7. Juni 2026 | Artikel drucken |

Passkeys im Mittelstand: das Ende des Passworts

6 Min. Lesezeit

Das Passwort ist der letzte Single Point of Failure, den fast jedes Unternehmen freiwillig behält. Phishing-Mails zielen nicht auf die Firewall, sie zielen auf den Menschen, der sein Kennwort auf einer nachgebauten Login-Seite eingibt. Passkeys nehmen genau diesen Angriff vom Tisch, und 2026 stehen sie auch dem Mittelstand produktiv zur Verfügung.

Das Wichtigste in Kürze

  • Phishing-resistent per Design. Ein Passkey ist an die Domain gebunden und lässt sich auf einer gefälschten Seite nicht eingeben. Der häufigste Angriffsweg auf Zugangsdaten fällt damit weg.
  • Die Plattformen sind bereit. Microsoft Entra ID und Google Workspace unterstützen Passkeys produktiv. Microsoft hat synchronisierte Passkeys 2026 in die allgemeine Verfügbarkeit überführt.
  • Die Tücke steckt in der Wiederherstellung. Ohne durchdachten Recovery-Prozess für verlorene Geräte sperrt man Mitarbeiter aus. Das ist die eigentliche Projektarbeit, nicht die Einführung selbst.

Verwandt:PAM ohne Enterprise-Budget  /  OAuth-Token-Diebstahl hebelt MFA aus

Warum das Passwort zum Risiko geworden ist

Die meisten erfolgreichen Einbrüche beginnen nicht mit einem genialen Exploit, sondern mit einem gestohlenen Kennwort. Phishing, Wiederverwendung über Dienste hinweg, geleakte Datenbanken: Das Passwort ist deshalb angreifbar, weil es ein geteiltes Geheimnis ist. Der Nutzer kennt es, der Server kennt es, und jeder, der es dazwischen abfängt oder errät, kennt es auch.

Klassische Mehrfaktor-Anmeldung hat das abgemildert, aber nicht gelöst. Angreifer leiten Einmalcodes über gefälschte Seiten weiter oder fischen Sitzungstoken ab, lange bevor das Opfer Verdacht schöpft. Genau hier setzt der Wechsel an: Wenn es kein Geheimnis mehr gibt, das man abphishen kann, läuft der häufigste Angriff ins Leere.

Was ist ein Passkey? Ein Passkey ist ein kryptografisches Schlüsselpaar nach dem FIDO2- und WebAuthn-Standard. Der private Schlüssel bleibt auf dem Gerät des Nutzers und wird per Biometrie oder PIN freigegeben, der öffentliche liegt beim Dienst. Es gibt kein Passwort, das übertragen, gespeichert oder gestohlen werden könnte.

Wie Passkeys das Phishing-Problem lösen

Der entscheidende Mechanismus ist die Bindung an die Domain. Ein Passkey, der für die echte Anmeldeseite registriert wurde, funktioniert technisch nur dort. Landet ein Mitarbeiter auf einer täuschend echten Kopie, hat der Browser schlicht keinen passenden Schlüssel anzubieten. Der Angriff scheitert nicht am aufmerksamen Nutzer, sondern an der Kryptografie.

Aus diesem Grund zählen Passkeys zur Klasse der phishing-resistenten Anmeldeverfahren, die auch Sicherheitsbehörden ausdrücklich empfehlen. Die US-Behörde CISA nennt FIDO2 und WebAuthn als eines der wenigen Verfahren, die modernem Phishing standhalten. Für ein Sicherheitsteam ist das ein seltener Fall, in dem ein Wechsel den häufigsten Angriffsweg schließt, statt nur eine weitere Hürde aufzubauen.

Der Rollout über Entra ID und Google Workspace

Der Praxiseinstieg ist 2026 deutlich leichter geworden, weil die großen Identitätsplattformen nachgezogen haben. Microsoft Entra ID hat synchronisierte Passkeys und Passkey-Profile in die allgemeine Verfügbarkeit überführt und erlaubt es Administratoren inzwischen, passwortlose Anmeldung gezielt über Registrierungskampagnen auszurollen. Die Zahl der erlaubten Passkey-Profile pro Mandant wurde von drei auf zehn angehoben, was differenzierte Richtlinien für verschiedene Nutzergruppen ermöglicht.

März 2026
bringt Microsoft Entra ID synchronisierte Passkeys in die allgemeine Verfügbarkeit. Passwortlose Anmeldung verlässt damit den Pilotstatus und wird zur regulären Option für Unternehmen.
Quelle: Microsoft Entra ID Roadmap, 2026

Auch Google Workspace und die Plattformen von Apple unterstützen Passkeys produktiv. Für den Mittelstand heißt das: Die Bausteine liegen in den gängigen Identitätsplattformen bereit, der Aufwand verlagert sich von der Technik auf die saubere Einführung. Den eigenen Lizenzstand sollte man dabei einmal prüfen.

Wo der Umstieg im Mittelstand hakt

Der schwierige Teil eines Passkey-Projekts steht nicht in der Anleitung zur Anmeldung, sondern in der zur Wiederherstellung. Was passiert, wenn ein Mitarbeiter sein Smartphone verliert, auf dem der Passkey liegt? Wer diesen Fall nicht vorher durchgespielt hat, produziert am Montagmorgen ausgesperrte Kollegen statt mehr Sicherheit. Bewährt haben sich beim Onboarding hinterlegte Backup-Sicherheitsschlüssel, von der IT ausgegebene Wiederherstellungscodes und ein klar definierter Prozess zur erneuten Registrierung nach Identitätsprüfung.

Der zweite Stolperstein sind Altanwendungen. Nicht jede interne Software und nicht jede ältere Single-Sign-on-Anbindung spricht schon WebAuthn. In der Übergangsphase bleiben Passwort oder Einmalcode dort bestehen, was den Umstieg zu einem schrittweisen Projekt macht, nicht zu einem Stichtag. Sinnvoll ist der Start bei den kritischen, gut unterstützten Konten wie Microsoft 365 und Google Workspace, von dort wächst die passwortlose Zone Stück für Stück.

Häufige Fragen

Was ist der Unterschied zwischen Passkey und Passwort?

Ein Passwort ist ein geteiltes Geheimnis, das übertragen und damit abgefangen werden kann. Ein Passkey ist ein kryptografisches Schlüsselpaar, dessen privater Teil das Gerät nie verlässt. Es gibt nichts, was auf einer Phishing-Seite eingegeben werden könnte.

Brauchen Passkeys teure Speziallizenzen?

Passkeys werden von Microsoft Entra ID und Google Workspace in den verbreiteten Geschäftsplänen unterstützt. Den genauen Lizenzbedarf sollte man für den eigenen Tarif prüfen. Der Hauptaufwand liegt ohnehin in der Einführung und im Recovery-Konzept, nicht in den Lizenzen.

Was passiert, wenn ein Mitarbeiter sein Gerät verliert?

Dann greift das Wiederherstellungskonzept. Üblich sind beim Onboarding registrierte Backup-Sicherheitsschlüssel, von der IT ausgegebene Wiederherstellungscodes und ein definierter Prozess zur erneuten Registrierung nach Identitätsprüfung. Dieser Fall muss vor dem Rollout getestet sein.

Kann der Mittelstand sofort komplett auf Passwörter verzichten?

Selten sofort. Altanwendungen und ältere Single-Sign-on-Anbindungen unterstützen WebAuthn oft noch nicht. Der Umstieg läuft schrittweise, beginnend bei gut unterstützten Konten wie Microsoft 365, während Altsysteme übergangsweise weiter Passwort oder Einmalcode nutzen.

Ersetzt ein Passkey die Mehrfaktor-Anmeldung?

Ein Passkey vereint beides in einem Schritt: Besitz des Geräts und Freigabe per Biometrie oder PIN. Damit erfüllt er die Anforderung an eine starke, phishing-resistente Anmeldung, ohne dass ein separater zweiter Faktor abgefragt werden muss.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Coolify im Test: Self-Hosting statt Vercel und Heroku

mybusinessfuture

Asien-Sourcing: was den Mittelstand wirklich kostet

digital-chiefs

KI im Vorstand: warum nur 12 Prozent profitieren

Bildquelle: KI-generiert (Juni 2026), C2PA-Zertifikat im Bild hinterlegt

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH