Passkeys gelten als die sichere und benutzerfreundliche Zukunft der Authentifizierung. Doch was bedeutet das konkret für Unternehmen? Wie lässt sich der Umstieg von klassischen Passwörtern auf Passkeys strategisch planen und technisch umsetzen? Dieser Beitrag liefert einen praxisnahen Überblick.
Warum jetzt handeln?
Unternehmen müssen heute andere Arten der Authentifizierung ihrer Nutzer an Systemen und Applikationen anbieten, als nur Username und Passwort. Hierfür haben sich über die Jahre Verfahren etabliert, die mindestens einen zweiten Faktor zusätzlich zum Passwort anbieten. Sogenannte „2-Faktor-Authentifizierung“ (2FA) hat beispielsweise eine SMS an ein mobiles Endgerät versendet oder „One Time Passwort“ Token zeigten eine Zahlenfolge an, die zusätzlich eingetippt werden musste.
Diese Verfahren sind nicht unbedingt nutzerfreundlich und aus heutiger Sicht sogar unsicher.
Hierbei ist festzuhalten, dass selbst der Einsatz von SMS oder OTP-Token immer noch besser ist, als nichts dergleichen einzusetzen. Eine Anmeldung nur mit Username und Passwort an Systemen und Applikationen ist schlichtweg nicht mehr notwendig und vor dem Hintergrund immer ausgefeilterer Methoden von Kriminellen schlichtweg gefährlich. Es reicht vor dem Hintergrund von im Darknet angebotener Toolkits, die Social Hacking im industriellen Maßstab anbieten und KI-Technologie, die immer ausgefeiltere Mails erstellt, einfach nicht aus, wie früher die eigenen Systeme und Applikationen abzusichern. „Awareness“-Kampagnen und Sensibilitätsschulungen sind weiterhin sinnvoll, aber vor dem Hintergrund der schnellen Technologieadaption Krimineller als einzige Maßnahme nicht mehr ausreichend.
Über die Zeit hat die FIDO-Allianz neue Wege beschritten, um eine Möglichkeit zu schaffen, das Passwort an sich abzuschaffen, etwas gegen Phishing-Attacken zu entwickeln und dabei die Nutzerfreundlichkeit nicht zu vergessen. Eine dieser Entwicklungen sind „Passkeys“.
Passkeys sind phishingsicher, passwortfrei und bieten ein konsistentes Nutzererlebnis über verschiedene Geräte und Plattformen hinweg. Mit dem zunehmenden Support durch Apple, Google, Amazon, Paypal, Microsoft & Co. haben die großen Serviceanbieter bereits Möglichkeiten geschaffen, viele Services mit einem Passkey abzusichern und dem Nutzer die Möglichkeit zu geben, sich nur noch mit einem Passkey anzumelden.
Hierbei wurde auch die Möglichkeit geschaffen, einen solchen Passkey nicht nur auf einem Gerät einzusetzen (sog. „device bound“), sondern einen erstellten Passkey auch auf anderen Geräten zum Einsatz zu bringen, wenn diese sich am gleichen Service anmelden („synced passkey“). Damit kann jeder Nutzer entscheiden, ob er für jedes Gerät einen eigenen Passkey nutzen möchte, oder einen erstellten Passkey über mehrere Endgeräte verteilen möchte.
Mit der Erfahrung, die Nutzer in ihrem privaten Umfeld machen, steigt der Druck auf Unternehmen, ihren Nutzer die gleiche, gute Nutzererfahrung anzubieten.
Die Einführung von Passkeys (oder anderer Authentifizierungsmethoden) passiert nicht über Nacht und ein strukturiertes Vorgehen ist Pflicht, um am Ende das Schutzniveau zu erreichen, das erreicht werden soll.
Anbei eine Übersicht des MTRIX-Vorgehensmodells, das sich in der Vergangenheit sehr bewährt hat.
Lassen Sie sich unverbindlich beraten!
Sie haben Fragen oder möchten die beste Lösung für Ihr Unternehmen finden? Unsere Experten stehen Ihnen zur Seite.
Schritt 1: Zieldefinition und Use-Case-Cluster (was soll erreicht werden)
Nicht jede Anwendung benötigt dieselbe Sicherheitsstufe. Es müssen Szenarien definiert und Use-Cases identifiziert werden:
- Zum Beispiel interner Zugriff auf Office-Anwendungen
- Welche externen Zugriffe auf Cloud-Anwendungen / externe Anwendungen müssen abgesichert werden
- Welche Gerätezugriffe müssen abgesichert werden: Mobile- und Desktop-Nutzung
- Welche Geräte werden eingesetzt: Beispielsweise unternehmenseigene Hardware (COPE) oder private Geräte (BYOD)
Schritt 2: Ist-Analyse der bestehenden Authentifizierungslandschaft
Es sollte zunächst geklärt werden:
- Welche Authentifizierungsmethoden werden derzeit genutzt?
- Welche Plattformen und Systeme müssen integriert werden?
- Wie ist die User Journey beim Login aktuell aufgebaut?
Schritt 3: Entscheidung für die richtige Passkey-Strategie
- Synchronisierte Passkeys: Benutzerfreundlich, ideal für Mobilgeräte & Cloud-Infrastrukturen
- Device-bound Passkeys (z. B. mit Security-Token von Yubico, Swissbit, Feitian oder anderen Herstellern): Höchste Sicherheit, besonders geeignet für kritische Anwendungen
Schritt 4: Infrastruktur vorbereiten
- Unterstützen die zu schützenden Systeme/Applikationen FIDO2/WebAuthn?
- Ist der Rollout zentral steuerbar?
- Sollen Passkeys über Security Keys oder Betriebssystemfunktionen bereitgestellt werden?
- Welche Authentifizierungsplattformen sind bereits im Unternehmen und können die Anforderungen erfüllen oder ist es sinnvoller, eine neue zentrale Plattform einzusetzen? Lösungen wie OpenText Authentication, HID DigitalPersona, Veridium oder Authlite können hier mit flexiblen Integrationen und vielfältigen Methoden unterstützen. Bei reiner Cloudnutzung macht der Einsatz von Entra ID oder Google Mechanismen Sinn.
Schritt 5: Schulung & Awareness
Die Einführung neuer Authentifizierungstechnologien ist auch ein Kommunikationsthema. Mitarbeitende müssen verstehen:
- Warum Passkeys sicherer und einfacher sind
- Wie sie genutzt werden
- Was bei Geräteverlust oder Wechsel zu tun ist
Schritt 6: Pilotphase & Skalierung
- Pilot mit technikaffinen Teams starten
- Feedback einholen & Anpassungen vornehmen
- Skalierter Rollout mit begleitender Kommunikation
Fazit
Der Umstieg auf Passkeys ist nicht nur eine technische Umstellung, sondern ein strategisches Projekt. Unternehmen, die den Wandel jetzt einleiten, schaffen nicht nur mehr Sicherheit, sondern verbessern auch die Nutzererfahrung – intern wie extern. Wichtig ist dabei die Wahl einer offenen und flexiblen Authentifizierungsplattform, die vielfältige Verfahren – von Passkeys bis OTP – unterstützt, die ggf. einen Einsatz in Wellen ermöglicht
Die MTRIX GmbH hat in den letzten Jahren sehr viele dieser Projekte mit Kunden besprochen, geplant und umgesetzt. Dabei hat sich über die Jahre ein Erfahrungsschatz aufgebaut, der es Unternehmen erlaubt, mit der MTRIX sehr schnell zum Punkt zu kommen und eine schnelle Umsetzung zu ermöglichen.
Ein Beispiel aus der Praxis ist die Frage der Bereitstellung von Security-Tokens, wenn diese zum Einsatz kommen sollen. Es macht keinen Sinn, mehrere tausend dieser Security-Keys zu kaufen, wenn diese dann in der Unternehmenszentrale ankommen und einzeln verteilt werden müssen. Auch hierfür hat die MTRIX eine Lösung entwickelt, um nicht nur technisch schnell eine Umsetzung anbieten zu können, sondern auch die User abzuholen und mit der notwendigen Technik auszustatten, ohne dass die interne IT in kleinsten Abläufen gefangen ist.
Lassen Sie sich unverbindlich beraten!
Sie haben Fragen oder möchten die beste Lösung für Ihr Unternehmen finden? Unsere Experten stehen Ihnen zur Seite.