Passkey-Einführung: Strategischer Leitfaden für moderne Unternehmen

Passkeys bieten Schutz vor Phishing und Infostealern. Ein neues Playbook von Sophos unterstützt CISOs bei der komplexen Integration in bestehende IT-Strukturen.

Das herkömmliche Passwort wird zunehmend durch phishing-resistente Technologien ersetzt. Während Brute-Force-Angriffe und der Diebstahl von Zugangsdaten durch Infostealer-Malware Rekordwerte erreichen, rücken Passkeys als Goldstandard der Authentifizierung in den Fokus von Unternehmen. Der Sicherheitsanbieter Sophos hat am gestrigen Donnerstag ein umfassendes „CISO Playbook“ veröffentlicht, das technische Verantwortliche durch den komplexen Prozess der Implementierung führt. Ziel ist es, die technologischen Hürden und die mangelnde Akzeptanz in Belegschaften zu überwinden.

Die Erosion der klassischen Multi-Faktor-Authentifizierung

Lange Zeit galt die Multi-Faktor-Authentifizierung (MFA) als unüberwindbare Hürde für Angreifer. Doch die Realität zeigt ein anderes Bild. Cyberkriminelle haben hocheffiziente Methoden entwickelt, um selbst zeitbasierte Einmal-Passwörter (TOTP) oder Push-Benachrichtigungen zu umgehen. Techniken wie „MFA Fatigue“ (Ermüdungsangriffe durch massive Push-Anfragen) oder Session-Hijacking durch gestohlene Browser-Cookies machen herkömmliche Identitätsschutz-Maßnahmen verwundbar.

Hier setzen Passkeys an. Technisch basieren sie auf den Standards von FIDO2 und WebAuthn. Im Gegensatz zu Passwörtern, die auf einem Server gespeichert und dort gestohlen werden können, nutzen Passkeys asymmetrische Kryptografie. Auf dem Endgerät des Nutzers verbleibt ein privater Schlüssel, während der Server lediglich den öffentlichen Schlüssel kennt. Ein Phishing-Angriff läuft ins Leere, da der Nutzer keinen Code eingeben kann, den ein Angreifer abfangen könnte; die Authentifizierung ist hardwaregebunden und ortsabhängig.

Technologische Integration in den Identitäts-Stack

Für CISOs (Chief Information Security Officers) stellt die Einführung von Passkeys weniger eine Frage der Software-Auswahl dar, sondern vielmehr eine Herausforderung der Systemintegration. Die zentrale Frage lautet: Wie lassen sich Passkeys in einen bestehenden Identitäts-Stack integrieren, der oft aus einer Mischung aus Cloud-Diensten und Legacy-On-Premise-Anwendungen besteht?

Das Sophos-Playbook identifiziert hierbei drei kritische Prüffelder:

1. Kompatibilität: Nicht alle Betriebssysteme und Browser-Versionen unterstützen Passkeys in gleichem Maße. Besonders ältere Windows-Umgebungen oder spezialisierte Industrie-Software benötigen oft hybride Lösungen.
2. Speicherort: Unternehmen müssen entscheiden, ob Passkeys lokal auf dem TPM-Chip des Laptops, in einem zentral verwalteten, cloudbasierten Passwortmanager oder auf physischen Hardware-Token (z. B. YubiKeys) gespeichert werden sollen.
3. Infrastruktur-Abhängigkeit: Die Aktivierung der Funktion muss innerhalb der bestehenden Identity and Access Management (IAM)-Lösungen wie Microsoft Entra ID oder Okta synchronisiert werden.

Strategien für Speicherung und Wiederherstellung

Ein wesentlicher Schmerzpunkt bei der Umstellung auf Passkeys ist das Szenario des Geräteverlusts. Da der private Schlüssel hardwaregebunden ist, führt ein defektes Smartphone oder ein verlorener Laptop ohne Vorbereitung zum Ausschluss aus dem Firmennetzwerk.

Professionelle Implementierungen setzen daher auf zwei Säulen:

• Synchronisierte Passkeys: Hierbei werden die Schlüssel über gesicherte Cloud-Ökosysteme (z. B. Apple iCloud oder Google Password Manager) zwischen Geräten geteilt. Für viele Unternehmen ist dies aus Compliance-Gründen jedoch problematisch.
• Gerätegebundene Passkeys: Diese bieten das höchste Sicherheitsniveau, erfordern aber robuste Account-Recovery-Prozesse. Das Playbook empfiehlt die Hinterlegung von mindestens zwei Hardware-Token pro priviligiertem Nutzer oder die Nutzung von temporären „Access Pässen“ durch das IT-Support-Team.

Der menschliche Faktor: Akzeptanz durch Kommunikation

Die Einführung neuer Sicherheitstechnologien scheitert in der Praxis oft nicht an der Technik, sondern am Widerstand der Mitarbeiter. Eine Unterbrechung gewohnter Workflows wird als Behinderung wahrgenommen. Sophos betont daher die Bedeutung einer engen Kollaboration zwischen IT und Endanwendern.

Eine erfolgreiche Rollout-Strategie umfasst laut Leitfaden folgende Schritte:

• Identifikation von Early Adopters: Der Start mit einer technologieaffinen Gruppe ermöglicht es, Fehler im Prozess frühzeitig zu erkennen und positive interne Referenzen zu schaffen.
• Support-Vorbereitung: Helpdesk-Teams müssen bereits vor dem Rollout mit speziellen Skripten und Schulungen auf Anfragen zur Einrichtung und Wiederherstellung vorbereitet werden.
• Faktenbasierte Kommunikation: Widerstände müssen mit klaren Zusicherungen bezüglich des Datenschutzes und der Zeitersparnis (kein Merken komplexer Passwörter mehr) begegnet werden.

Die Kosten für die Implementierung von Passkeys stehen oft im Schatten der potenziellen Kosten eines erfolgreichen Ransomware-Angriffs, der durch kompromittierte Zugangsdaten eingeleitet wird. Durch die Eliminierung des Angriffsvektors „Phishing“ reduzieren Unternehmen ihr Cyber-Risiko enorm. Zudem entlastet der Wegfall von Passwort-Resets, statistisch eine der häufigsten Aufgaben des IT-Supports, langfristig die personellen Ressourcen.