Dass das Passwort alleine kein wirklich ausreichender Schutz ist, das habt ihr unter anderem bei unseren Artikeln rund um die Zwei-Faktor-Authentifizierung festgestellt. Viele Unternehmen sprechen mittlerweile von der SCA, der „Strong Customer Authentication“ oder übersetzt: Der „Starken Kundenauthentifizierung“. PayPal, Apple Pay, Google Pay und praktisch alle Banking-Apps fordern ihre Kunden inzwischen dazu auf, diese zu aktivieren. Doch was steckt dahinter?
Die zweite Zahlungsdiensterichtlinie (PSD2) sieht vor, dass bei Zahlungsdienstleistern weitere Sicherheitsmechanismen greifen müssen. Seit 2021 ist diese EU-weite Regelung vollständig in Kraft und schreibt für Online-Zahlungen über 30 Euro zwingend vor, dass neben dem ersten Faktor Passwort noch mindestens ein weiterer abgefragt werden muss. Die Faktoren teilen sich in drei Klassen:
Das Wissen: Das klassische Passwort ist etwas, das ihr wissen müsst, um euch einloggen zu können. Hat jemand anderes es erraten, dann ist dieses Wissen natürlich auch bei demjenigen vorhanden und der Schutz ist erloschen. Darum ergänzt man das Wissen um den Besitz.
Der Besitz: Wenn ihr zusätzlich zum korrekten Passwort noch einen immer wechselnden Code eingeben müsst, der per SMS auf euer Smartphone kommt oder in einer Authenticator-App wie Google Authenticator, Microsoft Authenticator oder Authy angezeigt wird, dann bedeutet dies zusätzlichen Schutz. Ein Angreifer muss nicht nur das Passwort bekommen, sondern auch noch in den Besitz des Gerätes kommen – sonst kann er den Zahlencode nicht kennen und eingeben.
Einen Schritt weiter noch geht die Inhärenz: Auch ein Smartphone oder Hardware-Token kann verloren gehen oder gestohlen und damit kompromittiert werden. Biometrische Merkmale können das nicht: Euer Fingerabdruck, eure Stimme, die Iris oder Gesichtserkennung – das sind Eigenschaften, die fest mit euch verbunden sind. Wenn diese als zusätzlicher Faktor verwendet werden, ist ein Kontenzugriff für einen Fremden praktisch unmöglich.
Warum SCA jetzt überall Pflicht wird
Die starke Kundenauthentifizierung ist längst nicht mehr nur eine Empfehlung, sondern gesetzliche Pflicht. Banken und Zahlungsdienstleister müssen sie implementieren, um Betrug zu verhindern und Compliance-Anforderungen zu erfüllen. Das betrifft nicht nur klassische Online-Banking-Transaktionen, sondern auch:
- E-Commerce-Käufe über 30 Euro
- Wiederkehrende Zahlungen nach gewissen Zeiträumen
- Zugriff auf Kontoinformationen über Drittanbieter
- Kreditkartenzahlungen im Internet
Moderne SCA-Methoden im Überblick
Passkeys revolutionieren gerade die Authentifizierung: Diese neuen Standards (WebAuthn/FIDO2) kombinieren alle drei Faktoren elegant. Statt Passwort plus SMS nutzt ihr einfach euren Fingerabdruck oder Face ID am Smartphone – fertig. Apple, Google und Microsoft pushen Passkeys massiv, da sie sowohl sicherer als auch benutzerfreundlicher sind.
Push-Notifications haben SMS-Codes weitgehend abgelöst: Statt auf eine SMS zu warten, bekommt ihr eine Push-Nachricht in der Banking-App oder Authenticator-App mit der Frage „Wart ihr das?“. Ein Tipp genügt zur Bestätigung.
Hardware-Security-Keys wie YubiKey oder Google Titan werden immer beliebter bei sicherheitsbewussten Nutzern. Diese kleinen USB- oder NFC-Dongles bieten maximale Sicherheit gegen Phishing-Angriffe.
Was das für euch bedeutet
Die gute Nachricht: SCA macht Online-Zahlungen deutlich sicherer. Cyberkriminelle haben es viel schwerer, auch wenn sie an eure Passwörter gelangen. Die anfängliche Skepsis vieler Nutzer ist längst gewichen – die meisten schätzen heute die zusätzliche Sicherheit.
Falls ihr noch alte 2FA-Methoden wie SMS nutzt: Wechselt zu modernen Alternativen. SMS-Codes können abgefangen werden (SIM-Swapping), Authenticator-Apps sind deutlich sicherer. Und wenn eure Bank oder euer Zahlungsdienstleister Passkeys anbietet: Probiert sie aus. Sie sind die Zukunft der Authentifizierung.
Die Zeiten einfacher Passwörter sind endgültig vorbei. SCA wird zum Standard – und das ist gut so für die Sicherheit eurer Daten und eures Geldes.
Zuletzt aktualisiert am 27.02.2026
