Passkeys im Unternehmen: Wenn die Schatten-IT die Passwortlosigkeit sabotiert

Konzerne stellen auf sichere Passkeys um, doch inoffizielle Apps der Fachabteilungen nutzen weiter schwache Passwörter. Wie IT-Leiter die Lücke schließen.

Die Absicherung von Firmennetzwerken gleicht seit jeher einem Wettlauf gegen digitale Angreifer. Um Diebstähle von Zugangsdaten und gefälschte Anmeldeseiten endgültig zu unterbinden, setzen moderne Unternehmen verstärkt auf eine fundamentale Neuerung: das passwortlose Arbeiten. Das technische Fundament hierfür sind sogenannte Passkeys. Im zentralen Firmennetzwerk funktioniert dieser Schutz hervorragend.

Doch abseits der offiziellen IT-Infrastruktur stoßen Sicherheitsverantwortliche auf ein unbemerktes Problem. Während die Haupteingänge der Konzerne mit modernster Technologie verriegelt werden, nutzen nachgelagerte Programme und von den Fachabteilungen eigenständig abonnierte Cloud-Dienste weiterhin klassische, oft unsichere Passwörter. Diese Koexistenz zweier Welten hebelt den angestrebten Schutzwall aus und stellt das IT-Management vor eine neue organisatorische Aufgabe.

Passkey: Das Prinzip der modernen digitalen Haustür

Das Verfahren hinter einem Passkey lässt sich am besten mit einem hochsicheren, digitalen Handschlag vergleichen. Statt eines geheimen Wortes, das sich ein Mitarbeiter merken und in eine Maske eintippen muss, kommunizieren das Endgerät und der Server direkt miteinander. Beim Anmelden sendet der Server eine digitale Anfrage, die vom Smartphone oder Laptop des Nutzers mittels Fingerabdruck oder Gesichtserkennung freigegeben wird. Da bei diesem Prozess kein Passwort über das Internet übertragen wird, können Angreifer auch keine Zugangsdaten abfangen oder durch gefälschte E-Mails erbeuten.

In den offiziellen Kernsystemen eines Unternehmens, wie dem zentralen E-Mail-Programm oder der internen Personalsoftware, ist dieser Schutz heute Standard. Die IT-Abteilung kann die Richtlinien zentral durchsetzen. Die Gefahr verschiebt sich dadurch jedoch an die Ränder der Organisation, in die sogenannte Schatten-IT. Damit sind Software-Werkzeuge gemeint, die Mitarbeiter ohne das Wissen der IT-Leitung für ihre tägliche Arbeit nutzen, um Prozesse abzukürzen oder schnelle Ergebnisse zu erzielen.

Warum die Schatten-IT an alten Gewohnheiten festhält

Das Entstehen von Schatten-IT ist meist kein böswilliger Akt, sondern das Resultat von Pragmatismus in den Fachabteilungen. Ein Marketingteam benötigt kurzfristig ein neues Grafikwerkzeug, die Vertriebsabteilung eine Plattform zur Datenanalyse. Statt den offiziellen und oft zeitintensiven Beschaffungsweg über die IT-Abteilung zu gehen, wird die Software kurzerhand mit der Firmenkreditkarte im Internet abonniert.

Das Problem dabei ist, dass viele dieser kleineren, dezentralen Cloud-Anwendungen die moderne Passkey-Technologie auf ihrer Plattform überhaupt nicht unterstützen. Sie verlangen bei der Registrierung zwingend die Erstellung eines klassischen Passworts. Die Mitarbeiter nutzen dafür zwar ihre geschäftliche E-Mail-Adresse, vergeben aber ein selbst ausgedachtes Passwort. Der globale Sicherheitsbericht von Verizon dokumentiert Jahr für Jahr, dass genau diese Kombination aus geschäftlicher Identität und schwachem Passwort das primäre Einfallstor für Cyberkriminelle ist. Angreifer suchen gezielt nach diesen ungeschützten Nebenpfaden, um in die Systeme einzudringen.

Das logistische Problem gemeinsam genutzter Konten

Ein besonders anschauliches Risiko in der täglichen Praxis sind Gruppenkonten. Viele Fachabteilungen teilen sich den Zugang zu einer bestimmten Plattform, beispielsweise für die Verwaltung von Social-Media-Kanälen oder gemeinsamen Projektboards. Ein Passkey ist jedoch von seiner Natur her personengebunden. Er ist untrennbar mit dem physischen Gerät eines bestimmten Mitarbeiters oder dessen persönlichem Cloud-Konto verknüpft. Das einfache Teilen eines Zugangs innerhalb eines Teams von fünf Personen ist mit einem reinen Passkey logistisch kaum umsetzbar.

Die Konsequenz in den Büros ist ein Rückfall in alte, unsichere Gewohnheiten. Um die gemeinsame Nutzung der Software zu ermöglichen, wird ein einfaches Passwort erstellt und über interne Chats, Excel-Listen oder Notizzettel an die Kollegen weitergegeben. Infostealer-Schadsoftware, die sich über unbedachte Klicks auf infizierten Websites verbreitet, ist darauf spezialisiert, genau diese ungeschützten Passwörter direkt aus dem Speicher des Webbrowsers auszulesen. Sobald ein Angreifer das Passwort der vermeintlich unwichtigen Marketing-App erbeutet hat, versucht er, sich über bestehende Verknüpfungen und Schnittstellen weiter in das eigentliche Kernnetzwerk des Unternehmens vorzuarbeiten.

Praktische Lösungswege für das IT-Management

Um den passwortlosen Alltag flächendeckend und ohne Ausnahmen durchzusetzen, müssen IT-Führungskräfte Brücken bauen, die auch die Schatten-IT umschließen. Ein wirksames Werkzeug hierfür sind moderne Enterprise-Passwort-Manager. Diese Systeme fungieren als Vermittler zwischen der alten und der neuen Welt.

Das Prinzip ist einfach: Die Software generiert im Hintergrund extrem komplexe und lange Passwörter für die inoffiziellen SaaS-Tools der Fachabteilungen. Der Mitarbeiter selbst bekommt diese Kennwörter niemals zu Gesicht und muss sie sich nicht merken. Der Zugang zum Passwort-Manager selbst wird jedoch streng über einen biometrischen Passkey gesichert. Möchte der Angestellte nun das Grafiktool der Abteilung nutzen, meldet er sich per Fingerabdruck am Manager an, und das System fügt das kryptische Passwort automatisch ein. Das Erstellen unsicherer, eigener Passwörter durch die Belegschaft wird damit technisch unterbunden, während der Komfort für die Anwender steigt.

Kontrollmechanismen für den Netzwerkverkehr

Neben der Bereitstellung von Hilfswerkzeugen muss die IT-Leitung die Sichtbarkeit unregulierter Anmeldungen erhöhen. Hierzu kommen zunehmend Systeme zum Einsatz, die den ausgehenden Datenverkehr der geschäftlichen Laptops und Smartphones kontinuierlich analysieren. Diese Tools erkennen sofort, wenn sich ein Mitarbeiter auf einer neuen, im Unternehmen bisher unbekannten Cloud-Plattform registriert oder dort ein passwortbasiertes Konto einrichtet.

Sobald ein solcher Vorgang registriert wird, können automatisierte Sicherheitsregeln greifen. Der Zugriff wird so lange eingeschränkt, bis die Anwendung formal überprüft und im besten Fall über standardisierte Schnittstellen an das offizielle, passwortlose Anmeldesystem des Unternehmens angebunden wurde. Das Ziel dieser Governance ist es nicht, den Mitarbeitern nützliche Werkzeuge zu verbieten, sondern den Wildwuchs an Passwort-Inseln systematisch einzudämmen.

Einheitlicher Schutz als gesetzliche Pflicht

Die lückenlose Durchsetzung moderner Sicherheitsstandards ist durch die Verschärfung der europäischen Gesetzgebung, insbesondere durch die NIS2-Richtlinie, zu einer existenziellen Pflicht für die Geschäftsführung geworden. Die Richtlinie fordert von Unternehmen ein Risikomanagement, das dem aktuellen Stand der Technik entspricht. Ein lückenhafter Schutz, der große Teile der täglichen Datenverarbeitung in unüberwachten Schatten-Systemen belässt, wird bei offiziellen Audits als schwerwiegendes Versäumnis gewertet.

IT-Leiter müssen lückenlos dokumentieren können, dass ein einheitlich hohes Sicherheitsniveau über alle geschäftlich genutzten Anwendungen hinweg existiert. Die konsequente Beseitigung von Passwörtern in der Schatten-IT schützt das Unternehmen somit nicht nur vor gezielten Cyberangriffen, sondern bewahrt die Führungsebene auch vor rechtlichen Konsequenzen und Bußgeldern. Die Transformation zum passwortlosen Unternehmen entscheidet sich letztlich nicht an der Perfektion der Vordertür, sondern an der Entschlossenheit, mit der die Hintertüren geschlossen werden.