Passkeys im Unternehmen: phishing-resistente Anmeldung jenseits von Passwort und OTP
Passwort plus SMS- oder TOTP-Code bleibt phishbar. Warum FIDO2-Passkeys das Origin-Problem lösen, wie ein risikobasierter Rollout aussieht und welche Fragen zu Wiederherstellung und Geräteverlust offen bleiben.
Phishing bleibt das verlässlichste Einfallstor in Unternehmensnetze, und die meisten Zweitfaktoren ändern daran wenig. Passwort plus SMS-Code, TOTP-App oder Push-Bestätigung gilt als Mehrfaktor-Authentifizierung, ist aber im Kern angreifbar: Wer die Nutzerin auf eine gefälschte Seite lockt, kann auch den Zweitfaktor in Echtzeit abgreifen. FIDO2-Passkeys setzen an genau dieser Stelle an.
Warum klassische MFA phishbar bleibt
Das Problem ist nicht die Anzahl der Faktoren, sondern ihre Übertragbarkeit. Ein Einmalcode ist ein geteiltes Geheimnis: Er funktioniert überall dort, wo er eingegeben wird, auch auf der Phishing-Seite. Es fehlt die Bindung an die echte Gegenstelle. Genau diese Bindung leistet WebAuthn, der Standard hinter Passkeys.
Was Passkeys anders machen
Ein Passkey ist ein kryptografisches Schlüsselpaar. Der private Schlüssel verlässt das Gerät nie, signiert wird nur gegenüber der Domain, für die der Passkey registriert wurde. Diese Origin-Bindung macht die klassische Phishing-Umleitung wirkungslos: Eine gefälschte Domain erhält schlicht keine gültige Signatur. Es gibt kein Geheimnis, das man auf der falschen Seite eingeben könnte. Das BSI hat dazu ein formales Bedrohungsmodell veröffentlicht, und mit der Technischen Richtlinie BSI TR-03188 existiert eine Vorgabe für den Betrieb eines Passkey-Servers.
Synced, device-bound oder Hardware-Key
Passkey ist nicht gleich Passkey. Ein tragfähiger Rollout staffelt die Variante nach Schutzbedarf:
- Hardware-Sicherheitsschlüssel: für privilegierte Zugänge und Administration, wo höchste Sicherheit zählt.
- Gerätegebundene Passkeys: auf verwalteten Firmengeräten, an die Hardware gekoppelt und nicht synchronisierbar.
- Synchronisierte Passkeys: für die breite Belegschaft, komfortabel über mehrere Geräte, mit etwas geringerem Härtegrad.
Diese Abstufung deckt sich mit der Erwartung, die Aufsicht und Prüfwesen zunehmend formulieren: Für sensible administrative Zugänge gilt phishing-resistente Authentifizierung zunehmend als Anforderung, nicht als Empfehlung.
Die offenen Fragen
Der schwierige Teil liegt nicht in der Anmeldung, sondern in den Randfällen. Was passiert beim Geräteverlust? Wie sieht ein Wiederherstellungsweg aus, der nicht selbst zur phishbaren Hintertür wird? Und wie geht man mit Altsystemen um, die WebAuthn noch nicht sprechen? Ein durchdachter Rollout beantwortet diese Fragen vorab, statt sie im Störfall zu improvisieren. Als Klammer der Plattform verankert Datargo ID Single Sign-On und MFA an einer Stelle, was diese Fragen bündelt, statt sie über jede Anwendung einzeln zu verteilen.
Die entscheidende Verschiebung ist diese: weg von einem Geheimnis, das man kennen und damit verraten kann, hin zu einem Schlüssel, der an Gerät und Gegenstelle gebunden bleibt.