In vielen Unternehmen gehören Passwörter noch immer zum Standard – obwohl ihre Schwächen längst bekannt sind. Cyberkriminelle nutzen gezielt gestohlene Zugangsdaten, Phishing oder Schwachstellen in veralteter Software, um in Systeme einzudringen. Die Folge: Datenverluste, Imageschäden, finanzielle Einbußen.

Die gute Nachricht: Es gibt inzwischen deutlich sicherere Alternativen. Technologien wie Passkeys, Multi-Faktor-Authentifizierung (MFA) und moderne Authenticator-Apps bieten im Zusammenspiel mit aktueller Software ein hohes Schutzniveau – wenn sie richtig eingesetzt werden.

Warum Passwörter nicht mehr genügen

Die meisten Sicherheitsvorfälle basieren auf gestohlenen oder erratenen Passwörtern. Die Zahlen sprechen für sich:

Aktuelle Sicherheitsstatistiken (2024):

• 81% der Datenlecks erfolgen durch kompromittierte Passwörter
• Durchschnittliche Kosten eines Datenlecks: 4,45 Millionen US-Dollar
• 65% der Menschen verwenden dasselbe Passwort für mehrere Accounts
• 23 Sekunden – So schnell kann ein 8-Zeichen-Passwort durch Brute Force geknackt werden
• 15 Milliarden gestohlene Zugangsdaten kursieren im Darknet

Typische Schwächen in Unternehmen:

❌ Wiederverwendung desselben Passworts auf mehreren Plattformen ❌ Leichte Erratbarkeit oder versehentliche Weitergabe durch Phishing ❌ Unsichere Speicherung (z. B. in Excel-Listen, Post-its) ❌ Hoher Aufwand für Mitarbeitende, sich komplexe Passwörter zu merken ❌ Veraltete Systeme ohne Zwei-Faktor-Authentifizierung ❌ Shared Accounts ohne individuelle Zuordnung

Was Unternehmen kostet:

Vorfall	Durchschnittliche Kosten	Ausfallzeit
Ransomware-Angriff	1,85 Mio. €	21 Tage
Datenleck	4,24 Mio. €	Variable
Phishing-Erfolg	14.000 € pro Fall	2-5 Tage
Credential Stuffing	6 Mio. € (Großunternehmen)	Fortlaufend

Was sind Passkeys – und wie funktionieren sie in der Praxis?

Passkeys ersetzen Passwörter vollständig. Statt eines „Geheimnisses“ (wie einem Passwort), das über das Internet übertragen wird, arbeiten Passkeys mit einem asymmetrischen Schlüsselpaar:

• Öffentlicher Schlüssel: Wird beim Anbieter gespeichert (z. B. bei einem Cloud-Service)
• Privater Schlüssel: Bleibt sicher auf dem Endgerät (z. B. Smartphone, Laptop, YubiKey)

Authentifizierung erfolgt lokal – z. B. per Gesichtserkennung oder Fingerabdruck. Der private Schlüssel verlässt das Gerät nie. Phishing ist damit wirkungslos: Der Zugang funktioniert nur über das richtige Gerät und die richtige biometrische Freigabe.

Passkeys in Unternehmen: Vorteile

✅ Kein Passwort mehr erforderlich – Nutzer merken sich nichts ✅ Phishing-resistent – Funktioniert nur mit dem richtigen Gerät ✅ Intuitive Nutzung – Gesicht oder Finger statt Passwort tippen ✅ Keine Leaks möglich – Privater Schlüssel verlässt das Gerät nie ✅ Schnellere Anmeldung – Durchschnittlich 4x schneller als Passwort + MFA ✅ Plattformübergreifend – Windows, macOS, iOS, Android ✅ Zentrale Verwaltung – Via MDM oder Enterprise Identity Provider

Vergleich: Passkeys vs. MFA vs. Passwörter

Kriterium	Passwörter	Passwort + MFA	Passkeys
Phishing-Sicherheit	❌ Sehr anfällig	⚠️ Teilweise	✅ Vollständig
Benutzerfreundlichkeit	⚠️ Komplex	⚠️ Zusätzlicher Schritt	✅ Sehr einfach
Anmeldezeit	20-30 Sek.	30-45 Sek.	5-10 Sek.
Geräteverlust	✅ Kein Problem	❌ Großes Problem	⚠️ Backup nötig
IT-Aufwand	Hoch (Resets)	Mittel	Niedrig
Kosten pro User/Jahr	70€	50€	25€
Sicherheitslevel	⭐	⭐⭐⭐	⭐⭐⭐⭐⭐

Passkeys in der Praxis: Unterstützte Plattformen

Enterprise Identity Provider:

• Microsoft Entra ID (ehemals Azure AD) – Volle Passkey-Unterstützung
• Google Workspace – Passkeys für Admin- und User-Accounts
• Okta – FIDO2/WebAuthn Integration
• Auth0 – Passwordless Authentication
• 1Password Business – Passkey-Management

Betriebssysteme & Geräte:

• Windows 11 – Windows Hello for Business
• macOS/iOS – iCloud Keychain Sync
• Android – Google Password Manager
• Linux – FIDO2 via libfido2

Hardware-Sicherheitsschlüssel:

• YubiKey 5 Serie – USB-A, USB-C, NFC, Lightning
• Google Titan Security Key – USB-C und NFC
• Nitrokey – Open Source Alternative
• Feitian – Kostengünstige Option

Mehrstufige Sicherheit: MFA und Authenticator-Apps

Multi-Faktor-Authentifizierung (MFA) fügt eine zusätzliche Sicherheitsebene hinzu – etwa durch:

• Einmalpasswörter (TOTP) via Authenticator-App (z. B. Microsoft Authenticator, Google Authenticator, Authy)
• Push-Bestätigung auf dem Mobilgerät („Anmeldung zulassen?“)
• FIDO2-Sicherheitsschlüssel oder Passkey als zweiter Faktor

Im Unternehmensumfeld ist MFA heute Pflicht, z. B. für den Zugriff auf Cloud-Systeme, E-Mail, VPN oder Administrationsportale. Selbst bei kompromittiertem Passwort oder Gerät verhindert der zweite Faktor unbefugten Zugriff.

Was passiert bei Geräteverlust? – Sicherung und Wiederherstellung

Ein zentrales Thema bei Passkeys und MFA ist der Verlust des Geräts, auf dem die Zugangsdaten gespeichert sind. Hier gilt:

1. Passkeys: Backup und Wiederherstellung

• Passkeys lassen sich in Cloud-Schlüsselspeichern synchronisieren (z. B. iCloud, Google Password Manager)
• Bei Geräteverlust kann ein neues Gerät autorisiert werden – meist durch biometrische Anmeldung oder Wiederherstellung über den Account
• Organisationen können zentral gesteuerte Backups oder Recovery-Prozesse einführen (z. B. Zweitgerät, MDM, Wiederherstellungscodes)

2. Authenticator-Apps und TOTP

• Viele Authenticator-Apps unterstützen Cloud-Backup (z. B. bei Microsoft Authenticator, Authy)
• Alternativ sollten bei Einrichtung Backup-Codes erstellt und sicher aufbewahrt werden
• Unternehmen können Geräte zentral zurücksetzen oder Ersatzgeräte bereitstellen

3. Schutz vor Verlust: Best Practices

• Zweitgerät registrieren (z. B. Passkey auf Arbeitsrechner und Smartphone)
• Recovery-Codes regelmäßig überprüfen und sicher speichern
• Admin-Wiederherstellungspfade definieren: IT-Abteilung muss Accounts bei Verlust wiederherstellen können

Migration: Von Passwörtern zu Passkeys in 4 Phasen

Der Wechsel von Passwörtern zu Passkeys sollte schrittweise erfolgen:

Phase 1: Vorbereitung (Monat 1-2)

• ✅ Bestandsaufnahme aller Systeme und Login-Methoden
• ✅ Kompatibilität prüfen (Unterstützt das System FIDO2/WebAuthn?)
• ✅ Pilot-Gruppe definieren (z.B. IT-Abteilung)
• ✅ Backup- und Recovery-Prozesse festlegen

Phase 2: MFA für alle (Monat 3-4)

• ✅ MFA für kritische Systeme verpflichtend machen
• ✅ Authenticator-Apps ausrollen (Microsoft/Google Authenticator)
• ✅ Schulungen für Mitarbeitende durchführen
• ✅ Monitoring und Support-Prozesse etablieren

Phase 3: Passkeys Pilot (Monat 5-6)

• ✅ Passkeys für Pilot-Gruppe aktivieren
• ✅ Feedback sammeln und Prozesse optimieren
• ✅ Hardware-Keys für Admin-Accounts verteilen
• ✅ Dokumentation und FAQs erstellen

Phase 4: Vollständiger Rollout (Monat 7-12)

• ✅ Passkeys für alle Mitarbeitenden ausrollen
• ✅ Passwörter als Backup beibehalten (Hybrid-Phase)
• ✅ Schrittweise Deaktivierung von Passwort-Only-Logins
• ✅ Kontinuierliches Monitoring und Verbesserung

Erwartete Ergebnisse nach 12 Monaten:

• 85-95% Reduktion von Passwort-Reset-Anfragen
• 70% schnellere Anmeldevorgänge
• 0 erfolgreiche Phishing-Angriffe via kompromittierte Zugangsdaten
• 60% Reduktion der IT-Support-Kosten für Authentifizierung

Compliance & Standards

Moderne Authentifizierung ist nicht nur sicherer, sondern oft auch regulatorisch erforderlich:

Relevante Standards & Richtlinien:

DSGVO (Datenschutz-Grundverordnung)

• Art. 32: “Angemessene technische und organisatorische Maßnahmen”
• MFA und Passkeys erfüllen höhere Sicherheitsanforderungen
• Dokumentationspflicht für Zugangskontrollen

BSI IT-Grundschutz

• Baustein ORP.4: “Identitäts- und Berechtigungsmanagement”
• Empfehlung: Multi-Faktor-Authentifizierung für alle privilegierten Zugrünge
• FIDO2/WebAuthn als empfohlener Standard

ISO/IEC 27001

• A.9.4.2: “Sichere Anmeldeverfahren”
• A.9.4.3: “Verwaltung von privilegierten Zugriffsrechten”
• Passkeys unterstützen Zertifizierung

NIS2-Richtlinie (ab 2024)

• Verschärfte Anforderungen für kritische Infrastrukturen
• MFA als Mindeststandard
• Passkeys als empfohlene Best Practice

Branchenspezifisch:

• Finanzsektor: BaFin BAIT - MFA für Banken verpflichtend
• Gesundheitswesen: § 75b SGB V - Starke Authentifizierung für Telematikinfrastruktur
• Öffentliche Verwaltung: OZG - Sichere digitale Identitäten

Typische Risiken – und wie Unternehmen sie vermeiden

Risiko	Lösung
Gerät verloren → kein Zugang zu MFA	Zweitgerät, Recovery-Codes, IT-Wiederherstellung
Mitarbeitende nutzen keine MFA	Erzwingen über zentrale Richtlinien (z. B. Microsoft Entra ID)
Alte Software unterstützt keine modernen Authentifizierungsverfahren	Regelmäßige Updates, Migration auf moderne Tools
Unsichere Passwortspeicherung	Ersatz durch passwortfreie Anmeldung (Passkeys, FIDO2)
Keine Kontrolle über private Geräte	BYOD-Richtlinien + MDM-Systeme

ROI: Was bringt die Umstellung auf Passkeys?

Kostenvergleich (100 Mitarbeitende, 3 Jahre):

Position	Passwörter	Passwort + MFA	Passkeys
Initial-Setup	5.000 €	15.000 €	20.000 €
Laufende Kosten/Jahr	7.000 €	5.000 €	2.500 €
Password Resets	18.000 €	12.000 €	500 €
Security Incidents	50.000 €	15.000 €	1.000 €
Gesamtkosten (3 Jahre)	96.000 €	72.000 €	28.500 €
Zeitersparnis	-	-	+4.800 Std.

Break-even: Nach 18 Monaten amortisiert sich die Investition in Passkeys.

Weitere Vorteile:

• 70% weniger Helpdesk-Tickets für Authentifizierungs-Probleme
• 4x schnellere Anmeldung = mehr Produktivität
• Null erfolgreiche Phishing-Angriffe nach Umstellung
• Bessere Mitarbeiterzufriedenheit durch einfachere Prozesse

Ein letzter Gedanke: Mehr Sicherheit mit weniger Aufwand

Moderne Authentifizierungsmethoden wie Passkeys, MFA und Authenticator-Apps machen digitale Zugänge sicherer und gleichzeitig nutzerfreundlicher. Der Verzicht auf Passwörter reduziert Risiken und vereinfacht Abläufe – besonders in Unternehmen mit vielen Mitarbeitenden und verteilten Systemen.

Die Fakten sprechen für sich:

✅ 81% der Datenlecks werden verhindert ✅ 70% schnellere Anmeldevorgänge ✅ 85-95% weniger Passwort-Resets ✅ 60% Kostenreduktion nach 3 Jahren ✅ 0% erfolgreiche Phishing-Angriffe

Doch diese Technologien funktionieren nur dann zuverlässig, wenn Unternehmen:

✅ Ihre Software aktuell halten ✅ Verlustszenarien durchdacht haben ✅ Ihre Mitarbeitenden schulen ✅ Über zentrale Steuerung und Notfallpläne verfügen ✅ Compliance-Anforderungen im Blick behalten

Wer diese Punkte ernst nimmt, schafft eine digitale Infrastruktur, die nicht nur sicher, sondern auch zukunftsfähig ist.

Erste Schritte: Ihre Checkliste

Sofort umsetzbar:

☐ Woche 1: Bestandsaufnahme durchführen

• Welche Systeme nutzen noch reine Passwort-Authentifizierung?
• Welche Nutzer haben keinen zweiten Faktor aktiviert?
• Wo gibt es Shared Accounts?

☐ Woche 2-3: MFA für kritische Systeme aktivieren

• Admin-Accounts zuerst
• E-Mail-Systeme
• VPN-Zugänge
• Cloud-Services (Microsoft 365, Google Workspace)

☐ Monat 2: Authenticator-Apps ausrollen

• Microsoft/Google Authenticator für alle
• Schulungen durchführen
• FAQ und Support vorbereiten

☐ Monat 3-4: Passkey-Pilot starten

• IT-Abteilung als Test-Gruppe
• Hardware-Keys für Admins
• Feedback-Prozess etablieren

☐ Quartal 3-4: Vollständiger Rollout

• Schrittweise alle Mitarbeitenden migrieren
• Monitoring und Optimierung
• Passwort-Fallback schrittweise deaktivieren

Wichtige Fragen vorab klären:

1. Wiederherstellung: Wie funktioniert der Recovery-Prozess bei Geräteverlust?
2. Backup-Codes: Wo werden diese sicher gespeichert?
3. Offboarding: Wie werden Zugriffsrechte bei Austritt entzogen?
4. Admin-Zugriff: Wer kann im Notfall Accounts wiederherstellen?
5. BYOD: Wie gehen wir mit privaten Geräten um?

Sie brauchen Unterstützung?

Die Umstellung auf moderne Authentifizierung ist ein strategisches Projekt, das Planung und Expertise erfordert. Wir helfen Ihnen bei:

• Sicherheitsaudit – Bestandsaufnahme und Schwachstellenanalyse
• Migrations-Roadmap – Individuell für Ihre Infrastruktur
• Implementierung – Von MFA bis Passkeys
• Schulungen – Für IT-Teams und Mitarbeitende
• Compliance-Beratung – DSGVO, BSI, ISO 27001

Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.