Finanzbranche rüstet gegen Betrugswelle auf: SMS-TAN vor dem Aus

Angesichts immer professionellerer Betrugsmethoden verabschieden sich Banken und Tech-Konzerne von veralteten Authentifizierungsverfahren. Im Zentrum der Entwicklung: das Ende der SMS-basierten Zwei-Faktor-Authentifizierung und der Kampf gegen ausgeklügelte Social-Engineering-Attacken.

Die neue Dimension des Identitätsdiebstahls

Längst beschränken sich Betrüger nicht mehr auf einfache Telefonanrufe. Die Masche des „Trickbetrugs“ – bei dem Kriminelle vertrauenswürge Personen imitieren – hat eine neue Professionalitätsstufe erreicht. Bereits Anfang 2026 warnten große Finanzinstitute wie die HypoVereinsbank vor einer ganzen Palette an Täuschungsmanövern: falsche Bankmitarbeiter am Telefon, Phishing-Mails und SMS, die Zugangsdaten abgreifen sollen. Besonders perfide: Gefälschte Briefe mit schädlichen QR-Codes, die ahnungslose Nutzer auf betrügerische Plattformen locken.

Die digitale Parallelwelt dazu liefern raffinierte Malware-Kampagnen. Cybersicherheitsexperten von Bitdefender enthüllten am 20. Mai 2026, wie Kriminelle das veraltete Windows-Tool MSHTA missbrauchen, um Schadsoftware wie LummaStealer und Amatera zu verbreiten. Die Täter setzen auf Social-Engineering-Köder – etwa gefälschte Downloads oder „ClickFix“-Aufforderungen –, um Nutzer zur Ausführung dateiloser Malware zu verleiten. Einmal im Arbeitsspeicher aktiv, plündern diese Werkzeuge Browser-Zugangsdaten, Kryptowallet-Informationen und sensible Finanzdaten.

Angesichts der zunehmenden Professionalität bei Datendiebstahl und Phishing-Attacken ist ein moderner Kontenschutz unerlässlich. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und Passwörter sicher ablösen. Passkey-Ratgeber jetzt kostenlos herunterladen

Wie verwundbar das System ist, zeigte sich erst Anfang Mai 2026 bei der Renault Bank Direkt. Deren Hauptwebsite blieb tagelang unerreichbar. Zwar funktionierte das Online-Banking über separate Portale weiter – doch das Schweigen des Instituts während des Ausfalls war Wasser auf die Mühlen der Betrüger. Denn Verwirrung und das Gefühl dringender Hilfe sind ihre besten Verbündeten.

Systemlücken und die Gefahr von Zero-Day-Exploits

Doch nicht nur soziale Manipulation ist eine Bedrohung. Sicherheitsforscher haben kritische Schwachstellen aufgespürt, die es Angreifern erlauben, selbst etablierte Schutzmechanismen zu umgehen. Am 19. und 20. Mai 2026 wurden mehrere schwerwiegende Exploits für Windows-Umgebungen bekannt. Ein besonders spektakulärer Fund trägt den Namen „YellowKey“ (CVE-2026-45585). Diese Sicherheitslücke umgeht die BitLocker-Festplattenverschlüsselung – allerdings nur bei physischem Zugriff auf das Gerät. Über einen USB-basierten Exploit und Manipulation der Windows-Wiederherstellungsumgebung verschaffen sich Angreifer Shell-Zugriff auf verschlüsselte Partitionen.

Während Angriffe wie YellowKey eine spezifische Bedrohung darstellen, bleiben Fernzugriffs-Lücken das größere Risiko. Im „Patch Tuesday“-Zyklus vom Mai 2026 schloss Microsoft insgesamt 137 Schwachstellen. Darunter kritische Fehler in Netlogon (CVE-2026-41089) und im Windows-DNS-Client. Der Netlogon-Fehler, mit hohem Schweregrad eingestuft, könnte einem Angreifer theoretisch Systemrechte auf einem Domänencontroller verschaffen.

Eine weitere beunruhigende Entwicklung: Die Mitte Mai 2026 entdeckte „GhostTree“-Technik. Angreifer nutzen NTFS-Junctions, um unendlich lange Dateipfade zu erzeugen. Das macht einige Endpunkt-Erkennungssysteme (EDR) praktisch blind – sie können Verzeichnisse, in denen Malware versteckt ist, nicht mehr scannen. Microsoft hat zwar reagiert, doch der Fall zeigt: Das Wettrüsten zwischen Sicherheitsanbietern und Angreifern geht unvermindert weiter.

Das Ende der SMS-TAN: Microsoft zieht den Stecker

Ein echter Paukenschlag ereignete sich Ende Mai 2026: Microsoft kündigte die schrittweise Abschaffung der SMS-basierten Zwei-Faktor-Authentifizierung (2FA) für Privatkonten an. Die Begründung liest sich wie ein vernichtendes Urteil: SMS sei zu einer Hauptquelle für Betrug, Phishing und SIM-Hijacking-Angriffe geworden. Als Ersatz verweist der Konzern seine Nutzer auf sicherere Alternativen – allen voran Passkeys, authentifizierte E-Mail-Adressen und spezielle Authenticator-Apps.

Die Branche zieht mit. Am 20. Mai 2026 wurde bekannt, dass Google den Transfer von Passkeys auf Android-Geräten über Protokolle der FIDO-Allianz ermöglicht. Passwort-Manager wie Bitwarden und 1Password haben bereits Kompatibilität integriert, sodass Nutzer ihre verschlüsselten Zugangsdaten problemlos exportieren und importieren können. Das Ziel: weg von statischen Passwörtern und leicht abhörbaren SMS-Nachrichten – historisch gesehen die Achillesferse der Sicherheitskette.

Da allein in Deutschland pro Quartal Millionen Online-Konten gehackt werden, ist der Wechsel auf sicherere Anmeldeverfahren für jeden Internetnutzer ratsam. Dieser Gratis-Ratgeber erklärt Ihnen die Technologie, die Passwörter ablöst und Hackern keine Chance mehr lässt. Kostenlosen Report zu Passkeys sichern

Doch der Umstieg auf App-basierte Authentifizierung ist nicht reibungslos. Nutzer von Diensten wie WhatsApp Web meldeten im Mai 2026 Authentifizierungsprobleme – fehlgeleitete Passkey-Scans führten zu Frust. Und die Abhängigkeit von einem einzigen Gerät kann böse enden: Wer sein Smartphone ersetzt, steht plötzlich vor verschlossenen Türen bei Behördendiensten. Die Lehre daraus: Robuste Backup- und Wiederherstellungsprotokolle, wie sie moderne Passwort-Manager bieten, sind kein Luxus, sondern Notwendigkeit.

Der Rückzug aus der Filiale: Banken werden digital

Parallel zur digitalen Sicherheitsrevolution vollzieht sich ein tiefgreifender Strukturwandel im Bankwesen. Eine Studie der KfW Research vom Frühjahr 2026 zeigt: Der Anteil der mittelständischen Unternehmen, die eine Filiale besuchen, sinkt kontinuierlich. 2024 waren es nur noch 47 Prozent – 2017 lag der Wert noch bei 65 Prozent. Begleitet wird dieser Trend von einem dramatischen Filialsterben: Fast 70 Prozent der deutschen Bankfilialen haben seit dem Jahr 2000 geschlossen.

Vor Ort wird der Wandel konkret spürbar. Im März 2026 entfernte die Volksbank Niedersachsen-Mitte am Standort Leeste Briefkästen und Kontoauszugsdrucker. Die Begründung: geringe Nutzung und auslaufender technischer Support der Hersteller. Ein Geldautomat bleibt zwar erhalten, doch der Abbau anderer Dienstleistungen stößt auf Kritik. Besonders ältere Menschen, so der Vorwurf, seien von der Schließung physischer Bankdienstleistungen überproportional betroffen.

Der Verzicht auf Papierbelege schafft aber auch bürokratische Hürden. Steuerexperten und -verbände empfehlen: Fehlen physische Kontoauszüge oder Quittungen, können digitale Alternativen wie E-Mail-Bestätigungen und elektronische Transaktionslogs als Nachweis gegenüber dem Finanzamt dienen. Voraussetzung: proaktive Kommunikation und plausible Erklärungen, falls Originaldokumente nicht mehr verfügbar sind.

Ausblick: Die Zukunft der Finanzsicherheit

Die Entwicklungen der letzten Wochen zeichnen ein klares Bild: Die Zukunft der Sicherheit ist automatisiert und hardwarebasiert. Die Abschaltung veralteter Tools wie MSHTA und die Abkehr von SMS-Codes sind Teil einer systematischen Strategie, die Angriffsfläche für Betrüger zu minimieren.

Branchenexperten erwarten, dass Passkeys und verhaltensbasierte Erkennungssysteme zum Standard für den Schutz von Finanzdaten werden. Für Unternehmen wie Privatnutzer heißt das: Eine „Security-First“-Haltung ist Pflicht. Dazu gehören verschlüsselte Arbeitsumgebungen – wie sie etwa Proton im März 2026 auf den Markt brachte – und mehrschichtige Authentifizierungsverfahren, die nicht auf leicht kompromittierbare Telekommunikationswege setzen.

Die Botschaft ist unmissverständlich: Während die klassische Bankfiliale immer weiter verschwindet, wird die Integrität der digitalen Schnittstelle zur ersten und wichtigsten Verteidigungslinie gegen die nächste Generation des Finanzbetrugs. Wer sich nicht anpasst, wird zum leichten Opfer.

de | wissenschaft | 69385461 |