{"id":32527,"date":"2025-08-12T10:30:23","date_gmt":"2025-08-12T08:30:23","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32527"},"modified":"2025-08-12T10:30:23","modified_gmt":"2025-08-12T08:30:23","slug":"passkey-enterprise-issues-and-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/passkey-enterprise-issues-and-threats\/32527\/","title":{"rendered":"Passkey-Einf\u00fchrung in Unternehmen: Nuancen, Fallstricke, Herausforderungen"},"content":{"rendered":"

Wenn Unternehmen auf Passkeys umsteigen, entscheiden sie sich f\u00fcr ein kosteng\u00fcnstiges und robustes System zur Mitarbeiterauthentifizierung, das obendrein verspricht, die Produktivit\u00e4t zu steigern und Compliance-Vorschriften zu erf\u00fcllen. S\u00e4mtliche Vor- und Nachteile beim Einsatz von Passkeys im Unternehmensumfeld haben wir in diesem Artikel<\/a> bereits umf\u00e4nglich betrachtet. Die Durchf\u00fchrbarkeit (und damit letztlich auch der Erfolg) einer solchen Umstellung h\u00e4ngt jedoch stark von den technischen Nuancen und den unterschiedlichen Passkey-Integrationen innerhalb der zahlreichen Unternehmenssysteme ab.<\/p>\n

Unterst\u00fctzung von Passkeys in Systemen zur Identit\u00e4tsverwaltung<\/h2>\n

Bevor man mit dem Planen und dem Entwerfen von Richtlinien beginnen kann, muss zun\u00e4chst festgestellt werden, ob die IT-Kern-Systeme \u00fcberhaupt auf den Einsatz von Passkeys vorbereitet sind.<\/p>\n

Von Microsoft\u00a0Entra\u00a0ID (Azure\u00a0AD) werden Passkeys beispielsweise vollst\u00e4ndig unterst\u00fctzt<\/a>, sodass Administratoren diese als prim\u00e4re Anmeldemethode festlegen k\u00f6nnen. F\u00fcr hybride Bereitstellungen mit lokalen Ressourcen kann Entra\u00a0ID auch Kerberos-Tickets (TGTs) generieren<\/a>, die anschlie\u00dfend vom Active\u00a0Directory-Dom\u00e4nencontroller verarbeitet werden.<\/p>\n

In anderen Systemen des Microsoft-\u00d6kosystems, etwa in den Bereichen RDP, VDI oder bei lokalen Active\u00a0Directory-Anmeldungen, fehlt der Passkey-Support hingegen noch. Mit ein wenig Extra-Aufwand kann ein Unternehmen aber Passkeys auf Hardware-Tokens wie YubiKey speichern. Diese Art von Token unterst\u00fctzt gleichzeitig<\/a> sowohl die traditionelle PIV-Technologie (Smart Cards) als auch den FIDO2-Ansatz (Passkeys). Es existieren zwar auch L\u00f6sungen von Drittanbietern<\/a> f\u00fcr diese Szenarios, es muss allerdings bewertet werden, inwieweit deren Verwendung das allgemeine Sicherheits-Stack beeinflusst und ob Auswirkung auf Compliance-Richtlinien bestehen.<\/p>\n

Gute Nachrichten gibt es f\u00fcr Nutzer von Google\u00a0Workspace und Google\u00a0Cloud: von beiden Diensten werden Passkeys vollst\u00e4ndig unterst\u00fctzt<\/a>.<\/p>\n

Popul\u00e4re Systeme zur Identit\u00e4tsverwaltung wie Okta, Ping, Cisco\u00a0Duo und RSA\u00a0IDplus unterst\u00fctzen ebenfalls FIDO2 und alle relevanten Arten von Passkeys.<\/p>\n

\u00a0<\/p>\n

Unterst\u00fctzung von Passkeys auf Client-Ger\u00e4ten<\/h2>\n

Auch zu diesem Thema haben wir bereits einen ausf\u00fchrlichen Beitrag<\/a> verfasst. Alle von Google, Apple und Microsoft entwickelten modernen Betriebssystemen unterst\u00fctzen die Verwendung von Passkeys. Linux hingegen hinkt diesen hinterher: Hier werden Unternehmen am ehesten auf zus\u00e4tzliche Tools setzen, da die native Unterst\u00fctzung unter Linux im Allgemeinen eher begrenzt ist.<\/p>\n

Und auch wenn es auf den ersten Blick so scheint, als b\u00f6ten alle gro\u00dfen Betriebssysteme (mit Ausnahme von Linux) umfassenden Support, liegen die Nuancen aber in den Details: Denn die jeweils unterschiedlichen Ans\u00e4tze zum Speichern der Passkeys k\u00f6nnen sp\u00e4ter zu Schwierigkeiten bei der Kompatibilit\u00e4t f\u00fchren. Am problematischsten wird es bei Kombinationen aus mehreren unterschiedlichen Systemen wie Windows-PCs und Android-Smartphones. Es kann vorkommen, dass ein auf einem Ger\u00e4t erstellter Passkey auf einem anderen nicht verf\u00fcgbar ist. Unternehmen mit streng reglementiertem Ger\u00e4te-Management k\u00f6nnen solche Fallstricke auf verschiedene Arten versuchen zu umschiffen. So kann etwa vorgegeben werden, dass Mitarbeiter f\u00fcr jedes von ihnen genutzte Ger\u00e4t einen separaten Passkey generieren m\u00fcssen. Das bedeutet zwar etwas mehr Aufwand bei der Ersteinrichtung, da Mitarbeiter den Vorgang f\u00fcr all ihre Ger\u00e4te wiederholen m\u00fcssen. Einmal eingerichtet, wird man daf\u00fcr anschlie\u00dfend mit schnellen und unkomplizierten Anmeldevorg\u00e4ngen belohnt. Weiterer Pluspunkt: Geht ein Ger\u00e4t verloren, hat dessen Besitzer \u00fcber ein anderes Ger\u00e4t nach wie vor Zugriff auf seine Arbeitsdaten.<\/p>\n

Eine andere M\u00f6glichkeit best\u00fcnde darin, einen unternehmensweit zugelassenen Passwort-Manager einzusetzen, der Passkeys speichert und zwischen den Ger\u00e4ten synchronisiert. Diese Variante w\u00e4re auch f\u00fcr Unternehmen mit Linux-Computern interessant, da deren Betriebssysteme Passkeys, wie oben bereits erw\u00e4hnt, nicht nativ speichern k\u00f6nnen. Allerdings sollte man beachten, dass dieser Ansatz etwas mehr Kopfzerbrechen bereiten kann, wenn es zu Audits auf Compliance-Richtlinien kommt.<\/p>\n

Wer nach einer L\u00f6sung sucht, bei der die plattform\u00fcbergreifende Synchronisation m\u00f6glichst reibungslos vonstattengeht, wird bei YubiKeys wahrscheinlich am ehesten f\u00fcndig. Allerdings sind diese auch erheblich kostspieliger in der Bereitstellung und Verwaltung.<\/p>\n

Unterst\u00fctzung von Passkeys in Unternehmensanwendungen<\/h2>\n

Das ideale Szenario zum Einf\u00fchren von Passkeys in Unternehmensanwendungen stellen Single\u00a0Sign-On-Anmeldungen (SSO) an allen intern genutzten Anwendungen dar. Auf diese Weise ist es ausreichend, die Unterst\u00fctzung der Passkeys in der vom Unternehmen eingesetzten SSO-L\u00f6sung zu konfigurieren. Wenn allerdings nicht alle kritischen Business-Anwendungen SSO unterst\u00fctzen oder der SSO-Support nicht Teil des Lizenzvertrags ist (was leider durchaus vorkommt), muss f\u00fcr jede dieser Anwendung die Passkey-Nutzung separat konfiguriert werden. Da Hardware-Token gew\u00f6hnlich zwischen 25\u00a0und\u00a0100\u00a0Passkeys speichern k\u00f6nnen, besteht der gr\u00f6\u00dfte Anteil an den zus\u00e4tzlichen Kosten in diesem Fall eher aus der Token-Verwaltung.<\/p>\n

Zu den h\u00e4ufig genutzte Business-Anwendungen mit vollst\u00e4ndiger Passkey-Unterst\u00fctzung z\u00e4hlen unter anderem Adobe Creative Cloud<\/a>, AWS<\/a>, GitHub<\/a>, Google Workspace<\/a>, HubSpot<\/a>, Office\u00a0365<\/a>, Salesforce<\/a> und Zoho<\/a>. Auch einige Systeme von SAP<\/a> bieten Support f\u00fcr Passkeys.<\/p>\n

Sensibilisierung der Mitarbeiter<\/h2>\n

Ganz unabh\u00e4ngig vom Szenario bedeutet die Einf\u00fchrung von Passkeys auch, dass das Team aus Mitarbeitern abgeholt werden muss. Die Nutzung neuer Verfahren und Anmeldemasken sollte keine Fragen aufkommen lassen. Letztendlich m\u00fcssen alle Mitarbeiter sicher genug im Umgang mit Passkeys sein, um sich mit jedem ihrer Ger\u00e4te anmelden zu k\u00f6nnen. Dies sind die Kerninhalte, die den Mitarbeitern vermittelt werden sollten:<\/p>\n