Blog
Regulierung·18. April 2026·6 Min. Lesezeit

Warum Ihre Bank auch 2026 noch nach einem Passwort fragt.

Spoiler: Es geschieht nicht aus Sicherheitsgründen. Eine Analyse der regulatorischen Vorgaben der PSD2 – und was Sie tun können, um nicht darunter zu leiden.

ME
Mohamed ESSID
Gründer — Trasimène

PSD2 und die starke Authentifizierung

Die europäische Zahlungsdiensterichtlinie (PSD2), die seit 2019 in französisches Recht umgesetzt ist, schreibt eine starke Authentifizierung vor – bekannt als SCA, kurz für Strong Customer Authentication – für alle Online-Zahlungen und den Zugriff auf Bankkonten.

Die SCA verlangt die Kombination von mindestens zwei Faktoren aus drei Kategorien: etwas, das Sie wissen (Passwort, PIN, Sicherheitsfrage), etwas, das Sie besitzen (Telefon, Hardware-Token, Chipkarte) und etwas, das Sie sind (Fingerabdruck, Gesichtserkennung, Stimme).

Ein Passwort ist also kein Rückschritt – es ist der erste Faktor einer Mehr-Faktor-Authentifizierung. Der zweite Faktor ist in der Regel eine Push-Benachrichtigung in Ihrer Banking-App oder ein SMS-Code. Genau diese Kombination bildet die von der Regulierung geforderte starke Authentifizierung.

Französische Banken hinken hinterher

Mehrere traditionelle französische Banken verwenden noch immer 6-stellige Passwörter oder kurze Zifferncodes. Das ist keine bewusste technische Schwäche – es ist eine Altlast der Implementierung. Die Kernbankensysteme mancher Institute stammen aus den 1980er- bis 1990er-Jahren, und ihre Migration kostet Hunderte Millionen Euro.

Neobanken und Online-Banken – Revolut, N26, Lydia, Boursorama – sind auf moderne Architekturen umgestiegen, die native Biometrie, sofortige Push-Benachrichtigungen und dynamische Einmalcodes ermöglichen. Ihre Systeme wurden von Anfang an für Mobilgeräte konzipiert.

Diese Lücke erzeugt einen unfairen Eindruck: Große Banken wirken weniger sicher, obwohl sie in Wirklichkeit dieselbe Regulierung anwenden. Der Unterschied liegt in der Nutzererfahrung, nicht im tatsächlichen Schutzniveau.

Was Sie tun können

Ganz gleich, welche Bank Sie haben – einige einfache Maßnahmen maximieren Ihr tatsächliches Schutzniveau.

  • Aktivieren Sie stets die Biometrie in Ihrer Banking-App, falls verfügbar.
  • Verwenden Sie einen Passwort-Manager, um für jede Bank ein langes, einzigartiges Passwort zu erstellen und zu speichern.
  • Verwenden Sie niemals die PIN Ihrer Bankkarte als Passwort für einen anderen Dienst – das ist der häufigste Fehler.
  • Aktivieren Sie Echtzeit-Benachrichtigungen für Transaktionen, um jede unautorisierte Aktion sofort zu erkennen.
  • Überprüfen Sie regelmäßig die aktiven Sitzungen in Ihrer App – die meisten Banken erlauben es, laufende Verbindungen einzusehen und zu beenden.
Ein kurzes Bankpasswort ist an sich kein Problem, wenn die starke Authentifizierung (2FA) auf Ihrem Konto korrekt aktiviert ist.

Der wahre Schutz liegt nicht in der Komplexität des Passworts, sondern in der Aktivierung des zweiten Authentifizierungsfaktors. Ein 4-stelliger Code kombiniert mit biometrischer Bestätigung ist objektiv sicherer als ein 20-stelliges Passwort ohne 2FA. Konzentrieren Sie Ihre Bemühungen auf die richtige Einstellung.

Quellen
  1. Directive (EU) 2015/2366 (PSD2) of the European Parliament and of the Council on payment services in the internal market, 2015 — EUR-Lex
  2. Commission Delegated Regulation (EU) 2018/389 — Regulatory Technical Standards for Strong Customer Authentication, 2018 — EUR-Lex
  3. European Commission, Strong Customer Authentication requirement of PSD2 comes into force, 2019
Trasimène — Mobile Sicherheit

Prüfen Sie die Sicherheit Ihrer Apps

Trasimène herunterladen →
Weiterlesen
Zurück zum Blog