AIO APEX
Security

Passkeys: Der grundlegende Wandel hin zu einem Phishing-resistenten Unternehmen

Teilen:
Passkeys: Der grundlegende Wandel hin zu einem Phishing-resistenten Unternehmen

Die Landschaft der Unternehmenssicherheit durchläuft einen tiefgreifenden Wandel, angetrieben durch die dringende Notwendigkeit, die inhärenten Schwachstellen traditioneller Passwörter zu überwinden. Obwohl oft als verbraucherorientierte Annehmlichkeit wahrgenommen, entwickeln sich Passkeys schnell zu einem fundamentalen Bestandteil einer robusten Unternehmenssicherheitsinfrastruktur und versprechen eine Zukunft, in der Phishing-Angriffe und Credential Stuffing Relikte der Vergangenheit sind. Der FIDO Alliance Passkey Index 2025 unterstreicht diesen Paradigmenwechsel und zeigt, dass weltweit über 15 Milliarden Konten Passkeys unterstützen. Diese weit verbreitete Akzeptanz ist nicht nur ein Beweis für den technologischen Fortschritt, sondern ein klares Indiz für eine strategische Notwendigkeit für Unternehmen, ihre digitalen Grenzen zu stärken.

Tatsächlich ist die Dynamik unbestreitbar: Eine beeindruckende Zahl von 87 % der befragten Unternehmen in den USA und Großbritannien haben Passkeys entweder bereits implementiert oder sind aktiv dabei, sie zu implementieren, was ihre kritische Rolle in modernen Identitäts- und Zugriffsmanagementstrategien hervorhebt. Dieser Artikel befasst sich mit den architektonischen Vorteilen von Passkeys und untersucht, wie ihre Designprinzipien, gepaart mit der breiten Ökosystemunterstützung von Branchenriesen wie Microsoft Entra, Google und Apple, nicht nur die Benutzererfahrung verbessern, sondern die Unternehmenssicherheit grundlegend neu definieren und greifbare Vorteile wie reduzierte Supportkosten für die Anmeldung und deutlich schnellere, sicherere Benutzerauthentifizierungen bieten.

Das Passkey-Vorteil verstehen: Inhärente Phishing-Resistenz

Im Kern der transformativen Kraft von Passkeys liegt ihre inhärente Phishing-Resistenz. Im Gegensatz zu Passwörtern, die anfällig für Abfangen und Replay sind, nutzen Passkeys die Public-Key-Kryptographie, eine robuste Sicherheitsgrundlage. Wenn ein Benutzer einen Passkey erstellt, wird ein eindeutiges kryptografisches Schlüsselpaar generiert: ein privater Schlüssel, der sicher auf dem Gerät des Benutzers gespeichert ist (z. B. über Windows Hello, Apple Keychain oder Google Password Manager), und ein entsprechender öffentlicher Schlüssel, der beim Online-Dienst registriert wird. Während der Authentifizierung fordert der Dienst das Gerät heraus, das seinen privaten Schlüssel verwendet, um die Herausforderung zu signieren. Diese Signatur wird dann vom Dienst mithilfe des gespeicherten öffentlichen Schlüssels überprüft.

Dieser Prozess wird durch die FIDO2- und WebAuthn-Standards untermauert, die vorschreiben, dass die Authentifizierungszeremonie kryptografisch an den Ursprung (die spezifische Website oder Anwendung) gebunden ist. Diese „Ursprungsbindung“ ist entscheidend: Ein für example.com generierter Passkey kann nicht dazu verleitet werden, sich bei evil-phishing-site.com zu authentifizieren, selbst wenn der Benutzer dorthin gelockt wird. Der private Schlüssel verlässt niemals das Gerät, und kein gemeinsames Geheimnis (wie ein Passwort) wird jemals übertragen, was es Angreifern praktisch unmöglich macht, Anmeldeinformationen abzufangen oder auf einer bösartigen Website zu wiederholen. Dieses grundlegende Design eliminiert die häufigsten und effektivsten Angriffsvektoren gegen traditionelle passwortbasierte Systeme.

Ökosystem-Ermöglichung: Eine geeinte Front für Unternehmenssicherheit

Die unternehmensweite Tauglichkeit von Passkeys wird durch eine umfassende Ökosystemunterstützung erheblich gestärkt. Große Technologieanbieter übernehmen Passkeys nicht nur; sie integrieren sie aktiv in ihre Kernidentitätsplattformen und machen sie so für Organisationen jeder Größe zugänglich und verwaltbar.

Microsoft Entra und Windows-Integration

Microsofts Engagement für eine passwortlose Zukunft zeigt sich in der Einführung von Phishing-resistenten Passkeys innerhalb von Microsoft Entra (ehemals Azure Active Directory). Diese Integration ist besonders wirkungsvoll für Unternehmensumgebungen und ermöglicht es Organisationen, Passkeys für ihre Mitarbeiter auf Windows-Geräten bereitzustellen. Entscheidend ist, dass Microsoft Entra Passkeys über Windows Hello unterstützt und diese robuste Authentifizierungsmethode sogar auf nicht verwaltete Geräte ausweitet. Das bedeutet, dass Mitarbeiter, die persönliche Windows-Computer für die Arbeit nutzen, weiterhin Phishing-resistente Authentifizierung nutzen können, ohne eine vollständige Geräteregistrierung zu benötigen, ein erheblicher Vorteil für BYOD-Richtlinien (Bring Your Own Device) und den Zugriff von Auftragnehmern.

Google und Apple: Plattformübergreifende Allgegenwart

Über Microsoft hinaus ist die unerschütterliche Unterstützung von Google und Apple entscheidend für die geräte- und plattformübergreifende Akzeptanz. Beide Tech-Giganten haben Passkey-Funktionen tief in ihre jeweiligen Betriebssysteme und Passwortmanager (Google Password Manager, Apple Keychain) integriert. Dies stellt sicher, dass Benutzer Passkeys nahtlos auf ihren Android-, iOS-, macOS- und Chrome OS-Geräten erstellen, speichern und verwenden können. Diese allgegenwärtige Unterstützung vereinfacht die Benutzererfahrung dramatisch und macht Passkeys zu einer praktischen und benutzerfreundlichen Alternative zu Passwörtern, unabhängig vom Gerät oder Betriebssystem, das ein Mitarbeiter verwendet. Die gemeinsame Anstrengung dieser Branchenführer schafft eine leistungsstarke, interoperable Grundlage für die Passkey-Bereitstellung in Unternehmen.

Bereitstellungsmodelle: Gerätegebundene vs. synchronisierte Passkeys

Unternehmen müssen bei der Passkey-Bereitstellung wichtige Entscheidungen treffen, die hauptsächlich zwischen gerätegebundenen und synchronisierten Passkeys unterscheiden.

  • Gerätegebundene Passkeys: Diese werden ausschließlich auf einem einzigen physischen Gerät gespeichert und nicht über andere synchronisiert. Sie bieten das höchste Sicherheitsniveau, da der private Schlüssel niemals das spezifische Hardware (z. B. ein Hardware-Sicherheitsschlüssel oder ein TPM-geschütztes Windows Hello-Anmeldeinformation) verlässt. Dieses Modell ist ideal für hochsensible Konten oder Rollen, die strenge Sicherheit erfordern, bei denen der Verlust eines einzelnen Geräts andere Zugriffspunkte nicht gefährdet. Es birgt jedoch potenzielle Herausforderungen für die Benutzerfreundlichkeit und Wiederherstellung, wenn das Gerät verloren geht oder beschädigt wird.
  • Synchronisierte Passkeys: Diese werden automatisch über den Cloud-basierten Passwortmanager eines Benutzers (z. B. Apple Keychain, Google Password Manager) über dessen Geräte hinweg synchronisiert. Obwohl sie immer noch Phishing-resistent sind, wird der private Schlüssel verschlüsselt und über Geräte hinweg repliziert, was eine überlegene Bequemlichkeit und einen einfacheren Wiederherstellungspfad bietet. Für die meisten Unternehmensbenutzer bieten synchronisierte Passkeys ein ausgezeichnetes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit und reduzieren die Reibung im Vergleich zu herkömmlichen Passwörtern erheblich. Die Verschlüsselung stellt sicher, dass Passkeys auch dann geschützt bleiben, wenn der Cloud-Dienst kompromittiert wird.

Die Wahl zwischen diesen Modellen hängt oft vom Risikoprofil der Organisation, den regulatorischen Compliance-Anforderungen und den Zielen der Benutzererfahrung ab. Viele Unternehmen werden wahrscheinlich einen hybriden Ansatz verfolgen, bei dem gerätegebundene Passkeys für privilegierte Konten und synchronisierte Passkeys für den allgemeinen Zugriff der Mitarbeiter verwendet werden.

Navigation bei der Unternehmensimplementierung: Verwaltung und Wiederherstellung

Die Implementierung von Passkeys in großem Maßstab erfordert eine sorgfältige Berücksichtigung mehrerer operativer Aspekte, die über die bloße technische Integration hinausgehen.

Robuste Wiederherstellungsabläufe

Eine der Hauptanliegen für IT-Administratoren ist die Benutzerwiederherstellung. Was passiert, wenn ein Mitarbeiter alle seine Geräte mit synchronisierten Passkeys oder sein einziges Gerät mit einem gerätegebundenen Passkey verliert? Unternehmen müssen robuste, sichere Wiederherstellungsabläufe etablieren, die keine Passwortschwachstellen wieder einführen. Dies könnte eine Multi-Faktor-Authentifizierung (MFA) an eine vertrauenswürdige Wiederherstellungs-E-Mail oder Telefonnummer oder sogar eine physische Identitätsprüfung für Hochsicherheitsszenarien umfassen. Die Integration mit bestehenden Identitätsprüfungsdiensten oder Helpdesk-Verfahren wird entscheidend sein, um die Geschäftskontinuität zu gewährleisten, ohne die Sicherheitsvorteile von Passkeys zu gefährden.

Geräteverwaltung und Lebenszyklus

Die Verwaltung von Passkeys ist auch eng mit bestehenden Geräteverwaltungsstrategien verknüpft. Für gerätegebundene Passkeys benötigen IT-Teams Mechanismen, um den Zugriff von verlorenen oder gestohlenen Unternehmensgeräten zu widerrufen. Bei synchronisierten Passkeys müssen Organisationen, während der Cloud-Anbieter einen Großteil der Synchronisierung übernimmt, dennoch sicherstellen, dass Mitarbeiterkonten bei Ausscheiden ordnungsgemäß deprovisioniert werden, wodurch der Zugriff auf alle zugehörigen Passkeys widerrufen wird. Die Integration mit Mobile Device Management (MDM)- oder Unified Endpoint Management (UEM)-Lösungen wird für einen ganzheitlichen Ansatz zur Verwaltung des Identitäts- und Gerätelebenszyklus unerlässlich sein.

Integration von Conditional Access

Passkeys sind nicht nur ein Ersatz für Passwörter; sie sind ein starkes Signal, das bestehende Conditional Access-Richtlinien verbessern kann. Durch die Integration der Passkey-Authentifizierung in Conditional Access-Frameworks können Unternehmen granularere Sicherheitsrichtlinien durchsetzen. Zum Beispiel könnte der Zugriff auf sensible Anwendungen einen gerätegebundenen Passkey von einem vom Unternehmen verwalteten Gerät erfordern, während weniger sensible Ressourcen einen synchronisierten Passkey von einem nicht verwalteten Gerät zulassen könnten, vorausgesetzt, andere Bedingungen (wie Netzwerkstandort oder Gerätezustand) erfüllt sind. Dies ermöglicht es Organisationen, Zugriffsrechte dynamisch anzupassen, basierend auf der Stärke der Authentifizierungsmethode und dem Kontext des Zugriffsversuchs.

Rollout-Kompromisse und umsetzbare Erkenntnisse für Unternehmen

Der Übergang zu einem Passkey-zentrierten Authentifizierungsmodell erfordert strategische Planung und die Berücksichtigung von Kompromissen. Während die Sicherheitsvorteile immens sind, müssen Unternehmen diese mit der Benutzererfahrung und der Implementierungskomplexität in Einklang bringen. Phasenweise Rollouts, beginnend mit Pilotgruppen oder spezifischen Anwendungen, können helfen, Prozesse zu verfeinern und Benutzerfeedback zu sammeln. Eine umfassende Benutzeraufklärung ist von größter Bedeutung, um eine reibungslose Akzeptanz und das Verständnis des neuen Authentifizierungsparadigmas zu gewährleisten.

Die Daten der FIDO Alliance stärken den Business Case zusätzlich: Befragte Unternehmen berichteten von erheblichen Reduzierungen der Supportkosten für die Anmeldung und deutlich schnelleren Anmeldungen. Diese operativen Effizienzen, gepaart mit einer dramatisch verbesserten Sicherheitsposition, sind ein überzeugendes Argument für eine beschleunigte Passkey-Einführung.

Für Unternehmen, die diese Zukunft gestalten möchten, ergeben sich mehrere umsetzbare Erkenntnisse:

  • Entwickeln Sie eine strategische Roadmap: Planen Sie einen phasenweisen Rollout und identifizieren Sie kritische Anwendungen und Benutzergruppen für die anfängliche Passkey-Bereitstellung.
  • Priorisieren Sie die Integration des Identitätsanbieters: Nutzen Sie bestehende Identitätsanbieter wie Microsoft Entra, die native Passkey-Unterstützung und Verwaltungsfunktionen bieten.
  • Etablieren Sie robuste Wiederherstellungsverfahren: Entwerfen Sie sichere und benutzerfreundliche Wiederherstellungsabläufe, die die Integrität der Passkey-Sicherheit nicht gefährden.
  • Integrieren Sie die Geräteverwaltung: Stellen Sie sicher, dass das Passkey-Lebenszyklusmanagement mit Ihren MDM/UEM-Strategien für Unternehmens- und BYOD-Geräte abgestimmt ist.
  • Schulen Sie Ihre Mitarbeiter: Bieten Sie klare, prägnante Schulungen und Unterstützung an, um Benutzern zu helfen, Passkeys effektiv zu verstehen und zu übernehmen.
  • Nutzen Sie Conditional Access: Verwenden Sie Passkeys als starkes Authentifizierungssignal, um Ihre Conditional Access-Richtlinien für eine granulare Sicherheitsdurchsetzung zu verbessern und zu verfeinern.

Passkeys stellen mehr als nur eine neue Anmeldemethode dar; sie bedeuten ein grundlegendes architektonisches Upgrade für das Identitäts- und Zugriffsmanagement in Unternehmen. Durch die strategische Integration von Passkeys können Unternehmen entschlossen auf eine wirklich Phishing-resistente Zukunft zusteuern, ihre Vermögenswerte sichern, ihre Mitarbeiter stärken und den operativen Aufwand, der mit der traditionellen Passwortverwaltung verbunden ist, erheblich reduzieren.

cybersecuritypasskeyspasswordlessauthenticationphishing-resistanceenterprise-securityFIDO2WebAuthnMicrosoft Entraidentity management
Teilen:
Passkeys für Unternehmenssicherheit: Phishing-Resistenz und operative Vorteile | AIO APEX