Passwörter abschaffen? Warum der Passkey-Hype die Realität ignoriert

2 Min. Lesezeit

Google, Apple und Microsoft propagieren eine „passwortlose Zukunft“ mit Passkeys. Die Versprechen klingen gut: sicherer, einfacher, phishing-resistent. Doch die Realität ist komplizierter. Vendor Lock-in, Geräteabhängigkeit und fehlende Recovery-Mechanismen machen Passkeys für Unternehmen zu einem riskanten Alleingang. Eine nüchterne Betrachtung jenseits des Marketing.

Das Wichtigste in Kürze

Passkeys sind technisch überlegen: Public-Key-Kryptografie, phishing-resistent, kein Shared Secret
In der Praxis scheitern sie an Vendor Lock-in: Passkeys sind an Ökosysteme gebunden (Apple, Google, Microsoft) und nicht portabel
Recovery bei Geräteverlust ist das ungelöste Kernproblem – wer sein Smartphone verliert, steht vor gesperrten Accounts
Für Unternehmen fehlen Management-Tools: Kein MDM kann derzeit Passkeys zentral verwalten, widerrufen oder auditieren

Was Passkeys richtig machen

Die Kritik vorweg – aber zuerst das Lob. Passkeys basieren auf FIDO2/WebAuthn und sind kryptografisch solide. Statt eines Passworts, das übertragen und damit gestohlen werden kann, authentifiziert sich der Nutzer per Public-Key-Verfahren. Der private Schlüssel verlässt nie das Gerät. Phishing wird strukturell unmöglich, weil es kein Geheimnis gibt, das abgefangen werden könnte.

Für Consumer-Anwendungen ist das ein echter Fortschritt. Keine Passwort-Wiederverwendung, kein Credential Stuffing, keine Datenbank-Leaks mit Millionen Klartext-Passwörtern. Soweit die Theorie.

Wo der Hype die Realität verdeckt

1. Vendor Lock-in: Ein Passkey, der in Apples iCloud Keychain gespeichert ist, funktioniert nahtlos auf iPhone, iPad und Mac. Aber nicht auf dem Android-Firmenhandy. Nicht auf dem Windows-Arbeitsrechner. Die „offene“ Technologie wird durch proprietäre Sync-Mechanismen zum Ökosystem-Klebstoff. Google und Apple haben kein Interesse an Portabilität – Passkeys binden Nutzer.

2. Geräteabhängigkeit: Ihr Smartphone ist Ihr Passkey-Tresor. Geht es verloren, wird es gestohlen oder geht kaputt, stehen Sie vor einem Recovery-Problem, das Passwörter nie hatten. „Passwort vergessen“ ist ein gelöster Workflow. „Passkey verloren“ ist es nicht.

3. Enterprise-Tauglichkeit: Ein IT-Admin, der für 500 Mitarbeiter Zugänge verwaltet, braucht: zentrale Provisionierung, Widerruf bei Kündigung, Audit-Logs, Backup-Mechanismen, Geräteunabhängigkeit. Keines dieser Probleme ist heute zufriedenstellend gelöst. Passkeys wurden für Consumer entwickelt, nicht für Enterprise.

Was Unternehmen stattdessen tun sollten

MFA first, nicht Passkeys first: Die größte Sicherheitsverbesserung kommt nicht von Passkeys, sondern von konsequenter Multi-Faktor-Authentifizierung. Hardware-Token (YubiKey), TOTP-Apps und Push-Benachrichtigungen sind ausgereift, geräteunabhängig und enterprise-tauglich. Wer noch kein MFA hat, sollte das lösen, bevor er über Passkeys nachdenkt.

Passkeys als Option, nicht als Zwang: Bieten Sie Passkeys als zusätzliche Authentifizierungsmethode an – aber erzwingen Sie sie nicht. Nutzer mit gemischten Geräte-Ökosystemen (privates iPhone, Firmen-Windows) verlieren sonst Zugang oder weichen auf unsichere Workarounds aus.

Password Manager statt Abschaffung: Ein Enterprise Password Manager mit generierten, einzigartigen 128-Bit-Passwörtern plus MFA ist heute sicherer, portabler und managebarer als Passkeys. Die passwortlose Zukunft kommt – aber sie ist noch nicht da.

Fazit: Evolution statt Revolution

Passkeys sind die Zukunft der Authentifizierung – in drei bis fünf Jahren, wenn Portabilität, Recovery und Enterprise-Management gelöst sind. Heute sind sie ein vielversprechendes Consumer-Feature, das für Unternehmen mehr Probleme schafft als es löst. Die ehrliche Empfehlung: MFA flächendeckend ausrollen, Password Manager einsetzen, Passkeys beobachten und pilotieren – aber nicht als Silver Bullet verkaufen.

Key Facts

Passkey-Adoption: Weniger als 5 Prozent der Login-Vorgänge bei großen Diensten nutzen bisher Passkeys – trotz aggressiver Bewerbung durch Apple und Google seit 2023.

Recovery-Problem: 37 Prozent der Nutzer, die Passkeys ausprobieren, kehren innerhalb von 90 Tagen zu Passwörtern zurück – häufigster Grund: Gerätewechsel oder Zugangsverlust (FIDO Alliance, 2024).

Häufige Fragen

Sind Passwörter wirklich unsicherer als Passkeys?

Schwache, wiederverwendete Passwörter: Ja, deutlich. Generierte, einzigartige Passwörter mit MFA: Der Sicherheitsunterschied zu Passkeys ist marginal. Das Problem waren nie Passwörter an sich, sondern der menschliche Umgang damit.

Sollte ich Passkeys trotzdem anbieten?

Ja – als optionale Methode neben MFA. Für technikaffine Nutzer in homogenen Ökosystemen (z.B. reine Apple-Umgebung) sind Passkeys komfortabler und sicherer. Als alleinige Methode für heterogene Unternehmensumgebungen sind sie noch nicht reif.

Wann werden Passkeys enterprise-ready sein?

Wenn drei Bedingungen erfüllt sind: plattformübergreifende Portabilität (Export/Import zwischen Apple, Google, Microsoft), zentrales MDM-Management mit Widerruf und Audit, und ein standardisierter Recovery-Prozess bei Geräteverlust. Prognose: 2027/2028.