{"id":32509,"date":"2025-08-07T13:45:07","date_gmt":"2025-08-07T11:45:07","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32509"},"modified":"2025-09-11T11:00:11","modified_gmt":"2025-09-11T09:00:11","slug":"passkey-enterprise-readiness-pros-cons","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/passkey-enterprise-readiness-pros-cons\/32509\/","title":{"rendered":"Sind Passkeys bereit f\u00fcr den Einsatz in Unternehmen?"},"content":{"rendered":"<p>Von den bekannten Tech-Corpos werden Passkeys nahezu durch die Bank weg als effektiver und bequemer Password-Ersatz angepriesen, der vor allem mit Phishing und kompromittierten Passw\u00f6rtern Schluss machen soll. Die Grundidee ist einleuchtend und einfach: Die Anmeldung erfolgt mithilfe eines kryptografischen Schl\u00fcssels, der auf dem zur Anmeldung genutzten Ger\u00e4t in einem speziellen Hardware-Modul sicher abgelegt ist. Um das Modul zu entsperren, kommen entweder Biometrie-Daten (z.\u00a0B. der Fingerabdruck) des Benutzers oder eine PIN infrage. F\u00fcr Privatanwender haben wir den aktuellen Stand von Passkeys in zwei Artikeln zur <a href=\"https:\/\/www.kaspersky.de\/blog\/full-guide-to-passkeys-in-2025-part-1\/32372\/\" target=\"_blank\" rel=\"noopener\">Terminologie und grundlegenden Anwendung<\/a> und zu <a href=\"https:\/\/www.kaspersky.de\/blog\/full-guide-to-passkeys-in-2025-part-2\/32400\/\" target=\"_blank\" rel=\"noopener\">komplexeren Nutzungsszenarien<\/a> bereits ausf\u00fchrlich beleuchtet. F\u00fcr Unternehmen gelten allerdings vollkommen andere Anforderungen und Herangehensweisen in Bezug auf die Cybersicherheit. Wie gut eignen sich also Passkeys und <a href=\"https:\/\/de.wikipedia.org\/wiki\/WebAuthn\" target=\"_blank\" rel=\"nofollow noopener\">FIDO2\u00a0WebAuthn<\/a> f\u00fcr ihren Einsatz in heutigen Unternehmensumgebungen?<\/p>\n<h2>Gute Gr\u00fcnde f\u00fcr den Einsatz von Passkeys in Unternehmen<\/h2>\n<p>Wie bei gro\u00dfangelegten Migrationen h\u00e4ufig der Fall, gehen auch einer Umstellung auf Passkeys solide unternehmerische Gr\u00fcnde voraus. Auf dem Papier scheinen Passkeys tats\u00e4chlich auch gleich mehrere dringende Probleme auf einmal zu l\u00f6sen:<\/p>\n<ul>\n<li>Geringeres Angriffsrisiko durch gestohlene Mitarbeiter-Logins\u00a0\u2013 tats\u00e4chlich ist die gebotene Resistenz gegen\u00fcber Phishing das st\u00e4rkste Argument f\u00fcr Passkeys.<\/li>\n<li>Gesteigerte Abwehr anderer Angriffsarten, die auf das Ausnutzen von Anmeldetechniken setzen, wie Brute\u00a0Forcing und Credential\u00a0Stuffing.<\/li>\n<li>Umsetzung von Compliance-Vorschriften. In vielen Branchen schreiben Aufsichtsbeh\u00f6rden die Verwendung robuster Authentifizierungsmethoden f\u00fcr Mitarbeiter vor. Passkeys erf\u00fcllen diese Anforderungen in der Regel.<\/li>\n<li>Kostensenkung. Wenn sich ein Unternehmen f\u00fcr den Einsatz von Passkeys auf Laptops oder Smartphones entscheidet, kann dadurch ein hohes Ma\u00df an Sicherheit geschaffen werden, ohne dass zus\u00e4tzliche Kosten f\u00fcr USB-Dongles, Smartcards und deren interne Verwaltung anfallen.<\/li>\n<li>Gesteigerte Mitarbeiterproduktivit\u00e4t. Durch reibungslose und effiziente Anmeldevorg\u00e4nge sparen Mitarbeiter tagt\u00e4glich Zeit, schonen ihre Nerven und reduzieren fehlgeschlagene Anmeldeversuche. Eine Umstellung auf Passkeys sorgt in der Regel auch f\u00fcr die Abschaffung der allgemein als B\u00fcrde empfundenen regelm\u00e4\u00dfigen Passwort\u00e4nderungen.<\/li>\n<li>Entlastung des Helpdesk-Teams durch weniger Tickets mit Bezug auf vergessene Passw\u00f6rter und gesperrte Nutzerkonten. Allerdings k\u00f6nnen statt solcher Tickets durchaus neue Supportf\u00e4lle entstehen, wie der Verlust eines Ger\u00e4ts mit gespeicherten Passkeys.<\/li>\n<\/ul>\n<h2>Wie viele Unternehmen nutzen bereits Passkeys?<\/h2>\n<p>Einem <a href=\"https:\/\/fidoalliance.org\/new-fido-alliance-research-shows-87-percent-us-uk-workforces-are-deploying-passkeys-for-employee-sign-ins\/\" target=\"_blank\" rel=\"nofollow noopener\">Bericht der FIDO\u00a0Alliance<\/a> zufolge sind bereits <strong>87%<\/strong> der befragten Organisationen in den USA und Gro\u00dfbritannien auf Passkeys umgestiegen oder befinden sich gerade im Begriff, dies zu tun. Genaueres Hinsehen offenbart sich jedoch, dass in dieser beeindruckenden Zahl auch weitere unternehmenstypische Anmeldeoptionen wie Smartcards oder USB-Token enthalten sind. Und obwohl einige davon durchaus auf WebAuthn und Passkeys basieren, bringen diese aus unternehmerischer Sicht ihre eigenen Nuancen mit sich. So sind sie etwa vergleichsweise teuer und stellen f\u00fcr IT- und Sicherheits-Teams einen st\u00e4ndigen Aufwand dar: immerhin ben\u00f6tigen physische Token und Karten ihre eigenen Verwaltungsprozesse, einschlie\u00dflich Ausstellung, \u00dcbergabe, Ersatz, R\u00fccknahme und dergleichen. Was die stark beworbenen \u201eleichten\u201c L\u00f6sungen auf Basis von Smartphones oder gar Cloud-Sync angeht, gaben zwar 63% der Befragten an, solche Technologien zu verwenden, das volle Ausma\u00df ihrer praktischen Nutzung bleibt jedoch im Dunkeln.<\/p>\n<p>Firmen, die ihre gesamte Belegschaft auf die neue Technologie umstellen, sind d\u00fcnn ges\u00e4t. Denn so ein Prozess kann sowohl organisatorisch anspruchsvoll sein als auch kostenintensiv werden. In den allermeisten F\u00e4llen werden solche Einf\u00fchrungen daher auch phasenweise umgesetzt. Trotz durchaus unterschiedlicher Pilot-Strategien beginnen die meisten Unternehmen mit Mitarbeitern, die Zugriff auf geistiges Eigentum haben (39%), IT-Systeme administrieren (39%) und\/oder zur obersten F\u00fchrungsebene geh\u00f6ren (34%).<\/p>\n<h2>M\u00f6gliche H\u00fcrden bei der Einf\u00fchrung von Passkeys<\/h2>\n<p>Wenn eine Organisation Passkeys einf\u00fchren m\u00f6chte, muss sie dazu bereit sein, auch die damit einhergehenden technischen Herausforderungen anzugehen. Diese sind umfangreich und allein ihnen k\u00f6nnte man einen ganzen Artikel widmen. Zumindest auf die Offensichtlichsten wollen wir hier kurz eingehen:<\/p>\n<ul>\n<li>Es ist schwierig (und manchmal gar unm\u00f6glich) Passkeys einzuf\u00fchren, wenn veraltete und isolierte IT-Systeme verwendet werden. Das gilt insbesondere bei lokalem Active\u00a0Directory.<\/li>\n<li>Die Ans\u00e4tze zur Speicherung von Passkeys sind durch die \u00d6kosysteme von Apple, Google und Microsoft stark fragmentiert, was die Nutzung einer vereinheitlichten Passkey-Verwaltung \u00fcber mehrere Ger\u00e4te hinweg erschwert.<\/li>\n<li>Die Verwaltung wird zus\u00e4tzlich erschwert, wenn ein Unternehmen die Verwendung pers\u00f6nlicher Ger\u00e4te (BYOD) erlaubt oder umgekehrt auf strenge Regeln setzt und etwa Bluetooth verbietet.<\/li>\n<li>Bei Implementierungen, die auf physische Ger\u00e4te setzen, fallen laufende Kosten f\u00fcr den Kauf oder das Leasing von USB-Tokens und deren Verwaltung an.<\/li>\n<li>F\u00fcr Szenarios mit hohen Anforderungen an die Authentifizierung (high assurance with attestation) sind spezielle, nicht synchronisierbare Hardware-Schl\u00fcssel erforderlich (von denen auch nicht alle die Anforderungen erf\u00fcllen\u00a0\u2013 mehr Informationen dazu bietet diese <a href=\"https:\/\/media.fidoalliance.org\/wp-content\/uploads\/2022\/03\/FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf\" target=\"_blank\" rel=\"nofollow noopener\">spezielle Empfehlung der FIDO\u00a0Alliance<\/a>).<\/li>\n<li>Mitarbeiter ben\u00f6tigen Schulungen und eine Aufkl\u00e4rung hinsichtlich ihrer Bedenken zur Verwendung ihrer biometrischen Daten.<\/li>\n<li>Es m\u00fcssen neue, detaillierte Richtlinien f\u00fcr die Abteilungen IT, Cybersecurity und Helpdesk ausgearbeitet und eingef\u00fchrt werden, um mit Problemen wie der Fragmentierung, veralteten Systemen und verlorenen Ger\u00e4ten fertig zu werden (von Schwierigkeiten beim On- und Offboarding ganz zu schweigen).<\/li>\n<\/ul>\n<h2>Was sagen Regulierungsbeh\u00f6rden \u00fcber Passkeys?<\/h2>\n<p>Trotz all dieser Herausforderungen kann die Umstellung auf Passkeys f\u00fcr einige Organisationen eine ausgemachte Sache sein, wenn dies von einer Aufsichtsbeh\u00f6rde verlangt wird. Und tats\u00e4chlich werden Passkeys von wichtigen nationalen und branchenspezifischen Regulierungsbeh\u00f6rden im Allgemeinen entweder direkt oder indirekt unterst\u00fctzt:<\/p>\n<p>Die <a href=\"https:\/\/pages.nist.gov\/800-63-4\/\" target=\"_blank\" rel=\"nofollow noopener\">NIST SP 800-63<\/a> Digital Identity Guidelines erlauben die Verwendung von \u201esynchronisierbaren Authentifikatoren\u201c (ein klarer Verweis auf Passkeys) f\u00fcr die Authenticator Assurance der Stufe\u00a02 und von ger\u00e4tegebundenen Authentifikatoren f\u00fcr die Authenticator Assurance der Stufe\u00a03. Die Verwendung von Passkeys erf\u00fcllt daher die Anforderungen bei Audits nach ISO\u00a027001, HIPAA und SOC\u00a02.<\/p>\n<p>Das PCI Security Standards Council hat in seinem Kommentar zur DSS\u00a04.0.1 <a href=\"https:\/\/www.pcisecuritystandards.org\/faq\/articles\/Frequently_Asked_Question\/are-passkeys-synced-across-devices-implemented-according-to-the-fido2-requirements-acceptable-for-use-as-phishing-resistant-authentication-to-meet-pci-dss-requirement-8-4-2\/\" target=\"_blank\" rel=\"nofollow noopener\">FIDO als Technologie bezeichnet<\/a>, von der die Kriterien an eine Phishing-resistente Authentifizierung erf\u00fcllt werden.<\/p>\n<p>Die <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/?uri=celex%3A32015L2366\" target=\"_blank\" rel=\"nofollow noopener\">EU Payment Services Directive 2<\/a> (PSD2) ist zwar unabh\u00e4ngig von zu nutzenden Technologien verfasst. Allerdings fordert auch sie eine starke Kundenauthentifizierung (SCA), Ger\u00e4te auf Basis einer Public\u00a0Key\u00a0Infrastructure f\u00fcr wichtige Finanztransaktionen und eine dynamische Verkn\u00fcpfung von Zahlungsdaten mit der Transaktionssignatur durch einen Authentifikator. All diese Anforderungen werden von Passkeys unterst\u00fctzt.<\/p>\n<p>Auch die europ\u00e4ischen <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/PDF\/?uri=CELEX:32022R2554&amp;from=FR\" target=\"_blank\" rel=\"nofollow noopener\">DORA<\/a>\u2013 und <a href=\"https:\/\/digital-strategy.ec.europa.eu\/de\/policies\/nis2-directive\" target=\"_blank\" rel=\"nofollow noopener\">NIS2<\/a>-Richtlinien sind technologieunabh\u00e4ngig und verlangen im Allgemeinen nur die Implementierung einer Multi-Faktor-Authentifizierung. Eine Anforderung, die der Passkeys-Ansatz quasi \u00fcbererf\u00fcllt.<\/p>\n<p>Um es kurz zu sagen: Der Einsatz von Passkeys ist aus regulatorischer Sicht zwar nicht zwingend notwendig, aber f\u00fcr viele Organisationen stellt er die kosteng\u00fcnstigste Methode dar, um die Richtlinien zu erf\u00fcllen. Ausschlaggebende Faktoren f\u00fcr die Verwendung von Passkeys sind au\u00dferdem die umfassende Nutzung von Cloud-Diensten und SaaS, der kontinuierliche Einzug von Passkeys in kundenorientierten Websites und Apps sowie eine gut verwaltete Unternehmensflotte von Computern und Smartphones.<\/p>\n<h2>Unternehmens-Roadmap f\u00fcr die Umstellung auf Passkeys<\/h2>\n<ol>\n<li>Zusammenstellen eines funktions\u00fcbergreifenden Teams. Dazu geh\u00f6ren IT, Cybersicherheit, Business-Eigent\u00fcmer von IT-Systemen, technischer Support, Personalwesen und interne Kommunikation.<\/li>\n<li>Inventarisieren der aktuell verwendeten Authentifizierungssysteme und deren Methoden. Es gilt festzustellen, wo WebAuthn\/FIDO2 bereits unterst\u00fctzt wird, welche Systeme aktualisiert werden k\u00f6nnen, wo eine Single Sign-On-Integration (SSO) implementiert werden kann und wo ein dedizierter Dienst erstellt werden muss, um neue Authentifizierungsmethoden in solche zu \u00fcbersetzen, die von eigenen Systemen unterst\u00fctzt werden. Auch wichtig: Muss man irgendwo weiterhin Passw\u00f6rter verwenden? Wenn ja, muss dort die SOC-\u00dcberwachung intensiviert werden.<\/li>\n<li>Festlegen einer Passkey-Strategie. Sollen Hardware-Schl\u00fcssel zum Einsatz kommen oder werden die Passkeys direkt auf Smartphones und Laptops gespeichert? Es sollten sowohl prim\u00e4re Anmeldemethoden als auch Notfalloptionen wie tempor\u00e4re Zugangscodes (TAP) geplant und konfiguriert werden.<\/li>\n<li>Aktualisieren der unternehmensinternen Sicherheitsrichtlinien, um die Einf\u00fchrung der Passkeys zu ber\u00fccksichtigen. Anmelde- und Wiederherstellungsregeln sollten detailliert aufgeschrieben werden. F\u00fcr F\u00e4lle, in denen eine Umstellung auf Passkeys nicht realisiert werden kann (z.\u00a0B. bei \u00e4lteren Ger\u00e4ten ohne Passkey-Unterst\u00fctzung), m\u00fcssen Protokolle definiert werden. Es gilt au\u00dferdem, zus\u00e4tzliche Ma\u00dfnahmen umzusetzen, um eine sichere Speicherung des Passkeys zu gew\u00e4hrleisten. Das k\u00f6nnen etwa eine obligatorische Ger\u00e4teverschl\u00fcsselung, die Verwendung biometrischer Daten, eine vereinheitlichte Verwaltung mobiler Ger\u00e4te und\/oder Integrit\u00e4tspr\u00fcfungen der Ger\u00e4te im Rahmen von UEM\/EMM sein.<\/li>\n<li>Planen der Rollout-Reihenfolge f\u00fcr verschiedene Systeme und Benutzergruppen. Die Zeitr\u00e4ume sollten nicht zu kurz gew\u00e4hlt werden, um genug Spielraum zum Auffinden und Beheben von auftretenden Problemen zu haben.<\/li>\n<li>Aktivieren von Passkeys in Systemen zur Zugriffsverwaltung wie Entra\u00a0ID und Google\u00a0Workspace und Konfiguration der zul\u00e4ssigen Ger\u00e4te.<\/li>\n<li>Starten eines Pilotprojekts mit einer kleinen Gruppe von Benutzern. Hier kann Feedback gesammelt und bei Bedarf der Ansatz und die Anleitungen f\u00fcr Benutzer verfeinert werden.<\/li>\n<li>Schrittweises Verbinden weiterer Systeme, die Passkeys nicht nativ unterst\u00fctzen, mittels SSO und anderen Methoden.<\/li>\n<li>Schulen der Mitarbeiter. Es empfiehlt sich eine Einf\u00fchrungskampagne f\u00fcr Passkeys durchzuf\u00fchren, die Benutzern klare Anweisungen an die Hand gibt. Zudem kann mit den \u201eChampions\u201c eines jeden Teams zusammengearbeitet werden, um die Einf\u00fchrung zu beschleunigen.<\/li>\n<li>Fortschritt verfolgen und Abl\u00e4ufe verbessern. Dazu sollten Nutzungsmetriken, Anmeldefehler und Support-Tickets analysiert werden. Anschlie\u00dfend k\u00f6nnen Zugriffs- und Wiederherstellungsrichtlinien entsprechend angepasst werden.<\/li>\n<li>Schrittweises Abbauen veralteter Authentifizierungsmethoden, wenn deren Nutzerschaft in den einstelligen Bereich sinkt. Allem voran sollten der Versand von Einmal-Codes \u00fcber unsichere Kommunikationskan\u00e4le, wie SMS oder E-Mails, eingestellt werden.<\/li>\n<\/ol>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Regulatorische Vorgaben und eine wachsende Bedrohungslandschaft motivieren Unternehmen dazu, robustere Authentifizierungsmethoden f\u00fcr ihre Mitarbeiter einzuf\u00fchren. Stellen Passkeys eine kosteng\u00fcnstige und unkomplizierte Alternative f\u00fcr herk\u00f6mmliche Passw\u00f6rter dar? <\/p>\n","protected":false},"author":2722,"featured_media":32514,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1617,4216,230,844,565,4214,2907,3845,4206,125,53,4215,645,812],"class_list":{"0":"post-32509","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-2fa","11":"tag-authentifikator","12":"tag-authentifizierung","13":"tag-business","14":"tag-cloud","15":"tag-identitatssicherheit","16":"tag-konten","17":"tag-mfa","18":"tag-passkeys","19":"tag-passworter","20":"tag-phishing","21":"tag-sso","22":"tag-technologie","23":"tag-unternehmen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-enterprise-readiness-pros-cons\/32509\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-enterprise-readiness-pros-cons\/29336\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/24451\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/12631\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-enterprise-readiness-pros-cons\/29284\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/28379\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-enterprise-readiness-pros-cons\/31240\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-enterprise-readiness-pros-cons\/29903\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-enterprise-readiness-pros-cons\/40189\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-enterprise-readiness-pros-cons\/13637\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/53986\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-enterprise-readiness-pros-cons\/23040\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-enterprise-readiness-pros-cons\/24075\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-enterprise-readiness-pros-cons\/29448\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-enterprise-readiness-pros-cons\/35204\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-enterprise-readiness-pros-cons\/34848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/passkeys\/","name":"Passkeys"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32509"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32509\/revisions"}],"predecessor-version":[{"id":32515,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32509\/revisions\/32515"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32514"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}