6,8 Millionen Euro für ein Prager Unternehmen, das Banken auf eine kryptographische Bedrohung vorbereitet, die noch bevorsteht – und ein Investorenkreis, der sich selbst als Kunde rekrutiert. Die Series A von Wultra ist weniger eine Randnotiz aus der Fintech-Szene als ein anschauliches Beispiel dafür, aus welchen unterschiedlichen Bausteinen – regulatorischer Vorleistung, Analysten-Einordnung und gewachsenen Investoren- und Kundenbeziehungen – Vertrauen in einem noch jungen Infrastrukturmarkt entsteht.
Am 1. Juli 2026 meldete das tschechische Unternehmen Wultra den Abschluss einer Series-A-Runde über 6,8 Millionen Euro, angeführt von Seventure Partners, unter Beteiligung der Ariadnext-Gründer Marc Norlain und Guillaume Despagne sowie der Bestandsinvestoren J&T Ventures und Elevator Ventures, der Venture-Einheit der Raiffeisen Bank International. Für sich genommen ist das eine Randnotiz im Fintech-Newsflow. Interessant wird der Vorgang erst, wenn man ihn nicht als Einzelereignis, sondern als Konstellation liest.
Wie die Lösung technisch aufgebaut ist. Kern von Wultras Angebot ist PowerAuth, ein quelloffenes Protokoll für Schlüsselaustausch und Signierung von Anfragen, das ursprünglich für Anwendungen mit hohen Sicherheitsanforderungen wie Mobile Banking entwickelt wurde. Der Nutzer lädt zunächst eine “leere”, nicht personalisierte Banking-App herunter und aktiviert sie über einen als sicher angenommenen Kanal – etwa das Internetbanking, einen QR-Code am Bankschalter oder einen Hardware-Authenticator. Bei dieser Aktivierung wird über ein kryptographisches Schlüsselaustauschverfahren ein gerätespezifisches Schlüsselpaar erzeugt, das das Mobilgerät dauerhaft an das Backend bindet. Jede folgende Aktion – Login, Zahlungsfreigabe, Vertragsunterzeichnung – wird über eine mit diesem Schlüssel erzeugte Signatur abgesichert, ergänzt um Ende-zu-Ende-Verschlüsselung und einen verschlüsselten “Secure Vault” für sensible Daten. Architektonisch besteht die Lösung aus einem Backend-Server (PowerAuth Server), optional als Docker-Paket für Cloud-Deployments, sowie SDKs zur Integration in mobile Apps; darüber liegt eine Web-Flow-Komponente, die als OAuth-2.1-Provider die Authentifizierung für Web-Anwendungen föderiert und je nach Schutzbedarf unterschiedliche Verfahren erzwingt – etwa Passwort- und SMS-Code-Verifikation oder Bestätigung per Mobile-Token. Damit deckt das System die von PSD2 geforderte Zwei-Faktor- beziehungsweise starke Kundenauthentifizierung (SCA) ab und lässt sich sowohl on-premise als auch in der Cloud betreiben – ein Architekturmerkmal, das insbesondere für Banken mit regulatorischen Datenhaltungsauflagen relevant ist.
Auf dieser Authentifizierungsbasis hat Wultra sein Portfolio, wie eingangs zitiert, um die vor- und nachgelagerten Schritte der Identitätsreise erweitert: Onboarding und Identitätsprüfung (unter anderem über die mit iProov realisierte Gesichtsbiometrie bei Raiffeisenbank), Transaktionsautorisierung und elektronische Signaturen. Zur Post-Quanten-Positionierung liefert die öffentlich zugängliche Entwicklerdokumentation einen konkreten, wenn auch punktuellen Beleg: Die Datenbank-Verschlüsselung des PowerAuth-Servers nutzt inzwischen standardmäßig einen als “post-quantum-grade” bezeichneten Algorithmus (AEAD_KMAC) zum Schutz von Master- und Aktivierungsschlüsseln. Das ist ein sinnvoller, aber begrenzter Baustein: Er schützt Daten im Ruhezustand, sagt für sich genommen aber noch nichts darüber, in welchem Umfang die eigentlichen Transportprotokolle – etwa der Schlüsselaustausch zwischen App und Server – …
