Passkeys: Sicherheit ohne Passwort

Klassische Passwortsysteme stoßen in modernen Cloud-Umgebungen zunehmend an ihre Grenzen. Unternehmen verwalten heute hunderte digitale Identitäten – und das oft mit komplexen Anmeldeverfahren und veralteten Sicherheitsmechanismen. Passwörter gelten als eines der größten Sicherheitsrisiken. Eine Phishing-resistente Alternative, die das Passwort langfristig ablösen kann, ist der Passkey.

Laut unserer Studie Cloud-Monitor 2025 setzen 68 Prozent der Unternehmen weiterhin auf, passwortbasierte Authentifizierung. Zwar nutzen 61 Prozent zusätzlich Multi-Faktor-Authentifizierung (MFA), doch moderne Verfahren wie Passkeys oder biometrische Authentifizierung kommen bislang nur ergänzend zum Einsatz. Ein vollständiger Ersatz scheitert oft an technischen Altlasten und fehlender Integration in bestehende Systeme.

Der 2025 Data Breach Investigations Report von Verizon zeigt: Gestohlene Zugangsdaten sind die Hauptursache für Sicherheitsvorfälle. 2024 wurden über 2,8 Milliarden Passwörter – verschlüsselt oder unverschlüsselt – auf kriminellen Plattformen zum Verkauf angeboten oder öffentlich geteilt. Bei sogenannten Basic Web Application Attacks (BWAA) sind 88 Prozent der Vorfälle auf kompromittierte Zugangsdaten zurückzuführen. MFA allein reicht nicht aus – das Passwort bleibt die Schwachstelle.

Genau hier setzen Passkeys an: Sie ermöglichen eine passwortfreie Authentifizierung, die kryptografisch an Geräte gebunden und resistent gegen Phishing ist.

Passkeys sind kryptografische Schlüssel, die auf einem Gerät gespeichert und mit biometrischen Daten oder einer PIN verknüpft sind. Sie basieren auf den Standards FIDO2 (Fast Identity Online 2), WebAuthn (Web Authentification) und CTAP (Client to Authenticator Protocol). Passkeys können nicht erraten oder durch Phishing gestohlen werden. Jeder Passkey ist einzigartig für den Nutzer und den genutzten Dienst. 

Bei der Anmeldung generiert das Gerät ein Schlüsselpaar:

• Ein privater Schlüssel wird sicher auf dem Gerät gespeichert (zum Beispiel TPM bei Windows, Secure Enclave bei Apple).

• Ein öffentlicher Schlüssel wird beim Dienst hinterlegt, er enthält keine sensiblen Daten.

Die Authentifizierung erfolgt biometrisch oder per Geräte-PIN. Der Benutzer kann sich so direkt bei Online-Diensten wie zum Beispiel Paypal einloggen. Beim Login wird die aktuelle Domain (Webseite) mit der des Passkeys abgeglichen, und nur bei Übereinstimmung fortgefahren. Das verhindert die schadhafte Nutzung auf anderen Websites, und damit Phishing. Passkeys sind zudem fest mit dem jeweiligen Gerät verbunden, und lassen sich nur mit diesem verwenden. 

Passkeys helfen, Phishing-Angriffe zu verhindern, Compliance-Anforderungen, wie beispielsweise ISO 27001 und NIS2, zu erfüllen und gleichzeitig den Nutzerkomfort zu erhöhen. Große Anbieter wie Microsoft, Google und Apple unterstützen Passkeys bereits in ihren Cloud- und Identity-Systemen. 

In Kombination mit Zero-Trust-Architekturen bieten Passkeys eine zukunftsfähige Grundlage für sichere Authentifizierung in Cloud-Umgebungen. 

Wir unterstützen Unternehmen bei der strategischen und technischen Integration passwortfreier Verfahren in bestehende Cloud- und Identity-Management-Systeme – von der Konzeptentwicklung über die Pilotierung bis zur sicheren Umsetzung. Dabei berücksichtigen wir regulatorische Anforderungen, definieren Recovery-Prozesse und schulen Ihre Teams.

Passkeys sind mehr als ein Ersatz für Passwörter – sie sind ein zentraler Baustein moderner Sicherheitsstrategien. Unternehmen, die frühzeitig auf passwortfreie Verfahren setzen, stärken ihre Cyber-Resilienz, verbessern die Benutzererfahrung und erfüllen gesetzliche Vorgaben.