Sind Passkeys bereit für den Einsatz in Unternehmen?

Von den bekannten Tech-Corpos werden Passkeys nahezu durch die Bank weg als effektiver und bequemer Password-Ersatz angepriesen, der vor allem mit Phishing und kompromittierten Passwörtern Schluss machen soll. Die Grundidee ist einleuchtend und einfach: Die Anmeldung erfolgt mithilfe eines kryptografischen Schlüssels, der auf dem zur Anmeldung genutzten Gerät in einem speziellen Hardware-Modul sicher abgelegt ist. Um das Modul zu entsperren, kommen entweder Biometrie-Daten (z. B. der Fingerabdruck) des Benutzers oder eine PIN infrage. Für Privatanwender haben wir den aktuellen Stand von Passkeys in zwei Artikeln zur Terminologie und grundlegenden Anwendung und zu komplexeren Nutzungsszenarien bereits ausführlich beleuchtet. Für Unternehmen gelten allerdings vollkommen andere Anforderungen und Herangehensweisen in Bezug auf die Cybersicherheit. Wie gut eignen sich also Passkeys und FIDO2 WebAuthn für ihren Einsatz in heutigen Unternehmensumgebungen?

Gute Gründe für den Einsatz von Passkeys in Unternehmen

Wie bei großangelegten Migrationen häufig der Fall, gehen auch einer Umstellung auf Passkeys solide unternehmerische Gründe voraus. Auf dem Papier scheinen Passkeys tatsächlich auch gleich mehrere dringende Probleme auf einmal zu lösen:

• Geringeres Angriffsrisiko durch gestohlene Mitarbeiter-Logins – tatsächlich ist die gebotene Resistenz gegenüber Phishing das stärkste Argument für Passkeys.
• Gesteigerte Abwehr anderer Angriffsarten, die auf das Ausnutzen von Anmeldetechniken setzen, wie Brute Forcing und Credential Stuffing.
• Umsetzung von Compliance-Vorschriften. In vielen Branchen schreiben Aufsichtsbehörden die Verwendung robuster Authentifizierungsmethoden für Mitarbeiter vor. Passkeys erfüllen diese Anforderungen in der Regel.
• Kostensenkung. Wenn sich ein Unternehmen für den Einsatz von Passkeys auf Laptops oder Smartphones entscheidet, kann dadurch ein hohes Maß an Sicherheit geschaffen werden, ohne dass zusätzliche Kosten für USB-Dongles, Smartcards und deren interne Verwaltung anfallen.
• Gesteigerte Mitarbeiterproduktivität. Durch reibungslose und effiziente Anmeldevorgänge sparen Mitarbeiter tagtäglich Zeit, schonen ihre Nerven und reduzieren fehlgeschlagene Anmeldeversuche. Eine Umstellung auf Passkeys sorgt in der Regel auch für die Abschaffung der allgemein als Bürde empfundenen regelmäßigen Passwortänderungen.
• Entlastung des Helpdesk-Teams durch weniger Tickets mit Bezug auf vergessene Passwörter und gesperrte Nutzerkonten. Allerdings können statt solcher Tickets durchaus neue Supportfälle entstehen, wie der Verlust eines Geräts mit gespeicherten Passkeys.

Wie viele Unternehmen nutzen bereits Passkeys?

Einem Bericht der FIDO Alliance zufolge sind bereits 87% der befragten Organisationen in den USA und Großbritannien auf Passkeys umgestiegen oder befinden sich gerade im Begriff, dies zu tun. Genaueres Hinsehen offenbart sich jedoch, dass in dieser beeindruckenden Zahl auch weitere unternehmenstypische Anmeldeoptionen wie Smartcards oder USB-Token enthalten sind. Und obwohl einige davon durchaus auf WebAuthn und Passkeys basieren, bringen diese aus unternehmerischer Sicht ihre eigenen Nuancen mit sich. So sind sie etwa vergleichsweise teuer und stellen für IT- und Sicherheits-Teams einen ständigen Aufwand dar: immerhin benötigen physische Token und Karten ihre eigenen Verwaltungsprozesse, einschließlich Ausstellung, Übergabe, Ersatz, Rücknahme und dergleichen. Was die stark beworbenen „leichten“ Lösungen auf Basis von Smartphones oder gar Cloud-Sync angeht, gaben zwar 63% der Befragten an, solche Technologien zu verwenden, das volle Ausmaß ihrer praktischen Nutzung bleibt jedoch im Dunkeln.

Firmen, die ihre gesamte Belegschaft auf die neue Technologie umstellen, sind dünn gesät. Denn so ein Prozess kann sowohl organisatorisch anspruchsvoll sein als auch kostenintensiv werden. In den allermeisten Fällen werden solche Einführungen daher auch phasenweise umgesetzt. Trotz durchaus unterschiedlicher Pilot-Strategien beginnen die meisten Unternehmen mit Mitarbeitern, die Zugriff auf geistiges Eigentum haben (39%), IT-Systeme administrieren (39%) und/oder zur obersten Führungsebene gehören (34%).

Mögliche Hürden bei der Einführung von Passkeys

Wenn eine Organisation Passkeys einführen möchte, muss sie dazu bereit sein, auch die damit einhergehenden technischen Herausforderungen anzugehen. Diese sind umfangreich und allein ihnen könnte man einen ganzen Artikel widmen. Zumindest auf die Offensichtlichsten wollen wir hier kurz eingehen:

• Es ist schwierig (und manchmal gar unmöglich) Passkeys einzuführen, wenn veraltete und isolierte IT-Systeme verwendet werden. Das gilt insbesondere bei lokalem Active Directory.
• Die Ansätze zur Speicherung von Passkeys sind durch die Ökosysteme von Apple, Google und Microsoft stark fragmentiert, was die Nutzung einer vereinheitlichten Passkey-Verwaltung über mehrere Geräte hinweg erschwert.
• Die Verwaltung wird zusätzlich erschwert, wenn ein Unternehmen die Verwendung persönlicher Geräte (BYOD) erlaubt oder umgekehrt auf strenge Regeln setzt und etwa Bluetooth verbietet.
• Bei Implementierungen, die auf physische Geräte setzen, fallen laufende Kosten für den Kauf oder das Leasing von USB-Tokens und deren Verwaltung an.
• Für Szenarios mit hohen Anforderungen an die Authentifizierung (high assurance with attestation) sind spezielle, nicht synchronisierbare Hardware-Schlüssel erforderlich (von denen auch nicht alle die Anforderungen erfüllen – mehr Informationen dazu bietet diese spezielle Empfehlung der FIDO Alliance).
• Mitarbeiter benötigen Schulungen und eine Aufklärung hinsichtlich ihrer Bedenken zur Verwendung ihrer biometrischen Daten.
• Es müssen neue, detaillierte Richtlinien für die Abteilungen IT, Cybersecurity und Helpdesk ausgearbeitet und eingeführt werden, um mit Problemen wie der Fragmentierung, veralteten Systemen und verlorenen Geräten fertig zu werden (von Schwierigkeiten beim On- und Offboarding ganz zu schweigen).

Was sagen Regulierungsbehörden über Passkeys?

Trotz all dieser Herausforderungen kann die Umstellung auf Passkeys für einige Organisationen eine ausgemachte Sache sein, wenn dies von einer Aufsichtsbehörde verlangt wird. Und tatsächlich werden Passkeys von wichtigen nationalen und branchenspezifischen Regulierungsbehörden im Allgemeinen entweder direkt oder indirekt unterstützt:

Die NIST SP 800-63 Digital Identity Guidelines erlauben die Verwendung von „synchronisierbaren Authentifikatoren“ (ein klarer Verweis auf Passkeys) für die Authenticator Assurance der Stufe 2 und von gerätegebundenen Authentifikatoren für die Authenticator Assurance der Stufe 3. Die Verwendung von Passkeys erfüllt daher die Anforderungen bei Audits nach ISO 27001, HIPAA und SOC 2.

Das PCI Security Standards Council hat in seinem Kommentar zur DSS 4.0.1 FIDO als Technologie bezeichnet, von der die Kriterien an eine Phishing-resistente Authentifizierung erfüllt werden.

Die EU Payment Services Directive 2 (PSD2) ist zwar unabhängig von zu nutzenden Technologien verfasst. Allerdings fordert auch sie eine starke Kundenauthentifizierung (SCA), Geräte auf Basis einer Public Key Infrastructure für wichtige Finanztransaktionen und eine dynamische Verknüpfung von Zahlungsdaten mit der Transaktionssignatur durch einen Authentifikator. All diese Anforderungen werden von Passkeys unterstützt.

Auch die europäischen DORA– und NIS2-Richtlinien sind technologieunabhängig und verlangen im Allgemeinen nur die Implementierung einer Multi-Faktor-Authentifizierung. Eine Anforderung, die der Passkeys-Ansatz quasi übererfüllt.

Um es kurz zu sagen: Der Einsatz von Passkeys ist aus regulatorischer Sicht zwar nicht zwingend notwendig, aber für viele Organisationen stellt er die kostengünstigste Methode dar, um die Richtlinien zu erfüllen. Ausschlaggebende Faktoren für die Verwendung von Passkeys sind außerdem die umfassende Nutzung von Cloud-Diensten und SaaS, der kontinuierliche Einzug von Passkeys in kundenorientierten Websites und Apps sowie eine gut verwaltete Unternehmensflotte von Computern und Smartphones.

Unternehmens-Roadmap für die Umstellung auf Passkeys

1. Zusammenstellen eines funktionsübergreifenden Teams. Dazu gehören IT, Cybersicherheit, Business-Eigentümer von IT-Systemen, technischer Support, Personalwesen und interne Kommunikation.
2. Inventarisieren der aktuell verwendeten Authentifizierungssysteme und deren Methoden. Es gilt festzustellen, wo WebAuthn/FIDO2 bereits unterstützt wird, welche Systeme aktualisiert werden können, wo eine Single Sign-On-Integration (SSO) implementiert werden kann und wo ein dedizierter Dienst erstellt werden muss, um neue Authentifizierungsmethoden in solche zu übersetzen, die von eigenen Systemen unterstützt werden. Auch wichtig: Muss man irgendwo weiterhin Passwörter verwenden? Wenn ja, muss dort die SOC-Überwachung intensiviert werden.
3. Festlegen einer Passkey-Strategie. Sollen Hardware-Schlüssel zum Einsatz kommen oder werden die Passkeys direkt auf Smartphones und Laptops gespeichert? Es sollten sowohl primäre Anmeldemethoden als auch Notfalloptionen wie temporäre Zugangscodes (TAP) geplant und konfiguriert werden.
4. Aktualisieren der unternehmensinternen Sicherheitsrichtlinien, um die Einführung der Passkeys zu berücksichtigen. Anmelde- und Wiederherstellungsregeln sollten detailliert aufgeschrieben werden. Für Fälle, in denen eine Umstellung auf Passkeys nicht realisiert werden kann (z. B. bei älteren Geräten ohne Passkey-Unterstützung), müssen Protokolle definiert werden. Es gilt außerdem, zusätzliche Maßnahmen umzusetzen, um eine sichere Speicherung des Passkeys zu gewährleisten. Das können etwa eine obligatorische Geräteverschlüsselung, die Verwendung biometrischer Daten, eine vereinheitlichte Verwaltung mobiler Geräte und/oder Integritätsprüfungen der Geräte im Rahmen von UEM/EMM sein.
5. Planen der Rollout-Reihenfolge für verschiedene Systeme und Benutzergruppen. Die Zeiträume sollten nicht zu kurz gewählt werden, um genug Spielraum zum Auffinden und Beheben von auftretenden Problemen zu haben.
6. Aktivieren von Passkeys in Systemen zur Zugriffsverwaltung wie Entra ID und Google Workspace und Konfiguration der zulässigen Geräte.
7. Starten eines Pilotprojekts mit einer kleinen Gruppe von Benutzern. Hier kann Feedback gesammelt und bei Bedarf der Ansatz und die Anleitungen für Benutzer verfeinert werden.
8. Schrittweises Verbinden weiterer Systeme, die Passkeys nicht nativ unterstützen, mittels SSO und anderen Methoden.
9. Schulen der Mitarbeiter. Es empfiehlt sich eine Einführungskampagne für Passkeys durchzuführen, die Benutzern klare Anweisungen an die Hand gibt. Zudem kann mit den „Champions“ eines jeden Teams zusammengearbeitet werden, um die Einführung zu beschleunigen.
10. Fortschritt verfolgen und Abläufe verbessern. Dazu sollten Nutzungsmetriken, Anmeldefehler und Support-Tickets analysiert werden. Anschließend können Zugriffs- und Wiederherstellungsrichtlinien entsprechend angepasst werden.
11. Schrittweises Abbauen veralteter Authentifizierungsmethoden, wenn deren Nutzerschaft in den einstelligen Bereich sinkt. Allem voran sollten der Versand von Einmal-Codes über unsichere Kommunikationskanäle, wie SMS oder E-Mails, eingestellt werden.