6,8 Mil­lio­nen Euro für ein Pra­ger Unter­neh­men, das Ban­ken auf eine kryp­to­gra­phi­sche Bedro­hung vor­be­rei­tet, die noch bevor­steht – und ein Inves­to­ren­kreis, der sich selbst als Kun­de rekru­tiert. Die Series A von Wul­tra ist weni­ger eine Rand­no­tiz aus der Fin­tech-Sze­ne als ein anschau­li­ches Bei­spiel dafür, aus wel­chen unter­schied­li­chen Bau­stei­nen – regu­la­to­ri­scher Vor­leis­tung, Ana­lys­ten-Ein­ord­nung und gewach­se­nen Inves­to­ren- und Kun­den­be­zie­hun­gen – Ver­trau­en in einem noch jun­gen Infra­struk­tur­markt entsteht.


Am 1. Juli 2026 mel­de­te das tsche­chi­sche Unter­neh­men Wul­tra den Abschluss einer Series-A-Run­de über 6,8 Mil­lio­nen Euro, ange­führt von Seven­ture Part­ners, unter Betei­li­gung der Ari­ad­next-Grün­der Marc Nor­lain und Guil­laume Des­pa­gne sowie der Bestands­in­ves­to­ren J&T Ven­tures und Ele­va­tor Ven­tures, der Ven­ture-Ein­heit der Raiff­ei­sen Bank Inter­na­tio­nal. Für sich genom­men ist das eine Rand­no­tiz im Fin­tech-News­flow. Inter­es­sant wird der Vor­gang erst, wenn man ihn nicht als Ein­zel­er­eig­nis, son­dern als Kon­stel­la­ti­on liest.

Wie die Lösung tech­nisch auf­ge­baut ist. Kern von Wul­tras Ange­bot ist Power­Auth, ein quell­of­fe­nes Pro­to­koll für Schlüs­sel­aus­tausch und Signie­rung von Anfra­gen, das ursprüng­lich für Anwen­dun­gen mit hohen Sicher­heits­an­for­de­run­gen wie Mobi­le Ban­king ent­wi­ckelt wur­de. Der Nut­zer lädt zunächst eine “lee­re”, nicht per­so­na­li­sier­te Ban­king-App her­un­ter und akti­viert sie über einen als sicher ange­nom­me­nen Kanal – etwa das Inter­net­ban­king, einen QR-Code am Bank­schal­ter oder einen Hard­ware-Authen­ti­ca­tor. Bei die­ser Akti­vie­rung wird über ein kryp­to­gra­phi­sches Schlüs­sel­aus­tausch­ver­fah­ren ein gerä­te­spe­zi­fi­sches Schlüs­sel­paar erzeugt, das das Mobil­ge­rät dau­er­haft an das Backend bin­det. Jede fol­gen­de Akti­on – Log­in, Zah­lungs­frei­ga­be, Ver­trags­un­ter­zeich­nung – wird über eine mit die­sem Schlüs­sel erzeug­te Signa­tur abge­si­chert, ergänzt um Ende-zu-Ende-Ver­schlüs­se­lung und einen ver­schlüs­sel­ten “Secu­re Vault” für sen­si­ble Daten. Archi­tek­to­nisch besteht die Lösung aus einem Backend-Ser­ver (Power­Auth Ser­ver), optio­nal als Docker-Paket für Cloud-Deploy­ments, sowie SDKs zur Inte­gra­ti­on in mobi­le Apps; dar­über liegt eine Web-Flow-Kom­po­nen­te, die als OAuth‑2.1‑Provider die Authen­ti­fi­zie­rung für Web-Anwen­dun­gen föde­riert und je nach Schutz­be­darf unter­schied­li­che Ver­fah­ren erzwingt – etwa Pass­wort- und SMS-Code-Veri­fi­ka­ti­on oder Bestä­ti­gung per Mobi­le-Token. Damit deckt das Sys­tem die von PSD2 gefor­der­te Zwei-Fak­tor- bezie­hungs­wei­se star­ke Kun­den­au­then­ti­fi­zie­rung (SCA) ab und lässt sich sowohl on-pre­mi­se als auch in der Cloud betrei­ben – ein Archi­tek­tur­merk­mal, das ins­be­son­de­re für Ban­ken mit regu­la­to­ri­schen Daten­hal­tungs­auf­la­gen rele­vant ist.

Auf die­ser Authen­ti­fi­zie­rungs­ba­sis hat Wul­tra sein Port­fo­lio, wie ein­gangs zitiert, um die vor- und nach­ge­la­ger­ten Schrit­te der Iden­ti­täts­rei­se erwei­tert: Onboar­ding und Iden­ti­täts­prü­fung (unter ande­rem über die mit iProov rea­li­sier­te Gesichts­bio­me­trie bei Raiff­ei­sen­bank), Trans­ak­ti­ons­au­to­ri­sie­rung und elek­tro­ni­sche Signa­tu­ren. Zur Post-Quan­ten-Posi­tio­nie­rung lie­fert die öffent­lich zugäng­li­che Ent­wick­ler­do­ku­men­ta­ti­on einen kon­kre­ten, wenn auch punk­tu­el­len Beleg: Die Daten­bank-Ver­schlüs­se­lung des Power­Auth-Ser­vers nutzt inzwi­schen stan­dard­mä­ßig einen als “post-quan­tum-gra­de” bezeich­ne­ten Algo­rith­mus (AEAD_​KMAC) zum Schutz von Mas­ter- und Akti­vie­rungs­schlüs­seln. Das ist ein sinn­vol­ler, aber begrenz­ter Bau­stein: Er schützt Daten im Ruhe­zu­stand, sagt für sich genom­men aber noch nichts dar­über, in wel­chem Umfang die eigent­li­chen Trans­port­pro­to­kol­le – etwa der Schlüs­sel­aus­tausch zwi­schen App und Ser­ver – bereits auf …