Brauchen Unternehmen Passkeys?

Die Antwort ist überwiegend Ja. Anlässlich des Welt-Passwort-Tages 2026 haben wir uns die Technologie angesehen – inkl. Best Practices zur Umsetzung.

Bild: Getty Images / Credits: vertigo3d

Für Organisationen wird Identitäts- und Zugriffsmanagement zunehmend zum kritischen Faktor für Resilienz und Compliance. Klassische Passwörter gelten dabei längst als Schwachstelle: Phishing, Credential-Stuffing und Datenlecks gehören zum Alltag in den Security Operations Centern.

Vor diesem Hintergrund rücken Passkeys als vermeintlicher „Passwort-Killer“ in den Fokus. Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen bereits aktiv deren Einsatz, um Authentifizierung gleichzeitig sicherer und nutzerfreundlicher zu gestalten.

Doch was steckt technologisch hinter Passkeys – und welche Implikationen ergeben sich für Behörden, kritische Infrastrukturen und große Organisationen?

Was sind Passkeys?

Passkeys sind digitale Identitätsnachweise, die klassische Passwörter vollständig ersetzen. Statt auf eine vom Nutzer eingegebene Zeichenfolge zu setzen, erfolgt die Authentifizierung über lokale Faktoren wie Biometrie oder PIN.

Passkeys sind ein sicherer, passwortloser Authentifizierungsstandard, der Passwörter durch kryptografische Schlüsselpaare ersetzt und so vor Phishing schützt. Technisch basieren Passkeys auf dem FIDO-Standard. Sie nutzen die Protokolle WebAuthn und CTAP2 und ermöglichen es Benutzern, sich auf Geräten per Biometrie (Fingerabdruck/Gesicht) oder PIN anzumelden. Passkeys werden in lokalen Plattform-Authentifikatoren (TPMs) oder externen USB-/NFC-Sicherheitsschlüsseln gespeichert. Bei einer Anmeldung bestätigt das Gerät gegenüber dem Server seine Identität, ohne dass Zugangsdaten übertragen werden – und somit auch nicht ausgespäht werden können.

Damit verschiebt sich das Sicherheitsmodell von „Wissen“ (Passwort) zu „Besitz + Inhärenz“ (Gerät + Biometrie).

„Passkeys sind wie Passwörter, aber besser und von Natur aus sicherer, da sie nicht unsicher von Menschen erstellt werden“, sagt Niall McConachie, Regionaldirektor UKI beim Authentifizierungsunternehmen Yubico. „Stattdessen nutzen sie Public-Key-Kryptografie, um absolut sichere Erfahrungen zu schaffen.“

Social-Engineering-Angriffe entschärfen

Gerade im Enterprise- und Behördenumfeld adressieren Passkeys ein zentrales Problem: den Zielkonflikt zwischen Sicherheit und Benutzerfreundlichkeit. Phishing gilt weiterhin als größtes Risiko – und genau hier entfalten Passkeys ihren größten Nutzen.

Vor dem Hintergrund der jüngsten Angriffe auf deutsche Politiker ist die Technologie für den öffentlichen Sektor besonders relevant. Prinzipiell profitiert jede Organisation von Passkeys:

Es sind keine komplexen Passwortrichtlinien mehr nötig. Passwörter müssen nicht mehr erneuert bzw. geändert werden. Anmeldungen sind im Vergleich zu herkömmlichen Methoden schneller und einfacher; Logins erfordern keine zusätzlichen Faktoren wie SMS-Codes oder Authenticator-Apps (MFA-Fatigue).

Dennoch ist die Umsetzung nicht ganz so einfach. Der Einsatz von Passkeys erfordert eine entsprechende technische Basis.

Voraussetzungen für die Verwendung von Passkeys

Zentral ist ein sicherer Hardware-Anker. Geräte benötigen einen isolierten Bereich im Prozessor (dedizierter Sicherheitschip) zur Speicherung des privaten Schlüssels: Bei Windows-PCs ist ein TPM 2.0 (Trusted Platform Module) Voraussetzung; bei Apple-Geräten ist es die Secure Enclave.

Auch die Betriebssysteme müssen bestimmte Voraussetzungen erfüllen:

Idealerweise unterstützt die Hardware biometrische Merkmale zur Nutzerverifikation (z. B. Gesichtserkennung, Fingerabdruck).

Es gibt zwei Passkey-Verfahren:

Device-bound Passkeys erfüllen die höchsten Compliance-Anforderungen (z. B. NIST AAL3) und eignen sich besonders für kritische Infrastrukturen (KRITIS) oder den Zugriff auf hochsensibles IP (Intellectual Property). Allerdings erfordert der Verlust eines hardwaregebundenen Passkeys eine strikte Identitätsprüfung und kann operativ aufwendig sein.

Bei synchronisierten Passkeys entstehen zusätzliche Anforderungen:

Ein zentrales Risiko bleibt dabei das sogenannte Master-Account-Problem: Wird das übergeordnete Konto kompromittiert, kann potenziell auf alle Passkeys zugegriffen werden. Mitarbeitende könnten geschäftliche Passkeys zudem in privaten Cloud-Accounts speichern.

Auch geraten Organisationen stärker in die Abhängigkeit von Ökosystemen großer Tech-Konzerne wie Microsoft, Apple oder Google. Insbesondere im öffentlichen Sektor stellt sich die Frage nach der Datenhoheit sowie den Zugriffsmöglichkeiten ausländischer Plattformbetreiber.

Best Practice: Implementierung von Passkeys

Der Umstieg auf Passkeys ist kein reines IT-Projekt, sondern vor allem eine strategische Entscheidung für eine widerstandsfähigere Sicherheitsarchitektur. Eine erfolgreiche Einführung folgt typischerweise einem mehrstufigen Ansatz:

Viele Unternehmen beginnen damit, Passkeys als optionale Anmeldemethode neben Passwörtern anzubieten, und machen sie nach und nach zur Standardeinstellung, wenn die Akzeptanz wächst.

Fazit

Passkeys markieren einen fundamentalen Paradigmenwechsel in der Authentifizierung. Für CIOs und CISOs – gerade im öffentlichen Sektor – bieten sie die Chance, einen der größten Angriffsvektoren nachhaltig zu eliminieren und gleichzeitig Produktivität sowie Benutzerakzeptanz zu steigern. Gleichzeitig ist der Einsatz kein Selbstläufer. Fragen der digitalen Souveränität, der Integration in bestehende Identity-Infrastrukturen sowie der sichere Umgang mit Cloud-Synchronisation erfordern eine klare Strategie.

Der Weg zur passwortlosen Organisation ist damit weniger ein IT-Projekt als eine architektonische und Governance-getriebene Entscheidung. Wer frühzeitig pilotiert und geeignete Richtlinien etabliert, kann sich jedoch einen entscheidenden Sicherheitsvorteil verschaffen – und die Grundlage für Zero-Trust-Architekturen nachhaltig stärken.