Thought Leadership
FIDO2 und Passkeys versprechen Schutz vor Phishing. Doch in Enterprise-Infrastrukturen stoßen IT-Leiter auf komplexe Recovery- und Legacy-Probleme.
Die Umstellung der Identitäts- und Zugriffsverwaltung auf phishing-resistente Verfahren bildet im Jahr 2026 einen zentralen Baustein der unternehmensweiten IT-Sicherheitsarchitektur. Die technologische Grundlage hierfür wird durch die Standards der FIDO-Allianz und des World Wide Web Consortiums definiert, insbesondere durch FIDO2 und das zugehörige WebAuthn-Protokoll. Im theoretischen Sicherheitsmodell eliminieren Passkeys die fundamentale Schwachstelle des klassischen passwortbasierten Systems: den menschlichen Faktor beim Transfer von geheimen Zeichenketten.
Die Authentifizierung basiert auf einem asymmetrischen kryptografischen Schlüsselpaar. Bei der Registrierung generiert das Endgerät des Nutzers, der sogenannte Authenticator, innerhalb eines hardwareseitig geschützten Bereichs wie dem Trusted Platform Module oder einer Secure Enclave ein neues Schlüsselpaar. Der private Schlüssel verbleibt unwiderruflich auf dem Gerät und wird niemals über das Netzwerk übertragen oder auf externen Servern gespeichert. Der zugehörige öffentliche Schlüssel wird an den Identitätsdienst des Unternehmens übermittelt.
Beim Anmeldevorgang signiert das Endgerät eine mathematische Herausforderung des Servers, nachdem sich der Nutzer lokal über Biometrie oder eine PIN verifiziert hat. Da dieses Verfahren über das Browser-Protokoll fest an die spezifische Domäne der Anwendung gebunden ist (Origin Binding), laufen Phishing-Angriffe über gefälschte Anmeldeseiten technologisch ins Leere. Selbst wenn ein Mitarbeiter getäuscht wird und die Anmeldung autorisiert, verweigert die WebAuthn-API die Signatur, da die Domäne des Angreifers nicht mit dem registrierten Schlüssel übereinstimmt.
Das Komplexitätsproblem in gewachsenen Enterprise-Infrastrukturen
Die praktische Umsetzung dieses Sicherheitsmodells stößt in der Realität etablierter Großkonzerne und mittelständischer Betriebe auf erhebliche Integrationshindernisse. Moderne Passkeys wurden primär für konsumentenorientierte Web-Anwendungen und Cloud-native Umgebungen konzipiert. Die IT-Landschaft gewachsener Unternehmen basiert jedoch zu großen Teilen auf Legacy-Infrastrukturen, lokalen Verzeichnisdiensten wie dem klassischen Microsoft Active Directory und älteren Protokollen wie Kerberos oder NTLM.
Viele proprietäre Unternehmensanwendungen, Terminalschaltkreise, SSH-Zugänge und Fat-Client-Software sind technologisch nicht in der Lage, direkt mit der WebAuthn-API zu kommunizieren. Um einen Passkey-Login in diesen Umgebungen zu ermöglichen, müssen Unternehmen komplexe Verbundarchitekturen (Identity Federation) und moderne cloudbasierte Identitätsdienste wie Microsoft Entra ID, Okta oder Ping Identity implementieren, die als Übersetzungsschicht fungieren. Diese Dienste nehmen die Passkey-Authentifizierung auf Web-Ebene entgegen und stellen anschließend ein kompatibles Kerberos-Ticket oder ein SAML-Token für die nachgelagerten Legacy-Systeme aus.
Zusätzliche Hürden entstehen beim Einsatz von Virtual Desktop Infrastrukturen (VDI) und Thin Clients. Die Weiterleitung der kryptografischen Signaturbefehle vom lokalen physischen Endpunkt über das Remote-Protokoll in die virtuelle Arbeitsumgebung erfordert spezifische Middleware-Versionen und verursacht erhebliche Latenzen oder Kompatibilitätskonflikte.
Das Risiko der Kontenwiederherstellung bei Verlust des Primärgeräts
Das gravierendste operationelle Problem beim Übergang zum passwortlosen Betrieb manifestiert sich im Fehlerszenario des Geräteverlusts. Wenn ein Mitarbeiter sein registriertes Diensthandy oder seinen Laptop verliert, auf dem der gerätegebundene Passkey hinterlegt war, ist der Zugang zu allen Unternehmensressourcen sofort blockiert. Im Consumer-Bereich wird dieses Problem durch synchrone Passkeys gelöst, bei denen die Schlüssel automatisch über die Cloud-Infrastrukturen von Apple, Google oder Microsoft auf neue Geräte gespiegelt werden.
Für Enterprise-Infrastrukturen ist diese automatische Synchronisation aus Gründen der Datensouveränität und Compliance oft strikt untersagt. Unternehmen müssen die vollständige Kontrolle darüber behalten, auf welchen physischen Geräten sich die kryptografischen Schlüssel befinden. Daher erzwingen IT-Leiter über Richtlinien den Einsatz gerätegebundener Schlüssel (Device-Bound Passkeys) oder physischer Hardware-Token wie YubiKeys. Bei einem Defekt oder Verlust des Geräts bricht die Authentifizierungskette vollständig ab.
Der IT-Support wird in der Folge von komplexen und zeitaufwendigen Account-Recovery-Prozessen überlastet. Diese manuellen Wiederherstellungspfade bilden jedoch das primäre Ziel für Social-Engineering-Angriffe. Wenn Angreifer wissen, dass sie die unhacksbare FIDO2-Schnittstelle nicht direkt überwinden können, fokussieren sie ihre Aktivitäten auf den Helpdesk. Durch gezieltes Voice-Phishing oder die Vorlage gefälschter Identitätsnachweise versuchen Kriminelle, die Support-Mitarbeiter zur Ausstellung eines temporären Umgehungscodes oder zur Registrierung eines neuen, im Besitz des Angreifers befindlichen Geräts zu bewegen, wodurch die technische Schutzwirkung der Passkeys komplett ausgehebelt wird.
Systematischer Vergleich der Sicherheits- und Betriebsparameter
Für eine objektive Bewertung der Authentifizierungsverfahren müssen die verschiedenen Optionen anhand ihrer operationalen Kennzahlen direkt gegenübergestellt werden:
| Authentifizierungs-Methode | Phishing-Resistenz | Legacy-Kompatibilität | Support-Aufwand bei Geräteverlust | Administratoren-Kontrolle |
| Klassisches Passwort | Keine; leicht durch Phishing und Brute-Force kompromittierbar | Universell gegeben in allen Systemen | Gering durch automatisierte Self-Service-Resets | Hoch über zentrale Kennwort-Richtlinien |
| SMS- oder Push-MFA | Gering; anfällig für SIM-Swapping und MFA-Fatigue-Angriffe | Gut über RADIUS- oder SAML-Gateways | Moderat; erfordert meist eine neue SIM-Karte | Hoch über den Identitätsdienst |
| Gerätegebundene Passkeys / Hardware-Token | Maximal; vollständiger Schutz durch mathematische Bindung | Eingeschränkt; erfordert moderne Verbund-Architekturen | Sehr hoch; erfordert manuelle Identitätsprüfung und Neu-Ausstellung | Maximal; Schlüssel können nicht unkontrolliert kopiert werden |
| Synchronisierte Passkeys (Cloud-Sync) | Maximal; Identität ist an die Domäne gebunden | Eingeschränkt; primär für moderne Web-Angebote | Gering; automatische Wiederherstellung via Cloud-Backup | Sehr gering; Schlüssel verlassen den Kontrollbereich der IT |
Strategischer Leitfaden für den Migrationspfad zum passwortlosen Betrieb
Um die administrative Last zu minimieren und gleichzeitig das Sicherheitsniveau nachhaltig zu steigern, müssen Unternehmen von einem abrupten Technologiewechsel absehen und stattdessen einen phasenbasierten Migrationspfad etablieren.
Der strukturierte Rollout gliedert sich in folgende strategische Teilschritte:
- Bestandsaufnahme und Protokoll-Mapping: Erfassung aller im Unternehmen eingesetzten Anwendungen und Identifizierung der Systeme, die keine native WebAuthn-Unterstützung bieten. Einrichtung von zentralen Identitätsprovidern, um als Brücke für Legacy-Anwendungen zu fungieren.
- Definition von Enterprise-Attestation-Richtlinien: Konfiguration der Authentifizierungs-Server so, dass sie nur Registrierungen von Geräten akzeptieren, die eine hardwarezertifizierte Sicherheitsebene nachweisen können. Dies blockiert das unautorisierte Speichern von Unternehmens-Passkeys in privaten Konsumenten-Cloud-Speichern.
- Etablierung eines mehrstufigen, manipulationssicheren Wiederherstellungsprozesses: Um den IT-Support gegen Social Engineering abzuhärten, darf die Kontenwiederherstellung niemals durch einen einzelnen Mitarbeiter am Telefon autorisiert werden. Notwendig sind Prozesse wie das Vier-Augen-Prinzip, bei dem die Freigabe eines temporären Zugriffstokens die digitale Bestätigung des direkten Vorgesetzten und eine verifizierte Video-Identifikation des betroffenen Mitarbeiters erfordert.
- Bereitstellung von redundanten Primär-Authentifikatoren: Zur Reduktion von Ausfallzeiten werden Schlüsselkompetenzen standardmäßig mit zwei registrierten Sicherheitsfaktoren ausgestattet, beispielsweise dem biometrischen Sensor des Dienst-Laptops als Primärfaktor und einem physischen USB-Sicherheitsschlüssel im Tresor des Mitarbeiters als direktes Fallback-Medium für den Notfall.
Die Rolle der Identitäts-Governance im kontinuierlichen Betrieb
Der erfolgreiche Abschied vom Passwort erfordert eine dauerhafte Anpassung der internen Organisationsprozesse. Passkeys verändern die Aufgabenstruktur der IT-Sicherheitsteams grundlegend. Während der Aufwand für die Überwachung von Passwort-Richtlinien und die Analyse kompromittierter Zugangsdaten sinkt, steigt die Notwendigkeit einer lückenlosen Überwachung der Registrierungs- und Recovery-Infrastrukturen.
Jede Registrierung eines neuen Authentificators muss als kritischer Sicherheitsvorfall behandelt und lückenlos protokolliert werden. Nur durch diese konsequente Verknüpfung von kryptografischer Härtung auf der Endpunktebene und restriktiver Governance bei den administrativen Prozessen lässt sich das Sicherheitsversprechen der passwortlosen Authentifizierung in komplexen Unternehmensstrukturen fehlerfrei und resilient realisieren.
