Cybersicherheit
Passkeys für Unternehmen (2026): Ein pragmatischer Migrationsplan zu phishing-resistenter MFA – ohne Chaos
Die meisten Sicherheitsvorfälle beginnen nicht mit „Advanced Hacking“. Sie beginnen mit kompromittierten Zugangsdaten – gestohlenen, erschlichenen oder wiederverwendeten Passwörtern. Klassische MFA hilft, aber Phishing-Kits und Echtzeit-Proxy-Angriffe umgehen schwächere Faktoren zunehmend.
Passkeys sind der pragmatischste Schritt hin zu phishing-resistenter Authentifizierung. Richtig eingeführt senken sie das Risiko von Account Takeovers, reduzieren Passwort-Resets und verbessern die User Experience. Schlecht eingeführt führen sie zu Lockouts, Schatten-IT und am Ende zur Rückkehr zu Passwörtern.
Dieser Guide erklärt, was Passkeys im Enterprise-Kontext bedeuten – und wie Sie sie mit einem strukturierten Plan einführen: Policies, Geräte, Recovery, Legacy-Systeme und messbare Sicherheitsverbesserung.
Was Passkeys sind (aus Business-Sicht)
Ein Passkey ist ein moderner Credential auf Basis von Public-Key-Kryptografie. Statt ein Passwort zu tippen (und damit phishbar zu sein), weist der Nutzer den Besitz eines privaten Schlüssels nach, der auf einem Gerät gespeichert (oder sicher über Geräte hinweg synchronisiert) ist – bestätigt durch Biometrie oder Geräte-PIN.
- Kein gemeinsames Geheimnis wird in eine Website eingegeben – weniger klassisches Phishing
- Authentifizierung ist an die legitime Domain (Origin) gebunden
- Weniger Passwort-Last und weniger Wiederverwendung
Passkeys sind kein einzelnes Feature. Sie berühren Identity, Device Management, Access Policies und Support. Deshalb braucht die Einführung Struktur.
Warum Unternehmen jetzt umsteigen
Viele Firmen nutzen bereits MFA per SMS, TOTP oder Push. Das ist besser als nichts, aber es bleiben Lücken: einige Faktoren sind phishbar oder sozial manipulierbar, und Push kann durch „Prompt Fatigue“ ausgenutzt werden.
Passkeys reduzieren diese Angriffsfläche, weil kein Secret mehr „eingetippt“ wird. Das führt in der Praxis zu weniger Account Takeovers, weniger Reset-Aufwand und höherem Vertrauen für privilegierte Zugriffe.
Zwei Enterprise-Modelle: Synced vs. Device-bound Passkeys
Nicht alle Passkeys verhalten sich gleich. In der Praxis gibt es zwei Modelle:
- Synced Passkeys: über das Ökosystem auf mehreren Geräten verfügbar (sehr gutes UX).
- Device-bound Passkeys / Hardware Keys: an ein Gerät oder einen physischen Schlüssel gebunden (sehr starke Kontrolle, ideal für Admins).
Viele Unternehmen fahren hybrid: Synced für Mitarbeitende, device-bound/hardware-basiert für Administratoren und Break-Glass.
Warum Rollouts scheitern (und wie man das verhindert)
Passkeys scheitern selten an Kryptografie – sie scheitern an operativen Details. Typische Blocker:
- Gemischte Gerätelandschaft (managed/unmanaged, Shared PCs, BYOD, ältere OS-Versionen)
- Legacy-Apps ohne modernen Auth-Stack
- Recovery: Geräteverlust, Austausch, Reise-/Ausnahmesituationen
- Helpdesk-Prozesse fehlen (Identity Proofing, Reset-Workflows, Audit Trail)
- Privileged Access wird nicht stärker behandelt als Standard-User-Login
Was „gut“ aussieht: Passkeys als Policy, nicht als Feature
Das Ziel ist nicht „morgen alle Passkeys“. Das Ziel ist eine kontrollierte Migration: stärkere Authentifizierung, messbar weniger Risiko und zuverlässige Recovery – ohne Security-Downgrade.
Ein guter Rollout steht auf fünf Säulen: Identity Policies, Geräte/Device Posture, Recovery, Privileged Access und Observability.
Säule 1: Identity Policies (Conditional Access denken)
Definieren Sie, wo Passkeys Pflicht sind, wo optional und welche Ausnahmen erlaubt sind. Policies müssen realistisch sein.
- Start mit High-Risk-Apps (E-Mail, VPN/Remote Access, Admin-Portale, Finance)
- Für privilegierte Rollen phishing-resistente Methoden verlangen
- Schwache Faktoren (z. B. SMS) schrittweise reduzieren
- Regeln für unmanaged Devices (einschränken oder stärkere Faktoren)
Säule 2: Geräte (MDM, Enrollment, Shared Workstations)
Passkeys setzen Geräte voraus, die Schlüssel sicher speichern. Das erfordert eine klare Device-Strategie:
- Managed Devices: MDM-Baseline, Update-Policy, Screen-Lock Anforderungen
- Unmanaged Devices: Zugriff einschränken oder stärkere Faktoren erzwingen
- Shared Devices/Kiosks: Hardware Keys oder spezielle Enterprise-Flows bevorzugen
- Admin-Workstations: als „privileged endpoints“ mit strengeren Controls behandeln
Säule 3: Recovery ohne Sicherheitsabfall
Recovery ist der häufigste Bruchpunkt. Wenn Recovery nur „Passkeys aus“ bedeutet, verlieren Sie Vertrauen. Recovery muss vor Enforcement stehen.
- Identity Proofing für den Helpdesk definieren (welche Nachweise reichen?)
- Mindestens zwei Recovery-Wege anbieten (Zweitgerät, Hardware Key, verifizierte Recovery Codes)
- Zeitlich begrenzten „Temporary Access“ statt dauerhaftem Policy-Downgrade nutzen
- Jede Recovery-Aktion auditieren
Säule 4: Privileged Access & Break-Glass
Admins und Notfallzugänge müssen stärker sein als normale Benutzerlogins – besonders im Incident-Fall.
- Für Admin-Rollen phishing-resistente Auth verpflichtend
- Für kritische Admin-Zugriffe Hardware Keys oder device-bound Passkeys
- Break-Glass-Accounts: sicher lagern, überwachen, Nutzung strikt begrenzen
- Dauerhafte Admin-Rechte vermeiden; lieber temporäre Elevation
Säule 5: Observability – Fortschritt beweisen
Messen Sie nicht nur Adoption, sondern Outcomes.
- Adoption-Rate nach Team und Rolle
- Passwort-Resets/Lockouts (vorher/nachher)
- Verdächtige Login-Versuche und phishingbezogene Incidents (vorher/nachher)
- Anzahl Ausnahmen und MFA-Bypass-Anfragen
- Time-to-Recover bei gesperrten Konten
Tabelle: Auth-Methoden in einer Rollout-Strategie
| Methode | User Experience | Phishing-Resistenz | Best Use Case |
|---|---|---|---|
| Nur Passwort | Niedrig/Mittel | Niedrig | Vermeiden (Legacy, temporär) |
| TOTP-App | Mittel | Mittel | Übergang für Standard-User |
| Push | Hoch | Mittel | Low-Risk-Apps (mit Anti-Fatigue Policies) |
| Passkeys (synced) | Hoch | Hoch | Mitarbeitende im Alltag |
| Hardware Key / device-bound | Mittel | Sehr hoch | Admins, Break-Glass, High-Risk |
Rollout-Plan: 0–30 / 31–60 / 61–120 Tage
Ein phasenweiser Rollout verhindert Panik und reduziert Helpdesk-Spitzen.
- 0–30 Tage (Design): App-Inventar, Policies, Pilotgruppe, Recovery, Helpdesk-Training
- 31–60 Tage (Pilot): Passkeys aktivieren, Lockouts messen, Device-Gaps schließen, Findings dokumentieren
- 61–120 Tage (Scale): Teams ausrollen, High-Risk-Apps erzwingen, Admin-Policies härten, Legacy-MFA reduzieren
Legacy-Apps: Alten Stack absichern statt Rollout stoppen
Legacy ist normal. Der Fehler ist, auf Perfektion zu warten. Segmentieren und isolieren Sie.
- Legacy hinter moderne Identity setzen (SSO-Gateway, VPN/ZTNA, Proxy wo sinnvoll)
- Zugriff nach Device Posture und Standort einschränken
- Monitoring/Logging um Legacy-Auth verstärken
- Migration-Backlog mit Business Ownern und Deadlines
Typische Fehler
- Enforcement ohne Recovery-Prozesse
- Admin-Zugriff wie normaler User-Zugriff behandeln
- Shared Devices/Field Worker ignorieren
- Unbegrenzte Ausnahmen (SMS dauerhaft) ohne Ablöseplan
- Nur Adoption messen – nicht die Wirkung
Fazit: Passkeys sind Security-Upgrade UND Operations-Projekt
Passkeys können Phishing-Risiken deutlich reduzieren – aber nur mit sauberem Rollout: Policies, Device-Strategie, Recovery, Privileged Access und messbare Nachweise.
Behandeln Sie Passkeys wie eine strukturierte Migration (ähnlich E-Mail-Security oder Endpoint-Hardening) – dann gewinnen Sie: mehr Sicherheit und weniger tägliche Login-Probleme.