Passkeys 2025: Der praktische Leitfaden für die Unternehmenseinführung

1 Min. Lesezeit

Passkeys sind 2025 kein Experiment mehr. Apple, Google, Microsoft, GitHub und Okta unterstützen sie nativ. Der FIDO-Standard ist stabil, die Nutzererfahrung ausgereift und das Sicherheitsversprechen eindeutig: kein Phishing möglich, kein Passwort-Leak, keine Credential-Stuffing-Angriffe. Für Unternehmen ist jetzt der richtige Zeitpunkt, die Einführung zu planen.

Das Wichtigste in Kürze

Passkeys sind phishing-sicher: Private Key verlässt das Gerät nie – eine Phishing-Seite kann nichts abgreifen.
FIDO2/WebAuthn-Standard: Offen, interoperabel, unterstützt von allen großen Plattformen.
Sync über Cloud: Passkeys werden in iCloud Keychain, Google Password Manager oder 1Password synchronisiert.
Enterprise-IAM-Integration: Okta, Entra ID, PingIdentity unterstützen Passkeys als primären Faktor.
3-Phasen-Einführung: Privilegierte Accounts → IT → Alle Mitarbeiter ist der empfohlene Rollout-Pfad.

Passkeys in der Enterprise-Umgebung: Was funktioniert

2025 ist Passkeys-Support in allen wichtigen IAM-Plattformen vorhanden. Okta Identity Engine unterstützt Passkeys als primären und zweiten Faktor. Microsoft Entra ID (Azure AD) hat Passkeys für alle Nutzer aktiviert. Google Workspace ermöglicht seit 2024 unternehmensweite Passkey-Rollouts mit Admin-Policies.

Für die Praxis bedeutet das: Ein Nutzer mit Windows-PC, iPhone und iPad kann denselben Passkey auf allen Geräten nutzen, sofern er den Passkey-Manager (iCloud Keychain, Windows Hello, Google Password Manager) synchronisiert. Geräteübergreifende Nutzung ist gelöst.

Technische Implementierung: Was zu beachten ist

Passkey-Manager-Strategie: Unternehmen müssen entscheiden, ob sie plattformeigene Manager (iCloud, Google) oder unternehmenseigene Lösungen (1Password Business, Bitwarden) nutzen. Unternehmenseigene Lösungen geben mehr Kontrolle und Audit-Fähigkeit.

Fallback-Mechanismen: Was passiert, wenn ein Gerät verloren geht? Recovery muss definiert sein – zweites Gerät als Backup, Hardware-Token als Recovery-Option, IT-Help-Desk-Prozess mit Identity-Verification.

Legacy-Anwendungen: Nicht alle internen Systeme unterstützen FIDO2/WebAuthn. Ein SSO-Ansatz (Passkey für den Identity Provider, SSO für Legacy-Apps) löst das praktisch ohne Einzelintegration jeder Anwendung.

Rollout-Strategie in drei Phasen

Phase 1 – IT und Privilegierte Accounts (Monat 1-2): Alle Admin-Accounts auf Passkeys umstellen. FIDO2-Hardware-Token (YubiKey) als Backup. Das eliminiert das kritischste Risiko sofort und schafft interne Expertise.

Phase 2 – Early Adopter-Gruppe (Monat 3-4): 10-15% der Mitarbeiter, technikaffin, freiwillig. Feedback sammeln, Prozesse testen, FAQ aufbauen.

Phase 3 – Unternehmensweiter Rollout (Monat 5-8): Schulungen, Help-Desk-Vorbereitung, Kommunikationskampagne. Passwörter für Kernapplikationen deaktivieren, sobald alle Mitarbeiter einen Passkey haben.

Key Facts auf einen Blick

Passkey-fähige Accounts weltweit: Über 13 Mrd. (2025, FIDO Alliance)

Phishing-Schutz: 100% – Passkeys können von Phishing-Seiten nicht missbraucht werden

Enterprise IAM mit Passkey-Support: Okta, Entra ID, PingIdentity, Google Workspace – alle 2025

Geschätzte Einführungszeit: 3-6 Monate für vollständigen Unternehmensrollout (abhängig von Größe)

Kosteneinsparung: Weniger Helpdesk-Tickets für Passwort-Reset (20-30% der IT-Helpdesk-Anfragen)

Fakt: Die FIDO Alliance meldet, dass Passkeys basierend auf FIDO2/WebAuthn bereits über 1 Milliarde Authentifizierungen pro Monat verarbeiten – ein 400%-Wachstum seit 2023.

Fakt: Laut Gartner senken Unternehmen mit Passkey-Implementierung die Kosten für Passwort-Resets um 92 % und reduzieren Phishing-Erfolgsraten auf nahezu null.

Häufige Fragen

Was ist der Unterschied zwischen Passkey und FIDO2-Hardware-Token?

FIDO2-Hardware-Token (YubiKey) sind physische Geräte – extrem sicher, aber ohne Cloud-Sync und teurer. Passkeys sind software-basiert, cloud-synchronisiert und nutzerfreundlicher. Beide sind phishing-sicher. Für IT-Admins und privilegierte Accounts empfehlen sich Hardware-Token zusätzlich als Backup.

Was passiert wenn ich mein Gerät verliere?

Wenn der Passkey in einem Cloud-Keychain (iCloud, Google) synchronisiert ist, ist er auf einem anderen Gerät verfügbar nach Re-Authentifizierung. Für unternehmensverwalte Passkeys: Recovery über IT-Helpdesk mit Identity Verification oder vorkonfigurierter Hardware-Token.

Unterstützen alle Webbrowser Passkeys?

Chrome (90+), Firefox (89+), Safari (16+) und Edge (91+) unterstützen WebAuthn/FIDO2. Ältere Browser oder spezifische Enterprise-Anwendungen können Probleme haben – ein Audit der verwendeten Anwendungen vor dem Rollout ist sinnvoll.

Kann ich Passkeys für SSO verwenden?

Ja. Der empfohlene Enterprise-Ansatz: Passkey für den Identity Provider (Okta, Entra ID), dann SSO für alle anderen Anwendungen. So müssen nicht alle Legacy-Apps WebAuthn implementieren – der IdP übernimmt das.

Was ist der Compliance-Status von Passkeys?

Passkeys (FIDO2) gelten in vielen Compliance-Frameworks als starke Authentifizierung: NIS2, BSI IT-Grundschutz, PCI DSS 4.0 und ISO 27001 akzeptieren FIDO2 als MFA-Lösung. Das vereinfacht Compliance-Nachweise.