Zum Inhalt springen
Enterprise
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen
Datargo OneEnterprise Single-Pane-of-Glass-Cockpit für Konzerne. Alle Module aus einer Hand. Mehr erfahren
Flaggschiffe
Datargo Monitor Verfügbarkeit und Security Posture. Datargo CRM Support-Hub für jede Marke.
Betrieb & Commerce
Datargo ID SSO und MFA für die ganze Suite. Datargo ERP GoBD-konformer Commercial-Core.
Vertrauen & Krypto
NextPKINeu Certificate Lifecycle, 47-Tage-ready.
Bundle des Monats
Reliability Bundle

Datargo Monitor + NextPKI als gemeinsam abgerechnetes Paket. NIS2-Evidence und Certificate-Lifecycle aus einem Cockpit.

Mehr erfahren
Nach Anwendungsfall
Reliability & Security NIS2-Evidence aus Monitoring + Incident. Kundenservice-Hub Live-Chat, Tickets, Multi-Brand. Identität & SSO Eine Identität für alle Module.
Nach Compliance
NIS2-Evidence Nachweise auf Knopfdruck. DORA-Resilienz Finanz-Sektor, Register-of-Information. ISO 27001 & GoBD Annex-A-Kontrollen und E-Rechnung.
Nach Größe
Solo & Indie-Team In 5 Minuten produktiv. Mittelstand SSO, Audit-Trail, Multi-Brand. Konzern & Public Sector Hunderte Sitze, Region-Pinning.
Sovereignty Kit
NIS2-Nachweis-Paket

Vorgefertigte Kontrollen für Datargo Monitor und Datargo CRM, auf NIS2-Pflichten abgebildet. Direkt in den Pilot starten.

NIS2-Whitepaper lesen
Lernen
Dokumentation Modul-Guides, API-Referenz, Schnellstart. Best-Practice-Guides NIS2-Setup, Multi-Brand-Datargo CRM, SSO-Rollout. Blog Release-Notes, Compliance-News, Roadmap.
Vertrauen
Trust Center Hosting, Zertifikate, Sub-Prozessoren. Status-Page Live-Verfügbarkeit aller Datargo-Module. Legal & Datenschutz AVV, DPA, Sub-Prozessoren-Liste.
Kunden
Kundenstimmen Fallstudien aus Finanz, Public, Tech. Partner-Programm Systemhäuser, Implementierer, MSPs. Events & Webinare it-sa, EIC, NIS2-Roadshows.
Aus dem Cockpit
47-Tage-TLS ab 2029

NextPKI ist bereits auf die neue CA/B-Forum-Realität vorbereitet. Whitepaper und Migrations-Guide jetzt verfügbar.

Whitepaper lesen
Plattform Datargo Monitor Datargo CRM Datargo ID Datargo ERP NextPKI
Datargo One Preise Compliance
Sprache
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen Gespräch vereinbaren
Zum Inhalt springen
Digitale Identität

Passkeys im Unternehmen: phishing-resistente Anmeldung jenseits von Passwort und OTP

23.06.2026 · 2 Min. Lesezeit

Passwort plus SMS- oder TOTP-Code bleibt phishbar. Warum FIDO2-Passkeys das Origin-Problem lösen, wie ein risikobasierter Rollout aussieht und welche Fragen zu Wiederherstellung und Geräteverlust offen bleiben.

Phishing bleibt das verlässlichste Einfallstor in Unternehmensnetze, und die meisten Zweitfaktoren ändern daran wenig. Passwort plus SMS-Code, TOTP-App oder Push-Bestätigung gilt als Mehrfaktor-Authentifizierung, ist aber im Kern angreifbar: Wer die Nutzerin auf eine gefälschte Seite lockt, kann auch den Zweitfaktor in Echtzeit abgreifen. FIDO2-Passkeys setzen an genau dieser Stelle an.

Warum klassische MFA phishbar bleibt

Das Problem ist nicht die Anzahl der Faktoren, sondern ihre Übertragbarkeit. Ein Einmalcode ist ein geteiltes Geheimnis: Er funktioniert überall dort, wo er eingegeben wird, auch auf der Phishing-Seite. Es fehlt die Bindung an die echte Gegenstelle. Genau diese Bindung leistet WebAuthn, der Standard hinter Passkeys.

Was Passkeys anders machen

Ein Passkey ist ein kryptografisches Schlüsselpaar. Der private Schlüssel verlässt das Gerät nie, signiert wird nur gegenüber der Domain, für die der Passkey registriert wurde. Diese Origin-Bindung macht die klassische Phishing-Umleitung wirkungslos: Eine gefälschte Domain erhält schlicht keine gültige Signatur. Es gibt kein Geheimnis, das man auf der falschen Seite eingeben könnte. Das BSI hat dazu ein formales Bedrohungsmodell veröffentlicht, und mit der Technischen Richtlinie BSI TR-03188 existiert eine Vorgabe für den Betrieb eines Passkey-Servers.

Synced, device-bound oder Hardware-Key

Passkey ist nicht gleich Passkey. Ein tragfähiger Rollout staffelt die Variante nach Schutzbedarf:

  • Hardware-Sicherheitsschlüssel: für privilegierte Zugänge und Administration, wo höchste Sicherheit zählt.
  • Gerätegebundene Passkeys: auf verwalteten Firmengeräten, an die Hardware gekoppelt und nicht synchronisierbar.
  • Synchronisierte Passkeys: für die breite Belegschaft, komfortabel über mehrere Geräte, mit etwas geringerem Härtegrad.

Diese Abstufung deckt sich mit der Erwartung, die Aufsicht und Prüfwesen zunehmend formulieren: Für sensible administrative Zugänge gilt phishing-resistente Authentifizierung zunehmend als Anforderung, nicht als Empfehlung.

Die offenen Fragen

Der schwierige Teil liegt nicht in der Anmeldung, sondern in den Randfällen. Was passiert beim Geräteverlust? Wie sieht ein Wiederherstellungsweg aus, der nicht selbst zur phishbaren Hintertür wird? Und wie geht man mit Altsystemen um, die WebAuthn noch nicht sprechen? Ein durchdachter Rollout beantwortet diese Fragen vorab, statt sie im Störfall zu improvisieren. Als Klammer der Plattform verankert Datargo ID Single Sign-On und MFA an einer Stelle, was diese Fragen bündelt, statt sie über jede Anwendung einzeln zu verteilen.

Die entscheidende Verschiebung ist diese: weg von einem Geheimnis, das man kennen und damit verraten kann, hin zu einem Schlüssel, der an Gerät und Gegenstelle gebunden bleibt.

Zurück zum Blog

Datargo Datargo

Die europäische Business Operations Platform. Monitoring, Kundenservice, Identität, Buchhaltung und Zertifikate in einer souveränen Suite. Auditierbar by design. Made in Germany.

EU-Hosting Frankfurt DSGVO-nativ Made in Germany
Plattform
  • Datargo One
  • Datargo Monitor
  • Datargo CRM
  • Datargo ID
  • Datargo ERP
  • NextPKI
Lösungen
  • Reliability & Posture
  • Kundenservice-Hub
  • Identität & SSO
  • Commerce & GoBD
  • Skalierung
Compliance
  • NIS2-Evidence
  • DORA-Resilienz
  • ISO 27001-Mapping
  • GoBD & E-Rechnung
  • Souveränität
Branchen
  • Finanzdienstleister
  • Public Sector
  • Health & Pharma
  • Industrie & TISAX
  • SaaS & Tech
Ressourcen
  • Trust Center
  • Dokumentation
  • Status-Page
  • Kundenstimmen
  • Partner-Programm
  • Blog
Unternehmen
  • Datargo One für Konzerne
  • 90 Tage testen
  • Gespräch vereinbaren
  • Kontakt
  • Karriere
© 2026 Datargo GmbH. Alle Rechte vorbehalten.
Impressum Datenschutz AGB AVV SLA Sub-ProzessorenDORA / NIS2
Deutschland · Deutsch

Datargo® und Databurg® sind eingetragene Marken der Datargo GmbH. Alle weiteren genannten Produktnamen, Logos und Marken sind Eigentum ihrer jeweiligen Inhaber.

Cookies & optionale Funktionen. Datargo nutzt technisch notwendige Cookies. Optional aktivieren wir Komfortfunktionen wie unseren Live-Chat-Support, einen eigenen Datargo-Dienst, der dabei personenbezogene Daten verarbeitet. Sie können alles akzeptieren oder bei den notwendigen Cookies bleiben.

Mehr im Datenschutz