Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Passkeys im Unternehmen einführen: Der pragmatische Leitfaden - Cybersicherheit und digitaler Schutz
Netzwerk- & Endpoint Security

Passkeys im Unternehmen einführen: Der pragmatische Leitfaden

Passkeys in Microsoft 365 und Google Workspace einführen: Herausforderungen und Mitarbeiter-Vorbereitung für den passwortlosen Wechsel.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
8 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Passkeys revolutionieren die Authentifizierung, indem sie Passwörter durch kryptographisch sichere, gerätegebundene Schlüssel ersetzen und so Phishing-Angriffe sowie Datenlecks effektiv verhindern. Unternehmen können diese Technologie nahtlos in ihre bestehenden Umgebungen integrieren, beispielsweise in Microsoft 365 über den Microsoft Authenticator oder FIDO2-Hardware-Token wie den YubiKey 5 NFC. Für eine schrittweise Einführung empfiehlt sich die Aktivierung der "Passkey (FIDO2)"-Funktion in Entra ID und die Nutzung von Conditional Access Policies, um eine Pilotgruppe von 10-50 Nutzern zur Registrierung zu motivieren. Google Workspace bietet ebenfalls eine einfache Aktivierung über die Admin Console und unterstützt geräteübergreifende Anmeldungen via QR-Code, was den Komfort erheblich steigert.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (4 Abschnitte)

Passkeys sind die technologische Antwort auf das Passwort-Problem: Sie sind phishing-resistent, können nicht geleakt werden und bieten trotzdem komfortablere Nutzererfahrung als Passwörter. Seit Apple, Google und Microsoft die Passkey-Infrastruktur in ihren Ökosystemen integriert haben, ist der Unternehmenseinsatz realistisch geworden.

Passkeys erklärt - ohne Kryptographie-Vorlesung

Altes System (Passwort)

  • Server speichert: Passwort-Hash (oder schlimmer: Klartext)
  • User sendet: Passwort → Server vergleicht Hash
  • Problem: Server kann gehackt werden → alle Hashes gestohlen
  • Problem: User nutzt gleiche Passwörter → Credential Stuffing
  • Problem: User gibt Passwort auf Phishing-Seite ein → Kompromittierung

Passkey-System (FIDO2/WebAuthn)

Registrierung (einmalig):

  1. Gerät generiert Schlüsselpaar: privat + öffentlich
  2. Privater Schlüssel: BLEIBT auf dem Gerät (verlässt es nie!)
  3. Öffentlicher Schlüssel + Domain: Server speichert das

Anmeldung:

  1. Server: "Hier ist eine Challenge für user@company.com"
  2. Gerät: Face ID / Fingerprint / PIN bestätigen
  3. Gerät signiert Challenge mit privatem Schlüssel
  4. Server prüft Signatur mit öffentlichem Schlüssel → Login!

Was wurde übertragen? Keine Passwörter, keine Geheimnisse!

  • Server-Hack: nur öffentliche Schlüssel gestohlen → wertlos
  • Phishing: privater Schlüssel ist domain-gebunden → geht nicht!
  • Credential Stuffing: kein Passwort das gestopft werden könnte

Passkeys vs. Hardware-Schlüssel

PasskeyFIDO2-Key (YubiKey)
ArtKryptographischer Schlüssel, gerätegebunden oder cloud-synchronisiertHardware-Gerät das Schlüssel enthält
StandardFIDO2FIDO2
Phishing-SchutzJaJa
UnterschiedBequemer, ggf. Cloud-SyncMehr Kontrolle, höchste Sicherheit

Passkeys in Microsoft 365 aktivieren

Option 1: Microsoft Authenticator als Passkey (einfachste Variante)

Passkey im Microsoft Authenticator auf Smartphone gespeichert - Face ID / Fingerprint entsperrt Passkey, kein Hardware-Token nötig.

Aktivierung (Entra ID Admin):

  1. Entra ID → Security → Authentication Methods
  2. Microsoft Authenticator → aktivieren
  3. Feature: "Passkey (FIDO2)" → aktivieren
  4. "Show self-service registration" → ON

User-Registrierung:

  1. myaccount.microsoft.com
  2. "Security Info" → "Add method" → "Passkey"
  3. Authenticator-App: Passkey registrieren
  4. Fertig! Nächster Login: Face ID statt Passwort

Option 2: FIDO2-Hardware-Token (für Admins/privilegierte User)

YubiKey 5 NFC empfohlen (~55 EUR/Stück) - höchste Sicherheit, privater Schlüssel verlässt Hardware nie.

Bulk-Registrierung mit Temporary Access Pass (TAP):

  1. Admin erstellt TAP für jeden User (begrenzte Gültigkeit: 1-24h)
  2. User nutzt TAP für einmaligen Login
  3. User registriert eigenen FIDO2-Key / Passkey selbst
  4. TAP läuft ab → nur Passkey/FIDO2 gültig
# TAP für User erstellen:
New-MgUserAuthenticationTemporaryAccessPassMethod `
  -UserId "user@company.com" `
  -LifetimeInMinutes 60 `
  -IsUsableOnce $true

Option 3: Windows Hello for Business (PC-gebunden)

Passkey im TPM-Chip des PCs - PIN/Fingerprint/Gesicht entsperrt.

Intune-Policy:
Device Configuration → Endpoint Protection → Windows Hello for Business
→ Configure: Yes, PIN length min 6, biometrics: allowed

Conditional Access für Passkeys

Neue CA-Policy "Passkey als bevorzugte Methode":

  • Users: Pilot-Gruppe (10-50 User)
  • Authentication Strength: Phishing-resistant MFA
  • Erlaubt: FIDO2, Windows Hello, Certificate-based
  • Motiviert: wenn Passkey registriert, nahtloser Login

Google Workspace Passkeys

Admin-Aktivierung (Google Admin Console)

  1. Security → Authentication → Passwordless sign-in
  2. "Allow users to skip passwords at sign-in using passkeys": ON
  3. Optional: "Require passkeys" (nur nach vollständigem Rollout!)

User-Einrichtung

  • myaccount.google.com → Sicherheit → "Passkeys"
  • "Create a passkey" auf dem aktuellen Gerät
  • iOS: iCloud Keychain (über alle Apple-Geräte synchronisiert)
  • Android: Google Password Manager
  • Windows: Windows Hello oder FIDO2-Token

Geräteübergreifende Nutzung (Cross-Device Authentication)

Problem: Passkey auf iPhone - was wenn ich am Windows-PC einloggen will?

Lösung: Cross-Device Authentication (CDA)

  1. PC zeigt QR-Code beim Login
  2. Smartphone scannt QR-Code (via Bluetooth Proximity Check!)
  3. iPhone entsperrt Passkey → Login auf PC!
  4. Funktioniert auch: iPhone-Passkey für Login auf Chrome/Windows

Passkeys in 1Password / Bitwarden (Enterprise)

  • Passkeys in Enterprise Password Manager speichern
  • Vorteil: zentrale IT-Verwaltung, kein Geräteverlust-Problem
  • 1Password Business: Passkey-Unterstützung seit 2023
  • Bitwarden: seit Version 2023.10

Herausforderungen und Lösungen

1. "Was wenn ich das Gerät verliere / kaputtgeht?"

  • Mehrere Passkeys registrieren (Smartphone + PC + Backup-Token)
  • Fallback: TOTP oder Passwort als Backup-Methode behalten (während Rollout)
  • Cloud-Sync: Apple iCloud Keychain / Google synchronisiert über Geräte
  • IT: Admin kann Passkey zurücksetzen und neuen registrieren lassen (TAP)
  • Keine Panik: Passkeys können jederzeit re-registriert werden!

2. "Alte Systeme unterstützen kein WebAuthn"

Legacy-Anwendungen (SAP, ältere Webapps) kennen kein Passkey.

  • Single Sign-On (SSO): Passkey-Login bei Entra ID → SSO in Legacy via SAML/OIDC
  • User meldet sich einmal mit Passkey an → alle SSO-fähigen Apps ohne erneuten Login
  • Für wirklich alte Apps: Passwort als Fallback, aber Passkey für Entra ID selbst

3. "Nicht alle Mitarbeiter haben Smartphone oder biometrisches Endgerät"

  • Hardware-FIDO2-Token (YubiKey): funktioniert ohne Smartphone
  • Windows Hello PIN (kein Fingerprint nötig): nur PIN-Eingabe
  • Kosten: ~55 EUR/User für YubiKey

4. "BYOD: Passkey auf privatem iPhone mit Firmenkonto"

iCloud-Keychain auf privatem iPhone für Firmen-Google-Account - IT-Kontrolle über private Geräte?

  • Passkey auf privatem Gerät = akzeptable Lösung (Passkey ist stärker als Passwort!)
  • MDM für Passkey-Management: nutze eigene FIDO2-Keys für maximale Kontrolle
  • Praktische Empfehlung: BYOD mit iCloud-Passkey >> BYOD mit TOTP

Rollout-Plan

ZeitraumMaßnahme
Woche 1Pilot mit 10-20 IT-affinen Mitarbeitern
Woche 2-4Feedback sammeln, Dokumentation schreiben
Monat 2Alle Tech-User (Entwickler, IT-Abteilung)
Monat 3Rest des Unternehmens
Monat 6Legacy-Methoden abschalten (Passwort + TOTP)
Monat 12Vollständig Passkey-Only (mit Fallback für Notfälle)

Kommunikation an Mitarbeiter

E-Mail-Template:

  • Betreff: "Neues Login-System: Einfacher und sicherer"
  • Was ändert sich: Fingerabdruck/Gesicht statt Passwort
  • Warum: deutlich sicherer und schneller
  • Wie: Anleitung mit Screenshots
  • Hilfe: IT-Helpdesk erreichbar unter ...
  • Deadline: ab [Datum] empfohlen, ab [Datum+90 Tage] Pflicht

Passkeys sind die Zukunft der Authentifizierung - und die Zukunft ist jetzt. AWARE7 unterstützt bei der strategischen Planung und technischen Implementierung von Passkeys im Unternehmenskontext.

Passkey-Beratung anfragen | Identity & Access Management

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

E-Mail
PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

11 Publikationen
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV