- Passwörter sind die Ursache von über 80 Prozent aller Datenverletzungen. Sie werden wiederverwendet, gestohlen, erraten oder per Phishing abgefangen. Passwortlose Authentifizierung eliminiert diese Angriffsfläche vollständig.
- FIDO2 basiert auf asymmetrischer Kryptografie: Ein privater Schlüssel bleibt auf dem Gerät des Benutzers, ein öffentlicher Schlüssel wird beim Dienst gespeichert. Selbst bei einem Datenleck beim Anbieter sind die Zugangsdaten wertlos.
- Passkeys sind die benutzerfreundliche Weiterentwicklung von FIDO2. Sie werden über die Cloud synchronisiert (Apple iCloud Keychain, Google Password Manager, Microsoft Hello) und funktionieren geräteübergreifend, ohne Hardware-Token.
- Der Übergang erfolgt in Phasen: FIDO2 als MFA-Faktor neben dem Passwort, dann Passwort-optional (Passkey bevorzugt, Passwort als Fallback), dann passwortlos (kein Passwort mehr). Die meisten Unternehmen befinden sich aktuell in Phase 1 oder 2.
- Hardware-Keys (YubiKey, SoloKeys) bieten die höchste Sicherheit für privilegierte Accounts und Hochsicherheitsumgebungen. Passkeys auf Smartphones und Laptops bieten das beste Verhältnis aus Sicherheit und Komfort für alle Mitarbeiter.
Das Problem mit Passwörtern
Seit über 50 Jahren sind Passwörter das primäre Mittel der digitalen Authentifizierung, und seit fast ebenso langer Zeit sind sie das primäre Problem. Die Schwächen von Passwörtern sind so grundlegend, dass keine noch so ausgeklügelte Passwort-Richtlinie sie beseitigen kann.
Menschen wählen schwache Passwörter. Trotz aller Vorgaben zu Mindestlänge, Komplexität und Einzigartigkeit zeigen Studien immer wieder, dass die beliebtesten Passwörter weiterhin "123456", "password" und "qwerty" sind. Selbst bei erzwungener Komplexität folgen die meisten Passwörter vorhersehbaren Mustern: ein Wort mit großem Anfangsbuchstaben, gefolgt von einer Zahl und einem Sonderzeichen. Angreifer kennen diese Muster und nutzen sie für gezielte Wörterbuchangriffe. Selbst eine durchdachte Passwort-Richtlinie kann diese fundamentalen Schwächen nur mildern, nicht beseitigen.
Menschen verwenden Passwörter wieder. Ein durchschnittlicher Mitarbeiter nutzt dasselbe Passwort oder leichte Variationen davon für mehrere Dienste. Wenn einer dieser Dienste gehackt wird und die Passwort-Datenbank geleakt wird, sind alle anderen Accounts ebenfalls gefährdet. Credential Stuffing, also das automatische Ausprobieren geleakter Zugangsdaten bei anderen Diensten, ist einer der häufigsten Angriffsvektoren.
Passwörter können per Phishing gestohlen werden. Eine täuschend echte E-Mail, eine kopierte Anmeldeseite und ein Moment der Unaufmerksamkeit reichen aus, um ein Passwort abzufangen. Selbst geschulte Mitarbeiter fallen auf gut gemachte Phishing-Angriffe herein, besonders wenn sie unter Zeitdruck stehen.
Passwörter können aus Datenbanken gestohlen werden. Wenn ein Dienst gehackt wird, können die gespeicherten Passwort-Hashes extrahiert und offline geknackt werden. Moderne Grafikkarten können Milliarden von Hash-Berechnungen pro Sekunde durchführen, was selbst halbwegs komplexe Passwörter in überschaubarer Zeit knackbar macht.
Multi-Faktor-Authentifizierung mindert diese Risiken erheblich, aber sie eliminiert das Passwort nicht. Das Passwort bleibt als erster Faktor bestehen, mit all seinen Schwächen. Passwortlose Authentifizierung geht den entscheidenden Schritt weiter: Sie entfernt das Passwort vollständig aus der Gleichung.
FIDO2: Die Technologie hinter passwortloser Authentifizierung
FIDO2 ist ein offener Standard der FIDO Alliance (Fast Identity Online), der von den großen Technologieunternehmen gemeinsam entwickelt wurde: Google, Microsoft, Apple, Intel, Yubico und viele weitere. Der Standard besteht aus zwei Komponenten: WebAuthn (die Browser-API) und CTAP2 (das Protokoll für die Kommunikation mit dem Authenticator).
So funktioniert FIDO2
FIDO2 basiert auf asymmetrischer Kryptografie, demselben Prinzip, das auch TLS/HTTPS zugrunde liegt. Bei der Registrierung eines neuen Accounts passiert Folgendes:
Der Benutzer ruft den Dienst auf und startet die Registrierung. Der Dienst sendet eine Challenge, eine zufällige Zeichenfolge, an den Browser. Der Browser leitet die Challenge an den Authenticator weiter, das kann ein Hardware-Key, ein Fingerabdrucksensor oder das Smartphone sein. Der Authenticator generiert ein Schlüsselpaar: einen privaten Schlüssel, der auf dem Gerät bleibt und niemals übertragen wird, und einen öffentlichen Schlüssel, der an den Dienst zurückgesendet wird. Der Dienst speichert den öffentlichen Schlüssel.
Bei der Anmeldung läuft der Prozess ähnlich: Der Dienst sendet eine neue Challenge. Der Authenticator signiert die Challenge mit dem privaten Schlüssel. Der Dienst überprüft die Signatur mit dem gespeicherten öffentlichen Schlüssel. Wenn die Signatur gültig ist, ist der Benutzer authentifiziert.
Dieses Verfahren hat mehrere fundamentale Sicherheitsvorteile. Erstens wird kein Geheimnis übertragen: Der private Schlüssel verlässt niemals das Gerät des Benutzers. Selbst wenn die Kommunikation abgehört wird, erhält der Angreifer nur die signierte Challenge, die für ihn wertlos ist. Zweitens speichert der Dienst nur den öffentlichen Schlüssel: Selbst bei einem vollständigen Datenleak beim Anbieter kann der Angreifer mit den öffentlichen Schlüsseln nichts anfangen. Drittens ist Phishing technisch unmöglich: Der Authenticator bindet den Schlüssel an die Domain des Dienstes (Origin Binding). Wenn ein Angreifer eine Phishing-Seite unter einer anderen Domain betreibt, verweigert der Authenticator die Signatur, weil die Domain nicht übereinstimmt.
Authenticator-Typen
FIDO2 unterstützt verschiedene Arten von Authenticatoren, die sich in Sicherheit, Benutzerfreundlichkeit und Kosten unterscheiden.
Roaming Authenticators (Hardware-Keys) sind physische Geräte wie der YubiKey, die über USB, NFC oder Bluetooth mit dem Endgerät verbunden werden. Der private Schlüssel wird in einem sicheren Chip auf dem Key gespeichert und kann nicht extrahiert werden. Hardware-Keys bieten die höchste Sicherheit, weil der private Schlüssel das physische Gerät niemals verlässt und eine physische Interaktion (Berührung des Sensors) für jede Authentifizierung erforderlich ist. Die Kosten liegen bei 25 bis 80 Euro pro Key, und jeder Benutzer sollte mindestens zwei Keys besitzen (einen primären und einen Backup-Key).
Platform Authenticators sind in das Endgerät integriert. Windows Hello nutzt den TPM-Chip des Laptops und authentifiziert über Fingerabdruck, Gesichtserkennung oder PIN. Touch ID und Face ID auf Apple-Geräten nutzen die Secure Enclave. Android-Geräte nutzen den Fingerabdrucksensor oder die Gesichtserkennung. Platform Authenticators sind bequem, weil der Benutzer kein zusätzliches Gerät mitführen muss, bieten aber geringere Sicherheit als Hardware-Keys, weil der private Schlüssel an das Endgerät gebunden ist und bei einem kompromittierten Gerät potenziell gefährdet ist.
Passkeys sind die neueste Entwicklung und adressieren das größte Usability-Problem von FIDO2: die Geräte-Bindung. Bei klassischen FIDO2-Credentials ist der private Schlüssel an ein bestimmtes Gerät gebunden. Wenn du ein neues Smartphone kaufst, musst du dich bei allen Diensten neu registrieren. Passkeys lösen dieses Problem, indem der private Schlüssel über die Cloud synchronisiert wird: Apple iCloud Keychain, Google Password Manager oder Microsoft Hello Cloud. Das bedeutet, dass du dich auf deinem neuen iPhone automatisch bei allen Diensten anmelden kannst, für die du Passkeys auf deinem alten iPhone erstellt hast.
Passkeys im Detail
Passkeys haben das Potenzial, die passwortlose Authentifizierung massentauglich zu machen, weil sie die Benutzerfreundlichkeit von Passwörtern mit der Sicherheit von FIDO2 kombinieren.
Die Benutzererfahrung
Aus der Perspektive des Benutzers ist die Anmeldung mit einem Passkey denkbar einfach. Du rufst die Anmeldeseite auf, gibst deinen Benutzernamen ein (oder wählst ihn aus einer vorgeschlagenen Liste), bestätigst mit dem Fingerabdruck oder der Gesichtserkennung und bist angemeldet. Kein Passwort, kein Code, kein Token. Der gesamte Vorgang dauert wenige Sekunden.
Die Registrierung eines Passkeys ist ebenso unkompliziert. Der Dienst bietet die Option "Passkey erstellen" an, du bestätigst mit deinem biometrischen Merkmal, und der Passkey wird erstellt und automatisch in deinem Schlüsselbund gespeichert.
Cross-Device-Authentifizierung
Ein besonderes Feature von Passkeys ist die Cross-Device-Authentifizierung. Du sitzt am Computer eines Kollegen und musst dich bei einem Dienst anmelden. Der Computer hat keinen Zugang zu deinen Passkeys, aber dein Smartphone hat ihn. Du wählst die Option "Mit anderem Gerät anmelden", scannst einen QR-Code mit deinem Smartphone, bestätigst mit dem Fingerabdruck und bist auf dem fremden Computer angemeldet. Der private Schlüssel hat dabei zu keinem Zeitpunkt dein Smartphone verlassen.
Dieses Feature nutzt das CTAP2-Protokoll über Bluetooth Low Energy, um eine sichere Verbindung zwischen Smartphone und Computer herzustellen. Bluetooth wird nur für die Proximity-Prüfung verwendet (der Angreifer müsste physisch in der Nähe sein), die eigentliche Datenübertragung erfolgt verschlüsselt über das Internet.
Synchronisierung und Ökosystem-Bindung
Die Synchronisierung von Passkeys ist derzeit an die Ökosysteme der großen Plattformanbieter gebunden. Apple-Passkeys synchronisieren über iCloud Keychain, Google-Passkeys über den Google Password Manager und Microsoft-Passkeys über Windows Hello. Ein Passkey, der auf einem iPhone erstellt wurde, ist auf einem Android-Gerät nicht direkt verfügbar.
Das ist eine reale Einschränkung, die sich aber schrittweise auflöst. Passwort-Manager wie 1Password, Bitwarden und Dashlane unterstützen mittlerweile die Speicherung und Synchronisierung von Passkeys plattformübergreifend. In Unternehmensumgebungen kann das eine sinnvolle Alternative sein, weil du die Passkeys zentral verwalten und von der Ökosystem-Bindung entkoppeln kannst.
Sicherheitsvergleich: Passwort vs. MFA vs. FIDO2 vs. Passkey
Um die Sicherheitsvorteile einzuordnen, hilft ein Vergleich der verschiedenen Authentifizierungsmethoden gegen die häufigsten Angriffstypen.
Phishing: Ein Passwort kann per Phishing gestohlen werden. TOTP-Codes können über Real-Time-Phishing-Proxies (wie Evilginx) abgefangen werden. FIDO2 und Passkeys sind immun gegen Phishing, weil der Authenticator die Domain prüft und die Signatur verweigert, wenn die Domain nicht übereinstimmt.
Credential Stuffing: Passwörter aus Datenleaks werden bei anderen Diensten ausprobiert. MFA schützt, solange der zweite Faktor nicht ebenfalls kompromittiert ist. FIDO2 und Passkeys sind immun, weil für jeden Dienst ein eigenes Schlüsselpaar existiert.
Man-in-the-Middle: Ein Angreifer positioniert sich zwischen Benutzer und Dienst. Passwörter und einfache MFA-Codes können abgefangen werden. FIDO2 und Passkeys schützen durch Channel Binding: Die Signatur enthält Informationen über die TLS-Verbindung, sodass ein MITM-Angriff erkannt wird.
Serverseitige Datenlecks: Wenn die Datenbank des Dienstes gestohlen wird, erhält der Angreifer Passwort-Hashes (die geknackt werden können) oder MFA-Seeds (die missbraucht werden können). Bei FIDO2 und Passkeys speichert der Server nur öffentliche Schlüssel, die für den Angreifer nutzlos sind.
SIM-Swapping: SMS-basierte MFA kann über SIM-Swapping umgangen werden, indem der Angreifer die Telefonnummer übernimmt. FIDO2 und Passkeys sind davon nicht betroffen, weil die Authentifizierung nicht über die Telefonnummer läuft.
Passwortlose Authentifizierung im Unternehmen einführen
Der Übergang von passwortbasierter zu passwortloser Authentifizierung ist ein mehrjähriger Prozess, der in klar definierten Phasen ablaufen sollte.
Phase 1: FIDO2 als zusätzlicher MFA-Faktor
In der ersten Phase führst du FIDO2 als zusätzliche MFA-Option neben den bestehenden Methoden (TOTP, Push) ein. Das Passwort bleibt als erster Faktor bestehen, aber FIDO2-Keys oder Passkeys ersetzen den bisherigen zweiten Faktor.
Beginne mit den privilegierten Accounts. Ein durchdachtes Privileged Access Management ist dafür die Voraussetzung. Alle Administratoren erhalten Hardware-Keys (YubiKey oder vergleichbar) und registrieren sie bei den kritischsten Systemen: Identity Provider (Entra ID, Okta), Cloud-Konsolen (Azure, AWS), Remote-Access-Lösungen. Für diese Accounts wird FIDO2 als einzige akzeptierte MFA-Methode konfiguriert, weil es die einzige Methode ist, die gegen Phishing-Proxies wie Evilginx schützt.
Parallel dazu ermöglichst du allen Mitarbeitern, Passkeys für den Identity Provider und die wichtigsten SaaS-Anwendungen zu erstellen. Das ist freiwillig und ergänzend, soll aber Erfahrung schaffen und die Akzeptanz erhöhen.
Phase 2: Passwort-optional
In der zweiten Phase wird das Passwort zum Fallback. Der bevorzugte Anmeldeweg ist der Passkey oder der Hardware-Key. Das Passwort existiert noch, aber die Mitarbeiter werden aktiv ermutigt, es nicht mehr zu verwenden. Die Anmeldeseite zeigt den Passkey-Login prominent an und versteckt den Passwort-Login hinter einem Link wie "Andere Anmeldemethode".
Diese Phase erfordert, dass alle geschäftskritischen Anwendungen Passkeys oder FIDO2 unterstützen. Anwendungen, die nur Passwort-Login anbieten, werden über den Identity Provider (SSO) abgesichert, sodass der Passkey-Login am IdP den Zugang zu diesen Anwendungen ermöglicht.
Phase 3: Passwortlos
In der dritten Phase wird das Passwort vollständig entfernt. Die Mitarbeiter haben kein Passwort mehr, und die Authentifizierung erfolgt ausschließlich über Passkeys, Hardware-Keys oder biometrische Merkmale. Das Passwort-Feld verschwindet von der Anmeldeseite.
Diese Phase ist für die meisten Unternehmen noch Zukunftsmusik, weil sie voraussetzt, dass alle Anwendungen, alle Geräte und alle Prozesse vollständig auf passwortlose Authentifizierung umgestellt sind. Aber sie ist das logische Ziel, und jeder Schritt in den Phasen 1 und 2 bringt dich näher dorthin.
Recovery und Backup
Eine der größten Herausforderungen der passwortlosen Authentifizierung ist die Recovery-Frage: Was passiert, wenn der Benutzer seinen Hardware-Key verliert, sein Smartphone defekt ist oder er keinen Zugang zu seinen Passkeys hat?
Für Hardware-Keys ist die Lösung ein zweiter Backup-Key, der sicher aufbewahrt wird. Jeder Benutzer registriert bei der Ersteinrichtung zwei Keys: einen primären Key, den er täglich nutzt, und einen Backup-Key, den er zu Hause oder im Safe aufbewahrt.
Für Passkeys bietet die Cloud-Synchronisierung einen natürlichen Backup-Mechanismus: Solange der Benutzer Zugang zu seinem Cloud-Account (Apple ID, Google Account) hat, kann er seine Passkeys auf einem neuen Gerät wiederherstellen.
Zusätzlich sollte ein administrativer Recovery-Prozess definiert sein: Ein IT-Administrator kann den Account des Benutzers temporär entsperren und die Registrierung eines neuen Authenticators ermöglichen. Dieser Prozess muss gegen Social Engineering abgesichert sein, d. h. die Identität des Benutzers muss vor der Recovery zweifelsfrei bestätigt werden.
FIDO2 und Passkeys in gängigen Plattformen
Die Unterstützung für FIDO2 und Passkeys wächst rasant. Hier ein Überblick über die wichtigsten Plattformen.
Microsoft Entra ID unterstützt FIDO2-Hardware-Keys und Windows Hello als Authentifizierungsmethoden. Passkeys werden seit 2024 vollständig unterstützt. Die Konfiguration erfolgt über die Authentication Methods Policy, und Conditional Access Policies können FIDO2 als Anforderung für bestimmte Anwendungen oder Benutzergruppen erzwingen.
Google Workspace unterstützt FIDO2-Hardware-Keys seit 2018 und Passkeys seit 2023. Google hat intern alle Mitarbeiter auf FIDO2-Keys migriert und berichtet, dass die Anzahl erfolgreicher Phishing-Angriffe auf null gesunken ist.
Okta unterstützt FIDO2 und Passkeys als Authenticator-Typen in seiner Universal-Directory-Plattform. Die Integration ist unkompliziert und gut dokumentiert.
Gängige SaaS-Anwendungen wie GitHub, Salesforce, AWS, Cloudflare, Shopify und viele weitere unterstützen FIDO2 als MFA-Methode. Die Passkey-Unterstützung als primäre Anmeldemethode wächst, ist aber noch nicht flächendeckend.
Kosten und Wirtschaftlichkeit
Die Kosten der passwortlosen Authentifizierung setzen sich aus Hardware, Lizenzen und Implementierungsaufwand zusammen.
Hardware-Keys kosten 25 bis 80 Euro pro Stück, abhängig vom Modell und den unterstützten Schnittstellen (USB-A, USB-C, NFC, Lightning). Bei zwei Keys pro Mitarbeiter (primär und Backup) und 200 Mitarbeitern sind das 10.000 bis 32.000 Euro einmalig. Die Keys halten mehrere Jahre, die laufenden Kosten beschränken sich auf den Ersatz verlorener oder defekter Keys.
Passkeys verursachen keine direkten Hardwarekosten, weil sie auf vorhandenen Geräten (Smartphones, Laptops) laufen. Die Voraussetzung ist, dass die Geräte aktuelle Betriebssysteme und biometrische Sensoren haben, was bei den meisten modernen Geräten der Fall ist.
Lizenzen hängen vom Identity Provider ab. Die FIDO2-Unterstützung ist bei Entra ID in den meisten Microsoft-365-Lizenzen enthalten. Bei Okta ist sie in den Standard-Lizenzen verfügbar. Zusätzliche Kosten können für Conditional Access Policies (Entra ID P1/P2) anfallen.
Auf der Einsparungsseite stehen die reduzierten Helpdesk-Kosten. Passwort-Resets machen nach Studien 20 bis 50 Prozent aller Helpdesk-Anfragen aus, und jeder Reset kostet im Schnitt 20 bis 70 Euro an Arbeitszeit. Bei 200 Mitarbeitern und durchschnittlich zwei Passwort-Resets pro Mitarbeiter und Jahr sind das 8.000 bis 28.000 Euro jährlich, die durch passwortlose Authentifizierung entfallen.
Dazu kommen die vermiedenen Kosten eines Sicherheitsvorfalls. Ein einzelner erfolgreicher Phishing-Angriff, der zu einem Ransomware-Vorfall führt, verursacht im Mittelstand durchschnittlich Kosten von 200.000 bis 500.000 Euro. FIDO2 und Passkeys eliminieren diesen Angriffsvektor vollständig.
Herausforderungen und Einschränkungen
Passwortlose Authentifizierung ist kein Allheilmittel, und du solltest die Einschränkungen kennen, bevor du den Übergang planst.
Legacy-Anwendungen unterstützen weder FIDO2 noch Passkeys. Ältere On-Premise-Anwendungen, Terminal-Server und manche Branchensoftware erfordern weiterhin Passwort-basierte Anmeldung. Für diese Anwendungen brauchst du eine Übergangsstrategie, etwa die Anbindung über SSO oder die Verwendung eines Enterprise Password Managers.
Shared Accounts sind mit passwortloser Authentifizierung schwer zu handhaben, weil Passkeys und FIDO2-Keys an individuelle Benutzer gebunden sind. Für gemeinsam genutzte Accounts (z. B. Social-Media-Accounts, Shared Mailboxes) brauchst du alternative Lösungen.
Geräte-Abhängigkeit kann zum Problem werden, wenn Mitarbeiter ihre Geräte vergessen oder verlieren. Ein robuster Recovery-Prozess ist unerlässlich.
Ökosystem-Fragmentierung erschwert die plattformübergreifende Nutzung von Passkeys. Ein Passkey, der in der Apple iCloud Keychain gespeichert ist, funktioniert nicht direkt auf einem Android-Gerät. Drittanbieter-Passwort-Manager können diese Lücke schließen, sind aber ein zusätzliches System, das verwaltet werden muss.
Der richtige Zeitpunkt ist jetzt
Die Technologie für passwortlose Authentifizierung ist ausgereift. Alle großen Plattformen unterstützen FIDO2 und Passkeys, die Hardware ist erschwinglich, und die Benutzerfreundlichkeit ist besser als bei jeder passwortbasierten Lösung. Auch im Kontext von Zero Trust spielt passwortlose Authentifizierung eine zentrale Rolle. Die Frage ist nicht, ob dein Unternehmen auf passwortlose Authentifizierung umsteigt, sondern wann.
Der beste Einstieg ist Phase 1: FIDO2-Hardware-Keys für alle Administratoren und Passkeys als Option für alle Mitarbeiter. Die Investition ist überschaubar, der Sicherheitsgewinn ist sofort messbar, und du sammelst die Erfahrung, die du für die weiteren Phasen brauchst.
Dokumentiere deine Authentifizierungsstrategie in deinem ISMS – Tools wie ISMS Lite unterstützen dich dabei, die Authentifizierungsrichtlinie zentral zu verwalten und den Rollout-Fortschritt nachzuverfolgen. Definiere, welche Authentifizierungsmethoden für welche Anwendungskategorien zugelassen sind, und erstelle einen Fahrplan für den Übergang zu passwortloser Authentifizierung. Dieser Fahrplan ist nicht nur ein technisches Dokument, sondern auch ein Nachweis gegenüber Auditoren, dass du die Authentifizierung in deinem Unternehmen aktiv weiterentwickelst und an den Stand der Technik anpasst.
Weiterführende Artikel
- Multi-Faktor-Authentifizierung (MFA) einführen: Strategie, Rollout und Akzeptanz
- Single Sign-On (SSO) einführen: SAML, OIDC und praktische Umsetzung
- Passwort-Richtlinie erstellen: Anforderungen, Länge und Passphrasen
- Privileged Access Management (PAM): Admin-Konten unter Kontrolle
- Zero Trust im Mittelstand: Prinzipien, Quick Wins und Stolperfallen
