Passwortsicherheit 2024: Passkeys, MFA und das Ende des klassischen Passworts

1 Min. Lesezeit

Über 80% aller Datenpannen beginnen mit kompromittierten Zugangsdaten (Verizon DBIR 2024). Passwörter sind strukturell unsicher: sie werden wiederverwendet, gestohlen, erraten und durch Phishing abgegriffen. 2024 gibt es ausgereifte Alternativen – Passkeys, MFA und moderne IAM-Systeme – die Unternehmen systematisch einführen sollten.

Das Wichtigste in Kürze

80% der Angriffe beginnen mit Zugangsdaten: Passwörter alleine reichen nicht aus.
Passkeys sind FIDO2-basiert: Kein Passwort, kein Phishing möglich – der Private Key verlässt nie das Gerät.
MFA reduziert Risiko um 99%: Laut Microsoft-Studie werden 99,9% der Konten mit MFA nicht kompromittiert.
Passwort-Manager als Übergangs-Lösung: Bis Passkeys flächendeckend sind, helfen zentrale Passwort-Manager.
Privilegierte Konten sofort absichern: Admin-Accounts ohne MFA sind das kritischste Risiko.

Was sind Passkeys und warum sind sie besser?

Passkeys basieren auf dem FIDO2/WebAuthn-Standard. Statt eines Passworts wird beim Registrieren ein kryptografisches Schlüsselpaar erstellt: Der Public Key liegt beim Dienst, der Private Key sicher auf dem Gerät des Nutzers (gesichert durch Biometrie oder PIN). Beim Login muss der Nutzer nur biometrisch bestätigen – kein Passwort wird übertragen.

Das Ergebnis: Phishing ist strukturell unmöglich, weil kein Passwort existiert, das gestohlen werden könnte. Credential Stuffing funktioniert nicht, weil keine Credentials zum Stuffing existieren. Apple, Google und Microsoft unterstützen Passkeys nativ seit 2022/2023.

MFA-Typen im Vergleich

FIDO2/Passkey: Phishing-resistant, höchste Sicherheit. Empfehlung für privilegierte Accounts und Hochwertziele.

Hardware-Token (YubiKey): Sehr sicher, phishing-resistant. Gut für IT-Admins und Remote-Zugänge. Kosten: 30-70 € pro Key.

Authenticator-App (TOTP): Gut für breite Nutzergruppen. Nicht phishing-resistant (Real-Time-Phishing kann TOTP-Codes abgreifen), aber deutlich besser als kein MFA.

SMS/E-Mail OTP: Besseres als kein MFA, aber anfällig für SIM-Swapping und Interception. Sollte für kritische Systeme nicht mehr eingesetzt werden.

Einführungsstrategie für Unternehmen

Phase 1 – Privilegierte Accounts: Admin-Accounts, Service-Accounts, Cloud-Management. Hier sofort MFA (FIDO2 oder Hardware-Token). Das eliminiert das größte Risiko schnell.

Phase 2 – Alle Mitarbeiter: Authenticator-App für E-Mail, VPN, SaaS-Anwendungen. SSPR (Self-Service Password Reset) mit MFA einrichten, um Helpdesk zu entlasten.

Phase 3 – Passkeys einführen: Wo Dienste Passkeys unterstützen (Microsoft, Google, GitHub, Okta), auf Passkeys umstellen. Nutzerschulung ist hier kritisch.

Key Facts auf einen Blick

Angriffe durch kompromittierte Zugangsdaten: 80%+ (Verizon DBIR 2024)

Risikoreduktion durch MFA: 99,9% der Konten mit MFA werden nicht kompromittiert (Microsoft)

Passkey-Unterstützung: Über 13 Mrd. Nutzerkonten können jetzt Passkeys verwenden (2024)

Kosten Hardware-Token: Ab 25 € (YubiKey Security Key) bis 70 € (YubiKey 5 NFC)

Passwort-Wiederverwendungsrate: 65% der Nutzer verwenden dasselbe Passwort mehrfach (Google-Studie)

Fakt: 81 Prozent aller Datenverletzungen nutzen laut Verizon DBIR schwache oder gestohlene Passwörter als Angriffsvektor.

Fakt: Credential-Stuffing-Angriffe stiegen laut Okta 2024 um 65 Prozent gegenüber dem Vorjahr.

Häufige Fragen

Was ist der Unterschied zwischen Passkeys und FIDO2?

FIDO2 ist der offene Standard (von der FIDO Alliance entwickelt), der die technische Grundlage bildet. Passkeys sind die nutzerfreundliche Umsetzung dieses Standards durch Apple, Google und Microsoft – gespeichert in der Gerätekeychain und über Cloud-Sync verfügbar.

Kann Phishing Passkeys umgehen?

Nein. Passkeys sind domain-gebunden – der Private Key funktioniert nur auf der echten Domain, für die er registriert wurde. Eine Phishing-Seite kann einen Passkey nicht missbrauchen, selbst wenn der Nutzer darauf hereinfällt.

Welchen Passwort-Manager empfehlt man für Unternehmen?

Für Unternehmen: 1Password Business, Bitwarden for Business, Dashlane Business oder Keeper Security. Wichtig: zentrales Admin-Dashboard, SSO-Integration, Richtlinien-Durchsetzung und Audit-Logs.

Was tun wenn ein Mitarbeiter seinen Authenticator verliert?

Recovery-Prozess im Voraus definieren: Backup-Codes sicher hinterlegen, alternativer Recovery-Faktor (Hardware-Token für Admins), Identity Verification durch HR oder Manager vor Account-Reset.

Ist SMS-OTP noch sicher genug?

Für nicht-kritische Anwendungen als Übergangslösung akzeptabel. Für kritische Systeme, Admins und Remote-Zugriffe nicht empfohlen. SIM-Swapping-Angriffe auf SMS sind gut dokumentiert und realistisch.