RASIMENE
Blog
Regulierung·April 18, 2026·6 Min. Lesezeit

Warum verlangt Ihre Bank 2026 immer noch ein Passwort?

Spoiler: nicht aus Sicherheitsgründen. Eine Analyse der regulatorischen Anforderungen der PSD2 und was Sie tun können, um nicht darunter zu leiden.

ME
Mohamed ESSID
Gründer — Trasimène

PSD2 und starke Authentifizierung

Die europäische Zahlungsdiensterichtlinie (PSD2), die seit 2019 in nationales Recht umgesetzt wurde, schreibt eine starke Authentifizierung — genannt SCA, für Strong Customer Authentication — für alle Online-Zahlungen und den Zugang zu Bankkonten vor.

Die SCA erfordert die Kombination von mindestens zwei Faktoren aus drei Kategorien: etwas, das Sie wissen (Passwort, PIN, Sicherheitsfrage), etwas, das Sie haben (Telefon, physischer Token, Chipkarte) und etwas, das Sie sind (Fingerabdruck, Gesichtserkennung, Stimme).

Das Passwort ist also kein Rückschritt — es ist der erste Faktor einer Multi-Faktor-Authentifizierung. Der zweite Faktor ist in der Regel die Push-Benachrichtigung in Ihrer Banking-App oder ein SMS-Code. Diese Kombination bildet die von der Regulierung geforderte starke Authentifizierung.

Europäische Banken hinken hinterher

Mehrere traditionelle Banken verwenden noch 6-stellige Passwörter oder kurze numerische Codes. Das ist keine bewusste technische Schwäche — es ist eine Legacy-Implementierungsbeschränkung. Die Core-Banking-Systeme mancher Institute stammen aus den 1980er-1990er Jahren und ihre Migration kostet Hunderte Millionen Euro.

Neobanken und Online-Banken — Revolut, N26, Vivid, DKB — sind auf moderne Architekturen migriert, die native Biometrie, sofortige Push-Benachrichtigungen und dynamische Einmalcodes ermöglichen. Ihre Systeme wurden von Anfang an für mobile Nutzung konzipiert.

Diese Diskrepanz erzeugt eine unfaire Wahrnehmung: Große Banken wirken weniger sicher, obwohl sie dieselbe Regulierung anwenden. Der Unterschied liegt in der Nutzererfahrung, nicht im tatsächlichen Schutzniveau.

Was Sie tun können

Unabhängig von Ihrer Bank gibt es mehrere einfache Maßnahmen, die Ihr tatsächliches Schutzniveau maximieren.

  • Aktivieren Sie systematisch die Biometrie in Ihrer Banking-App, falls verfügbar.
  • Verwenden Sie einen Passwort-Manager, um ein langes und einzigartiges Passwort für jede Bank zu generieren und zu speichern.
  • Verwenden Sie niemals die PIN Ihrer Bankkarte als Passwort für einen anderen Dienst — das ist der häufigste Fehler.
  • Aktivieren Sie Echtzeit-Transaktionsbenachrichtigungen, um unautorisierte Vorgänge sofort zu erkennen.
  • Überprüfen Sie regelmäßig die aktiven Sitzungen in Ihrer App — die meisten Banken ermöglichen es, laufende Verbindungen einzusehen und zu beenden.
Ein kurzes Bank-Passwort ist an sich kein Problem, wenn die starke Authentifizierung (2FA) auf Ihrem Konto aktiviert ist.

Der echte Schutz liegt nicht in der Komplexität des Passworts, sondern in der Aktivierung des zweiten Authentifizierungsfaktors. Ein 4-stelliger Code kombiniert mit einer biometrischen Bestätigung ist objektiv sicherer als ein 20-Zeichen-Passwort ohne 2FA. Konzentrieren Sie Ihre Bemühungen auf den richtigen Parameter.

Trasimène — Mobile Sicherheit

Überprüfen Sie die Sicherheit Ihrer Apps

Trasimène herunterladen →
Zurück zum Blog