Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist ein Passkey? Grundlagen moderner Authentifizierung
Cybersecurity 101/Sicherheit der Identität/Passkey

Was ist ein Passkey? Grundlagen moderner Authentifizierung

Passkeys verwenden kryptografische Schlüsselpaaren zur Ablösung von Passwörtern und verhindern so Phishing und Diebstahl von Zugangsdaten. Erfahren Sie, wie sie funktionieren und welche Best Practices für die Implementierung gelten.

CS-101_Identity.svg
Inhaltsverzeichnis
Was ist ein Passkey?
Wie Passkeys mit Cybersicherheit zusammenhängen
Passkeys vs. Passwörter
Kernkomponenten von Passkeys
Wie Passkeys funktionieren
Zentrale Vorteile von Passkeys
Plattformunterstützung und Branchenakzeptanz von Passkeys
Herausforderungen und Einschränkungen von Passkeys
Häufige Fehler bei der Passkey-Implementierung
Best Practices für Passkeys
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist LDAP Injection? Funktionsweise und Schutzmaßnahmen
  • Was ist Broken Authentication? Ursachen, Auswirkungen & Prävention
  • Was ist Authentication Bypass? Techniken & Beispiele
  • Passkey vs. Security Key: Unterschiede & Auswahlhilfe
Autor: SentinelOne | Rezensent: Jeremy Goldstein
Aktualisiert: April 9, 2026

Was ist ein Passkey?

Ein Angreifer phisht das Passwort eines Mitarbeiters, umgeht die SMS-Zwei-Faktor-Authentifizierung und bewegt sich lateral durch Ihr Netzwerk. Laut dem Verizon DBIR waren bei 88 % der Verstöße in anmeldeinformationsbasierten Angriffsmustern gestohlene Anmeldeinformationen im Spiel, während Phishing bei 57 % der Social-Engineering-Vorfälle eingesetzt wurde.

Passkeys eliminieren diesen gesamten Angriffsweg. Sie verwenden kryptografische, passwortlose Authentifizierung, bei der private Schlüssel niemals das Benutzergerät verlassen, wodurch Anmeldeinformationsdiebstahl praktisch unmöglich wird.

Ein Passkey basiert auf Public-Key-Kryptografie. Ihr Gerät generiert ein einzigartiges Schlüsselpaar: Der private Schlüssel verbleibt auf Ihrem Gerät in hardwaregeschütztem Speicher wie einem Trusted Platform Module oder Secure Enclave, und der öffentliche Schlüssel wird an den Dienstanbieter übermittelt. Während der Authentifizierung sendet der Dienst eine Herausforderung, die Ihr Gerät mit dem privaten Schlüssel signiert. Es werden keine Passwörter über das Netzwerk übertragen. Dies eliminiert Phishing-, Credential-Stuffing- und Passwort-Wiederverwendungsangriffe, da private Schlüssel niemals Geräte verlassen und keine wiederverwendbaren Geheimnisse übertragen werden.

Passkeys implementieren den FIDO2-Standard (WebAuthn + CTAP) und gewährleisten konsistente Sicherheit über Plattformen, Browser und Dienste hinweg. Gerätegebundene Passkeys speichern private Schlüssel in Hardware-Sicherheitsmodulen für höchste Sicherheit. Synchronisierte Passkeys verschlüsseln und synchronisieren Schlüssel über Plattform-Ökosysteme hinweg für breiteren Zugriff.

Das Verständnis, wie sich Passkeys von den Passwörtern unterscheiden, die sie ersetzen, macht den Sicherheitsgewinn deutlich.

What is a Passkey - Featured Image | SentinelOne

Wie Passkeys mit Cybersicherheit zusammenhängen

Passkeys stoppen Phishing auf kryptografischer Ebene. Wenn Angreifer Phishing-Kampagnen gegen Ihre Nutzer starten, verhindert die Ursprungsbindung durch das WebAuthn-Protokoll die Authentifizierung auf gefälschten Domains. Selbst wenn ein Nutzer auf einen Phishing-Link klickt und versucht, sich anzumelden, kann die Anmeldeinformation den Authentifizierungsprozess nicht abschließen, da die kryptografische Bindung an die legitime Domain dies blockiert.

In Hardware-Sicherheitsmodulen gespeicherte private Schlüssel können nicht durch Softwareangriffe extrahiert werden. Datenbankverstöße können keine wiederverwendbaren Anmeldeinformationen offenlegen, und Credential-Stuffing schlägt fehl, da Passkeys für jeden Dienst einzigartig sind.

Reale Vorfälle zeigen, warum das wichtig ist. Im September 2023 erlitt MGM Resorts einen Social-Engineering-Angriff, bei dem Angreifer einen Mitarbeiter gegenüber dem IT-Helpdesk imitierten und so Anmeldeinformationen erlangten, die zur Ransomware-Bereitstellung führten, was geschätzte 100 Millionen US-Dollar Verlust verursachte. 2022 erlebte ein großer Identitätsanbieter einen Anmeldeinformationsdiebstahl durch einen kompromittierten Drittanbieter, der Hunderte von Kunden betraf.

Mit Passkeys geschützte Konten eliminieren Anmeldeinformationsdiebstahl als Initialzugriffsweg und entfernen den Angriffsvektor hinter der Mehrheit dieser Verstöße. Die Stärke dieses Schutzes resultiert aus einer spezifischen Kombination technischer Komponenten, die zusammenarbeiten.

Passkeys vs. Passwörter

Passwörter sind geteilte Geheimnisse. Sie werden erstellt, an einen Server übertragen und der Server speichert eine gehashte Kopie. Jeder Schritt in dieser Kette ist angreifbar: Nutzer wählen schwache Passwörter, verwenden sie dienstübergreifend wieder und fallen auf Phishing-Seiten herein, die sie in Echtzeit abgreifen. Selbst gehashte Passwortdatenbanken werden kompromittiert und offline geknackt.

Passkeys funktionieren auf jeder Ebene anders. Ihr Gerät generiert ein kryptografisches Schlüsselpaar, und der private Schlüssel verlässt das Gerät nie. Der Server speichert nur den öffentlichen Schlüssel, der für einen Angreifer ohne das zugehörige private Gegenstück nutzlos ist. Die Authentifizierung erfolgt über eine signierte Herausforderung, sodass nichts Wiederverwendbares das Netzwerk durchquert.

Die praktischen Unterschiede sind erheblich. Passwörter erfordern, dass Nutzer komplexe Zeichenfolgen merken und sie regelmäßig ändern, was zu Wiederverwendung und schwachen Entscheidungen führt. Passkeys benötigen lediglich einen biometrischen Scan oder eine Geräte-PIN zur Entsperrung, ohne dass etwas auswendig gelernt werden muss. Passwortzurücksetzungen machen 20-50 % der IT-Helpdesk-Anfragen in Unternehmen aus; Passkeys eliminieren diese Kategorie vollständig.

Aus Sicherheitssicht bleiben Passwörter anfällig für Phishing, Brute-Force-Angriffe, Credential-Stuffing und Datenbankverstöße. Passkeys sind gegen alle vier resistent:

  • Phishing — Domain-Bindung verhindert die Nutzung von Anmeldeinformationen auf gefälschten Seiten
  • Brute-Force und Credential-Stuffing — Es existieren keine Passwörter, die erraten oder wiederholt werden könnten
  • Datenbankverstöße — Server speichern nur öffentliche Schlüssel, die ohne das private Gegenstück nutzlos sind
  • Anmeldeinformationswiederverwendung — Dienstspezifische Einzigartigkeit bedeutet, dass das Kompromittieren eines Kontos keine anderen freischaltet

Während Passwörter einen einzelnen Authentifizierungsfaktor bieten (etwas, das Sie wissen), kombinieren Passkeys zwei: etwas, das Sie besitzen (das Gerät mit dem privaten Schlüssel) und etwas, das Sie sind (biometrische Verifikation), und liefern so integrierte Multi-Faktor-Authentifizierung in einem Schritt.

Diese Unterschiede führen direkt zu messbaren Sicherheitsvorteilen, wenn Passkeys realen Angriffsszenarien ausgesetzt sind.

Kernkomponenten von Passkeys

Die Passkey-Authentifizierung basiert auf fünf technischen Komponenten, die eine phishing-resistente Authentifizierung ermöglichen:

  • Kryptografische Schlüsselpaaren bilden die Grundlage. Jeder Passkey besteht aus einem mathematisch verbundenen öffentlichen und privaten Schlüssel. Der öffentliche Schlüssel befindet sich auf dem Server des Dienstanbieters; der private Schlüssel verbleibt auf dem Gerät des Nutzers im hardwaregeschützten Speicher.
  • Authentifikatoren generieren und speichern Passkeys. Plattform-Authentifikatoren sind in Geräte integriert, etwa über TPMs, Secure Enclaves oder Trusted Execution Environments (TEEs), und binden private Schlüssel an spezifische Hardware. Roaming-Authentifikatoren umfassen USB-Sicherheitsschlüssel und Bluetooth-Token. Beide implementieren CTAP- und WebAuthn-Spezifikationen für Domain-Bindung, Phishing-Resistenz und kryptografischen Besitznachweis.
  • WebAuthn API ermöglicht Webanwendungen und Browsern die Interaktion mit Authentifikatoren. Dieser W3C-Standard definiert, wie Registrierung und Authentifizierung ablaufen, und sorgt für konsistente Implementierung über Plattformen hinweg.
  • Relying Party bezeichnet den Dienst, der Passkey-Authentifizierung implementiert, Herausforderungen generiert, Antworten validiert und das öffentliche Schlüsselregister verwaltet.
  • Nutzerverifikation bestätigt, dass der legitime Nutzer den Authentifikator kontrolliert, etwa durch biometrische Authentifizierung, Geräte-PIN oder Muster. Die Verifikation erfolgt lokal; biometrische Daten verlassen das Gerät nie.

Diese Komponenten arbeiten in zwei Kernprozessen zusammen: Registrierung und Authentifizierung.

Wie Passkeys funktionieren

Beide Prozesse basieren auf kryptografischem Challenge-Response, das die Übertragung von Anmeldeinformationen vollständig eliminiert.

Registrierungsprozess

Während der Registrierung sendet die Relying Party Anforderungen an den Browser des Nutzers, der WebAuthn aufruft. Der Authentifikator generiert ein einzigartiges Schlüsselpaar, das auf diese Domain beschränkt ist. Diese Ursprungsbindung verhindert Anmeldeinformationswiederverwendung und Phishing.

Der private Schlüssel wird im hardwaregeschützten Speicher abgelegt. Bei gerätegebundenen Implementierungen bedeutet das Hardware-Sicherheitsmodule, TPMs, Secure Enclaves oder Sicherheitschips. Bei synchronisierten Implementierungen bedeutet das verschlüsselten Cloud-Speicher ohne Exportmöglichkeit. Der Authentifikator gibt den öffentlichen Schlüssel und Metadaten zur Anmeldeinformation an die Relying Party zurück. Die Registrierung ist in Sekunden abgeschlossen und ermöglicht eine passwortlose Anmeldung ohne Passworterstellung.

Authentifizierungsprozess

Wenn sich Ihr Nutzer authentifiziert, generiert die Relying Party eine zufällige Herausforderung und sendet sie mit der Credential-ID. Nach der Nutzerverifikation durch biometrischen Scan, PIN-Eingabe oder Geräteentsperrung signiert der Authentifikator die Herausforderung mit dem privaten Schlüssel.

Die signierte Herausforderung wird zur Validierung an die Relying Party zurückgesendet. Wenn die Signatur übereinstimmt, ist die Authentifizierung abgeschlossen. Herausforderungen verfallen innerhalb von Minuten und können nicht wiederverwendet werden.

Szenarien für geräteübergreifende Authentifizierung

Synchronisierte Passkeys verschlüsseln private Schlüssel in Cloud-Schlüsselbunden (iCloud Keychain oder Google Password Manager) für den Zugriff auf mehreren Geräten innerhalb desselben Ökosystems. Sie bieten bequemen Zugriff, aber eingeschränkte Attestierungsunterstützung, sodass Organisationen nicht immer kryptografisch die genaue verwendete Sicherheits-Hardware verifizieren können. Gerätegebundene Passkeys erfordern den physischen Authentifikator für jede Anmeldung und bieten höhere Sicherheit durch vollständige Attestierungsfunktionen, mit denen Organisationen das genaue Sicherheitsmodul oder Hardware-Sicherheitsmodul verifizieren können.

Für Unternehmen hängt die Wahl zwischen synchronisierten und gerätegebundenen Anmeldeinformationen von der Risikotoleranz ab. Hochsichere Umgebungen wie privilegierte Administratorkonten profitieren von gerätegebundenen Implementierungen, während synchronisierte Optionen für die allgemeine Belegschaft geeignet sind, wo Benutzerfreundlichkeit die Akzeptanz fördert.

Nachdem die Mechanik erläutert wurde, stellt sich die Frage, welchen Mehrwert Passkeys für Ihre Organisation bieten.

Zentrale Vorteile von Passkeys

Passkeys bieten vier Kategorien messbarer Verbesserungen gegenüber passwortbasierter Authentifizierung, die Sicherheit, Betrieb und Compliance abdecken.

  1. Phishing-Resistenz durch Kryptografie: Passwortbasierte Authentifizierung mit SMS-Codes bleibt anfällig für Echtzeit-Phishing, bei dem Angreifer Anfragen über gefälschte Seiten weiterleiten. Passkeys eliminieren dies durch Domain-Bindung. Die WebAuthn API überprüft die Zieldomain vor der Authentifizierung, sodass der Prozess fehlschlägt, wenn die Domains nicht übereinstimmen. SMS-Codes, Push-Benachrichtigungen und TOTP bleiben anfällig für Man-in-the-Middle-Angriffe, SIM-Swapping und Push-Benachrichtigungs-Müdigkeit. Kryptografische Anmeldeinformationen sind es nicht.
  2. Verhinderung von Anmeldeinformationsdiebstahl: Ihre privaten Schlüssel verlassen niemals die Benutzergeräte. Serververstöße können keine wiederverwendbaren Anmeldeinformationen offenlegen, da Server nur öffentliche Schlüssel speichern. Infostealer-Malware kann keine Schlüssel aus Hardware-Sicherheitsmodulen extrahieren, selbst mit Kernel-Zugriff. Passkeys adressieren die Techniken zur Anmeldeinformationsbeschaffung, auf die Angreifer am meisten setzen.
  3. Operative Effizienzgewinne: Die Einführung von Passkeys reduziert Passwortzurücksetzungsanfragen, da Nutzer kryptografische Anmeldeinformationen nicht vergessen können. Die FIDO-Implementierung des USDA ermöglichte beispielsweise etwa 40.000 Nutzern die Einführung von passwortloser Authentifizierung und eliminierte eine gesamte Kategorie von Helpdesk-Tickets. Identitätssicherheitsplattformen wie Singularity Identity von SentinelOne ergänzen Passkey-Prävention durch autonome Reaktion auf anmeldeinformationsbasierte Bedrohungen, die auf Authentifizierungsinfrastruktur abzielen.
  4. Compliance und Angleichung an Vertrauensniveaus: Passkeys entsprechen den Anforderungen von NIST SP 800-63 AAL3 für phishing-resistente Multi-Faktor-Authentifizierung. CISA bezeichnet FIDO/WebAuthn-Passkeys als Goldstandard für MFA, da sie domaingebundene Anmeldeinformationen bieten, die nicht auf gefälschten Seiten verwendet werden können. Wie bereits erwähnt, betreffen die überwiegende Mehrheit der anmeldeinformationsbasierten Verstöße gestohlene Anmeldeinformationen – eine Kategorie, die Passkeys vollständig eliminieren.

Public-Key-Kryptografie bietet zudem prüfbare Sicherheitseigenschaften, die Passwort-Richtlinien nicht erreichen: kryptografischer Nachweis der domainspezifischen Authentifizierung, keine geteilten Geheimnisse im Netzwerk und hardwarebasierte Schlüsselerzeugung. Diese Eigenschaften liefern prüfbare Nachweise bei Audits und vereinfachen die Compliance-Dokumentation für Frameworks wie SOC 2, HIPAA und PCI DSS.

Diese Sicherheits- und Betriebsvorteile haben zu einer schnellen Einführung über Plattformen und Branchen hinweg geführt.

Plattformunterstützung und Branchenakzeptanz von Passkeys

Apple, Google und Microsoft unterstützen Passkeys nativ in ihren Betriebssystemen und Browsern und bieten Unternehmen plattformübergreifende Abdeckung für die meisten Unternehmensgeräteumgebungen:

  • Apple integriert Passkeys über iCloud Keychain auf iOS, iPadOS und macOS
  • Google unterstützt sie über den Google Password Manager auf Android und Chrome
  • Microsoft ermöglicht Passkey-Authentifizierung über Windows Hello und Entra ID

Neben Plattformanbietern haben große Verbraucher- und Unternehmensdienste Passkey-Login eingeführt. Amazon, PayPal, GitHub, Shopify und eBay unterstützen Passkeys für die Kundenanmeldung. Das FIDO Alliance Passkey Directory verfolgt die wachsende Akzeptanz in den Bereichen Banken, Gesundheitswesen und öffentlicher Sektor. Laut FIDO Alliance haben 53 % der Menschen Passkeys für mindestens ein Konto aktiviert.

Für Unternehmenssicherheitsteams bedeutet dieser Trend, dass passwortlose Authentifizierung keine Zukunftsvision mehr ist. Identitätsanbieter wie Microsoft Entra ID, Okta und Ping Identity bieten native FIDO2/WebAuthn-Integration, sodass die unternehmensweite Einführung heute möglich ist.

Die wachsende Plattformunterstützung beseitigt jedoch nicht die Komplexität der Einführung.

Herausforderungen und Einschränkungen von Passkeys

Die unternehmensweite Einführung von Passkeys steht vor vier zentralen Herausforderungen, die Planung und Investitionen erfordern.

  1. Einschränkungen bei der Integration von Altsystemen: Legacy-Anwendungen, die nicht mit modernen Authentifizierungsdiensten integriert werden können, stellen das Haupthindernis für die Einführung dar. Viele Organisationen setzen auf hybride Systeme, die Passwörter und kryptografische Anmeldeinformationen kombinieren, was zu betrieblicher Komplexität führt, da mehrere Authentifizierungsinfrastrukturen parallel betrieben werden. Mainframe-Anwendungen, industrielle Steuerungssysteme und eingebettete Geräte verfügen häufig nicht über die Ressourcen zur Implementierung von WebAuthn-Protokollen. Sie müssen entscheiden, ob Sie Passwortinseln beibehalten, in Authentifizierungsgateways investieren oder akzeptieren, dass bestimmte Systeme außerhalb der Passkey-Abdeckung bleiben. Eine frühzeitige Planung dieser Lücken verhindert Sicherheitsblindspots während der Einführung.
  2. Inkonsistenzen bei der plattformübergreifenden Implementierung: Trotz WebAuthn-Standardisierung variieren Implementierungen über Plattformen und Browser hinweg. Synchronisierte Passkeys funktionieren nur innerhalb eines einzelnen Plattform-Ökosystems: Private Schlüssel, die über iCloud Keychain synchronisiert werden, sind nicht von Android-Geräten mit Google Password Manager zugänglich und umgekehrt. Diese Inkonsistenzen führen zu unvorhersehbaren Authentifizierungsabläufen, die die unternehmensweite Einführung erschweren.
  3. Komplexität der Kontowiederherstellung: Geräteverlust oder Hardwareausfall führen zu Kontosperrungen, die robuste Wiederherstellungsmechanismen erfordern. Nutzer fürchten oft den Verlust des Zugriffs, was eine psychologische Hürde für die Akzeptanz darstellt. Organisationen, die die Wiederherstellung als nachrangig behandeln, verzeichnen höhere Support-Ticket-Volumina und geringere Akzeptanzraten. Daher muss das Design der Wiederherstellungsmechanismen von Anfang an berücksichtigt werden.
  4. Organisatorisches Change Management: Nutzer können sich gegen ungewohnte Authentifizierungsabläufe sträuben, insbesondere wenn sie die Sicherheitsvorteile nicht verstehen. Support-Mitarbeiter benötigen Schulungen zu Fehlerbehebung, Wiederherstellungsverfahren und plattformspezifischem Verhalten vor der Einführung. Die funktionsübergreifende Zusammenarbeit zwischen UX, Entwicklung und Produktteams adressiert Akzeptanzbarrieren effektiver als die Behandlung von Passkeys als rein technische Initiative.

Das Wissen um diese Herausforderungen hilft, die häufigsten Einführungsfehler zu vermeiden.

Häufige Fehler bei der Passkey-Implementierung

Selbst gut geplante Passkey-Einführungen können scheitern, wenn Teams Benutzererfahrung, Fehlerbehandlung und Ausweichsicherheit übersehen. Diese vier Fehler treten am häufigsten auf.

  • Fehlende Nutzeraufklärung vor der Einführung: Die Ankündigung der Einführung ohne Berücksichtigung von Nutzerbedenken führt zu Verwirrung und Widerstand. Nutzer stoßen auf ungewohnte Authentifizierungsaufforderungen ohne Kontext und fordern häufig Passwortzurücksetzungen oder kontaktieren den Support. Die Aufklärung sollte Szenarien zum Geräteverlust und Wiederherstellungsverfahren im Voraus erklären, mit plattformspezifischen Workflows für iOS, Android und Windows.
  • Verwendung generischer Fehlermeldungen: Authentifizierungsabläufe, die "Etwas ist schiefgelaufen" statt konkreter Hinweise anzeigen, untergraben das Nutzervertrauen. Spezifische Meldungen wie "Diese Anmeldeinformation gehört zu einem anderen Konto" oder "Ihre Geräte-Richtlinie erfordert ein Update" helfen Nutzern bei der Problemlösung und erhalten das Vertrauen auch bei Fehlern.
  • Unzureichende Wiederherstellungstests: Die Einführung von Passkeys ohne umfassende Tests der Wiederherstellung setzt Nutzer dem Risiko einer Kontosperrung aus. Nutzer verlieren Geräte unerwartet, Backup-Authentifikatoren funktionieren nicht und Cloud-Synchronisation kann ausfallen. Testen Sie Wiederherstellungsverfahren anhand realer Ausfallszenarien mit Schritt-für-Schritt-Anleitungen und visueller Unterstützung.
  • Beibehaltung unsicherer Ausweich-Authentifizierung: Implementierungen, die auf schwache Ein-Faktor-Methoden (nur E-Mail oder SMS-OTP) zurückfallen, bleiben anfällig für dieselben Angriffe, die Passkeys verhindern sollen. Gestalten Sie Ausweichverfahren mit Multi-Faktor-Anforderungen und machen Sie Wiederherstellungsabläufe bewusst weniger bequem als die primäre Authentifizierung, um routinemäßige Nutzung zu verhindern und dennoch Notfallzugang zu ermöglichen.

Die Befolgung bewährter Methoden hilft, diese Fallstricke zu vermeiden und eine widerstandsfähige Einführung zu gewährleisten.

Best Practices für Passkeys

Erfolgreiche Unternehmenseinführungen folgen gemeinsamen Mustern bei Rollout-Sequenz, Nutzerfokussierung, Wiederherstellungsdesign und Plattformintegration.

Implementieren Sie eine gestufte Rollout-Strategie

Führen Sie die Einführung in progressiven Stufen durch. Beginnen Sie mit der Etablierung eines Multi-Faktor-Authentifizierungs-Baselines mit App-basierten Authentifikatoren, um organisatorische Fähigkeiten aufzubauen, bevor Passkeys eingeführt werden. Anschließend führen Sie Passkeys mit phishing-resistenter MFA für sensible Anwendungen ein, während Sie während der Übergangsphase Passwort-Fallbacks beibehalten.

Mit zunehmender Akzeptanz sollten Lebenszyklus- und Wiederherstellungsprozesse formalisiert werden:

  • Remote-Geräteentsperrung und Anmeldeinformationsausstellung
  • Widerrufsverfahren mit vollständigen Audit-Trails für Compliance
  • Zentrale Verwaltung von Anmeldeinformationen in Ihrer Organisation
  • Passwortbasierte Authentifizierung nur noch als Notfallausweichlösung

Jede Stufe sollte klare Erfolgskriterien enthalten, bevor zum nächsten Schritt übergegangen wird.

Fokussieren Sie zuerst Hochrisikonutzergruppen

Führen Sie die Einführung bei privilegierten Nutzern, IT-Administratoren und Führungskräften durch. Diese besonders wertvollen Ziele sind dem größten Risiko des Anmeldeinformationsdiebstahls ausgesetzt, wobei der Verizon DBIR zeigt, dass 57 % der Social-Engineering-Vorfälle Phishing beinhalten und Phishing in 16 % aller Verstöße als Initialzugriffsmethode genutzt wird. Sichern Sie geschäftskritische Anwendungen wie E-Mail, VPN, HR-Systeme und Finanztools, bevor weniger sensible Dienste folgen.

Bauen Sie eine robuste Wiederherstellungsinfrastruktur auf

Implementieren Sie mehrere Wiederherstellungsmechanismen, ohne Passwort-Hintertüren zu schaffen. Verlangen Sie von Nutzern, Backup-Hardware-Sicherheitsschlüssel zusätzlich zu primären Plattform-Authentifikatoren zu registrieren, damit der Verlust eines Geräts nicht zur vollständigen Kontosperrung führt.

Die administrative Wiederherstellung sollte die Identität über mehrere Kanäle verifizieren: Überprüfung des Lichtbildausweises, Bestätigung durch den Vorgesetzten und Validierung von Sicherheitsfragen. Cloud-synchronisierte Passkeys ermöglichen automatische Wiederherstellung, wenn sich Nutzer mit demselben Plattformkonto auf Ersatzgeräten anmelden. Gerätegebundene Passkeys sind privilegiertem Zugriff vorbehalten, der hardwarebasierte Authentifizierung erfordert.

Integrieren Sie mit Identitätsplattformen

Verbinden Sie sich mit Unternehmensidentitätsplattformen wie Microsoft Entra ID unter Verwendung von Richtlinien für bedingten Zugriff. Risikobasierte Authentifizierung kann phishing-resistente Passkey-Verifikation für erhöhte Risikobedingungen erzwingen, während in risikoarmen Szenarien eine vereinfachte Authentifizierung möglich ist. Die Integration mit Identitätsplattformen bietet zudem zentrale Audit-Trails, die Passkey-Authentifizierung mit Anwendungszugriff und Nutzerverhalten korrelieren.

Stellen Sie kontinuierliche Verbesserungsprozesse sicher

Verfolgen Sie Akzeptanzmetriken: Registrierungsraten, Erfolgsraten bei der Authentifizierung, Häufigkeit der Wiederherstellung und Helpdesk-Eskalationen. Optimieren Sie Authentifizierungsabläufe auf Basis von Betriebsdaten und Nutzerfeedback, während die Plattformunterstützung und organisatorische Reife wachsen.

Passkeys stärken Ihre Authentifizierungsperimeter, aber Angreifer beschränken sich nicht auf gestohlene Anmeldeinformationen.

Verringern Sie das Identitätsrisiko in Ihrer gesamten Organisation

Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.

Demo anfordern

Wichtige Erkenntnisse

Passkeys eliminieren Anmeldeinformationsdiebstahl und Phishing durch kryptografische Authentifizierung, bei der private Schlüssel niemals Benutzergeräte verlassen. Es werden keine Passwörter über das Netzwerk übertragen, wodurch die häufigste Initialzugriffsmethode entfernt wird, die Angreifer ausnutzen. Die unternehmensweite Einführung erfordert einen gestuften Rollout, beginnend mit Hochrisikonutzern und geschäftskritischen Anwendungen, mit gezielter Planung zu Altsystemeinschränkungen, plattformübergreifenden Inkonsistenzen und Akzeptanzbarrieren bei Nutzern.

Das Überspringen der Nutzeraufklärung, die Verwendung generischer Fehlermeldungen und die Beibehaltung schwacher Ausweich-Authentifizierung können die Sicherheitsgewinne von Passkeys untergraben, wenn sie nicht adressiert werden. Identitätssicherheitsplattformen ergänzen die Passkey-Prävention, indem sie Angriffe erkennen, die auf Authentifizierungsinfrastruktur jenseits der Anmeldeinformation abzielen, einschließlich Active Directory-Kompromittierung, Privilegieneskalation und lateraler Bewegung.

FAQs

Ein Passkey ist ein passwortloses kryptografisches Anmeldeverfahren, das Passwörter durch öffentliche Kryptografie ersetzt. Ihr Gerät erzeugt ein einzigartiges Schlüsselpaar: Der private Schlüssel verbleibt in hardwaregeschütztem Speicher auf Ihrem Gerät, während der öffentliche Schlüssel an den Dienstanbieter übermittelt wird. 

Die Authentifizierung erfolgt über eine kryptografische Challenge-Response, sodass keine Passwörter oder wiederverwendbaren Geheimnisse das Netzwerk passieren.

Nein. Passkeys nutzen asymmetrische Kryptografie, wobei private Schlüssel in Hardware-Sicherheitsmodulen auf Ihrem Gerät verbleiben und niemals über Netzwerke übertragen werden. 

Phishing-Versuche scheitern, da Passkeys die Ziel-Domain kryptografisch vor der Authentifizierung verifizieren und so die Nutzung auf gefälschten Seiten verhindern.

Die Wiederherstellung hängt von Ihrer Architektur ab. Synchronisierte Passkeys, die in Cloud-Schlüsselbunden verschlüsselt sind, bleiben von jedem Gerät aus zugänglich, das bei Ihrem Plattformkonto angemeldet ist. 

Gerätegebundene Passkeys erfordern Backup-Authentifikatoren, die während der Registrierung hinterlegt wurden. Organisationen sollten mehrere Wiederherstellungsmechanismen implementieren, um einen vollständigen Kontoverlust zu verhindern.

Synchronisierte Passkeys funktionieren geräteübergreifend innerhalb desselben Plattform-Ökosystems (Apple, Google, Microsoft). Für plattformübergreifende Authentifizierung ist eine separate Passkey-Registrierung pro Ökosystem oder der Einsatz von Hardware-Sicherheitsschlüsseln mit FIDO2-Standard erforderlich.

Ja. Passkeys entsprechen den Anforderungen von NIST SP 800-63B AAL3 für phishing-resistente Multi-Faktor-Authentifizierung. Gerätegebundene Passkeys mit Hardware-Attestierung erfüllen die höchsten Authentifizierungsanforderungen für Bundesbehörden. CISA bezeichnet FIDO/WebAuthn-Passkeys als das Goldstandard für MFA.

Passkeys implementieren FIDO2/WebAuthn-Standards, die von Unternehmens-Identitätsplattformen wie Microsoft Entra ID unterstützt werden. Zugriffsrichtlinien erzwingen passkey-basierte Authentifizierung basierend auf Risikosignalen. 

Die Implementierung erfordert stufenweise Strategien zur Berücksichtigung von Legacy-Kompatibilität, Wiederherstellungsmechanismen und Change Management.

Erfahren Sie mehr über Sicherheit der Identität

Adaptive Multi-Faktor-Authentifizierung: Ein vollständiger LeitfadenSicherheit der Identität

Adaptive Multi-Faktor-Authentifizierung: Ein vollständiger Leitfaden

Adaptive MFA passt die Authentifizierungsstärke basierend auf einer Echtzeit-Risikoanalyse an und überwacht Sitzungen kontinuierlich, um Token-Diebstahl-Angriffe zu stoppen, die herkömmliche MFA umgehen.

Mehr lesen
Was ist Phishing-resistente MFA? Moderne SicherheitSicherheit der Identität

Was ist Phishing-resistente MFA? Moderne Sicherheit

Phishing-resistente MFA nutzt kryptografische Domain-Bindung, um den Diebstahl von Zugangsdaten zu verhindern. Erfahren Sie, wie FIDO2- und PKI-basierte Methoden funktionieren und warum CISA sie als Goldstandard bezeichnet.

Mehr lesen
Identity Provider (IDP) Sicherheit: Was es ist & warum es wichtig istSicherheit der Identität

Identity Provider (IDP) Sicherheit: Was es ist & warum es wichtig ist

Erfahren Sie, wie Intrusion Detection Systeme und FIDO2-Authentifizierung IdP-Angriffe auf Ihre Infrastruktur stoppen.

Mehr lesen
Was ist NTLM? Windows NTLM-Sicherheitsrisiken und MigrationsleitfadenSicherheit der Identität

Was ist NTLM? Windows NTLM-Sicherheitsrisiken und Migrationsleitfaden

NTLM ist ein Windows-Authentifizierungsprotokoll mit kritischen Schwachstellen. Erfahren Sie mehr über Pass-the-Hash-Angriffe, Relay-Risiken und Migration vor Oktober 2026.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch