Mit dem Digital Identity Act (DIdG) schafft die Regierung die rechtliche Grundlage für die europäische Digital Identity Wallet (EUDI). Bis Ende Dezember 2026 müssen alle EU-Mitgliedstaaten ihren Bürgern eine funktionierende digitale Brieftasche zur Verfügung stellen. Das Gesetz bündelt Ausweise, Führerscheine und Bankzugänge in einer einzigen, sicheren App.
Die EUDI Wallet kommt – aber später als geplant
Das neue Gesetz setzt die überarbeitete europäische eIDAS-2.0-Verordnung in nationales Recht um. Die EUDI Wallet soll weit mehr können als nur den elektronischen Personalausweis. Geplant ist ein digitaler Container für Führerscheine, Altersnachweise und Berechtigungen fürs Online-Banking. Auch Aufenthaltstitel werden integriert.
Die EU hat den 24. Dezember 2026 als verbindlichen Termin gesetzt. Deutschland plant jedoch einen gestaffelten Start: Der Soft Launch ist für den 2. Januar 2027 vorgesehen. Diese Verzögerung soll Zeit für letzte Anpassungen nach umfangreichen Tests schaffen. Bereits jetzt testen über 100 Organisationen die Infrastruktur – darunter große Banken, Versicherungen und Carsharing-Anbieter.
Da das Smartphone durch die EUDI Wallet zum digitalen Ausweis und Bankzugang wird, ist ein lückenloser Schutz des Geräts wichtiger denn je. IT-Experten raten zu fünf konkreten Maßnahmen, um Ihre privaten Daten vor den neuesten Methoden der Internet-Kriminalität abzusichern. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Smartphone
Die Technik setzt auf lokale Datenspeicherung und biometrische Authentifizierung. Der Zugriff auf die gespeicherten Ausweise erfolgt entweder per PIN oder per Fingerabdruck beziehungsweise Gesichtserkennung. Bei Verlust des Geräts können Nutzer ihre digitale Identität aus der Ferne sperren.
Doch nicht alle sind begeistert. Der Paritätische Gesamtverband kritisiert die Komplexität des Systems für technikferne Nutzer. Verbraucherschützer fordern zudem noch strengere Datenschutzgarantien.
Das Ende der SMS-Authentifizierung
Parallel zum staatlichen Vorstoß vollzieht die Tech-Branche eine radikale Sicherheitswende. Mitte Mai 2026 kündigte Microsoft an, die SMS-basierte Zwei-Faktor-Authentifizierung für private Konten einzustellen. Der Konzern begründet den Schritt mit der zunehmenden Verbreitung von SIM-Swap-Angriffen und unverschlüsselter Übertragung. SMS gelten als erhebliche Betrugsquelle.
Die Zahlen belegen den Handlungsdruck: Allein 2025 registrierten Ermittler über 5.100 Kontodiebstähle mit Schäden von mehr als 262 Millionen Euro. SMS-Pumping-Betrug verursacht jährlich Schäden von über 60 Millionen Euro. Der Markt für schädliche OTP-Bots wuchs von rund 1.700 Suchergebnissen im Jahr 2022 auf etwa fünf Millionen im Jahr 2025.
Als Alternative setzen Regierung und Wirtschaft auf Passkeys und den FIDO2-Standard. Diese Technologie nutzt ein kryptografisches Schlüsselpaar, bei dem der private Schlüssel das Gerät nie verlässt. Die FIDO Alliance meldete im Mai 2026 über fünf Milliarden aktive Passkeys weltweit. Google verwaltet mehr als 800 Millionen Konten mit dieser Methode. Microsoft hat Passkeys bereits im Mai 2025 zum Standard-Login erklärt.
Passend zur Sicherheitswende bei Microsoft und Google bietet die neue Technologie der Passkeys einen deutlich wirksameren Schutz gegen Kontodiebstahl als herkömmliche Passwörter. Dieser kostenlose Report erklärt Ihnen Schritt für Schritt, wie Sie die sichere Anmeldung per Fingerabdruck oder Gesichtserkennung sofort einrichten. Passkeys jetzt sicher und einfach einrichten
Die digitale Brieftasche für Unternehmen
Der Digital Identity Act betrifft nicht nur Privatpersonen. Er bereitet auch den Weg für die European Business Wallet. Diese Erweiterung von eIDAS 2.0 soll Unternehmen digitale Identitäten für juristische Personen bereitstellen. Ziel ist die sichere, authentifizierte Kommunikation zwischen Firmen und Behörden – ohne lästige Papierarbeit.
Die Finanzbranche treibt die Entwicklung voran. Die Akzeptanz von Passkeys liegt im Fintech-Sektor bei 60 Prozent – deutlich vor dem E-Commerce mit 35 Prozent und der Medienbranche mit 18 Prozent. Studien zeigen: Unternehmen, die konsequent auf Passkeys setzen, verzeichnen 32 Prozent weniger erfolgreiche Phishing-Angriffe.
Auch einzelne Finanzdienstleister reagieren. Ende Mai 2026 führte Trade Republic neue Sicherheitsfunktionen ein. Nutzer können ihre Kontostände per Schüttelbewegung ausblenden. Herkömmliche PINs wurden durch stärkere Passwörter oder Verknüpfungen mit externen Authentifizierungs-Apps ersetzt. Fast 68 Prozent der Unternehmen pilotieren derzeit Passkey-Technologie, 28 Prozent arbeiten bereits komplett passwortfrei.
Sicherheitslücken bleiben bestehen
Trotz aller Fortschritte bleibt die digitale Welt verwundbar. Mitte Mai 2026 meldete GitHub einen schwerwiegenden Einbruch: Angreifer erbeuteten rund 3.800 interne Repositories. Die Attacke ging von einem kompromittierten Mitarbeiter-Gerät aus, das eine manipulierte VS-Code-Erweiterung installiert hatte. Kundendaten blieben zwar unberührt, der Vorfall zeigt jedoch die Risiken von Lieferketten-Angriffen.
Parallel dazu wurde eine massive Phishing-Kampagne entdeckt, die Plattformen wie Google AppSheet und Apple iCloud-Speicherwarnungen ausnutzte. Kriminelle umgehen E-Mail-Filter mit gültigen SPF-, DKIM- und DMARC-Signaturen. In Wien nahm die Polizei einen Betreiber eines „SMS-Blasters“ fest, der 100.000 betrügerische Nachrichten pro Stunde versenden konnte.
Selbst das Linux-Betriebssystem bleibt nicht verschont. Eine neun Jahre alte Sicherheitslücke (CVE-2026-46333) ermöglicht lokalen Nutzern das Auslesen von SSH-Schlüsseln und Passwort-Hashes. Solche Altlasten unterstreichen die Dringlichkeit hardwaregestützter Sicherheitslösungen, wie sie EUDI Wallet und FIDO2 bieten.
Ausblick: Der Countdown läuft
Die Umstellung auf die EUDI Wallet bedeutet einen grundlegenden Wandel für die digitale Identität der Deutschen. Mit dem Kabbeitsbeschluss sind die rechtlichen Hürden genommen. Jetzt kommt es auf die technische Umsetzung und die Akzeptanz in der Bevölkerung an.
Der internationale Druck wächst: Die Philippinen setzen eine Frist für die FIDO-Implementierung bis zum 25. Juni 2026. Indien und die Vereinigten Arabischen Emirate schaffen SMS-basierte Einmalpasswörter bereits zugunsten sichererer Alternativen ab.
Ob der Soft Launch im Januar 2027 gelingt, hängt davon ab, ob die Wallet hohe Sicherheit mit einfacher Bedienung verbindet. Die US-Behörde NIST hat synchronisierte Passkeys bereits als AAL2-konform eingestuft. Angesichts von 19 Milliarden geleakter Passwörter zwischen April 2024 und April 2025 ist der Druck zur Migration enorm. Die kommenden Monate werden zeigen, ob die über 100 Testunternehmen die EUDI Wallet gegen die sich ständig weiterentwickelnden Methoden globaler Cyberkrimineller wappnen können.
