Brauchen Unternehmen Passkeys?
Die Antwort ist überwiegend Ja. Anlässlich des Welt-Passwort-Tages 2026 haben wir uns die Technologie angesehen – inkl. Best Practices zur Umsetzung.
Für Organisationen wird Identitäts- und Zugriffsmanagement zunehmend zum kritischen Faktor für Resilienz und Compliance. Klassische Passwörter gelten dabei längst als Schwachstelle: Phishing, Credential-Stuffing und Datenlecks gehören zum Alltag in den Security Operations Centern.
Vor diesem Hintergrund rücken Passkeys als vermeintlicher „Passwort-Killer“ in den Fokus. Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen bereits aktiv deren Einsatz, um Authentifizierung gleichzeitig sicherer und nutzerfreundlicher zu gestalten.
Doch was steckt technologisch hinter Passkeys – und welche Implikationen ergeben sich für Behörden, kritische Infrastrukturen und große Organisationen?
Was sind Passkeys?
Passkeys sind digitale Identitätsnachweise, die klassische Passwörter vollständig ersetzen. Statt auf eine vom Nutzer eingegebene Zeichenfolge zu setzen, erfolgt die Authentifizierung über lokale Faktoren wie Biometrie oder PIN.
Passkeys sind ein sicherer, passwortloser Authentifizierungsstandard, der Passwörter durch kryptografische Schlüsselpaare ersetzt und so vor Phishing schützt. Technisch basieren Passkeys auf dem FIDO-Standard. Sie nutzen die Protokolle WebAuthn und CTAP2 und ermöglichen es Benutzern, sich auf Geräten per Biometrie (Fingerabdruck/Gesicht) oder PIN anzumelden. Passkeys werden in lokalen Plattform-Authentifikatoren (TPMs) oder externen USB-/NFC-Sicherheitsschlüsseln gespeichert. Bei einer Anmeldung bestätigt das Gerät gegenüber dem Server seine Identität, ohne dass Zugangsdaten übertragen werden – und somit auch nicht ausgespäht werden können.
Damit verschiebt sich das Sicherheitsmodell von „Wissen“ (Passwort) zu „Besitz + Inhärenz“ (Gerät + Biometrie).
„Passkeys sind wie Passwörter, aber besser und von Natur aus sicherer, da sie nicht unsicher von Menschen erstellt werden“, sagt Niall McConachie, Regionaldirektor UKI beim Authentifizierungsunternehmen Yubico. „Stattdessen nutzen sie Public-Key-Kryptografie, um absolut sichere Erfahrungen zu schaffen.“
Social-Engineering-Angriffe entschärfen
Gerade im Enterprise- und Behördenumfeld adressieren Passkeys ein zentrales Problem: den Zielkonflikt zwischen Sicherheit und Benutzerfreundlichkeit. Phishing gilt weiterhin als größtes Risiko – und genau hier entfalten Passkeys ihren größten Nutzen.
Vor dem Hintergrund der jüngsten Angriffe auf deutsche Politiker ist die Technologie für den öffentlichen Sektor besonders relevant. Prinzipiell profitiert jede Organisation von Passkeys:
- Senkung von Support-Aufwänden (z. B. durch Passwort-Resets)
- Höhere Compliance-Fähigkeit durch standardisierte Authentifizierung
- Verbesserte User Experience (UX)
- Resistenz gegenüber Datenlecks
Es sind keine komplexen Passwortrichtlinien mehr nötig. Passwörter müssen nicht mehr erneuert bzw. geändert werden. Anmeldungen sind im Vergleich zu herkömmlichen Methoden schneller und einfacher; Logins erfordern keine zusätzlichen Faktoren wie SMS-Codes oder Authenticator-Apps (MFA-Fatigue).
Dennoch ist die Umsetzung nicht ganz so einfach. Der Einsatz von Passkeys erfordert eine entsprechende technische Basis.
Voraussetzungen für die Verwendung von Passkeys
Zentral ist ein sicherer Hardware-Anker. Geräte benötigen einen isolierten Bereich im Prozessor (dedizierter Sicherheitschip) zur Speicherung des privaten Schlüssels: Bei Windows-PCs ist ein TPM 2.0 (Trusted Platform Module) Voraussetzung; bei Apple-Geräten ist es die Secure Enclave.
Auch die Betriebssysteme müssen bestimmte Voraussetzungen erfüllen:
- iOS/macOS ab iOS 16 / macOS Ventura
- Android ab Version 9 (vollständige Unterstützung häufig ab Android 14)
- Windows 10/11 mit Windows Hello
Idealerweise unterstützt die Hardware biometrische Merkmale zur Nutzerverifikation (z. B. Gesichtserkennung, Fingerabdruck).
Es gibt zwei Passkey-Verfahren:
- Synchronisierte Passkeys: Hierbei werden die Passkeys lokal gespeichert und können geräteübergreifend synchronisiert werden, z. B. mit Windows Hello, der Apple Keychain oder dem Google Password Manager.
- Gerätegebundene Sicherheitsschlüssel: Diese Schlüssel sind physisch an ein Gerät gebunden (z.B. FIDO2-Sicherheitsschlüssel oder Smartcards) und können weder kopiert noch synchronisiert werden.
Device-bound Passkeys erfüllen die höchsten Compliance-Anforderungen (z. B. NIST AAL3) und eignen sich besonders für kritische Infrastrukturen (KRITIS) oder den Zugriff auf hochsensibles IP (Intellectual Property). Allerdings erfordert der Verlust eines hardwaregebundenen Passkeys eine strikte Identitätsprüfung und kann operativ aufwendig sein.
Bei synchronisierten Passkeys entstehen zusätzliche Anforderungen:
- Ende-zu-Ende-Verschlüsselung der Schlüssel
- Absicherung des primären Cloud-Kontos (z. B. Apple ID, Google Account)
- Definierte Recovery-Prozesse bei Geräteverlust
Ein zentrales Risiko bleibt dabei das sogenannte Master-Account-Problem: Wird das übergeordnete Konto kompromittiert, kann potenziell auf alle Passkeys zugegriffen werden. Mitarbeitende könnten geschäftliche Passkeys zudem in privaten Cloud-Accounts speichern.
Auch geraten Organisationen stärker in die Abhängigkeit von Ökosystemen großer Tech-Konzerne wie Microsoft, Apple oder Google. Insbesondere im öffentlichen Sektor stellt sich die Frage nach der Datenhoheit sowie den Zugriffsmöglichkeiten ausländischer Plattformbetreiber.
Best Practice: Implementierung von Passkeys
Der Umstieg auf Passkeys ist kein reines IT-Projekt, sondern vor allem eine strategische Entscheidung für eine widerstandsfähigere Sicherheitsarchitektur. Eine erfolgreiche Einführung folgt typischerweise einem mehrstufigen Ansatz:
- Rollen und Berechtigungen prüfen: Wer kann synchronisierte Passkeys (Cloud-basiert) nutzen; wer benötigt hardwaregebundene Schlüssel (z. B. Security-Keys) mit höherem Sicherheitsniveau?
- Schrittweise Migration: Starten Sie ein Pilotprojekt mit einer „Early Adopter“-Gruppe.
- Zentrales Management: Evaluieren Sie eine Identity-Plattform wie Microsoft Entra ID oder Okta zur Richtliniensteuerung.
- Prozesse: Etablieren Sie klare Recovery-Workflows für verlorene Geräte sowie ein striktes Offboarding. Neben der Deaktivierung von Accounts müssen auch registrierte Passkeys beim Identity Provider gelöscht werden.
Viele Unternehmen beginnen damit, Passkeys als optionale Anmeldemethode neben Passwörtern anzubieten, und machen sie nach und nach zur Standardeinstellung, wenn die Akzeptanz wächst.
Fazit
Passkeys markieren einen fundamentalen Paradigmenwechsel in der Authentifizierung. Für CIOs und CISOs – gerade im öffentlichen Sektor – bieten sie die Chance, einen der größten Angriffsvektoren nachhaltig zu eliminieren und gleichzeitig Produktivität sowie Benutzerakzeptanz zu steigern. Gleichzeitig ist der Einsatz kein Selbstläufer. Fragen der digitalen Souveränität, der Integration in bestehende Identity-Infrastrukturen sowie der sichere Umgang mit Cloud-Synchronisation erfordern eine klare Strategie.
Der Weg zur passwortlosen Organisation ist damit weniger ein IT-Projekt als eine architektonische und Governance-getriebene Entscheidung. Wer frühzeitig pilotiert und geeignete Richtlinien etabliert, kann sich jedoch einen entscheidenden Sicherheitsvorteil verschaffen – und die Grundlage für Zero-Trust-Architekturen nachhaltig stärken.