Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.

mehr Informationen

itsm_gmbh__de

Suchen
Kontakt

Kontakt per Telefon

MO-FR 08:00 - 12:00 und 13:00 - 17:00

Blog

 

Passkey überlegt einsetzen

Passkeys ersetzen Passwörter durch sichere, phishing-resistente Anmeldung.

Fido2-Sicherheitsschlüssel antippen als Symbol für passwortlose Anmeldung mit Passkeys

Passwörter sind das schwächste Glied in der digitalen Sicherheitskette. Sie werden gestohlen, vergessen oder wiederverwendet – und selbst ein starkes Passwort schützt nicht vor Phishing. Passkeys lösen dieses Problem grundlegend: Statt eines Passworts nutzen Sie einen kryptographischen Schlüssel, der Ihr Gerät nie verlässt.

Wir setzen bei ITSM GmbH selbst seit Längerem auf passwortlose Anmeldung und möchten nicht mehr darauf verzichten. In diesem Artikel zeigen wir Ihnen, welche Passkey-Varianten es gibt, wann welche sinnvoll ist – und wie Sie überlegt damit starten.

Was sind Passkeys und wie funktionieren sie?

Ein Passkey ist ein kryptographisches Schlüsselpaar: Ihr Gerät besitzt einen privaten Schlüssel, den es nie preisgibt. Die Website oder der Dienst, bei dem Sie sich anmelden, besitzt den dazugehörigen öffentlichen Schlüssel – ähnlich wie ein Schloss, zu dem nur Sie den passenden Schlüssel haben.

Beim Login fordert der Dienst eine Bestätigung an. Ihr Gerät prüft, ob der Schlüssel wirklich zur anfragenden Website passt, und bestätigt Ihre Identität – per Fingerabdruck, Gesichtserkennung oder PIN. Das Passwort entfällt vollständig.

Warum sind Passkeys phishing-resistent?

Ein klassisches Phishing-Angriff funktioniert so: Jemand leitet Sie auf eine gefälschte Website (z.B. "microsofft.com" statt "microsoft.com") und stiehlt dort Ihr Passwort. Mit einem Passkey funktioniert das nicht. Der private Schlüssel ist an die genaue Domain gebunden – ein Schlüssel für "microsoft.com" funktioniert auf "microsofft.com" schlicht nicht.

Welche Arten von Passkeys gibt es?

Nicht alle Passkeys sind gleich. Es gibt zwei grundlegende Varianten, die sich in Sicherheit und Komfort unterscheiden.

Synchronisierte Passkeys

Synchronisierte Passkeys werden in einem Cloud-Dienst gespeichert und automatisch auf alle Ihre Geräte übertragen – ähnlich wie Passwörter in einem Passwort-Manager. Bekannte Anbieter:

  • Google Password Manager (Android, Chrome)
  • Apple iCloud Keychain (iPhone, Mac, Safari)
  • Microsoft Authenticator (Windows, Android, iOS)
  • Bitwarden (plattformübergreifend, Open Source)

Vorteil: Einfache Einrichtung, funktioniert sofort auf all Ihren Geräten. Zu beachten: Google, Apple und Microsoft binden Sie an ihr jeweiliges Ökosystem. Wer von Apple zu Android wechselt, muss seine Passkeys neu einrichten. Bitwarden ist hier die Ausnahme: Als plattformübergreifende Lösung bleiben Sie unabhängig von einem bestimmten Ökosystem.

FIDO2-Sicherheitsschlüssel

Ein FIDO2-Sicherheitsschlüssel (z.B. YubiKey) ist ein physischer USB- oder NFC-Stick. Der private Schlüssel verlässt das Gerät nie – er ist nicht in der Cloud gespeichert, nicht synchronisiert, und kann nicht per Fernzugriff kompromittiert werden.

Wir haben bereits in unserem Blog Login mit FIDO2 Sicherheitsschlüssel ausführlich erklärt, wie FIDO2-Schlüssel funktionieren und wie Sie diese praktisch einrichten.

Vorteil: Höchste Sicherheitsstufe, unabhängig von Cloud-Diensten. Zu beachten: Physisches Gerät – wer den Schlüssel verliert, braucht einen Backup-Schlüssel.

Vergleich auf einen Blick

Synchronisierte Passkeys FIDO2-Sicherheitsschlüssel
Sicherheit Sehr hoch Höchste Stufe
Phishing-Schutz Ja Ja
Einrichtungsaufwand Gering Mittel
Geräteunabhängig Nein (Ökosystem) Ja
Cloud-Abhängigkeit Ja Nein
Hardware-Kosten Kostenlos ca. CHF 50–90 pro Schlüssel
Empfohlen für Private/weniger kritische Dienste Geschäftliche & kritische Konten

Wann empfehlen wir welche Variante?

Die ehrliche Antwort: Es kommt darauf an, wofür. Hier unsere klare Empfehlung aus der Praxis.

Geschäftlich und kritische Konten: FIDO2-Schlüssel

Überall dort, wo ein kompromittiertes Konto grossen Schaden anrichten würde, empfehlen wir physische FIDO2-Schlüssel:

  • Microsoft 365 / Azure AD (Firmen-E-Mail, SharePoint, Teams)
  • E-Banking
  • Domain-Registrar und Hosting-Konten
  • VPN-Zugänge und Server-Administratoren

Wichtig: Richten Sie immer zwei FIDO2-Schlüssel ein – einen als Hauptschlüssel und einen als Backup. Den Backup-Schlüssel bewahren Sie sicher auf, zum Beispiel im Bürotresor. Das ist besonders relevant für firmenrelevante, unpersönliche Konten – also zum Beispiel ein gemeinsam genutztes Admin-Konto oder ein Dienst-Account, bei dem mehrere Verantwortliche Zugriff benötigen müssen. Persönliche Mitarbeiterkonten (wie die individuelle Firmen-E-Mail) bleiben natürlich weiterhin personengebunden.

Microsoft 365: Conditional Access Policies nutzen

Bei geschäftlichen Microsoft-365-Umgebungen empfehlen wir zusätzlich den Einsatz von Conditional Access Policies. Damit lässt sich auf Richtlinienebene steuern, welche Anmeldemethoden für welche Konten erlaubt sind. Ein konkretes Beispiel aus der Praxis: Für hoch privilegierte Konten – also globale Administratoren oder andere Admin-Rollen – kann man den Zugang ausschliesslich mit FIDO2-Schlüsseln erlauben. Schwächere Methoden wie Passwort mit SMS-Code sind dann schlicht nicht mehr möglich. Das schützt genau die Konten, bei denen ein Angriff den grössten Schaden anrichten würde.

Privat und weniger kritische Dienste: Synchronisierte Passkeys

Für private Accounts oder Dienste mit geringerem Schadenspotenzial sind synchronisierte Passkeys eine hervorragende Wahl. Google, LinkedIn, GitHub oder Online-Shopping – hier ist der Komfort entscheidend, und synchronisierte Passkeys liefern genau das: einmal einrichten, auf allen Geräten verfügbar.

Achtung: Das Konto, in dem Ihre synchronisierten Passkeys gespeichert sind – also zum Beispiel Ihr Google-Konto – wird damit zur zentralen Sicherheitsinstanz. Ist dieses Konto nur mit Benutzername und Passwort gesichert, sind indirekt alle damit verknüpften Passkey-Zugänge gefährdet. Sichern Sie deshalb Ihr Google-, Apple- oder Microsoft-Konto zwingend mit einer starken zweiten Faktormethode ab.

Mehr zum Einstieg in passwortlose Anmeldung finden Sie in unserem Blog Passwortloses Login.

Passkeys einrichten: So starten Sie

Sie müssen nicht alles auf einmal umstellen. Unsere Empfehlung für einen pragmatischen Einstieg:

  1. Bestandsaufnahme: Welche Ihrer Dienste unterstützen bereits Passkeys? Eine aktuelle Übersicht finden Sie auf passkeys.directory – Google, Microsoft, GitHub, Apple, LinkedIn und viele mehr sind dabei.
  2. Kritische Konten priorisieren: Identifizieren Sie Ihre geschäftlichen und besonders wichtigen Konten – diese sichern Sie mit FIDO2-Schlüsseln ab.
  3. FIDO2 einrichten: Kaufen Sie zwei FIDO2-Schlüssel, richten Sie beide ein, und bewahren Sie einen als Backup sicher auf.
  4. Weitere Konten mit synchronisierten Passkeys absichern: Private und weniger kritische Dienste einfach über Google, Apple oder Microsoft einrichten.
  5. Backup nicht vergessen: Recovery-Codes separat, offline und getrennt von Ihrem Passwort-Manager aufbewahren – zum Beispiel ausgedruckt im Tresor.

Häufig gestellte Fragen zu Passkeys

Was passiert, wenn ich meinen FIDO2-Schlüssel verliere?

Genau deshalb empfehlen wir immer zwei Schlüssel. Mit dem Backup-Schlüssel melden Sie sich an, widerrufen den verlorenen Schlüssel und richten einen neuen ein. Ohne Backup-Schlüssel bleibt nur der Weg über Recovery-Codes – die Sie separat und sicher aufbewahren sollten.

Sind Passkeys wirklich sicherer als ein starkes Passwort mit MFA?

Ja – vor allem gegen Phishing. Ein Angreifer, der Sie auf eine gefälschte Website lockt, kann kein Passwort stehlen, das nicht existiert. Bei TOTP-basierten MFA-Apps (Einmalcodes per App) besteht noch ein kleines Restrisiko durch sogenannte "Echtzeit-Phishing"-Angriffe. Passkeys schliessen diese Lücke.

Funktionieren Passkeys bei allen Diensten?

Noch nicht überall. Die Unterstützung wächst schnell, aber es gibt weiterhin Dienste, die noch auf Passwörter setzen. Ein Passwort-Manager bleibt deshalb in der Übergangszeit unverzichtbar.

Brauche ich noch einen Passwort-Manager?

Ja – zumindest noch. Nicht alle Dienste unterstützen Passkeys. Ausserdem können Sie Passkeys in Passwort-Managern wie Bitwarden speichern, was eine gute Alternative zu den Ökosystem-gebundenen Lösungen ist.

Fazit: Überlegt anfangen lohnt sich

Passkeys sind keine Zukunftsmusik mehr – sie sind bereit und funktionieren bei den meisten wichtigen Diensten bereits heute zuverlässig. Die Entscheidung ist einfach: Geschäftliche und kritische Konten mit FIDO2-Schlüsseln absichern, private und weniger kritische Dienste mit synchronisierten Passkeys.

Wir selbst sind bereits seit Längerem passwortlos unterwegs und würden nicht mehr zurück. Die Kombination aus Komfort und Sicherheit überzeugt täglich.

Möchten Sie wissen, welche Ihrer Konten sich für Passkeys eignen und wie Sie den Umstieg strukturiert angehen? Vereinbaren Sie ein unverbindliches Erstgespräch – wir schauen gemeinsam, was für Sie sinnvoll ist.

Kontaktieren Sie uns