· magra-sec

Passkeys und FIDO2 - so machen Sie Ihr Unternehmen phishing-sicher

Passkeys und FIDO2 bieten KMU phishing-resistente Authentifizierung ohne Passwörter. Erfahren Sie, wie Sie die Technologie einführen, welche Vorteile sie bringt

Dienstleistungen IT KMU Leitfaden

Passwörter sind das schwächste Glied in der Sicherheitskette fast jedes Unternehmens. Sie werden wiederverwendet, auf Notizzetteln festgehalten, in unsicheren Dokumenten gespeichert oder schlicht zu einfach gewählt. Laut dem Verizon Data Breach Investigations Report 2025 lassen sich rund 80 Prozent aller erfolgreichen Cyberangriffe auf kompromittierte Zugangsdaten zurückführen. Für kleine und mittlere Unternehmen in Deutschland bedeutet das ein enormes Risiko, denn gerade im Mittelstand fehlen oft die Ressourcen für aufwendige Identity-Management-Systeme. Passkeys auf Basis des FIDO2-Standards versprechen hier einen echten Paradigmenwechsel: eine Anmeldung ganz ohne Passwort, die gleichzeitig deutlich sicherer ist als alles, was bisher Standard war. In diesem Artikel erfahren Sie, was hinter der Technologie steckt, warum sie gerade für KMU relevant ist und wie Sie die Einführung in Ihrem Unternehmen konkret angehen können. Digitale Sicherheitsschlüssel auf einem Schreibtisch neben einem Laptop

Was sind Passkeys und wie funktioniert FIDO2?

Passkeys basieren auf dem FIDO2-Standard, der von der FIDO Alliance entwickelt wurde und zwei technische Komponenten zusammenbringt: die Web Authentication API (WebAuthn) und das Client to Authenticator Protocol 2 (CTAP2). Im Kern ersetzt ein kryptografisches Schlüsselpaar das herkömmliche Passwort. Der private Schlüssel verbleibt dabei auf dem Gerät des Nutzers, also auf dem Smartphone, Laptop oder einem dedizierten Hardware-Security-Key. Der öffentliche Schlüssel wird beim jeweiligen Online-Dienst hinterlegt. Bei der Anmeldung signiert das Gerät eine kryptografische Challenge mit dem privaten Schlüssel, und der Server überprüft die Signatur mit dem öffentlichen Gegenstück. Das Entscheidende dabei: Es wird zu keinem Zeitpunkt ein Geheimnis wie ein Passwort oder ein Einmalcode über das Netzwerk übertragen. Die Authentifizierung am Gerät selbst erfolgt per Fingerabdruck, Gesichtserkennung oder einer lokalen PIN. Damit ist der Login nicht nur bequemer, sondern vor allem resistent gegen Phishing, denn selbst eine perfekt nachgebaute Login-Seite kann den privaten Schlüssel nicht abgreifen, weil Passkeys an die Domain des echten Dienstes gebunden sind.

Warum klassische MFA nicht mehr ausreicht

Viele Unternehmen haben in den letzten Jahren auf Multi-Faktor-Authentifizierung umgestellt und damit einen wichtigen Schritt gemacht. SMS-Codes, Authenticator-Apps und E-Mail-Bestätigungen erhöhen die Sicherheit gegenüber reinen Passwort-Logins durchaus. Das Problem: Moderne Phishing-Angriffe sind mittlerweile in der Lage, auch diese Verfahren zu umgehen. Sogenannte Adversary-in-the-Middle-Angriffe (AiTM) fangen den gesamten Authentifizierungsvorgang in Echtzeit ab, inklusive des zweiten Faktors. Der Angreifer schaltet sich zwischen Nutzer und Dienst, leitet die Login-Seite eins zu eins weiter und greift dabei sowohl Passwort als auch den eingegebenen MFA-Code ab. Für den Nutzer sieht alles völlig normal aus, doch der Angreifer hat in diesem Moment bereits eine gültige Session übernommen. Laut dem BSI-Lagebericht 2025 nehmen solche Angriffe gezielt den deutschen Mittelstand ins Visier, weil dort die Kombination aus wertvollen Daten und vergleichsweise geringem Schutzniveau besonders attraktiv ist. Passkeys lösen dieses Problem grundlegend, weil der private Schlüssel an die korrekte Domain gebunden ist und auf einer gefälschten Seite schlicht nicht funktioniert.

Die konkreten Vorteile von Passkeys für den Mittelstand

Für KMU bringen Passkeys eine Reihe praktischer Vorteile mit sich, die über die reine Sicherheit hinausgehen. Der offensichtlichste Gewinn ist der Wegfall des gesamten Passwort-Managements. Keine vergessenen Passwörter mehr, keine regelmäßigen Passwortwechsel, kein Helpdesk-Aufwand für Resets. Studien von Forrester Research zeigen, dass Passwort-Resets in mittelständischen Unternehmen durchschnittlich 30 bis 40 Prozent aller IT-Support-Anfragen ausmachen. Mit Passkeys entfällt dieser Posten nahezu vollständig. Gleichzeitig wird die Nutzererfahrung besser, weil sich Mitarbeitende per Fingerabdruck oder Gesichtserkennung in Sekundenbruchteilen einloggen, statt umständlich Passwörter einzutippen und dann noch auf einen SMS-Code zu warten. Aus Compliance-Perspektive erfüllen Passkeys die Anforderungen der DSGVO an den Stand der Technik bei der Zugriffskontrolle, und auch die NIS2-Richtlinie legt starken Wert auf robuste Authentifizierung. Wer Passkeys implementiert, ist hier auf der sicheren Seite. Person nutzt Fingerabdruck-Scanner am Laptop für sichere Anmeldung

Welche Konten sollten Sie zuerst absichern?

Die Einführung von Passkeys muss nicht auf einen Schlag für alle Mitarbeitenden und alle Systeme erfolgen. Ein priorisierter Ansatz ist deutlich praktikabler und bringt schnelle Sicherheitsgewinne. An erster Stelle stehen Administrator-Konten, denn ein kompromittierter Admin-Account kann das gesamte Unternehmensnetzwerk gefährden. Das betrifft sowohl die Verwaltung von Microsoft 365 und Entra ID als auch Zugänge zu Servern, Firewalls und Cloud-Diensten. Als zweites sollten die Microsoft-365-Konten aller Mitarbeitenden abgesichert werden, da E-Mail und Teams die häufigsten Einfallstore für Business-E-Mail-Compromise sind. Danach folgen Remote-Zugänge wie VPN-Verbindungen und Remote-Desktop-Gateways, die gerade seit der verstärkten Home-Office-Nutzung ein beliebtes Ziel darstellen. Abschließend kommen Systeme aus dem Bereich Finanzen und Personal, in denen sensible Daten verarbeitet werden. Diese gestaffelte Vorgehensweise erlaubt es, Erfahrungen zu sammeln und den Rollout bei Problemen frühzeitig anzupassen.

Schritt für Schritt: Passkeys im Unternehmen einführen

Die praktische Einführung von Passkeys gliedert sich in fünf Phasen, die auch für kleinere Unternehmen ohne dediziertes IT-Sicherheitsteam umsetzbar sind. In der ersten Phase führen Sie eine Bestandsaufnahme durch: Welche Authentifizierungsmethoden werden aktuell genutzt, welche Geräte sind im Einsatz und welche Cloud-Dienste sollen eingebunden werden? Die meisten KMU arbeiten mit Microsoft 365, wo Passkeys über Entra ID direkt aktiviert werden können. In der zweiten Phase definieren Sie eine Pilotgruppe, idealerweise bestehend aus IT-Verantwortlichen und technikaffinen Mitarbeitenden, die als erste Passkeys nutzen und Feedback geben. Phase drei umfasst die Konfiguration von Conditional-Access-Richtlinien, mit denen Sie steuern, welche Nutzergruppen phishing-resistente Authentifizierung verwenden müssen. In der vierten Phase rollen Sie Passkeys schrittweise auf weitere Abteilungen aus und schulen die Mitarbeitenden. Die fünfte und letzte Phase betrifft den dauerhaften Betrieb: Hier etablieren Sie Prozesse für verlorene Geräte, neue Mitarbeitende und sogenannte Break-Glass-Accounts, also Notfallzugänge für den Fall, dass die reguläre Authentifizierung nicht funktioniert.

Hardware-Keys oder Smartphone: Was eignet sich für KMU?

Bei der Wahl des Authenticators stehen KMU vor der Entscheidung zwischen dedizierten Hardware-Security-Keys wie dem YubiKey und der Nutzung vorhandener Smartphones. Beide Ansätze haben ihre Berechtigung, und die richtige Wahl hängt vom konkreten Einsatzszenario ab. Hardware-Keys bieten das höchste Sicherheitsniveau, weil der private Schlüssel auf einem separaten, manipulationssicheren Chip gespeichert ist und nicht extrahiert werden kann. Sie eignen sich besonders für Administratoren und Mitarbeitende mit Zugang zu kritischen Systemen. Der Nachteil sind die Anschaffungskosten von circa 25 bis 70 Euro pro Stück und der Umstand, dass der Key physisch mitgeführt werden muss. Smartphones als Authenticator sind dagegen die pragmatischere Lösung für die breite Belegschaft, weil praktisch jeder Mitarbeitende bereits ein Gerät mit Biometrie besitzt. Über Passwortmanager wie Bitwarden oder 1Password lassen sich Passkeys zudem geräteübergreifend synchronisieren, was den Komfort weiter erhöht. Für die meisten KMU empfiehlt sich eine Kombination: Hardware-Keys für privilegierte Konten, Smartphone-basierte Passkeys für alle anderen. Nahaufnahme eines Hardware-Security-Keys neben einem Smartphone

Häufige Bedenken und wie Sie ihnen begegnen

In der Praxis begegnen uns bei der IT-Sicherheitsberatung immer wieder ähnliche Fragen und Bedenken rund um Passkeys. Das häufigste Argument lautet: “Was passiert, wenn ein Mitarbeitender sein Gerät verliert?” Die Antwort ist ein durchdachter Recovery-Prozess. In Microsoft Entra ID können mehrere Passkeys pro Konto hinterlegt werden, etwa ein Smartphone und ein Backup-Hardware-Key. Zusätzlich lässt sich eine zeitlich begrenzte Wiederherstellung über alternative Methoden konfigurieren. Ein weiteres Bedenken betrifft die Kosten der Einführung. Tatsächlich sind die direkten Kosten überschaubar, denn die FIDO2-Unterstützung ist in Microsoft 365 Business Premium und den meisten Enterprise-Plänen bereits enthalten. Hardware-Keys kosten einmalig, und die eingesparten Support-Kosten für Passwort-Resets amortisieren die Investition oft innerhalb weniger Monate. Schließlich fragen sich viele, ob ihre bestehenden Systeme überhaupt kompatibel sind. Die gute Nachricht: Neben Microsoft 365 unterstützen bereits Google Workspace, Salesforce, GitHub, AWS und viele weitere Dienste Passkeys nativ. Für ältere Anwendungen ohne FIDO2-Support lassen sich Passkeys über Identity Provider wie Entra ID oder Keycloak als vorgeschaltete Authentifizierungsschicht einbinden.

Der Zusammenhang mit Zero Trust und dem BSI-Grundschutz

Passkeys fügen sich nahtlos in eine Zero-Trust-Strategie ein, denn sie adressieren einen der zentralen Grundsätze: Vertraue niemandem, verifiziere jeden Zugriff. Indem die Authentifizierung kryptografisch an ein konkretes Gerät und einen konkreten Dienst gebunden wird, ist die Identitätsprüfung wesentlich belastbarer als bei traditionellen Verfahren. Das BSI empfiehlt in seinem Management-Blitzlicht zu Passkeys ausdrücklich die Einführung passwortloser Authentifizierung und stuft Passkeys als geeignete Maßnahme für den Stand der Technik ein. Für KMU, die sich an den BSI-Grundschutz anlehnen oder ein IT-Sicherheitsaudit planen, sind Passkeys damit ein Baustein, der bei der Bewertung der Zugriffskontrolle positiv ins Gewicht fällt. In Kombination mit Conditional Access, Gerätemanagement und regelmäßigem Schwachstellenmanagement entsteht ein Sicherheitsniveau, das vor wenigen Jahren nur Großkonzernen vorbehalten war.

Jetzt handeln und den Passwort-Ballast abwerfen

Passkeys und FIDO2 sind kein Zukunftsversprechen mehr, sondern eine ausgereifte Technologie, die heute einsatzbereit ist. Für KMU bieten sie die seltene Kombination aus mehr Sicherheit und weniger Aufwand. Die Einführung muss nicht auf einen Schlag erfolgen: Beginnen Sie mit Ihren Admin-Konten und Microsoft-365-Zugängen, sammeln Sie Erfahrungen in einer Pilotgruppe und weiten Sie den Einsatz schrittweise aus. Der wichtigste Schritt ist der erste. Wenn Sie Unterstützung bei der Planung und Umsetzung benötigen, steht Ihnen die MAGRA-SEC IT-Sicherheitsberatung als kompetenter Partner zur Seite. Schützen Sie die digitalen Identitäten Ihres Unternehmens, bevor es ein Angreifer tut.