Pandorex
Security

Passkeys im Unternehmen: Warum 2026 das Jahr ist, in dem Passwörter endgültig sterben sollten

·Pandorex Redaktion·8 min Lesezeit
1258

Passwörter sind das schwächste Glied in der IT-Sicherheit. Das ist seit 20 Jahren bekannt. Phishing, Credential Stuffing, Brute Force, Infostealer. 80% aller erfolgreichen Angriffe beginnen mit kompromittierten Zugangsdaten. Und trotzdem loggen sich 2026 die meisten Mitarbeitenden noch mit Benutzername und Passwort ein. Oft ohne MFA. Manchmal mit dem gleichen Passwort wie privat.

Die Technologie, die das ändern soll, ist da. Sie heisst Passkeys.

Was Passkeys technisch sind

Passkeys basieren auf dem FIDO2/WebAuthn-Standard. Statt eines Passworts wird ein kryptographisches Schlüsselpaar erzeugt: ein privater Schlüssel, der das Gerät nie verlässt, und ein öffentlicher Schlüssel, der beim Dienst hinterlegt wird. Die Authentifizierung erfolgt per Challenge-Response: Der Server sendet eine Zufallszahl, das Gerät signiert sie mit dem privaten Schlüssel, der Server verifiziert die Signatur mit dem öffentlichen Schlüssel.

Der private Schlüssel ist an einen Authenticator gebunden: das Smartphone (Face ID/Touch ID), einen Hardware-Key (YubiKey, Titan Key) oder den Plattform-Authenticator des Betriebssystems (Windows Hello, macOS Keychain). Phishing ist damit technisch unmöglich, weil der Schlüssel an die Domain gebunden ist. Eine gefälschte Login-Seite unter einer anderen Domain kann den Passkey nicht auslösen.

Der Stand bei den grossen Plattformen

  • Apple: Passkeys seit iOS 16 / macOS Ventura. iCloud Keychain synchronisiert Passkeys über alle Apple-Geräte. Seit 2025: Passkey-Sharing in Familiengruppen und Unternehmen (Managed Apple IDs).
  • Google: Passkeys als Standard-Login für Google-Accounts seit Oktober 2024. Chrome und Android synchronisieren über Google Password Manager. Cross-Device-Login via QR-Code + Bluetooth.
  • Microsoft: Windows Hello als Plattform-Authenticator. Entra ID (Azure AD) unterstützt Passkeys seit 2025. Integration in Microsoft 365 Conditional Access Policies.

Die Infrastruktur steht. Jeder moderne Browser unterstützt WebAuthn. Jedes aktuelle Smartphone hat einen biometrischen Authenticator. Die Frage ist nicht mehr "Kann man Passkeys nutzen?" sondern "Warum tut man es nicht?"

Die Hürden im Unternehmen

In der Praxis scheitert die Einführung an bekannten Problemen:

  • Legacy-Systeme: SAP GUI, alte Terminal-Server-Anwendungen, interne Tools aus den 2000ern. Diese Systeme kennen kein WebAuthn. Migration ist teuer und dauert Jahre.
  • Heterogene Gerätelandschaft: Nicht jeder Mitarbeitende hat ein aktuelles Smartphone. Schichtarbeiter in der Produktion teilen sich Terminals. Externe Berater bringen eigene Geräte mit.
  • Recovery-Prozesse: Was passiert, wenn das Smartphone verloren geht? Wer setzt den Passkey zurück? Wie stellt man sicher, dass der Recovery-Prozess nicht selbst zum Angriffsvektor wird?
  • Regulierung: In manchen Branchen (Banken, Gesundheit) gibt es spezifische Anforderungen an die Authentifizierung, die nicht einfach durch "nutzt Passkeys" erfüllt werden.

Der pragmatische Weg: Hybrid-Strategie

Kein Unternehmen wird über Nacht alle Passwörter abschaffen. Der realistische Weg:

  1. Phase 1: MFA erzwingen. Jeder Account bekommt MFA. Hardware-Keys (FIDO2) für Admins und privilegierte Accounts. Authenticator-Apps für alle anderen. Sofort umsetzbar, sofort wirksam.
  2. Phase 2: Passkeys für Cloud-Dienste. Microsoft 365, Google Workspace, Salesforce, ServiceNow. Diese Dienste unterstützen Passkeys nativ. Rollout an eine Pilotgruppe, dann skalieren.
  3. Phase 3: Passkeys für interne Systeme. Identity Provider (Entra ID, Okta, Keycloak) als zentrale Authentifizierungsschicht. Interne Systeme delegieren Auth an den IdP. Passkeys werden am IdP eingesetzt, die Legacy-Systeme dahinter merken nichts.
  4. Phase 4: Passwort-lose Organisation. Langfristiges Ziel. Passwörter existieren nur noch als Fallback, der aktiv eingeschränkt wird (z.B. nur vom Firmen-Netzwerk, nur mit zusätzlicher Verifizierung).

Kosten und ROI

Die direkten Kosten für Passkey-Rollout sind überschaubar: Hardware-Keys kosten 25-60 EUR pro Stück. Software (IdP, Conditional Access) ist bei Microsoft 365 E3/E5 oder Google Workspace Enterprise bereits enthalten. Der grösste Kostenblock ist Change Management: Schulung, Kommunikation, Support in der Übergangsphase.

Der ROI dagegen ist messbar: Helpdesk-Kosten für Passwort-Resets sinken (Gartner schätzt 70 USD pro Reset). Phishing-Angriffe auf Credentials werden wirkungslos. Account-Takeover-Risiko sinkt drastisch. Und die Compliance-Anforderungen (NIS2, DORA, ISO 27001) werden leichter erfüllbar.

2026 gibt es keine technische Ausrede mehr. Nur organisatorische. Und die lassen sich lösen.

Quellen: FIDO Alliance, Google Security Blog, Microsoft Entra Documentation, Gartner Password Reset Cost Study.

Kommentare

, um einen Kommentar zu schreiben.

Nach oben swipen
Nächster Artikel

KI-Agenten als Angriffsvektor: Warum autonome AI-Systeme 2026 das grösste neue Security-Risiko sind

Security

Weitere Artikel

Security

Trump will CISA-Budget um 707 Millionen Dollar kürzen – Cybersicherheit der USA in Gefahr

Der neue Haushaltsentwurf für 2027 sieht massive Einschnitte bei der US-Cybersicherheitsbehörde CISA vor. Ehemalige Beamte warnen: Das erhöht das Risiko für vermeidbare Cyberangriffe auf kritische Infrastruktur.

KI & Chips

Netflix veröffentlicht VOID: KI-Modell entfernt Objekte aus Videos und simuliert physikalisch korrekte Szenen

Netflix Research stellt VOID vor – ein Vision-Language-Modell, das Objekte aus Videos löscht und die verbleibende Szene physikalisch plausibel rekonstruiert. Das Open-Source-Tool übertrifft bestehende Alternativen deutlich.

Cloud & Infra

Microsoft investiert 10 Milliarden Dollar in Japans KI-Infrastruktur und Cyberabwehr

Microsoft kündigt ein 10-Milliarden-Dollar-Investment in Japan an – für KI-Rechenzentren und Cybersecurity-Kooperation mit der Regierung. Ein Signal, dass KI-Infrastruktur zur Frage nationaler Sicherheit wird.