Kategorien
Cloud et Cybersécurité (DE)

Passkeys: Die passwortlose Authentifizierung, die Sicherheit, Einfachheit und Kosteneffizienz vereint

Auteur n°2 – Jonathan

Von Jonathan Massa

Technologie-Experte

Ansichten: 8

Zusammenfassung – Angesichts der Schwachstellen von Passwörtern, Phishing, Credential Stuffing und hoher Supportkosten ist die Umstellung auf passwortlose Authentifizierung unverzichtbar. Passkeys basieren auf FIDO2-Standards, isolieren den privaten Schlüssel in einer Secure Enclave/TPM, nutzen Biometrie oder PIN, integrieren sich in alle Betriebssysteme und unterstützen verschlüsselte Synchronisation oder Open-Source-Management zur Vermeidung von Vendor Lock-in – ergänzt durch OTP und Wiederherstellungscodes. Lösung: Planen Sie eine schrittweise Einführung, definieren Sie Workflows für Erstellung, Synchronisation und Widerruf und integrieren Sie Passkeys in Ihr IAM, um Support-Tickets um bis zu 90 % zu reduzieren, Ihre Sicherheitslage zu stärken und Ihre IT-Kosten zu optimieren.

In einem Kontext, in dem Cyberangriffe zunehmend auf Zugangsdaten abzielen und Passwörter zu einer operativen Belastung werden, erweisen sich Passkeys als pragmatische Lösung. Basierend auf asymmetrischer Kryptografie eliminieren sie Schwachstellen durch Phishing und Passwortwiederverwendung und bieten gleichzeitig eine nahtlose Nutzererfahrung dank Biometrie oder einfachem PIN. Angesichts der explosionsartigen Verbreitung von Cloud-Diensten und Business-Applikationen ermöglicht der Umstieg auf ein passwortloses Authentifizierungsmodell Organisationen, ihre IT-Sicherheit zu erhöhen, Abläufe zu vereinfachen und Kosten zu kontrollieren.

Die Grenzen von Passwörtern und die Dringlichkeit eines neuen Standards

Komplexe Passwörter sind zum kritischen Punkt geworden und erhöhen sowohl das Kompromittierungsrisiko als auch den Supportaufwand. Organisationen können es sich nicht mehr leisten, ihre Sicherheit auf Passwörter zu stützen.

Schwachstellen und Kompromittierungsrisiken

Passwörter beruhen auf menschlicher Verantwortung: starke Kombinationen erstellen, regelmäßig erneuern und sicher speichern. Doch die meisten Nutzer bevorzugen Bequemlichkeit, wählen vorhersehbare Sequenzen oder recyclen dieselben Zugangsdaten auf mehreren Plattformen.

Diese Praktiken öffnen Angreifern Türen für Credential-Stuffing-Attacken oder gezielte Phishing-Kampagnen. Gestohlene Daten von einer Website werden häufig auf anderen Diensten ausprobiert, was interne Netzwerke und kritische Portale gefährdet.

Über den Diebstahl von Konten hinaus können solche Schwachstellen zu Lecks sensibler Daten, Reputationsschäden und regulatorischen Strafen führen. Die Kosten für technische und juristische Gegenmaßnahmen übersteigen oftmals jene, die nötig wären, um solche Vorfälle zu verhindern, und unterstreichen die Bedeutung, operative Kosten zu optimieren.

Kosten und Komplexität der Passwortverwaltung

IT-Teams verwenden einen erheblichen Teil ihres Budgets für Passwort-Zurücksetzungs-Tickets – manchmal bis zu 30 Prozent des gesamten Supportvolumens. Jeder einzelne Vorgang bindet Personalressourcen und beeinträchtigt die Produktivität.

Gleichzeitig führen Richtlinien zur Passwortkomplexität – Mindestlänge, Sonderzeichen, Erneuerungsfristen – zu Konflikten mit den Anwendern und häufig zu inoffiziellen Workarounds (Post-its, unverschlüsselte Dateien).

Beispiel: Eine Schweizer Versicherung verzeichnete durchschnittlich 200 Zurücksetzungs-Tickets pro Monat, was direkte Supportkosten von rund 50.000 CHF pro Jahr verursachte. Diese Situation verdeutlichte den Druck auf die IT-Ressourcen und die Dringlichkeit, diese Tickets zu reduzieren und eine digitale Transformation einzuleiten.

Nutzerbarrieren und verschlechterte User Experience

In professionellen Umgebungen werden starke Passwörter zum Hemmnis bei der Einführung digitaler Tools. Anwender fürchten, den Zugang zu verlieren, oder lehnen ständige Erneuerungen ab.

Folge: riskante Merkhilfen, Einsatz nicht freigegebener Tools oder gar die völlige Abkehr von Applikationen, die als zu aufwändig empfunden werden.

Solche Reibungspunkte verzögern das Onboarding neuer Mitarbeiter und schaffen einen Teufelskreis, in dem Sicherheit zugunsten der Anwenderfreundlichkeit geopfert wird.

So funktionieren Passkeys und die FIDO2-Authentifizierung

Passkeys basieren auf einem asymmetrischen Schlüsselpaar und stellen sicher, dass keine sensiblen Daten auf Serverseite gespeichert werden. Sie nutzen den FIDO2-Standard, der bereits von den wichtigsten Ökosystemen breit unterstützt wird.

Prinzip der asymmetrischen Authentifizierung

Bei der Erstellung eines Passkeys generiert der Client ein Schlüsselpaar: einen öffentlichen Schlüssel, der an den Dienst übermittelt wird, und einen privaten Schlüssel, der sicher im Hardwarebereich des Geräts verbleibt (Secure Enclave bei Apple, TPM unter Windows).

Bei jeder Authentifizierungsanforderung sendet der Dienst eine kryptografische Herausforderung, die der Client lokal mit dem privaten Schlüssel signiert. Die Signatur wird mit dem öffentlichen Schlüssel überprüft. Ein Passwort oder gemeinsames Geheimnis wird dabei niemals übertragen.

Dieses Verfahren eliminiert klassische Angriffsvektoren wie Phishing, Wiederholung von Netzwerkverkehr oder Abfangen von Passwörtern, da der private Schlüssel das Gerät nie verlässt und nicht kopiert werden kann.

Speicherung und Schutz der privaten Schlüssel

Moderne Umgebungen nutzen sichere Hardware-Module (Secure Enclave, TPM, TrustZone), die den privaten Schlüssel vom Betriebssystem isolieren. Schadsoftware hat weder Lese- noch Schreibzugriff.

Biometrie (Fingerabdruck, Gesichtserkennung) oder ein lokaler PIN entsperren den Zugriff auf den privaten Schlüssel für jeden Login. Selbst bei Geräteverlust ist der Schlüssel ohne biometrische Daten oder PIN nahezu unbrauchbar.

Diese Isolation erhöht die Widerstandsfähigkeit gegenüber Malware und verringert die Angriffsfläche für Authentifizierungsgeheimnisse.

FIDO2-Standards und Interoperabilität

Die FIDO Alliance hat WebAuthn und CTAP (Client to Authenticator Protocol) definiert, um den Einsatz von Passkeys in Browsern und Apps zu standardisieren. Diese Standards gewährleisten Kompatibilität zwischen Geräten, unabhängig von Betriebssystem oder Hersteller.

Apple, Google und Microsoft haben diese Protokolle in ihre Browser und SDKs integriert, wodurch die Implementierung für Cloud-Dienste, Kundenportale und interne Anwendungen erleichtert wird.

Beispiel: Ein mittelgroßer E-Commerce-Anbieter hat FIDO2-Passkeys für seine Business-Kunden eingeführt. Die Implementierung zeigte, dass dieselben Zugangsdaten auf Smartphone, Tablet und Desktop funktionieren, ohne zusätzliche Plugins.

Edana: Strategischer Digitalpartner in der Schweiz

Wir begleiten Unternehmen und Organisationen bei ihrer digitalen Transformation.

Sprechen wir über Sie

Operative Herausforderungen und Best Practices für die Einführung von Passkeys

Die Einführung von Passkeys erfordert die Vorbereitung der User Journeys, das Management der Geräte-übergreifenden Synchronisation und robuste Backup-Strategien. Ein schrittweiser Ansatz sichert Akzeptanz und Compliance.

Synchronisation und Wiederherstellung geräteübergreifend

Für eine nahtlose Nutzererfahrung können Passkeys verschlüsselt über Cloud-Dienste synchronisiert werden (iCloud-Schlüsselbund, Android-Backup). Jedes neue, autorisierte Gerät erhält dann dieselben Zugangsdaten.

Organisationen, die Big-Tech-Ökosysteme meiden möchten, können auf Open-Source-Passwortmanager (KeePassXC mit FIDO-Erweiterung) oder selbst gehostete WebAuthn-Appliances zurückgreifen.

Die Deployment-Strategie sollte Workflows für Erstellung, Synchronisation und Widerruf klar dokumentieren, um Service-Kontinuität zu garantieren.

Einsatz von Passwortmanagern und Vendor-Lock-In vermeiden

Ein plattformübergreifender Open-Source-Manager ermöglicht die zentrale Verwaltung von Passkeys, ohne sich ausschließlich an proprietäre Clouds zu binden. Das sichert Portabilität und Datenkontrolle.

Open-Source-Lösungen bieten häufig Integrationen für Single Sign-On und Identity- und Access-Management (IAM) und erleichtern so die Anbindung an Unternehmensverzeichnisse und Zero-Trust-Richtlinien.

Eine klare Governance definiert, wer Passkeys erstellen, synchronisieren oder widerrufen darf, minimiert das Risiko von Fehlkonfigurationen und gewährleistet Nachvollziehbarkeit.

Fallback-Mechanismen und Zero-Trust-Prinzipien

Es ist essenziell, Backup-Mechanismen für Geräteverlust oder ‑diebstahl vorzusehen: Wiederherstellungscodes, temporäre OTP-Authentifizierung oder dedizierter Support.

Ein Zero-Trust-Ansatz erfordert die Überprüfung von Gerät, Kontext und Verhalten, selbst nach Passkey-Authentifizierung. Adaptive Policies können für sensible Aktionen eine zusätzliche Mehrfaktor-Authentifizierung einfordern.

Solche Schutzmaßnahmen verhindern, dass die passwortlose Authentifizierung selbst zur Schwachstelle wird, und erhalten gleichzeitig eine reibungslose User Experience.

Beispiel: Ein Industrieunternehmen implementierte eine interne Appliance, die dynamische QR-Codes als Fallback generiert – ein Beleg dafür, dass eine passwordlose Lösung auch ohne Public Cloud robust funktionieren kann.

Vorteile von Passkeys für Unternehmen

Die Einführung von Passkeys reduziert Vorfälle mit Zugangsdaten drastisch, senkt Supportkosten und steigert die Nutzerzufriedenheit. Diese Effekte führen zu höherer operativer Effizienz und schneller Amortisation.

Weniger Support-Tickets und Ressourceneffizienz

Ohne Passwörter sinkt die Zahl der Zurücksetzungs-Tickets meist um 80–90 %. IT-Teams können sich auf wertschöpfende Projekte konzentrieren.

Weniger Tickets führen auch zu geringeren externen Kosten, etwa durch den Einsatz externer Supportdienstleister oder finanzielle SLA-Verpflichtungen.

Beispiel: Ein Schweizer öffentlicher Dienst verzeichnete nach Aktivierung der Passkeys einen Rückgang von 85 % bei verlorenen Passwortanfragen und schuf so Kapazitäten in Höhe von zwei Vollzeitäquivalenten für strategische Aufgaben.

Produktivitätssteigerung und verbesserte User Experience

Passkeys entsperren in wenigen Sekunden, ohne lange Eingaben oder Tippfehler. Anwender übernehmen neue Tools und Portale leichter.

Die geringere Reibung verkürzt das Onboarding und reduziert Widerstand bei der Einführung neuer Systeme.

Diese Nutzerfreundlichkeit fördert zugleich die Akzeptanz sicherer Verhaltensweisen, da Umgehungen entfällt.

Stärkung der Sicherheitsarchitektur und Compliance

Da keine Geheimnisse auf Serverseite gespeichert werden, verringern Passkeys die Folgen von Datenlecks. Sicherheits-Audits werden einfacher, da keine Passwörter mehr geschützt oder erneuert werden müssen.

Die Ausrichtung an FIDO2 und Zero-Trust-Prinzipien unterstützt die Einhaltung von Standards wie ISO 27001, NIST oder DSGVO und erleichtert die Nachweisführung bei Auditoren. Für weiterführende Tipps zur Stärkung Ihrer Cybersicherheit lesen Sie unsere Empfehlungen zur effizienten Strukturierung Ihrer Prozesse.

Asymmetrische Kryptografie in Kombination mit sicherer Hardware ist heute Industriestandard für Identity-Management.

Setzen Sie auf Passwortlosigkeit, um Ihre Identitäten zu schützen

Passkeys markieren den Weg zu einer Authentifizierung, die Sicherheit, Einfachheit und Kostentransparenz vereint. Durch offene Standards (FIDO2) beseitigen sie Passworthürden und bieten eine moderne, nachhaltige UX.

Ein stufenweises Rollout mit sicherer Synchronisation, Backup-Mechanismen und Zero-Trust-Governance sichert die erfolgreiche Einführung und schnellen ROI.

Unsere Expertinnen und Experten stehen bereit, um Ihre Authentifizierungsprozesse zu auditieren, die FIDO2-Integrationsstrategie auf Ihre Bedürfnisse abzustimmen und Ihr Team in jeder Projektphase zu begleiten.

Besprechen Sie Ihre Herausforderungen mit einem Edana-Experten

Von Jonathan

Technologie-Experte

VERÖFFENTLICHT VON

Jonathan Massa

Als Spezialist für digitale Beratung, Strategie und Ausführung berät Jonathan Organisationen auf strategischer und operativer Ebene im Rahmen von Wertschöpfungs- und Digitalisierungsprogrammen, die auf Innovation und organisches Wachstum ausgerichtet sind. Darüber hinaus berät er unsere Kunden in Fragen der Softwareentwicklung und der digitalen Entwicklung, damit sie die richtigen Lösungen für ihre Ziele mobilisieren können.

FAQ

Häufige Fragen zu Passkeys

Welche technischen Voraussetzungen sind für den Einsatz von Passkeys im Unternehmen erforderlich?

Für die Bereitstellung von Passkeys muss die Infrastruktur FIDO2 (WebAuthn und CTAP) unterstützen. Die Backend-Endpunkte müssen so konfiguriert werden, dass sie öffentliche Schlüssel verifizieren. Jeder Arbeitsplatz oder jedes Gerät erfordert ein sicheres Modul (TPM, Secure Enclave oder TrustZone). Schließlich sind ein kompatibler Authentifizierungsserver und dedizierte Bibliotheken erforderlich, um die kryptografischen Abläufe in Ihre internen Anwendungen zu integrieren.

Wie kann die sichere Synchronisation von Passkeys zwischen Geräten gewährleistet werden?

Die Synchronisation der Passkeys erfolgt verschlüsselt über Cloud-Dienste (iCloud Keychain oder Android-Backup) oder über selbstgehostete Open-Source-Manager. Private Schlüssel bleiben sowohl während der Übertragung als auch im Ruhezustand verschlüsselt. Es ist entscheidend, den Registrierungs- und Wiederherstellungsworkflow zu dokumentieren und Passkeys nur auf authentifizierte Geräte zu übertragen, wobei Governance-Richtlinien einzuhalten sind, um das Risiko von Datenlecks oder unbefugtem Zugriff zu vermeiden.

Wie wird der Fallback im Fall des Verlusts oder Diebstahls des Hauptgeräts gehandhabt?

Im Falle eines Verlusts oder Diebstahls des Hauptgeräts sollte ein Notfallplan Einmalkenncodes, temporäre OTPs oder einen dedizierten Support-Prozess vorsehen. Einige Organisationen generieren dynamische QR-Codes über eine interne Appliance, um eine sichere Neukonfiguration ohne öffentliche Cloud zu gewährleisten. Diese Mechanismen müssen bereits in der Planungsphase definiert werden, um eine schnelle Wiederherstellung zu ermöglichen und Unterbrechungen des Zugriffs auf kritische Dienste zu minimieren.

Können Passkeys in eine bestehende SSO- oder Verzeichnislösung eingebunden werden?

Passkeys lassen sich über Standardprotokolle (OpenID Connect, SAML) nativ in SSO-Lösungen und Unternehmensverzeichnisse integrieren. Identity- und Access-Management-Systeme (IAM) können um WebAuthn-Unterstützung erweitert werden. Eine klare Governance ermöglicht das Provisioning oder die Sperrung von Passkeys direkt aus dem zentralen Verzeichnis und bietet feinkörnige Zugriffskontrollen. Diese Integration vereinfacht die Administration und stärkt die Konsistenz von Zero-Trust-Richtlinien über alle Anwendungen hinweg.

Welche konkreten Vorteile ergeben sich hinsichtlich der Optimierung des IT-Supports?

Die Abschaffung von Passwörtern führt in der Regel zu einer Reduzierung von 80 bis 90 % der Passwort-zurücksetz-Tickets. IT-Teams gewinnen wertvolle Zeit für Projekte mit höherem Mehrwert, und externe Supportkosten sinken. Dieser Produktivitätsgewinn schlägt sich in der Umverteilung von Vollzeitkapazitäten auf strategische Initiativen statt in den Zugangserhalt nieder und verbessert so den Gesamtnutzen der Transformation.

Besteht bei proprietären Cloud-Lösungen die Gefahr eines Vendor Lock-ins?

Um einen Vendor Lock-in zu vermeiden, sollten selbstgehostete Open-Source-Passkey-Manager oder hybride Lösungen bevorzugt werden. Diese Tools bieten Konnektoren für IAM/SSO und gewährleisten die Portabilität der Schlüssel. Sie behalten die Kontrolle über Ihre Infrastruktur und Authentifizierungsdaten. Dieser Ansatz fördert Flexibilität bei gleichzeitiger Einhaltung von Sicherheits- und Compliance-Anforderungen und ermöglicht eine Weiterentwicklung nach Bedarf ohne Abhängigkeit von einer proprietären Cloud.

Wie lässt sich der Erfolg einer Passkey-Einführung bewerten?

Key Performance Indicators für ein erfolgreiches Deployment umfassen die Benutzerakzeptanzrate, die Reduzierung von IT-Tickets, die durchschnittliche Anmeldezeit und die Anzahl der Authentifizierungsvorfälle. Ein Pilotversuch ermöglicht die Kalibrierung dieser KPIs vor dem vollständigen Rollout. Der Vergleich der Daten vor und nach der Einführung verdeutlicht die Auswirkungen auf Produktivität und Sicherheit und leitet Anpassungen ein, um Abläufe und Governance zu optimieren.

Welche typischen Fehler gilt es bei der Implementierung zu vermeiden?

Vermeiden Sie Fehler wie fehlende Dokumentation der Workflows, mangelnde Benutzerschulung und Vernachlässigung von Notfallverfahren. Wird die IT-Abteilung nicht in die Governance einbezogen oder die geräteübergreifende Schlüsselverwaltung unterschätzt, kann dies zu Blockaden führen. Setzen Sie auf einen agilen und iterativen Ansatz mit eingeschränkten Pilotprojekten, um Prozesse anzupassen und eine kontrollierte, schrittweise Einführung sicherzustellen.

KONTAKTIERE UNS

Sprechen Wir Über Sie

Ein paar Zeilen genügen, um ein Gespräch zu beginnen! Schreiben Sie uns und einer unserer Spezialisten wird sich innerhalb von 24 Stunden bei Ihnen melden.

Edana
Eaux-Vives, Genève

ABONNIEREN SIE

Verpassen Sie nicht die Tipps unserer Strategen

Erhalten Sie unsere Einsichten, die neuesten digitalen Strategien und Best Practices in den Bereichen Marketing, Wachstum, Innovation, Technologie und Branding.

Wir verwandeln Ihre Herausforderungen in Chancen

Mit Sitz in Genf entwickelt Edana maßgeschneiderte digitale Lösungen für Unternehmen und Organisationen, die ihre Wettbewerbsfähigkeit steigern möchten.

Wir verbinden Strategie, Beratung und technologische Exzellenz, um die Geschäftsprozesse Ihres Unternehmens, das Kundenerlebnis und Ihre Leistungsfähigkeit zu transformieren.

Sprechen wir über Ihre strategischen Herausforderungen.

022 596 73 70

ÜBER UNS
Agence Digitale Edana sur LinkedInAgence Digitale Edana sur InstagramAgence Digitale Edana sur Facebook