Einstieg: Das Ende des Passworts ist nicht mehr Vision, sondern Projektplan
Seit Jahren behauptet die Security-Branche, dass Passwörter „tot“ seien. In der Realität sind sie es nicht – und genau deshalb war diese Aussage lange wertlos. Passkeys Week 2025 ist einer der seltenen Momente, in denen ein Marketing-Slogan in eine messbare, betriebliche Realität kippt: Nicht, weil ein neues Protokoll erfunden wurde, sondern weil große Plattformanbieter und Consumer-Services inzwischen genügend Daten und Betriebserfahrung haben, um zu zeigen, dass Passkeys nicht nur „sicherer“, sondern auch ökonomisch sinnvoll sind.
Die FIDO Alliance hat im Rahmen von Passkeys Week 2025 neue Inhalte und Erfahrungsberichte gebündelt und dabei auch Forschungsergebnisse aus ihrem Passkey Index (Daten von großen Deployments über mehrere Jahre) referenziert. (FIDO Alliance)
Für Unternehmen ist das relevant, weil damit eine alte Ausrede stirbt: „Das ist noch nicht reif genug.“
Der eigentliche Sprung ist nicht die Existenz von Passkeys – sondern die Stabilisierung der Betriebsmodelle:
- Wie führt man Passkeys ein, ohne Lock-outs zu riskieren?
- Wie migriert man ohne Big-Bang?
- Wie kombiniert man Passkeys mit bestehenden IdPs und Conditional Access?
- Wie verhindert man, dass Recovery-Flows das gesamte Sicherheitsniveau wieder ruinieren?
Wenn du 2026 nicht mehr mit Password Spraying, MFA-Fatigue und Credential Stuffing leben willst, ist Passkey-Rollout keine „nice-to-have“-Initiative mehr, sondern ein strategisches Risk-Reduction-Programm.
Warum Passkeys jetzt die bessere Sicherheitsökonomie liefern
Passwörter sind nicht nur unsicher, sondern teuer
Passwörter sind ein Sicherheitsproblem – aber im Alltag vor allem ein Kostenproblem:
- Reset-Tickets und Supportaufwand
- Benutzerfrust und Produktivitätsverlust
- Phishing-Training als Dauerschleife
- Incident-Kosten nach Account Takeovers (ATO)
- Risikoaufschläge in Versicherungen und Compliance-Bewertungen
Passkeys verschieben diese Kostenstruktur, weil sie eine der wenigen Maßnahmen sind, die gleichzeitig:
- Angriffe reduzieren (phishing-resistent)
- Nutzerfluss vereinfachen (weniger Reibung)
- Supportlast senken (weniger Resets)
- und durch Plattform-Integration skalieren (OS- und Browser-Support)
Der FIDO-Ansatz ist dabei nicht „ein neues Passwort“, sondern eine andere Logik: Asymmetrische Kryptografie, bei der das Geheimnis nicht mehr als wiederverwendbares Passwort existiert, sondern als gerätegebundener Schlüssel, der nicht „abgegriffen“ und wiederverwendet werden kann.
Was Passkeys wirklich sind – und was sie nicht sind
Passkeys sind phishingsicher, weil sie an Ursprung und Gerät gebunden sind
Der Sicherheitsgewinn entsteht nicht aus „stärkerem Secret“, sondern aus dem Wegfall des Secrets als kopierbarer Datenpunkt:
- Kein Passwort, das in einer Phishing-Seite wiederverwendet werden kann
- Kein Shared Secret, das in Credential Dumps auftaucht
- Kein OTP, das unter Echtzeit-Phishing oder Push-Bombing leidet
Passkeys sind damit besonders stark gegen den Angriffsraum, der Unternehmen derzeit am meisten schadet: Credential-basierte Initial Access.
Passkeys sind kein Allheilmittel gegen jeden Angriff
Wichtig ist die saubere Erwartungshaltung. Passkeys lösen primär:
- Phishing-basierte Credential Theft
- Credential Stuffing
- Password Spraying
- MFA-Fatigue-Angriffe auf OTP/Push
Sie lösen nicht automatisch:
- Malware auf Endgeräten, die Sessions oder Tokens stiehlt
- kompromittierte Recovery-Prozesse
- Insider-Missbrauch
- schlecht designte Autorisierungsmodelle im Backend
Das ist keine Schwäche von Passkeys, sondern eine Erinnerung daran, dass Authentifizierung nur ein Teil der Kette ist.
Der harte Teil: Warum Passkeys in Unternehmen bisher scheitern
Passkeys sind in Consumer-Apps oft schneller einführbar als in Enterprise-Umgebungen. Der Grund ist nicht Technik, sondern Governance. Typische Bremsen:
Identitätslandschaft ist fragmentiert
Viele Unternehmen haben parallel:
- Entra ID / Azure AD
- Okta / Ping / ForgeRock
- Legacy-AD
- VPN-Gateways
- Drittanbieter-Portale
Passkeys werden dann zum „noch ein Login-Mechanismus“, statt zu einer konsistenten Strategie. Der Fehler liegt hier selten im Passkey-Standard, sondern im fehlenden Zielbild.
Recovery und Lifecycle sind ungelöst
Die schwierigste Frage ist nicht „Login“, sondern:
- Was passiert bei Geräteverlust?
- Was passiert bei Gerätewechsel?
- Was passiert bei Offboarding?
- Was passiert bei Shared Workstations?
- Was passiert bei externen Dienstleistern?
Wenn diese Fragen nicht sauber beantwortet sind, ist Passkey-Einführung politisch tot – egal wie gut die Technik ist.
Compliance und Audit wollen Beweise, keine Versprechen
GRC-Teams fragen zurecht:
- Wie wird Enrollment dokumentiert?
- Wie wird die Identität vor dem Passkey-Binding geprüft?
- Wie wird ein Passkey revokiert?
- Welche Logs entstehen?
- Wie wird verhindert, dass Recovery wieder Passwort-basiert ist?
Ohne belastbare Antworten bleibt Passkeys ein Pilot.
Was sich mit Passkeys Week 2025 geändert hat
Die zentrale Veränderung ist, dass große Deployments nicht mehr nur „Ankündigungen“ sind, sondern als Betriebserfahrungen diskutiert werden. Passkeys Week 2025 bündelt genau diese Perspektive: Ressourcen, Talks, Erfolgsstorys und Forschungserkenntnisse aus realen Rollouts. (FIDO Alliance)
Das ist für Enterprise-Entscheider wichtig, weil es die Diskussion von „ob“ zu „wie“ verschiebt:
- Wie gestaltet man die Migration?
- Welche KPIs zeigen Erfolg?
- Wie adressiert man Nutzerakzeptanz?
- Welche Rollout-Stufen sind realistisch?
Kurz: Passkeys werden von einer Security-These zu einer Implementierungsdisziplin.
Der Enterprise-Blueprint: Wie ein Passkey-Programm wirklich funktioniert
Wenn du Passkeys nicht nur „einführen“, sondern als Sicherheitsprogramm etablieren willst, brauchst du ein Modell, das sowohl Technik als auch Betrieb abdeckt.
Zielbild und Scope
Ein funktionierendes Zielbild ist meist nicht „Passkeys überall sofort“, sondern:
- Passkeys als primäre Methode für privilegierte Konten und High-Risk-Flows
- Passkeys als Standard für neue Accounts und neue Geräte
- Passkeys als bevorzugter Faktor für SSO-gestützte SaaS-Landschaften
- Passkeys als Baustein in Zero-Trust-Access-Strategien
Das reduziert Risiko dort zuerst, wo der ROI am höchsten ist.
Rollenbasierte Einführung
Ein praktikables Einführungsmodell ist eine stufenweise Adoption entlang von Nutzergruppen:
- IT-Admins und Security-Admins
- Entwickler und DevOps
- Finance / HR (hohe Fraud-Attraktivität)
- Sales und Field (viel mobil, viel Phishing)
- restliche Knowledge Worker
- Externe und Partner
Das ist kein „Nummernplan“ im Text, sondern ein Governance-Ansatz: Rollout nach Risiko.
Enrollment-Qualität entscheidet
Ein Passkey ist nur so stark wie der Prozess, der ihn bindet. Wichtig ist:
- starke Identitätsprüfung beim ersten Enrollment
- device-basierte Compliance-Checks (managed devices bevorzugen)
- klare Regeln, ob private Geräte zulässig sind
- sichere Pairing-Mechaniken für BYOD
Wenn Enrollment schwach ist, wird Passkeys zum neuen Angriffspunkt – nicht weil die Kryptografie bricht, sondern weil die Identität falsch gebunden wird.
Die kritische Stelle: Recovery darf nicht schwächer sein als Login
In vielen Organisationen ist der Recovery-Pfad die eigentliche Hintertür. Passkeys helfen nur, wenn Recovery nicht zurückfällt auf:
- „E-Mail-Link genügt“
- „SMS genügt“
- „Helpdesk setzt zurück nach kurzer Prüfung“
Ein robustes Modell kombiniert:
- starke, mehrstufige Recovery-Checks
- begrenzte Recovery-Tokens
- risikobasierte Policies (Location, Device, Behavior)
- klare, auditierbare Helpdesk-Prozesse
Wenn Recovery hart ist, werden Supportkosten kurzfristig steigen – und genau deshalb muss das Programm das betriebswirtschaftlich auffangen: weniger ATO-Incidents und weniger Password-Reset-Tickets.
Was du messen solltest: KPIs, die Passkeys in der Praxis entscheiden
Passkeys sind ein seltener Security-Hebel, der sich gut über KPIs steuern lässt. Du willst typischerweise messen:
- Anteil passkey-fähiger Accounts
- Anteil passkey-basierter Logins (Nutzung, nicht nur Enrollment)
- Phishing-bedingte ATO-Rate vor/nach Einführung
- Helpdesk-Tickets zu Login/Reset vor/nach Einführung
- Login-Time und Abbruchraten (UX-Effekt)
- Anzahl der Recovery-Fälle und deren Ursachen
- Anteil privilegierter Konten ohne Passkey (als Risiko-Backlog)
Ohne Messmodell bleibt Passkeys „irgendwie da“, aber nicht transformativ.
Typische Fehler, die Programme ruinieren
Passkeys als optionales Feature
Optional heißt: niemand nutzt es. Oder nur die ohnehin motivierten. Der Sicherheitsgewinn kommt aber erst, wenn Passkeys:
- Standard werden
- bei riskanten Logins erzwungen werden
- und Recovery nicht trivial ist
Zu frühes „Passwort abschalten“ ohne Ersatzlogik
Wenn Passwörter zu schnell abgeschaltet werden, ohne robuste Device-Strategie und Recovery-Design, erzeugst du Lock-outs. Die Folge ist politischer Rückzug und Vertrauensverlust.
Ignorieren von Shared Devices und Spezialfällen
Kiosks, Schichtarbeitsplätze, Call-Center-Setups und Lab-Maschinen brauchen eigene Patterns. Ein „One-Size-Fits-All“-Passkey-Rollout scheitert an genau diesen Randfällen.
Best Practices für 2026: Wie Passkeys mit Zero Trust zusammenspielen
Passkeys sind am stärksten, wenn sie als Bestandteil eines Zero-Trust-Stacks behandelt werden:
- Device Posture als Gate für Enrollment und Login
- Conditional Access: Passkey als „strong credential requirement“ bei Risiko
- Session Management: kurze Sessions für Admin-Kontexte, Token Binding wo möglich
- Least Privilege und JIT/JEA für privilegierte Rollen
- Telemetrie: ungewöhnliche Login-Muster trotz Passkeys ernst nehmen (Session Hijack möglich)
Damit wird Passkeys nicht zum isolierten Projekt, sondern zu einem Teil der Sicherheitsarchitektur.
Fazit: Passkeys sind die seltene Security-Maßnahme, die gleichzeitig UX verbessert
Passkeys Week 2025 ist deshalb relevant, weil sie zeigt: Passkeys sind nicht mehr „Proof of Concept“, sondern ein Muster, das große Anbieter über längere Zeiträume betrieben haben – und das jetzt in Enterprise-Programme übersetzbar ist. (FIDO Alliance)
Wenn du heute noch primär mit Passwörtern arbeitest, hast du nicht nur ein Sicherheitsrisiko, sondern auch einen strukturellen Kostenblock. Passkeys sind eine realistische Antwort darauf – sofern Enrollment, Recovery und Governance professionell umgesetzt werden.
#Passkeys #Passwordless #Authentication #IdentitySecurity #ZeroTrust #Cyberrisk
