Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Passkeys im Unternehmen einführen: Der pragmatische Leitfaden - Cybersicherheit und digitaler Schutz
Netzwerk- & Endpoint Security

Passkeys im Unternehmen einführen: Der pragmatische Leitfaden

Passkeys ersetzen Passwörter durch kryptographisch sichere, gerätebundene Schlüssel. Dieser Leitfaden erklärt wie Passkeys funktionieren, wie die Einführung in Microsoft 365, Google Workspace und anderen Unternehmensumgebungen funktioniert, welche Herausforderungen es gibt und wie man Mitarbeiter auf den Wechsel vorbereitet.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
8 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Passkeys revolutionieren die Authentifizierung, indem sie Passwörter durch kryptographisch sichere, gerätegebundene Schlüssel ersetzen und so Phishing-Angriffe sowie Datenlecks effektiv verhindern. Unternehmen können diese Technologie nahtlos in ihre bestehenden Umgebungen integrieren, beispielsweise in Microsoft 365 über den Microsoft Authenticator oder FIDO2-Hardware-Token wie den YubiKey 5 NFC. Für eine schrittweise Einführung empfiehlt sich die Aktivierung der "Passkey (FIDO2)"-Funktion in Entra ID und die Nutzung von Conditional Access Policies, um eine Pilotgruppe von 10-50 Nutzern zur Registrierung zu motivieren. Google Workspace bietet ebenfalls eine einfache Aktivierung über die Admin Console und unterstützt geräteübergreifende Anmeldungen via QR-Code, was den Komfort erheblich steigert.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (4 Abschnitte)

Passkeys sind die technologische Antwort auf das Passwort-Problem: Sie sind phishing-resistent, können nicht geleakt werden und bieten trotzdem komfortablere Nutzererfahrung als Passwörter. Seit Apple, Google und Microsoft die Passkey-Infrastruktur in ihren Ökosystemen integriert haben, ist der Unternehmenseinsatz realistisch geworden.

Passkeys erklärt - ohne Kryptographie-Vorlesung

Altes System (Passwort)

  • Server speichert: Passwort-Hash (oder schlimmer: Klartext)
  • User sendet: Passwort → Server vergleicht Hash
  • Problem: Server kann gehackt werden → alle Hashes gestohlen
  • Problem: User nutzt gleiche Passwörter → Credential Stuffing
  • Problem: User gibt Passwort auf Phishing-Seite ein → Kompromittierung

Passkey-System (FIDO2/WebAuthn)

Registrierung (einmalig):

  1. Gerät generiert Schlüsselpaar: privat + öffentlich
  2. Privater Schlüssel: BLEIBT auf dem Gerät (verlässt es nie!)
  3. Öffentlicher Schlüssel + Domain: Server speichert das

Anmeldung:

  1. Server: “Hier ist eine Challenge für user@company.com
  2. Gerät: Face ID / Fingerprint / PIN bestätigen
  3. Gerät signiert Challenge mit privatem Schlüssel
  4. Server prüft Signatur mit öffentlichem Schlüssel → Login!

Was wurde übertragen? Keine Passwörter, keine Geheimnisse!

  • Server-Hack: nur öffentliche Schlüssel gestohlen → wertlos
  • Phishing: privater Schlüssel ist domain-gebunden → geht nicht!
  • Credential Stuffing: kein Passwort das gestopft werden könnte

Passkeys vs. Hardware-Schlüssel

PasskeyFIDO2-Key (YubiKey)
ArtKryptographischer Schlüssel, gerätegebunden oder cloud-synchronisiertHardware-Gerät das Schlüssel enthält
StandardFIDO2FIDO2
Phishing-SchutzJaJa
UnterschiedBequemer, ggf. Cloud-SyncMehr Kontrolle, höchste Sicherheit

Passkeys in Microsoft 365 aktivieren

Option 1: Microsoft Authenticator als Passkey (einfachste Variante)

Passkey im Microsoft Authenticator auf Smartphone gespeichert - Face ID / Fingerprint entsperrt Passkey, kein Hardware-Token nötig.

Aktivierung (Entra ID Admin):

  1. Entra ID → Security → Authentication Methods
  2. Microsoft Authenticator → aktivieren
  3. Feature: “Passkey (FIDO2)” → aktivieren
  4. “Show self-service registration” → ON

User-Registrierung:

  1. myaccount.microsoft.com
  2. “Security Info” → “Add method” → “Passkey”
  3. Authenticator-App: Passkey registrieren
  4. Fertig! Nächster Login: Face ID statt Passwort

Option 2: FIDO2-Hardware-Token (für Admins/privilegierte User)

YubiKey 5 NFC empfohlen (~55 EUR/Stück) - höchste Sicherheit, privater Schlüssel verlässt Hardware nie.

Bulk-Registrierung mit Temporary Access Pass (TAP):

  1. Admin erstellt TAP für jeden User (begrenzte Gültigkeit: 1-24h)
  2. User nutzt TAP für einmaligen Login
  3. User registriert eigenen FIDO2-Key / Passkey selbst
  4. TAP läuft ab → nur Passkey/FIDO2 gültig
# TAP für User erstellen:
New-MgUserAuthenticationTemporaryAccessPassMethod `
  -UserId "user@company.com" `
  -LifetimeInMinutes 60 `
  -IsUsableOnce $true

Option 3: Windows Hello for Business (PC-gebunden)

Passkey im TPM-Chip des PCs - PIN/Fingerprint/Gesicht entsperrt.

Intune-Policy:
Device Configuration → Endpoint Protection → Windows Hello for Business
→ Configure: Yes, PIN length min 6, biometrics: allowed

Conditional Access für Passkeys

Neue CA-Policy “Passkey als bevorzugte Methode”:

  • Users: Pilot-Gruppe (10-50 User)
  • Authentication Strength: Phishing-resistant MFA
  • Erlaubt: FIDO2, Windows Hello, Certificate-based
  • Motiviert: wenn Passkey registriert, nahtloser Login

Google Workspace Passkeys

Admin-Aktivierung (Google Admin Console)

  1. Security → Authentication → Passwordless sign-in
  2. “Allow users to skip passwords at sign-in using passkeys”: ON
  3. Optional: “Require passkeys” (nur nach vollständigem Rollout!)

User-Einrichtung

  • myaccount.google.com → Sicherheit → “Passkeys”
  • “Create a passkey” auf dem aktuellen Gerät
  • iOS: iCloud Keychain (über alle Apple-Geräte synchronisiert)
  • Android: Google Password Manager
  • Windows: Windows Hello oder FIDO2-Token

Geräteübergreifende Nutzung (Cross-Device Authentication)

Problem: Passkey auf iPhone - was wenn ich am Windows-PC einloggen will?

Lösung: Cross-Device Authentication (CDA)

  1. PC zeigt QR-Code beim Login
  2. Smartphone scannt QR-Code (via Bluetooth Proximity Check!)
  3. iPhone entsperrt Passkey → Login auf PC!
  4. Funktioniert auch: iPhone-Passkey für Login auf Chrome/Windows

Passkeys in 1Password / Bitwarden (Enterprise)

  • Passkeys in Enterprise Password Manager speichern
  • Vorteil: zentrale IT-Verwaltung, kein Geräteverlust-Problem
  • 1Password Business: Passkey-Unterstützung seit 2023
  • Bitwarden: seit Version 2023.10

Herausforderungen und Lösungen

1. “Was wenn ich das Gerät verliere / kaputtgeht?”

  • Mehrere Passkeys registrieren (Smartphone + PC + Backup-Token)
  • Fallback: TOTP oder Passwort als Backup-Methode behalten (während Rollout)
  • Cloud-Sync: Apple iCloud Keychain / Google synchronisiert über Geräte
  • IT: Admin kann Passkey zurücksetzen und neuen registrieren lassen (TAP)
  • Keine Panik: Passkeys können jederzeit re-registriert werden!

2. “Alte Systeme unterstützen kein WebAuthn”

Legacy-Anwendungen (SAP, ältere Webapps) kennen kein Passkey.

  • Single Sign-On (SSO): Passkey-Login bei Entra ID → SSO in Legacy via SAML/OIDC
  • User meldet sich einmal mit Passkey an → alle SSO-fähigen Apps ohne erneuten Login
  • Für wirklich alte Apps: Passwort als Fallback, aber Passkey für Entra ID selbst

3. “Nicht alle Mitarbeiter haben Smartphone oder biometrisches Endgerät”

  • Hardware-FIDO2-Token (YubiKey): funktioniert ohne Smartphone
  • Windows Hello PIN (kein Fingerprint nötig): nur PIN-Eingabe
  • Kosten: ~55 EUR/User für YubiKey

4. “BYOD: Passkey auf privatem iPhone mit Firmenkonto”

iCloud-Keychain auf privatem iPhone für Firmen-Google-Account - IT-Kontrolle über private Geräte?

  • Passkey auf privatem Gerät = akzeptable Lösung (Passkey ist stärker als Passwort!)
  • MDM für Passkey-Management: nutze eigene FIDO2-Keys für maximale Kontrolle
  • Praktische Empfehlung: BYOD mit iCloud-Passkey >> BYOD mit TOTP

Rollout-Plan

ZeitraumMaßnahme
Woche 1Pilot mit 10-20 IT-affinen Mitarbeitern
Woche 2-4Feedback sammeln, Dokumentation schreiben
Monat 2Alle Tech-User (Entwickler, IT-Abteilung)
Monat 3Rest des Unternehmens
Monat 6Legacy-Methoden abschalten (Passwort + TOTP)
Monat 12Vollständig Passkey-Only (mit Fallback für Notfälle)

Kommunikation an Mitarbeiter

E-Mail-Template:

  • Betreff: “Neues Login-System: Einfacher und sicherer”
  • Was ändert sich: Fingerabdruck/Gesicht statt Passwort
  • Warum: deutlich sicherer und schneller
  • Wie: Anleitung mit Screenshots
  • Hilfe: IT-Helpdesk erreichbar unter …
  • Deadline: ab [Datum] empfohlen, ab [Datum+90 Tage] Pflicht

Passkeys sind die Zukunft der Authentifizierung - und die Zukunft ist jetzt. AWARE7 unterstützt bei der strategischen Planung und technischen Implementierung von Passkeys im Unternehmenskontext.

Passkey-Beratung anfragen | Identity & Access Management

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung