Passwortbasierte Authentifizierung birgt erhebliche Risiken: Sie ist anfällig für Phishing-Angriffe, leidet unter der Nutzung schwacher Passwörter und wird den wachsenden Anforderungen an die IT-Sicherheit kaum noch gerecht. Traditionelle Zugangsmethoden gelten daher als unsicher und schwer skalierbar. Mit sogenannten Passkeys steht Unternehmen nun ein moderner, benutzerfreundlicher und deutlich sichererer Ansatz zur Verfügung. Passkeys basieren auf dem FIDO2-Standard und ermöglichen eine vollständig passwortlose Authentifizierung, ohne dabei an Flexibilität oder Kontrolle zu verlieren.
Während viele Plattformen und Geräte Passkeys inzwischen unterstützen, ist ihre Integration in bestehende Unternehmensinfrastrukturen keineswegs trivial. Es sind sowohl technische Voraussetzungen (z. B. Gerätesicherheit, Authentifikationsschnittstellen) als auch organisatorische und prozessuale Aspekte zu berücksichtigen, um Passkeys sinnvoll, sicher und nachhaltig einzuführen.
Ziel dieses Artikels ist es, eine strukturierte Übersicht über die wichtigsten Voraussetzungen für die Einführung von Passkeys im Unternehmensumfeld zu geben. Von der technologischen Basis über die Systemintegration bis hin zur Benutzerakzeptanz soll dieser Leitfaden Verantwortliche in IT, Sicherheit und Digitalisierung dabei unterstützen, informierte Entscheidungen zu treffen und typische Stolpersteine frühzeitig zu erkennen und zu vermeiden.
Die Integration von Passkeys setzt ein grundlegendes Verständnis der zugrunde liegenden Technologien voraus. Zwei zentrale Komponenten sind hierbei FIDO2 und WebAuthn. Beide bilden die technologische Basis für eine sichere, benutzerfreundliche und phishing-resistente Authentifizierung.
FIDO2 ist ein offener Authentifizierungsstandard der FIDO Alliance in Zusammenarbeit mit dem World Wide Web Consortium (W3C). Er besteht aus zwei Komponenten:
CTAP (Client to Authenticator Protocol): Definiert die Kommunikation zwischen dem Authentifizierungsgerät (z. B. Sicherheitsschlüssel oder integrierter Fingerabdrucksensor) und dem Client (z. B. Browser oder Betriebssystem).
WebAuthn (Web Authentication): Ein Webstandard, der es Webanwendungen ermöglicht, Passkey-basierte Authentifizierungen ohne zusätzliche Plugins direkt im Browser zu implementieren.
FIDO2 ersetzt das klassische Passwort durch ein asymmetrisches Schlüsselpaar:
Der private Schlüssel verbleibt sicher auf dem Gerät des Nutzers, während der öffentliche Schlüssel beim Dienst gespeichert wird. Dadurch sind klassische Angriffsszenarien wie Phishing, Credential Stuffing oder Brute-Force-Attacken weitgehend ausgeschlossen.
WebAuthn ist der technische Rahmen, über den Passkeys in Webanwendungen eingebunden werden. Über JavaScript-basierte APIs können Entwickler Login-, Registrierungs- oder Autorisierungsprozesse direkt im Browser mit Passkeys realisieren.
Wichtige Eigenschaften von WebAuthn im Unternehmenskontext:
Unterstützung durch alle modernen Browser (Chrome, Edge, Firefox, Safari)
Plattformübergreifende Nutzung (Windows, macOS, Android, iOS)
Möglichkeit zur Definition von Richtlinien, z. B. welche Authentifikatoren erlaubt sind (biometrisch, PIN, Sicherheitsschlüssel)
Einsatz sowohl für Single-Factor- als auch Multi-Factor-Authentifizierung
Für Unternehmen bedeutet das: Eine bestehende Webanwendung kann mit vergleichsweise geringem Aufwand Passkey-fähig gemacht werden, sofern die Backend-Infrastruktur und der Authentifizierungsserver dies unterstützen.
Damit Passkeys innerhalb eines Unternehmens sicher und skalierbar funktionieren, ist ein geeigneter Authentifizierungsserver erforderlich. Dieser verwaltet die öffentlichen Schlüssel, orchestriert die Authentifizierungsflüsse und bindet sich idealerweise nahtlos in vorhandene Identitäts- und Zugriffssysteme ein.
Beispiele für etablierte Lösungen im Enterprise-Umfeld:
Microsoft Entra ID (vormals Azure AD): Unterstützt passwortlose Anmeldungen via Windows Hello, FIDO2-Sicherheitsschlüssel und mobilen Geräten mit Passkey-Funktion.
Auth0 (Teil von Okta): Bietet umfassende Passkey-Unterstützung mit WebAuthn-Integration und einfacher API-Einbindung.
MyID CMS (Intercede): Besonders geeignet für Hochsicherheitsumgebungen mit starken Anforderungen an Identitätsnachweis und Gerätebindung.
Diese Dienste übernehmen nicht nur die Authentifizierung, sondern oft auch die Verwaltung von Nutzeridentitäten, Gerätebindung, Wiederherstellungsszenarien und Auditing.
Bevor Passkeys unternehmensweit eingeführt werden können, sollten IT-Verantwortliche anhand einer Checkliste prüfen, ob das Unternehmen bereit für die Einführung von Passkeys ist. Nur wenn die technologischen Grundlagen gegeben sind, kann die Passkey-Integration zuverlässig, sicher und benutzerfreundlich umgesetzt werden.
Download Checkliste „Ist mein Unternehmen bereit für Passkeys?“
Die technische Machbarkeit und Akzeptanz der Passkey-Integration steht und fällt mit der Kompatibilität der verwendeten Endgeräte und Plattformen. Moderne Authentifizierung mit Passkeys basiert auf lokalen Sicherheitselementen wie TPM-Chips (Trusted Platform Module) oder Secure Enclaves und erfordert daher bestimmte Mindestvoraussetzungen an die Hardware- und Softwareumgebung.
Alle großen Betriebssysteme und Plattformanbieter haben inzwischen Unterstützung für Passkeys bzw. FIDO2/WebAuthn integriert. Dabei unterscheiden sich jedoch die konkreten Implementierungen, Verwaltungsmöglichkeiten und Cross-Device-Funktionen:
Windows 11:
Unterstützung über Windows Hello in Kombination mit Azure AD oder Hybrid-Join. Voraussetzung sind kompatible Geräte mit TPM 2.0 (kurz für Trusted Platform Module 2.0) sowie aktivierter Windows Hello PIN oder biometrischer Anmeldung.
macOS / iOS (ab Version 16):
Passkeys werden direkt in der iCloud-Schlüsselbund-Infrastruktur gespeichert und mit Apple-Geräten synchronisiert. Face ID oder Touch ID dienen als Authentifizierungsmechanismen.
Android (ab Version 9):
Passkeys werden über den Google Password Manager verwaltet und plattformweit über das Google-Konto synchronisiert. Die Authentifizierung erfolgt über Gerätesperre (PIN, Muster, Biometrie).
Linux:
Unterstützt Passkeys in Kombination mit WebAuthn-fähigen Browsern und externen Authentifikatoren (z. B. YubiKey). Für unternehmensweite Nutzung ist zusätzliche Middleware erforderlich, da Linux die nahtlose, betriebssystemweite Verknüpfung zwischen Hardware-Authentifikatoren, Nutzerverwaltung, Browsern und zentralen IT-Infrastrukturen fehlt.
Hinweis: Die Cross-Platform-Nutzung von Passkeys ist grundsätzlich möglich, erfordert aber cloudbasierte Synchronisationsdienste (z. B. iCloud, Google Sync) oder hardwarebasierte Lösungen wie Sicherheitsschlüssel.
Für die Nutzung von Passkeys als Plattform-Authentifikator muss das Gerät bestimmte Sicherheitsmerkmale aufweisen. Zu den zentralen Anforderungen gehören:
Hardware-Sicherheitskomponenten:
TPM (Trusted Platform Module) bei Windows-Geräten
Secure Enclave bei Apple-Geräten
Android Keystore auf kompatiblen Smartphones
Authentifizierungsmechanismen:
Biometrische Sensoren (Fingerabdruck, Gesichtserkennung)
PIN-gestützte Anmeldung (als Fallback und Zweitfaktor)
Aktuelles Betriebssystem & Sicherheitspatches:
Veraltete Betriebssystemversionen oder fehlende Updates können zu Inkompatibilitäten und Sicherheitsrisiken führen.
Für IT-Abteilungen ergibt sich daraus die Notwendigkeit, eine Geräte-Kompatibilitätsprüfung durchzuführen und ggf. ältere Endgeräte sukzessive zu ersetzen oder mit externen Authentifikatoren nachzurüsten.
Passkeys können über verschiedene Arten von Authentifikatoren bereitgestellt werden. Die Wahl des richtigen Typs ist abhängig von Sicherheitsanforderungen, Benutzerprofilen und Verwaltungsaufwand.
| Authentifikatortyp | Beschreibung | Vorteile | Einschränkungen |
|
Plattform-Authentifikator |
Eingebaut in das Endgerät (z. B. Windows Hello, Face ID) |
Benutzerfreundlich, kein zusätzliches Gerät nötig |
Gerätegebunden, begrenzte Wiederherstellung |
|
Roaming-Authentifikator |
Externes Gerät wie YubiKey oder Titan Key |
Plattformübergreifend, hohes Sicherheitsniveau |
Erfordert physisches Mitführen |
|
Cloud-synchronisierte Passkeys |
Gespeichert im Google-/Apple-Account, auf mehreren Geräten verfügbar |
Cross-Device-Nutzung, bequemes Onboarding |
Abhängigkeit vom Ökosystem (Vendor-Lock-in) |
Eine erfolgreiche Einführung von Passkeys im Unternehmen beginnt mit einer Bestandsaufnahme der Geräteflotte. Dabei sind folgende Fragen zu klären:
Welche Geräte unterstützen bereits FIDO2/WebAuthn?
Verfügen sie über notwendige Sicherheitsfunktionen (TPM, biometrisch, aktuelle OS-Version)?
Welche Authentifikatortypen sind für welche Nutzergruppen geeignet?
Sind Synchronisationsmechanismen zulässig oder explizit auszuschließen (z. B. wegen Compliance)?
Eine gezielte Kombination aus kompatibler Hardware, klar definierten Authentifikatoren und einem Device-Management-Konzept schafft die Grundlage für eine sichere und skalierbare Passkey-Nutzung im Unternehmen.
Download "Geräte-Checkliste - Voraussetzungen für die Nutzung von Passkeys"
| Kriterium | Plattform-Authentifikator (z. B. Windows Hello, Face ID) |
Roaming-Authentifikator (z. B. YubiKey, Titan Key) |
Cloud-synchronisierte Passkeys (z. B. Google / Apple) |
|
Benutzerfreundlichkeit |
✅ Hoch |
⚠️ Mittel (Gerät erforderlich) |
✅ Hoch |
|
Plattformunabhängigkeit |
❌ Gerätegebunden |
✅ Hoch |
✅ Mittel (abhängig von Cloud-Anbieter) |
|
Sicherheitsniveau |
✅ Hoch |
✅ Sehr hoch |
⚠️ Hoch, aber abhängig von Cloud-Zugangssicherheit |
|
Einsatz ohne Internetverbindung |
✅ Möglich |
✅ Möglich |
❌ Nicht ohne Sync-Dienst |
|
Administrierbarkeit im Unternehmen |
✅ In MDM integrierbar |
✅ Über Hardwareverwaltung |
⚠️ Eingeschränkt über Drittplattformen |
|
Recovery / Backup-Strategien |
⚠️ Gerätebasiert, lokal |
✅ Physisches Backup möglich |
✅ Cloud-Backup vorhanden |
|
Compliance & Datenschutz |
✅ Lokal verwaltet |
✅ Lokale Verwaltung |
⚠️ Abhängig vom Cloud-Anbieter & Hosting-Standort |
|
Kosten |
✅ Gering (in Gerät integriert) |
⚠️ Zusatzkosten pro Gerät |
✅ Keine direkten Hardwarekosten |
|
Beispielhafte Einsatzszenarien |
Büroarbeitsplatz, interne Apps |
Admins, Entwickler, regulierte Branchen |
Vertrieb, Außendienst, BYOD-Nutzer |
📌 Empfehlungen zur Auswahl von Authentifikatortypen
| Anforderung im Unternehmen | Empfohlener Authentifikatortyp |
| Höchste Sicherheit & Portabilität | 🔐 Roaming-Authentifikator (z. B. Security Key) |
| Geringe Eintrittshürden, hoher Komfort | 💻 Plattform-Authentifikator (z. B. Fingerabdrucksensor im Gerät) |
| Flexibler Einsatz auf mehreren Geräten | ☁️ Cloud-synchronisierte Passkeys |
| Kombination aus Sicherheit und Komfort | 🔀 Hybridmodell: Plattform + Roaming-Authentifikator |
👉 Tipp für die Praxis:
Roaming-Authentifikatoren eignen sich besonders für Umgebungen mit hohen Sicherheitsanforderungen oder für mobile Mitarbeiter.
Plattform-Authentifikatoren bieten benutzerfreundliche Einstiegsmöglichkeiten, da sie oft schon in Endgeräten integriert sind.
Cloud-Synchronisierung von Passkeys erleichtert die Nutzung auf mehreren Geräten, birgt aber Abhängigkeit zum Anbieter.
Hybride Modelle kombinieren Stärken beider Ansätze und bieten einen guten Kompromiss zwischen Komfort und Sicherheit.
Die reine Unterstützung von Passkeys in Geräten und Anwendungen stellt nur einen Teil der Herausforderung dar. Für eine nachhaltige und sichere Einführung im Unternehmen ist eine umfassende Integration in die bestehende IT-Infrastruktur entscheidend. Besonders wichtig ist dabei das Identitäts- und Zugriffsmanagement (IAM). Aspekte wie Kompatibilität, Skalierbarkeit und Governance müssen sorgfältig geplant und umgesetzt werden.
Ein funktionierendes Identity and Access Management (IAM) ist Voraussetzung dafür, dass Passkeys im Unternehmen effektiv eingesetzt und verwaltet werden können. IAM-Systeme bilden die Brücke zwischen Benutzern, Anwendungen und Authentifizierungstechnologien.
Typische Anforderungen an IAM-Systeme für Passkey-Integration:
FIDO2-/WebAuthn-Unterstützung: Möglichkeit zur Registrierung und Verwaltung passwortloser Anmeldemethoden
Gerätebindung & -registrierung: Rückverfolgbarkeit, Verwaltung mehrerer Geräte pro Nutzer
Rollen- und richtlinienbasierte Zugriffssteuerung: Integration von Passkeys in bestehende Policies
Self-Service-Funktionen: Benutzerfreundliche Verwaltung, Recovery-Optionen, Gerätewechsel
| Anbieter / System | Passkey-Kompatibilität | Besonderheiten |
|
Microsoft Entra ID (vormals Azure AD) |
✔ Vollständig integriert |
Native FIDO2-Unterstützung, tiefe M365/Windows-Anbindung |
|
Okta |
✔ Via WebAuthn / Auth0 |
Flexibel, API-basiert, gut für hybride Szenarien |
|
SAP IDM |
⚠️ Möglich über Erweiterungen |
Anpassungen notwendig, v. a. bei Legacy-Systemen |
|
ForgeRock, Ping Identity |
✔ Unterstützen WebAuthn |
Für komplexe, hochsichere Umgebungen geeignet |
SoftGuide Vorlage für eine Integrations-Checkliste: Passkey-Einführung in bestehende Infrastruktur zum Download
Passkeys können in unterschiedlichen Integrationsmodellen eingesetzt werden. Die Wahl des Modells hängt vom Anwendungstyp, der Zielgruppe und dem gewünschten Sicherheitsniveau ab.
Tabelle mit Integrationsmodellen
| Modell | Beschreibung | Eignung |
|
Passkey-Only |
Volle passwortlose Anmeldung mit lokalem oder synchronisiertem Schlüssel |
Für moderne Webanwendungen mit guter UX |
|
Passkey + Passwort (Step-up) |
Nutzer meldet sich mit Passwort an, danach wird Passkey als zweiter Faktor genutzt |
Für Migration oder sensitive Aktionen |
|
Passkey als zusätzlicher Login-Weg |
Nutzer kann zwischen Passwort und Passkey wählen |
Für Übergangsphasen und BYOD-Umgebungen |
|
Identifier-First Login |
Zuerst Eingabe des Benutzernamens, dann Entscheidung je nach verfügbarem Faktor (Passkey, Passwort, etc.) |
Für dynamische Authentifizierung mit Flexibilität |
|
Cross-Device Passkey Login |
Nutzer authentifiziert sich auf Gerät A (z. B. Smartphone), um sich auf Gerät B (z. B. Desktop) anzumelden |
Für geräteübergreifende Nutzung im Homeoffice oder Außendienst |
Ein konsistentes Login-Erlebnis über alle Geräte hinweg erhöht die Akzeptanz deutlich, insbesondere dann, wenn Nutzer bekannte Elemente wie biometrische Anmeldung oder Smartphones nutzen können.
Die Einführung von Passkeys bringt eine erhebliche Erhöhung der Authentifizierungssicherheit, wenn sie mit Blick auf Recovery-Strategien, Plattformwechsel und Kompatibilität mit bestehenden Verfahren konzipiert wird. Ein systematischer Blick auf Sicherheitsmechanismen, Backup-Lösungen und Interoperabilität ist entscheidend für die Stabilität und langfristige Nutzbarkeit im Unternehmenskontext.
Die passwortlose Anmeldung mittels Passkeys basiert auf asymmetrischer Kryptografie, bei der der private Schlüssel auf dem Gerät gespeichert bleibt. Geht dieses Gerät verloren oder wird gewechselt, muss sichergestellt sein, dass Zugänge nicht dauerhaft blockiert werden.
Tabelle mit wichtigen Backup-Strategien im Unternehmensumfeld
| Methode | Beschreibung | Eignung | Risiken / Hinweise |
|
Cloud-Synchronisation |
Automatische Sicherung über Apple iCloud oder Google Password Manager |
BYOD, mobile Mitarbeiter |
Abhängig vom Anbieter, Datenschutz prüfen |
|
Registrierung mehrerer Geräte |
Nutzer kann Passkey auf mehreren Geräten aktivieren |
Für größere Belegschaften mit Notebook + Smartphone |
Initial höherer Einrichtungsaufwand |
|
Backup-Authentifikator |
Zusätzlicher Hardware-Schlüssel als Reserve |
Hochsicherheitsbereiche |
Erfordert sorgfältige Verwaltung |
|
Self-Service-Wiederherstellung |
IT-gestützter Gerätewechsel mit Identitätsprüfung |
Interne Benutzerverwaltung |
Technisch aufwändig, aber kontrollierbar |
Die Integration von Passkeys markiert einen wichtigen Meilenstein auf dem Weg zu moderner, benutzerfreundlicher und sicherer Authentifizierung im Unternehmensumfeld. Sie löst nicht nur das Passwortproblem, sondern bietet durch FIDO2 und WebAuthn einen technologisch robusten, phishing-resistenten Standard, der heute bereits plattformübergreifend verfügbar ist.
Damit diese Technologie ihr Potenzial entfalten kann, müssen jedoch eine Reihe von Voraussetzungen erfüllt sein, sowohl auf technischer Ebene (z. B. Gerätesicherheit, Protokollunterstützung, Authentifizierungsserver) als auch organisatorisch (z. B. Migrationsstrategie, Schulung, IAM-Anbindung).
Passkeys sind keine isolierte Technologie, sondern Teil eines strategischen Wandels im Identitätsmanagement. Richtig implementiert, stärken sie nicht nur die IT-Sicherheit, sondern verbessern auch das Nutzererlebnis und reduzieren langfristig den administrativen Aufwand im Unternehmen.
SoftGuide Checklisten:
SoftGuide Artikel:
Glossar zu Passkeys, Anleitungen und UI-Kits https://www.passkeycentral.org/resources-and-tools/
Bundesamt für Sicherheit in der Informationstechnik - Empfehlungen