Alle Beiträge Netzwerk & Infrastruktur

Passkeys im Unternehmen: Warum klassische Passwörter auslaufen

Passkeys sind Phishing-resistent und einfacher zu nutzen als Passwörter. Was das im Unternehmensumfeld bedeutet und wie eine Einführung gelingt.

Veröffentlicht
18. März 2026
Autor
Jakub Kaczor
Lesezeit
8 Min.
Aktualisiert
19. Mai 2026
Symbolbild Passkeys statt klassischer Passwörter

Passwörter sind das schwächste Glied der meisten Sicherheitsketten. Sie werden wiederverwendet, in Phishing-Mails preisgegeben, in Datenlecks gestohlen und auf Post-its geschrieben. Die Branche arbeitet seit Jahren am Ersatz — Passkeys sind dieser Ersatz. Das BSI empfiehlt sie inzwischen explizit als Phishing-resistentere Alternative. Was bedeutet das konkret für ein mittelständisches Unternehmen, und wie führt man Passkeys realistisch ein?

Was ein Passkey ist — in drei Sätzen

Ein Passkey ist ein kryptografischer Schlüssel, der auf Ihrem Gerät (Handy, Computer, Hardware-Token) gespeichert ist und nur dort verwendet wird. Anstatt ein Passwort einzugeben, bestätigen Sie die Anmeldung mit Fingerabdruck, Gesichtserkennung oder einer Hardware-Eingabe. Es gibt keinen „geheimen Text”, den jemand abgreifen oder Sie aus Versehen verraten könnten.

Warum das ein Sicherheits-Sprung ist

AngriffswegPasswortPasskey
PhishingKlassisch erfolgreich — Nutzer gibt Passwort auf falscher Seite ein.Schlägt fehl — Passkey funktioniert nur auf der echten Domain.
Daten-LeakPasswort einer Drittseite betrifft Ihre Konten, wenn wiederverwendet.Kein wiederverwendbares Geheimnis.
Brute ForceSchwache Passwörter werden durchprobiert.Kryptografischer Schlüssel — Brute Force praktisch unmöglich.
KeyloggerTastatureingabe wird mitgeschrieben.Nichts wird getippt.
Social Engineering („sagen Sie mir Ihr Passwort”)Funktioniert leider.Kein Passwort vorhanden, das verraten werden könnte.

Der entscheidende Punkt für KMU: Passkeys eliminieren die häufigste Angriffsmethode überhaupt — Phishing. Das ist nicht inkrementelle Verbesserung, das ist Klasse höher.

Wo Passkeys heute schon funktionieren

Die großen Anbieter haben Passkey-Unterstützung breit ausgerollt:

  • Microsoft / Azure AD / Entra ID — voll unterstützt, auch in Microsoft 365.
  • Google Workspace — voll unterstützt.
  • Apple ID / iCloud — voll unterstützt.
  • Viele B2B-Anwendungen (Salesforce, HubSpot, GitHub, GitLab, viele DMS-Lösungen) — ja.
  • Branchen-Software und ältere Webanwendungen — gemischt, teilweise noch nicht.

Eine vollständige Umstellung auf 100 % Passkey ist heute meist nicht möglich, weil einige Anwendungen noch nicht mitspielen. Eine deutliche Verbesserung von „Passwörter überall” zu „Passkey wo möglich, MFA-gestützt wo nötig” ist aber praktikabel.

Wo Passkeys gespeichert werden

Drei realistische Speicherorte:

  1. Im Betriebssystem / Browser des Nutzers. Synchronisiert über Apple iCloud Keychain, Google Password Manager, Microsoft Edge. Bequem, gut für Standard-Nutzer.
  2. In einem Hardware-Token. YubiKey, Feitian, Google Titan. Höchste Sicherheit; sinnvoll für Admin-Konten und besonders sensible Rollen.
  3. In einem Enterprise-Passwort-Manager. 1Password, Bitwarden Business, Dashlane. Gut für KMU, weil zentral verwaltbar.

Die Wahl hängt davon ab, wie viel zentrale Steuerung Sie wollen und wie viele Geräte pro Nutzer im Einsatz sind.

Eine realistische Einführungsstrategie für KMU

Phase 1 — Vorbereitung (Woche 1–2)

  • Inventur: welche Anwendungen unterstützen Passkeys heute?
  • Entscheidung: wo werden Passkeys gespeichert (siehe oben)?
  • Pilot-Gruppe definieren (5–8 Personen, idealerweise gemischt).

Phase 2 — Pilot (Woche 3–6)

  • Pilot-Gruppe stellt zunächst Microsoft 365 / Google Workspace auf Passkey um.
  • Erfahrungen sammeln: was funktioniert, was nicht?
  • Anleitung für Mitarbeiter aktualisieren.

Phase 3 — Roll-out (Woche 7–14)

  • Schrittweise alle Mitarbeiter umstellen.
  • Klassische Passwörter werden deaktiviert, wo möglich.
  • Wo nicht möglich: MFA Pflicht.

Phase 4 — Aufräumen (Woche 15+)

  • Alte Passwörter aus dem System entfernen.
  • Notfallzugang dokumentieren (was, wenn jemand sein Hauptgerät verliert?).
  • Schulung dokumentieren.

Was bei der Einführung wichtig ist

PunktBedeutung
NotfallzugangWas passiert, wenn jemand sein Gerät verliert? Mindestens zwei Wege müssen vorhanden sein — etwa Hardware-Token im Tresor.
Mehrere GeräteMitarbeiter haben Handy, Notebook, eventuell Tablet. Passkey sollte auf allen einsetzbar sein.
Onboarding und OffboardingWenn ein Mitarbeiter geht, müssen Passkeys deaktiviert werden — das gehört in den Standardprozess.
Schulung30 Minuten reichen; aber sie müssen stattfinden. Sonst entsteht Verwirrung am ersten Anmeldetag.
HybridphaseÜbergangsphase mit Passwort und Passkey nebeneinander ist normal. Wichtig: die Phase muss enden, sonst sind alle Vorteile dahin.

Häufige Bedenken — und was wirklich passiert

  • „Mitarbeiter werden überfordert sein.” Passkey-Anmeldung ist meist einfacher als Passwort-Eingabe. Die Akzeptanz ist nach einer Woche typischerweise hoch.
  • „Was, wenn das Handy kaputt geht?” Mit dokumentiertem Notfallzugang lösbar — analog zur heutigen Lösung bei vergessenen Passwörtern.
  • „Wir haben alte Anwendungen, die das nicht können.” Diese behalten Passwort + MFA. Schritt für Schritt ablösen, wo möglich.
  • „Müssen wir alle Konten gleichzeitig umstellen?” Nein. Wir empfehlen Microsoft / Google zuerst, danach Anwendungs-Konten, am Ende Spezialfälle.

Was Kosten realistisch sind

Für 25 Mitarbeiter:

  • Hardware-Token (für Admin-Konten und besonders sensible Rollen, optional): 40 – 80 € pro Stück.
  • Enterprise-Passwort-Manager mit Passkey-Unterstützung: 3 – 8 € pro Nutzer und Monat.
  • Einführung, Schulung, Anleitung: 1.500 – 4.000 € einmalig.
  • Laufender Aufwand: minimal.

Gesamt typischerweise 1.500 – 4.500 € einmalig + 100 – 200 € pro Monat. Ein sehr günstiger Sicherheits-Sprung im Verhältnis zum Nutzen.

FAQ

Sind Passkeys schon ausgereift? Ja, für die großen Anbieter und viele Geschäfts-Anwendungen. Für sehr alte oder spezialisierte Branchensoftware noch nicht durchgängig.

Müssen Passwörter komplett verschwinden? Nein. Realistisch ist „Passkey wo möglich, MFA wo Passkey nicht geht”. Das deckt heute 80–95 % der Anmeldungen ab.

Wer hat den Passkey eigentlich? Sie. Er liegt auf Ihrem Gerät. Anders als beim Passwort gibt es keine Kopie irgendwo bei einem Anbieter, die gestohlen werden könnte.

Was, wenn ein Mitarbeiter ausscheidet? Sie deaktivieren das Konto wie bisher. Der Passkey auf dem Gerät des Mitarbeiters funktioniert dann nicht mehr — er hat keinen Zugang zum Unternehmenskonto.

Wie wir das angehen

Wir begleiten die Einführung in den oben genannten vier Phasen, kümmern uns um Notfallzugänge und schulen die Mitarbeiter. Mehr dazu auf Netzwerk & IT-Infrastruktur. Wenn Sie übergreifend an Sicherheits-Architektur denken, hilft auch Ransomware-Schutz für kleine und mittlere Unternehmen.

Anrufen
E-Mail
WhatsApp