer eines Betrugsversuchs.
Passkeys: Der kryptografische Schutzschild
Als Lösung setzen Sicherheitsexperten auf phishing-resistente Multi-Faktor-Authentifizierung (MFA). Der neue Goldstandard heißt Passkeys, basierend auf dem FIDO2-Standard.
- So funktioniert’s: Es wird ein kryptografisches Schlüsselpaar erzeugt. Der private Schlüssel bleibt sicher auf dem Gerät des Nutzers, der öffentliche wird bei der Bank hinterlegt.
- Der Clou: Beim Login bestätigt eine Signatur die Identität – per Fingerabdruck oder Gesichtsscan. Der private Schlüssel verlässt das Gerät nie und kann so nicht abgegriffen werden.
- Der Vorteil: Gefälschte Login-Seiten (Phishing) sind wirkungslos, da das Geheimnis nicht eingetippt oder übertragen wird.
Druck auf die Finanzbranche wächst
Die rechtliche Grundlage für starke Sicherheitsverfahren existiert mit der EU-Zahlungsdiensterichtlinie (PSD2) bereits. Sie schreibt die Starke Kundenauthentifizierung (SCA) vor. Doch die jüngsten Angriffe zeigen: Nicht alle MFA-Methoden sind gleich sicher.
Einfache Push-Benachrichtigungen oder SMS-TANs gelten als „phishable“ – also angreifbar. Der Erfolg der Betrüger bei Kunden großer Institute erhöht nun den Druck auf die gesamte Branche. Der Schritt zu kryptografisch gebundenen, phishing-resistenten Verfahren scheint unausweichlich.
Ein Trend, der über das Banking hinausgeht
Die Bewegung hin zu Passkeys wird von Tech-Giganten wie Apple, Google und Microsoft vorangetrieben, die Passwörter langfristig ersetzen wollen. Für Banken bietet die Umstellung eine Chance: mehr Sicherheit bei gleichzeitig mehr Komfort für den Kunden.
Doch der Weg dorthin ist anspruchsvoll. Er erfordert Investitionen in neue Infrastruktur und umfangreiche Aufklärung der Millionen Bankkunden. Analysten sehen darin einen notwendigen Teil einer modernen Zero-Trust-Sicherheitsstrategie.
Was Verbraucher jetzt erwarten können
Die vollständige Ablösung alter Systeme wird Jahre dauern. Banken werden Passkeys voraussichtlich parallel zu bestehenden Verfahren anbieten. Verbraucher sollten auf Ankündigungen ihrer Hausbank achten und die neuen, sichereren Login-Methoden aktivieren, sobald sie verfügbar sind.
Bis dahin gilt: Höchste Vorsicht bei unerwarteten E-Mails, SMS oder Anrufen, die zur Eingabe oder Bestätigung von Sicherheitsdaten auffordern.
PS: Sie wollen sich zusätzlich vorbereitet wissen? Der Gratis‑Guide zeigt konkrete Abwehrmaßnahmen gegen Phishing‑Methoden wie CEO‑Fraud und MFA‑Bombing, liefert Praxistipps für sichere Login‑Verfahren und Handlungsschritte für den Ernstfall. Er erklärt außerdem, welche Login‑Methoden (z. B. Passkeys) besonders wirkungsvoll sind und wie Sie Mitarbeiter bzw. Angehörige richtig schulen. Perfekt, wenn Ihre Bank gerade auf Passkeys umstellt oder Sie Konten nachhaltig schützen möchten. Gratis Anti‑Phishing‑Guide anfordern
