Sicherheit der Zahlungen in der heutigen Zeit Multi-Faktor-Authentifizierung, Tokenisierung und geschützte E-Wallets

Seit 2019 haben die PSD2 und die Strong Customer Authentication neue Maßstäbe gesetzt, doch im Jahr 2025 sind neue Bedrohungen aufgetaucht: Phishing-Angriffe, die durch KI generiert werden, haben um mehr als 3.000% zugenommen; Unternehmen verlieren weltweit Millionen durch Deepfake-Betrug, und gefälschte Payment-Apps erscheinen regelmäßig in den App Stores.

Die Frage, welche Sicherheitstechnologien sich tatsächlich bewähren, beschäftigt Verbraucher. Woran erkennt man Anbieter, die seriös sind? Und was kann man persönlich tun, um sich zu schützen?

Starke Kundenauthentifizierung - weit mehr als nur eine Pflichtübung 

Seit 2019 müssen Zahlungsdienstleister in der EU gemäß der PSD2-Richtlinie die Strong Customer Authentication (SCA) umsetzen. 

Das bedeutet: Bei elektronischen Zahlungen müssen mindestens zwei der drei Faktoren erfüllt sein - Wissen (PIN, Passwort), Besitz (Smartphone, Hardware-Token) und Inhärenz (Fingerabdruck, Gesichtserkennung).

Es ist ein einfaches Konzept: Ein gestohlenes Passwort ist heutzutage nicht mehr ausreichend.

In der Praxis erfolgt dies meist über 3D Secure 2.0 bei Kartenzahlungen oder über app-basierte Authentifizierung bei E-Wallets.

Der Nutzer gibt seine Zahlung frei, indem er etwa einen Code aus einer SMS eingibt oder die Transaktion per Fingerabdruck in der Banking-App bestätigt.

Das schafft eine zusätzliche Hürde für Betrüger - vorausgesetzt, die Methode zur Authentifizierung ist selbst sicher.

KI-gestützter Betrug - die neue Dimension

Das Jahr 2025 wird einen entscheidenden Wandel in Bezug auf Online-Betrug bringen. Wie Sumsub berichtet, sind die Deepfake-Angriffe um 180% gestiegen, und auch die Verwendung von hochentwickelten Betrugsmethoden - welche kombinierte Ansätze aus synthetischen Identitäten, manipulierten Dokumenten und Social Engineering umfasst - nimmt erheblich zu. Ein besonders drastischer Fall: Ein Mitarbeiter der Firma Arup überwies 25 Millionen Dollar, nachdem er in einem Videocall mit seinem vermeintlichen CFO und mehreren Kollegen gesprochen hatte. Jeder Teilnehmer war ein KI-generierter Deepfake.

Die Qualität von Deepfake-Phishing ist inzwischen so hoch, dass selbst Fachleute darauf reinfallen. Um eine glaubwürdige Imitation zu erzeugen, benötigt Voice-Cloning lediglich 20-30 Sekunden Audiomaterial. Die Betrugsversuche geschehen in Echtzeit - anstelle von vorab aufgenommenem Material kommen live gesteuerte Avatare zum Einsatz. Im ersten Quartal 2025 haben solche Angriffe, die man dokumentiert hat, Verluste von über 200 Millionen Dollar verursacht.

Tokenisierung - Risikofreie Kartendaten

Tokenisierung gehört zu den effektivsten Schutztechnologien. Sensible Zahlungsdaten werden durch zufällig erzeugte Token ersetzt. Man kann sie nur im Kontext der jeweiligen Transaktion nutzen; wer sie abfängt, kann nichts damit anfangen. Mobile Payment-Dienste wie Apple Pay und Google Pay verwenden dieses Verfahren als Standard.

Das Positive: Auch wenn ein Händler Opfer eines Hacks wird, sind die echten Kartendaten weiterhin geschützt. Nur den Token sieht das System, nicht die tatsächliche Kreditkartennummer. Das bedeutet für Verbraucher weniger Stress bei Datenpannen und für Händler weniger Haftungsrisiken.

Zahlungsdienstleister mit Vertrauenswürdigkeit identifizieren

Verbraucher sollten, wenn sie sich für digitale Zahlungsmethoden entscheiden, auf etablierte Anbieter mit bewährten Sicherheitsstandards setzen. Etablierte E-Wallet-Anbieter setzen auf Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, Tokenisierung sensibler Daten und Transaktionslimits. Ein Beispiel dafür: Der E-Wallet-Anbieter Skrill, der in mehreren digitalen Ökosystemen tätig ist - zum Beispiel dokumentiert unter wette.de/zahlungen/skrill-sportwetten - erfüllt die Anforderungen der PSD2 und bietet zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung und Transaktionsüberwachung. Ein solches Maß an Offenheit ist ein hervorragendes Zeichen für Vertrauenswürdigkeit.

Es ist für Verbraucher ratsam, grundsätzlich zu prüfen: Gibt es eine Regulierung für den Anbieter? Existieren eindeutige Datenschutzrichtlinien? Sind die Gebühren transparent kommuniziert? Zahlungsdienstleister mit einer Lizenz werden von Aufsichtsbehörden wie der BaFin in Deutschland oder der FCA in Großbritannien überwacht. Das etabliert eine rechtliche Grundlage und Wege für Beschwerden.

Praktische Schutzmaßnahmen für Verbraucher

Die Basis bilden die Auswahl seriöser Anbieter, ein bewusster Umgang mit Zugangsdaten und ein gesundes Misstrauen bei ungewöhnlichen Anfragen. Regulierung schafft die Rahmenbedingungen, Technologie errichtet Barrieren - aber am Ende entscheidet das Verhalten jedes Einzelnen über die echte Sicherheit."

Selbst die beste Technologie ist nutzlos, wenn Anwender durch ihr Verhalten Schwachstellen schaffen. Ein paar grundlegende Regeln: Verwenden Sie niemals dasselbe Passwort für verschiedene Dienste. Komplexe und einzigartige Passwörter verwalten Passwort-Manager. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) überall, wo sie angeboten wird - am besten mit app-basierten Verfahren anstelle von SMS, da diese abgefangen werden können.

Kontobewegungen in regelmäßigen Abständen prüfen. Zahlreiche Banken haben Push-Benachrichtigungen für jede Transaktion im Angebot - das ermöglicht sofortige Transparenz. Sollten Sie verdächtige Abbuchungen bemerken, zögern Sie nicht und kontaktieren Sie sofort Ihre Bank. Eine schnelle Reaktion kann Schäden minimieren. Und: Skepsis gegenüber unerwarteten Zahlungsaufforderungen, selbst wenn sie angeblich von Freunden stammen. Bei Unsicherheiten über einen anderen Kanal Rücksprache halten.

PSD3 und die Zukunft der Sicherheit im Zahlungsverkehr

Die nächste Version der Zahlungsdienste-Richtlinie steht schon in den Startlöchern. Die Einführung der PSD3 wird für etwa Mitte 2026 erwartet, und sie bringt zusätzliche Verschärfungen mit sich: Der IBAN-Namensabgleich bei Überweisungen wird verpflichtend, die Open Banking-Standards werden vereinheitlicht, und es gibt genauere Vorgaben zur Strong Customer Authentication.

Das bedeutet für Verbraucher: mehr Schutz, aber auch mehr Verantwortung. Während die Technologien immer ausgefeilter werden, entwickeln sich leider auch die Betrugsmethoden. Bis 2026 wird laut Gartner etwa 30% der Unternehmen alleinstehende Identifikationssysteme als nicht mehr zuverlässig betrachten. Multi-Layer-Ansätze werden zur Norm - eine Mischung aus biometrischen Daten, Verhaltensanalysen und kontextuellen Prüfungen.

Schlussfolgerung: Allein mit Technik ist es nicht genug

Die Gewährleistung der Zahlungssicherheit ist kein einmaliges Ziel, sondern ein kontinuierlicher Prozess. Die Technologien - Tokenisierung, Multi-Faktor-Authentifizierung und KI-gestützte Betrugserkennung - sind wirksam, wenn sie korrekt umgesetzt und angewendet werden. Es ist wichtig, dass Verbraucher begreifen, wie diese Systeme funktionieren und wo ihre eigenen Pflichten liegen.

Die Basis bilden die Auswahl seriöser Anbieter, ein bewusster Umgang mit Zugangsdaten und ein gesundes Misstrauen bei ungewöhnlichen Anfragen. Regulierung schafft die Rahmenbedingungen, Technologie errichtet Barrieren - aber am Ende entscheidet das Verhalten jedes Einzelnen über die echte Sicherheit. Angesichts der Tatsache, dass Deepfakes und KI-Betrug neue Höhen erreichen, ist es jetzt besonders wichtig, wachsam zu sein.