Passkeys im Unternehmen: Das Ende des Passworts
Das Passwort ist die Schwachstelle, die jeder kennt und kaum jemand loswird. Passkeys treten an, es abzulösen, indem sie die Anmeldung an ein Gerät und einen biometrischen Faktor binden. Für Unternehmen ist die Einführung weniger eine Technik- als eine Ausrollfrage. Die Technik ist reif, die Frage ist die saubere Umsetzung.
Das Wichtigste in Kürze
- Kein geteiltes Geheimnis mehr: Passkeys nutzen ein Schlüsselpaar. Der private Teil verlässt das Gerät nie, es gibt kein Passwort zum Abfangen.
- Phishing läuft ins Leere: Weil der Schlüssel an die echte Domain gebunden ist, funktionieren gefälschte Anmeldeseiten nicht.
- Die Wiederherstellung ist der Knackpunkt: Was beim verlorenen Gerät passiert, entscheidet über den Erfolg der Einführung.
Warum Passkeys das Passwort schlagen
Was ist ein Passkey? Ein Passkey ist ein kryptografisches Anmeldeverfahren, das ein Passwort durch ein Schlüsselpaar ersetzt. Der private Schlüssel bleibt sicher auf dem Gerät des Nutzers, der öffentliche liegt beim Dienst. Bestätigt wird die Anmeldung lokal per Biometrie oder Geräte-PIN.
Definition · Passkey
Ein kryptografisches Anmeldeverfahren, das ein Passwort durch ein Schlüsselpaar ersetzt. Der private Schlüssel bleibt auf dem Gerät des Nutzers, der öffentliche liegt beim Dienst. Bestätigt wird lokal per Biometrie oder Geräte-PIN.
Der Sicherheitsgewinn folgt aus dem Wegfall des geteilten Geheimnisses. Ein Passwort kann erraten, abgefangen oder aus einer Datenbank gestohlen werden. Ein Passkey hat keinen solchen Wert auf dem Server, weil dort nur der öffentliche Teil liegt, mit dem ein Angreifer nichts anfangen kann. Selbst ein erfolgreicher Einbruch in die Nutzerdatenbank liefert keine verwertbaren Anmeldedaten.
Der eingebaute Phishing-Schutz
Der vielleicht größte Vorteil ist die Bindung an die Domain. Ein Passkey für die echte Unternehmensseite lässt sich auf einer nachgebauten Phishing-Seite nicht verwenden, weil das Verfahren die Gegenstelle prüft. Damit verliert die häufigste Angriffsform auf Zugangsdaten ihre Grundlage.
Für Sicherheitsverantwortliche ist das ein starkes Argument. Viele Vorfälle beginnen mit abgefischten Zugangsdaten. Genau diese Kette bricht, wenn kein abfischbares Geheimnis mehr existiert. Der Schutz wirkt, ohne dass Mitarbeiter geschult werden müssen, Phishing zu erkennen. Er sitzt im Verfahren, nicht in der Wachsamkeit des Einzelnen. Das ist ein grundlegender Unterschied zu klassischen Zweitfaktoren wie Einmalcodes, die sich weiterhin abfangen lassen.
Wo die Einführung hakt
Die ehrliche Sicht: Der schwierigste Teil ist nicht die Anmeldung, sondern die Wiederherstellung. Geht ein Gerät verloren, braucht es einen sicheren Weg zurück in das Konto, der nicht selbst zur neuen Schwachstelle wird. Ein Rückfall auf das alte Passwort als Notausgang würde den Gewinn zunichtemachen, weil der Angreifer dann einfach diesen Weg nimmt.
Im Unternehmen kommen die Geräteverwaltung und gemischte Plattformen hinzu. Nutzer arbeiten an Windows-Rechnern, an Macs, an Smartphones verschiedener Hersteller. Die Passkeys müssen über diese Geräte hinweg nutzbar sein, ohne dass die Sicherheit leidet. Hier entscheidet sich, ob die Einführung im Alltag trägt oder an praktischen Hürden scheitert.
Wie die Einführung Schritt für Schritt gelingt
Ein sauberer Ausrollplan beginnt nicht mit der Abschaltung des Passworts, sondern mit dem Aufbau der Wiederherstellung. Zuerst wird definiert, wie ein Nutzer nach einem Geräteverlust sicher zurück in sein Konto kommt, etwa über ein zweites registriertes Gerät oder einen kontrollierten Prozess über den IT-Support mit harter Identitätsprüfung. Erst wenn dieser Weg steht, folgt der Rest.
Ausrollplan in Stufen
- ✓Wiederherstellungsprozess definieren (zweites Gerät oder geprüfter IT-Support)
- ✓Passkeys zunächst zusätzlich zum bestehenden Verfahren anbieten
- ✓Nutzer gewöhnen sich an die Anmeldung, die IT sammelt Geräte-Erfahrung
- ✓Zum Schluss das Passwort für abgesicherte Konten deaktivieren
Danach werden Passkeys zunächst zusätzlich angeboten, parallel zum bestehenden Verfahren. Nutzer registrieren ihren Passkey, gewöhnen sich an die Anmeldung, während die IT Erfahrung mit den eigenen Geräten sammelt. In der letzten Stufe wird das Passwort für die abgesicherten Konten deaktiviert. Dieser gestaffelte Weg ist sicherer als ein abrupter Umstieg, weil er die kritische Wiederherstellung erprobt, bevor sie im Ernstfall gebraucht wird.
Was Passkeys für die Compliance bedeuten
Passkeys sind nicht nur ein Komfortgewinn, sondern zahlen direkt auf regulatorische Anforderungen ein. Regelwerke wie NIS2 verlangen wirksame Maßnahmen gegen unbefugten Zugriff. Ein phishing-resistentes Anmeldeverfahren ist genau das. Wer die häufigste Einbruchsursache technisch ausschaltet, kann das gegenüber einer Aufsicht belegen.
Für die Geschäftsleitung ist das ein Argument, das über die IT hinausreicht. Ein einziger erfolgreicher Phishing-Angriff kann einen teuren Vorfall auslösen. Eine Anmeldung, die Phishing im Verfahren aushebelt, senkt dieses Risiko messbar und stärkt zugleich die Nachweisfähigkeit gegenüber Prüfern und Versicherern.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Was unterscheidet einen Passkey von einem Passwort?
Ein Passwort ist ein geteiltes Geheimnis, das übertragen und gestohlen werden kann. Ein Passkey nutzt ein Schlüsselpaar, dessen privater Teil das Gerät nie verlässt. Auf dem Server liegt nur der nutzlose öffentliche Teil.
Schützt ein Passkey wirklich vor Phishing?
Ja. Der Passkey ist an die echte Domain gebunden und funktioniert auf gefälschten Seiten nicht. Damit verliert der häufigste Weg, Zugangsdaten abzufischen, seine Wirkung.
Was passiert, wenn das Gerät verloren geht?
Dafür braucht es einen vorher definierten Wiederherstellungsweg, etwa ein zweites registriertes Gerät oder eine sichere Backup-Methode. Dieser Weg ist der kritischste Teil der Einführung.
Müssen alle Passwörter sofort verschwinden?
Nein. Ein gestaffelter Ausrollplan, der Passkeys zunächst zusätzlich anbietet, ist praktikabler als ein abrupter Umstieg, besonders bei gemischten Plattformen.
Sind Passkeys auch für Unternehmen mit vielen Geräten geeignet?
Ja, sie brauchen aber eine durchdachte Geräteverwaltung und klare Wiederherstellungsregeln. Mit diesen Voraussetzungen lassen sie sich auch in großen Umgebungen ausrollen.
Lesetipps der Redaktion
LesetippAdaptive MFA: NIS2-Druck als Zero-Trust-Hebel im MittelstandLesetippWenn ein Anruf die Autoproduktion stopptLesetippWas ist NIS2? Definition, Pflichten und Haftung
Mehr aus dem MBF Media Netzwerk
cloudmagazinKRITIS in die Cloud: Was die Migration absichertMyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?





