Lissi
Produkt

Über den QR-Code hinaus: Wie die Digital Credentials API die Benutzererfahrung der EUDI-Wallet revolutioniert

Adrian Doerk
Chief Commercial Officer
April 23, 2026
Die nächste Evolutionsstufe der digitalen Identität: DC API in der Benutzeroberfläche der EUDI-Wallet

Im Zuge der geplanten flächendeckenden Einführung der European Digital Identity (EUDI)-Wallets im Jahr 2026 verlagert sich der strategische Fokus für Finanzinstitute von der bloßen Einhaltung gesetzlicher Vorschriften hin zur Qualität der Benutzererfahrung. Seit Jahren basieren Interaktionen im Bereich der digitalen Identität auf zwei Hauptmethoden: dem Scannen eines QR-Codes oder dem manuellen „App-Wechsel“. Diese Methoden dienten zwar als wichtige Meilensteine, verursachen jedoch erhebliche Reibungsverluste – sie zwingen die Nutzer dazu, ihren aktuellen Kontext zu verlassen und einen mehrstufigen Genehmigungsprozess zu durchlaufen, was zu höheren Abbruchraten und Verwirrung führen kann. Darüber hinaus können diese veralteten Abläufe, wie in der Diskussion zum Architecture and Reference Framework (ARF) DC API Discussion Paper hervorgehoben, Organisationen Sicherheitsrisiken wie Session-Fixation- und Relay-Angriffen aussetzen.

Die Digital Credentials (DC)-API ist die grundlegende Technologie, die entwickelt wurde, um diese Herausforderungen zu bewältigen. Dieser im Entstehen begriffene W3C-Standard ermöglicht eine native Brücke auf Systemebene zwischen Browser und Wallet und sorgt so für eine nahtlose „Bottom-Sheet“-Interaktion, bei der der Nutzer im Transaktionsablauf verbleibt. Für Produktmanager und IT-Architekten ist das Verständnis dieser API nicht mehr optional; sie ist der Schlüssel zur Bereitstellung sicherer, hochzuverlässiger Prozesse – vom KYC-Onboarding bis zur starken Kundenauthentifizierung (SCA) – mit der Geschwindigkeit und dem Komfort, die Verbraucher vom modernen Bankwesen erwarten.

In diesem Leitfaden erfahren Sie, wie die DC-API funktioniert, warum sie für die Minderung der Sicherheitsrisiken bei QR-basierten Abläufen unerlässlich ist und wie sie komplexe geräteübergreifende Interaktionen optimiert. Als frühe Pioniere in diesem Bereich haben wir bei Lissi die DC-API bereits in unsere produktionsreife Infrastruktur integriert – ein Meilenstein, der entscheidend für unseren Erfolg bei der German Wallet Challenge war. Indem wir unsere Erkenntnisse aus der Zusammenarbeit mit weltweit führenden Unternehmen wie Google und Mastercard teilen, möchten wir Ihnen die Roadmap an die Hand geben, die Sie benötigen, um Ihr Unternehmen vom „QR-Code-Zeitalter“ in eine native, auf Zugangsdaten basierende Zukunft zu führen.


Warum QR-Codes im Bankwesen nicht ausreichen

In den ersten Pilotprojekten der EUDI Wallet basieren die meisten Interaktionen auf geräteübergreifenden Abläufen – typischerweise scannt ein Nutzer, der an einem Laptop sitzt, einen QR-Code mit seinem Smartphone, um eine Wallet-Aktion auszulösen. Auch wenn dies ein vertrautes Verhalten ist, hebt das ARF-Diskussionspapier hervor, dass diese „Ära der QR-Codes“ bei Bankprozessen mit hohem Risiko spezifische, systemische Herausforderungen mit sich bringt:

  • Die Sicherheitslücke (Relay-Angriffe): QR-Codes sind im Grunde statische Auslöser. Bei einem „Relay-Angriff“ kann ein Angreifer einen legitimen QR-Code erfassen und ihn einem ahnungslosen Nutzer auf einem anderen Gerät präsentieren. Da der Browser und die Wallet die jeweilige Sitzung des anderen nicht von Haus aus „erkennen“, ist es schwierig, kryptografisch nachzuweisen, dass die Person, die den Code scannt, dieselbe ist, die die Transaktion initiiert hat.
  • Die Reibung durch den „Kontextwechsel“: Einen Nutzer dazu zu zwingen, von seinem Browser zu einer separaten Wallet-App zu wechseln – und dann wieder zurück –, ist ein „Conversion-Killer“. Im Mobile-Banking-Umfeld erhöht jeder zusätzliche Schritt oder „App-Wechsel“ das Risiko, dass der Nutzer den Vorgang abbricht, insbesondere bei sensiblen Abläufen wie der starken Kundenauthentifizierung (SCA).
  • Das Entdeckungsproblem:Angesichts der erwarteten Einführung von über 30 staatlichen und privaten Wallets in ganz Europa sehen sich die Nutzer mit einer „Auswahlmüdigkeit“ konfrontiert. Wenn eine Bank bestimmte Daten wie beispielsweise eine IBAN-Nummer anfordert, sollte der Nutzer nicht raten müssen, in welchem seiner möglicherweise zahlreichen Wallets sich die richtigen, aktuellen Daten befinden.

Für eine Bank ist ein fehlgeschlagener Identifizierungsablauf nicht nur ein Problem der Benutzererfahrung, sondern bedeutet auch einen verlorenen Kunden und ein potenzielles Sicherheitsrisiko. Wir benötigen eine „sitzungsgebundene“ Interaktion, bei der der Browser und die Wallet direkt über einen vertrauenswürdigen Vermittler auf Systemebene kommunizieren. Durch die Beseitigung dieser Reibungspunkte macht die DC-API den Ablauf nicht nur „angenehmer“, sondern auch robust genug für die hohen Sicherheitsanforderungen des Finanzsektors.

Aus unseren direkten Gesprächen mit den Teams, die diese Standards entwickeln, geht klar hervor, dass das Ziel darin besteht, von „unverwalteten“ benutzerdefinierten URI-Schemas (die von böswilligen Apps missbraucht werden können) hin zur kontrollierten Sicherheit der DC-API überzugehen. Aus diesem Grund haben wir dieser Integration in unserem EUDI-Wallet-Connector Priorität eingeräumt – damit unsere Kunden die technischen Altlasten veralteter QR-Abläufe umgehen und direkt zu einer nativen Benutzererfahrung übergehen können.


Vorstellung der DC-API: Die „native“ Lösung

Um die Reibungsverluste und Sicherheitslücken des „QR-Code-Zeitalters“ zu beheben, bewegt sich die Branche in Richtung eines nativen Interaktionsmodells. Die Digital Credentials (DC)-API fungiert dabei als entscheidende Brücke, die es einem Webbrowser ermöglicht, direkt mit dem Betriebssystem zu kommunizieren, um Identitätsnachweise zu finden und anzuzeigen.

Der DC-API-Ablauf in der Lissi-Wallet

Im Gegensatz zu herkömmlichen Methoden, bei denen Nutzer von ihrer aktuellen Aufgabe abgelenkt werden, führt die DC-API ein „Bottom-Sheet“-Erlebnis ein. Wenn eine Bank oder ein Dienstleister Informationen anfordert, gleitet ein natives UI-Element über den aktuellen Bildschirm nach oben, wobei die Steuerung vollständig vom Betriebssystem des Geräts übernommen wird. So bleibt der Nutzer im Kontext der Transaktion und profitiert von einem reibungsloseren, intuitiveren Genehmigungsablauf.

Wichtige funktionale Durchbrüche
  • Auswahl nach Qualifikationen:Anstatt dass sich der Nutzer merken muss, in welcher Wallet-App seine spezifischen Zugangsdaten gespeichert sind, durchsuchen Browser und Betriebssystem automatisch alle installierten Wallets. Anschließend wird dem Nutzer eine Liste mit passenden Angaben – wie beispielsweise eine IBAN oder ähnliche Zahlungsdaten für SCA-Zwecke – zur Auswahl angezeigt.
  • Protokollflexibilität:Die API fungiert als einheitlicher Zugangspunkt, der je nach Betriebssystemplattform mehrere standardisierte Protokolle unterstützt, darunter OpenID4VP und ISO 18013-7 (mdoc). Dadurch wird sichergestellt, dass Ihre Infrastruktur mit den über 30 verschiedenen Wallet-Varianten kompatibel bleibt, die in der EU zu erwarten sind.
  • Nahtlose geräteübergreifende Unterstützung:Die DC-API ist nicht nur für Abläufe auf demselben Gerät gedacht. Sie ermöglicht einen sicheren „Tunnel“ zwischen einem Browser auf einem Laptop und einer Wallet auf einem Smartphone in der Nähe und nutzt dabei dieselbe zugrunde liegende Technologie wie Passkeys (WebAuthn), um ein vertrautes und hochsicheres Erlebnis zu gewährleisten.

Auch wenn der W3C-Standard noch nicht endgültig festgelegt ist, ist die Dynamik unbestreitbar. Große Akteure wie Google haben bereits produktionsreife Implementierungen in Chrome und Android vorangetrieben. Für eine Bank birgt eine abwartende Haltung versteckte Kosten: das Risiko, eine veraltete Infrastruktur aufzubauen, die eine kostspielige Überarbeitung erfordert, sobald die native Betriebssystemunterstützung zum De-facto-Standard für hochsichere Transaktionsabläufe wird.

Strategische Vorteile für Finanzinstitute: Sicherheit und nahtloses Nutzererlebnis

Für Finanzinstitute ist die Umstellung auf die DC-API nicht nur ein technisches Upgrade, sondern ein strategischer Schritt, um den Spannungszustand zwischen hohen Sicherheitsanforderungen und dem Wunsch nach einer reibungslosen Benutzererfahrung aufzulösen. Während sich die Banken darauf vorbereiten, die in der Geldwäschebekämpfungsverordnung festgelegte Verpflichtung zur Akzeptanz von EUDI-Wallets ab Juli 2027 zu erfüllen, bietet die DC-API drei entscheidende Vorteile:

1. Sicherheit durch Design: Beseitigung des „Man-in-the-Middle“-Angriffs

Herkömmliche Abläufe auf Basis von QR-Codes oder URL-Weiterleitungen sind anfällig, da sie darauf angewiesen sind, dass der Benutzer als „Brücke“ zwischen zwei voneinander getrennten Sitzungen fungiert. Dies eröffnet Möglichkeiten für Relay-Angriffe und Session Fixation. Die DC-API verlagert die Interaktion auf einen Vermittler auf Systemebene (das Betriebssystem).

  • Herkunftsnachweis:Das Betriebssystem überprüft die Herkunft der Anfrage kryptografisch und stellt so sicher, dass die Anmeldedaten nur an die legitime, vorgesehene Website übermittelt werden.
  • Sitzungsbindung: Da das Betriebssystem den Kanal verwaltet, ist die Übermittlung der Anmeldedaten an die jeweilige Browsersitzung gebunden, sodass es für einen Angreifer von außen nahezu unmöglich ist, den Ablauf zu „kapern“.

2. Reibungsloser SCA für alle PSD2-Prozesse

Zwar drehen sich die ersten Diskussionen oft um den Bezahlvorgang im E-Commerce, doch die Auswirkungen der DC-API reichen weit darüber hinaus. Sie wurde entwickelt, um die starke Kundenauthentifizierung (SCA) in allen regulierten Bankprozessen zu optimieren – darunter Überweisungen mit hohem Wert, der Zugriff auf Konten und die Genehmigung von Vollmachten.

Durch die Verwendung dessen, was in den neuesten technischen Spezifikationen (TS12) als „SCA-Zugangsdaten“ bezeichnet wird, können Banken eine hochsichere Autorisierung direkt über das OS-Bottom-Sheet auslösen. Dadurch entfällt die Notwendigkeit von SMS-OTPs, was Transaktionen schneller und sicherer macht, ohne das gemäß eIDAS 2.0 geforderte „hohe“ Sicherheitsniveau zu beeinträchtigen.

3. Die UX-Herausforderung: Geschwindigkeit und Vertrauen in Einklang bringen

Durch die Verlagerung der Interaktion auf ein vom Betriebssystem gesteuertes „Bottom Sheet“ lässt sich die Anzahl der bis zum Abschluss erforderlichen Klicks deutlich reduzieren. Wir sind uns jedoch bewusst, dass dies auch eine neue Herausforderung mit sich bringt: die Informationsdichte.

In einer kleineren, vom Betriebssystem verwalteten nativen Benutzeroberfläche müssen Banken sorgfältig darauf achten, wie sie wichtige Informationen darstellen:

  • Vertrauenssiegel: Wie kann der Nutzer schnell überprüfen, ob es sich bei dem Antragsteller um ein zertifiziertes Finanzinstitut handelt?
  • Grund für die Anfrage: Auf knappen Raum klar darlegen, warum bestimmte Angaben (wie Ihre IBAN oder Ihr Kontostand) abgefragt werden.
  • Transparenz der Attribute:Sicherstellen, dass der Benutzer genau weiß, welche Daten weitergegeben werden, bevor er sich biometrisch authentifiziert.

Das Ziel ist es, den Nutzer von der Frage „Wo ist meine Brieftasche?“ zu der Aussage „Ich vertraue dieser Anfrage“ zu führen. Während die DC-API diesen Prozess vereinfacht, entscheidet die Qualität der Integration darüber, ob sich der Nutzer sicher fühlt oder unter Druck gesetzt. Aus diesem Grund legen wir im Lissi Connector großen Wert auf die Gestaltung des „Genehmigungsprozesses“.

Lissi: Standards in die Realität umsetzen

Wir bei Lissi waren schon immer davon überzeugt, dass die EUDI-Wallet in stark regulierten Branchen nur dann erfolgreich sein kann, wenn die Technologie unsichtbar und sicher ist und in die Tools integriert wird, die die Nutzer bereits verwenden – ihre Browser und Betriebssysteme. Wir haben nicht auf die endgültige Fassung der W3C-Standards gewartet, um diesen Weg einzuschlagen; wir haben mit der Implementierung der DC-API begonnen, sobald die ersten Entwürfe und experimentellen Flags verfügbar waren.

Dieser proaktive Ansatz war ein entscheidender Faktor für unseren Erfolg bei der German Wallet Challenge. Durch die frühzeitige Integration der DC-API sowohl in unsere Wallet als auch in unseren Connector konnten wir ein Maß an Benutzerfreundlichkeit und Sicherheit demonstrieren, das unsere Lösung von anderen abhob. Damit wurde bewiesen, dass „native“ Abläufe nicht nur ein Zukunftskonzept sind, sondern eine funktionierende Realität, die den strengen Anforderungen der nationalen Regulierungsbehörden gerecht wird.

Unsere Führungsrolle in diesem Bereich wird durch die kontinuierliche Zusammenarbeit mit den Pionieren der digitalen Wirtschaft gestärkt:

  • Partnerschaft mit Mastercard:Wir arbeiten derzeit mit Mastercard zusammen, um zu untersuchen, wie sich die Digital Credentials API mit dem Standard für digitale Zahlungsdaten (DPC) kombinieren lässt. Während die DC-API den nativen Aufruf von Zugangsdaten auf Betriebssystemebene ermöglicht, ergänzt DPC diese Funktion durch die Koordination des gesamten Zahlungs- und Authentifizierungsprozesses – und gewährleistet so eine einheitliche, hochwertige Benutzererfahrung über Emittenten, Wallets und Plattformen hinweg, die vollständig mit den Anforderungen der PSD2 und der künftigen PSD3 im Einklang steht.
  • WE Build Large-Scale Pilot: In einem von Visa und Google organisierten Workshop haben wir kürzlich eine gemeinsam mit Mastercard entwickelte funktionsfähige Demo vorgestellt. Diese Demonstration zeigte, wie DC-API-basierte Anmeldeanfragen innerhalb von Zahlungs- und Genehmigungsabläufen koordiniert werden können, und hob dabei die Bedeutung sowohl der nativen Betriebssysteminteraktionen als auch der Koordination der Benutzererfahrung auf Zahlungsniveau hervor.

Direkter Einfluss auf Normen: Während wir uns auf die Umsetzung konzentrieren, pflegen wir einen direkten Austausch mit den Teams, die die Standards entwickeln. So stellen wir sicher, dass der Lissi Connector auf der Grundlage eines Insider-Wissens über die Roadmap entwickelt wird und technische Veränderungen in einsatzbereite Funktionen für unsere Kunden umgesetzt werden.

Die Roadmap 2026 im Überblick: Technische und regulatorische Gegebenheiten

Für Finanzinstitute stellen die nächsten 12 bis 18 Monate ein entscheidendes Zeitfenster für die Umsetzung dar. Auch wenn die Entwicklung der DC-API rasant voranschreitet, ist es wichtig, die aktuelle Lage zu verstehen, um Ihre Einführungsstrategie effektiv zu steuern.

Die Realität der Multi-Plattform-Welt: Derzeit ist die Unterstützung für die DC-API am besten im Android- und Chrome-Ökosystem ausgeprägt, wo die „Bottom-Sheet“-Funktion für Early Adopters bereits verfügbar ist. Die Situation in Bezug auf iOS und Safari ist weiterhin Gegenstand intensiver Diskussionen. Apple hat in der Vergangenheit stets seinen eigenen proprietären Wallet-Schnittstellen Vorrang eingeräumt; wir gehen jedoch davon aus, dass die eIDAS-Koordinierungsgruppe diese Lücken bei der plattformübergreifenden Interoperabilität in den kommenden Monaten schließen wird. Als führendes Unternehmen in diesem Bereich bieten wir unseren Kunden die Flexibilität, native Abläufe zu unterstützen, sofern diese verfügbar sind, und gleichzeitig zuverlässige Fallback-Lösungen für andere Plattformen bereitzuhalten.

Das ARF-Thema F und die Produktionszeitpläne: Das Architecture and Reference Framework (ARF) nennt die DC-API als zentrales Thema bei der Fernpräsentation. Während sich der Standard weiterentwickelt, läuft die Zeit für die Banken davon. Angesichts der 2027 anstehenden Frist für die verpflichtende Akzeptanz von digitalen Geldbörsen und angesichts typischer IT-Zyklen im Bankwesen von 12 bis 18 Monaten ist es jetzt an der Zeit, mit der Integration zu beginnen. Das Warten auf einen „fertiggestellten“ Standard bedeutet oft, dass man vom ersten Tag an mit veralteter Technologie auf den Markt geht.

Fazit: So machen Sie Ihre Strategie zur digitalen Identität zukunftssicher

Der Übergang vom „Zeitalter der QR-Codes“ hin zu einer nativen, auf Zugangsdaten basierenden Zukunft ist unvermeidlich. Für Produktmanager, Innovationsleiter und Zahlungsexperten stellt sich nicht mehr die Frage, ob diese Abläufe unterstützt werden sollen, sondern wie dies mit dem geringsten Risiko und der höchsten Zuverlässigkeit geschehen kann. Der Aufbau und die Wartung einer maßgeschneiderten Integration für jede sich weiterentwickelnde API auf Betriebssystemebene über mehr als 30 nationale Wallets hinweg ist eine gewaltige Aufgabe, die Ressourcen von Ihrem Kerngeschäft abzieht, wie wir hier ausführlicher beschrieben haben. Aus diesem Grund haben wir den Lissi EUDI-Wallet-Connector entwickelt.

Durch die Wahl einer professionellen Komponente in Produktionsqualität profitiert Ihre Einrichtung von folgenden Vorteilen:

  • Schnellere MarkteinführungÜberspringen Sie die Forschungs- und Entwicklungsphase und implementieren Sie eine funktionsfähige DC-API-Integration innerhalb von Wochen statt Jahren.
  • Geringeres regulatorisches Risiko: Bleiben Sie dank unserer proaktiven Updates stets auf dem neuesten Stand der ARF-Anforderungen und der Durchführungsrechtsakte zu eIDAS 2.0.
  • Operative Exzellenz: Konzentrieren Sie sich auf Ihre spezifischen Anwendungsfälle im Bankwesen, während wir die zugrunde liegende „Engine“ bereitstellen, die durch SLAs rund um die Uhr und Support für Unternehmen abgesichert ist.

Lassen Sie sich bei Ihrer Strategie für digitale Identitäten nicht von den Hindernissen der Vergangenheit bremsen. Kontaktieren Sie uns noch heute für eine Demo der DC-API in Aktion und erfahren Sie, wie unser Starter-Programm Ihnen helfen kann, im EUDI-Wallet-Ökosystem eine Vorreiterrolle einzunehmen.

Implement Use Cases to today with the DC API flow!

Test our Demo
Contact Us

Weitere Artikel von Lissi

April 23, 2026
Lissi
Produkt
Über den QR-Code hinaus: Wie die Digital Credentials API die Benutzererfahrung der EUDI-Wallet revolutioniert
Die nächste Evolutionsstufe der digitalen Identität: DC API in der Benutzeroberfläche der EUDI-Wallet
Lesen Sie mehr
April 9, 2026
Lissi
eIDAS Ökosystem
Die Zukunft der digitalen Identität in Italien zusammen gestalten: INTESA und Lissi geben strategische Partnerschaft für das EUDI-Wallet-Ökosystem bekannt
INTESA und Lissi geben strategische Partnerschaft für das EUDI-Wallet-Ökosystem bekannt
Lesen Sie mehr
March 18, 2026
Produkt
eIDAS Ökosystem
Guide zur französischen EUDI Wallet Sandbox: Interop Tests und Use Cases für Wallets in der französischen Sandbox
Erfahren Sie mehr über die französische Sandbox, die offiziell als „EUDIW Playground“ bezeichnet wird – eine Umgebung zum Testen der ersten Anwendungsfälle für die EUDI-Wallet und der Interoperabilität von Wallets.
Lesen Sie mehr
© 2025 Lissi GmbH. Alle Rechte vorbehalten.
Produkte
EUDI-Wallet StarterEUDI-Wallet-ConnectorEUDI-Wallet LösungLissi-Demo
Industrien
PID Identifizierung (KYC)Starke Kunden AuthentifizierungQEAAsEAAs
Erfahre mehr
AnwendungsfälleNews & RessourcenNewsletterKarriereÜber unsTrust CenterKontakt
Mit ❤️ made in Germany
Frankfurt/Main
Eschersheimer Landstraße 6
Rechtlicher HinweisDatenschutzrichtlinieDatenschutzerklärung (ID-Wallet)Allgemeine Geschäftsbedingungen (ID-Wallet)Allgemeine Geschäftsbedingungen (Connector)General Information Security Policy