Thought Leadership
Passwordless Authentication gilt derzeit als das moderne Nonplusultra der IT-Sicherheit. Passkeys werden als ein komfortabler, moderner und vor allem sicherer Ersatz für klassische Passwörter und alternde Zwei-Faktor-Verfahren propagiert.
Doch das greift zu kurz, denn Cornelius Kölbel, Geschäftsführer der NetKnights GmbH, warnt vor einer zu unkritischen Übernahme des Passwordless-Narrativs: „Jeder spricht heute über Passwordless Authentication – aber jeder erwartet etwas anderes. Manch einer glaubt gar, passwordless bedeute, dass sich Benutzer nichts mehr merken müssen. Das ist schlicht falsch.“
Passwordless heißt nicht wissenslos
Was technisch als Revolution angesehen wird, ist aber auch eine relevante Verschiebung der Verantwortung. Passwordless bedeutet primär, dass Diensteanbieter keine Benutzerpasswörter mehr speichern müssen. Das erscheint aus Sicht großer Cloud-Anbieter wünschenswert – schließlich reduziert es das Risiko massiver Passwortlecks und damit negativer Schlagzeilen. „Wenn ein Anbieter mehrere Millionen Passwörter verliert, ist der Schaden immens – reputativ wie wirtschaftlich“, erläutert Kölbel. „Natürlich haben große Plattformen ein massives Interesse daran, dieses Risiko loszuwerden.“ Marketingseitig entsteht daraus jedoch schnell eine vermeintlich nutzerfreundliche, nahezu magische Lösung. Dabei bleibt ein entscheidender Punkt oft unerwähnt: Auch Passkeys kommen nicht ohne einen Wissensfaktor aus. „Ob Entsperrcode für ein Smartphone oder eben die PIN für einen Hardware FIDO-Token – der Benutzer muss sich weiterhin etwas merken“, stellt Kölbel klar. „Ohne diese Wissenskomponente wäre es schlicht eine Ein-Faktor-Authentifizierung, nicht Multi-Faktor.“
Biometrie: sicher – aber nicht souverän
Wer PIN oder Passwort loswerden möchte, hat doch die Möglichkeit der Biometrie zur Hand? Kölbel sieht die zunehmende Verabsolutierung von Verfahren wie Gesichtserkennung oder Fingerabdruck kritisch. „Biometrie ist bequem, keine Frage. Aber sie nimmt dem Nutzer etwas Entscheidendes: die volle Abstreitbarkeit. Ein Passwort oder eine PIN kann ich kennen – oder eben nicht. Aber mein Gesicht? Das habe ich immer dabei.“ Kölbel illustriert das mit einem alltäglichen Beispiel aus Film und Fernsehen: „In einem Actionfilm wird einem Verdächtigen einfach das Smartphone vors Gesicht gehalten – Face ID entsperrt das Gerät, fertig. Hätte er eine PIN verwendet, könnte er abstreiten, dass es sein Gerät ist.“ Gerade in einer Zeit, in der über digitale Selbstbestimmung und mündige Bürger diskutiert wird, sollte man sich genau überlegen, wie man seine Zugänge absichern möchte. Also doch wieder zurück zu passwordless mit PIN?
Kryptografisch stark – organisatorisch schwach
Aus Sicht der IT-Abteilungen ist passwordless keineswegs immer ein Gewinn. Hardware-basierte Passkeys, etwa auf USB-Token, sind kryptografisch zwar äußerst robust. In der Praxis entstehen jedoch neue Herausforderungen. „Die PIN für ein Hardware-Token kann die IT-Abteilung nicht managen“, erklärt Kölbel. „Bei 1.000 oder 10.000 Nutzern in einem Unternehmen bedeutet das: vergessene PINs, Support-Tickets, aufwendige Prozesse.“ Was für Cloud-Anbieter komfortabel ist – die vollständige Auslagerung der Verantwortung an den Nutzer – wird für interne IT-Teams schnell zum Problem. Der Experte stellt heraus: „Für den Cloud-Anbieter ist das großartig, er kann die Verantwortung abgeben: Du bist der Benutzer, kümmere dich selbst. Für eine Unternehmens-IT ist das eine echte Belastung.“
Kein One-Size-fits-All in der Authentifizierung
Daran zeigt sich, dass in vielen Umgebungen weniger die einzelne Methode entscheidet als deren praxistaugliche Einführung und Verwaltung. Statt eine spezifische Authentifizierung als einzig richtigen Weg zu propagieren, sollten Verantwortliche auf flexible Kombinationen setzen. „Es gibt kein One-Size-fits-All“, betont Kölbel. Stattdessen bieten professionelle Anbieter ein flexibles Mehrfaktor-Management, das unterschiedliche Verfahren unterstützt – von veralteten SMS oder E-Mail-Codes über noch immer verbreitete OTP-Smartphone-Apps und Hardware-Token bis eben hin zu Passkeys. „Der entscheidende Punkt ist das Management“, so Kölbel. „Wir sehen es als unsere Aufgabe an, der IT-Abteilung das Leben leichter zu machen: Prozesse zu automatisieren, Komplexität zu reduzieren und differenzierte Sicherheitsniveaus zu ermöglichen.“ So können Unternehmen je nach Benutzergruppe unterschiedliche Schwerpunkte setzen – mehr Usability hier, höhere Sicherheit dort.
Fortschritt braucht Transparenz
Kölbel versichert: „Es geht nicht darum, Passkeys oder moderne Authentifizierungsverfahren schlechtzureden. Passkeys sind technisch stark, keine Frage. Kritisch zu sehen ist jedoch die öffentliche Darstellung, nach der diese Verfahren automatisch besser, moderner und alternativlos seien.“ Jede Authentifizierungsmethode bringt Kompromisse mit sich – sei es bei Usability, Management, Datenschutz oder Nutzerautonomie. Diese müssen offen benannt und bewusst abgewogen werden. „Sicherheit ist kein Marketing-Buzzword“, fasst Kölbel zusammen. „Sicherheit ist immer auch ein Spagat. Wir helfen unseren Kunden dabei, diesen zu meistern.“
