· Cybersecurity  · 3 min read

Passkeys und FIDO2: Passwortsicherheit für KMU

Apple, Microsoft und Google haben FIDO2-Passkeys als Standard etabliert. Windows Hello for Business und Entra-Passkeys ersetzen Passwörter in verwalteten Unternehmensumgebungen. Was KMU jetzt vorbereiten sollten.

Apple, Microsoft und Google haben FIDO2-Passkeys als Standard etabliert. Windows Hello for Business und Entra-Passkeys ersetzen Passwörter in verwalteten Unternehmensumgebungen. Was KMU jetzt vorbereiten sollten.

Passkeys und FIDO2 sind der aktuelle Standard für passwortlose Authentifizierung. Apple, Microsoft und Google haben FIDO2 seit Mai 2022 gemeinsam in ihre Betriebssysteme integriert. Für Unternehmen bedeutet das: Passkeys sind keine proprietäre Lösung eines einzelnen Anbieters, sondern ein interoperabler Standard, der Phishing auf Passwortebene strukturell ausschließt.

Warum Passwörter strukturell unsicher sind

Passwörter können gestohlen, erraten, geleakt oder bei Phishing-Angriffen abgegriffen werden. Das ist kein Nutzerproblem, sondern ein Designproblem: Das Geheimnis muss für die Anmeldung übertragen werden, und bei der Übertragung entsteht ein Angriffspunkt.

Passkeys lösen das durch kryptographische Schlüsselpaare. Der private Schlüssel verlässt das Gerät nie. Der Server kennt nur den öffentlichen Schlüssel. Phishing auf Passwortebene ist damit strukturell ausgeschlossen: Es gibt kein Passwort, das abgegriffen werden könnte.

Implementierungen im Unternehmensumfeld

Windows Hello for Business sichert die Geräteanmeldung in Microsoft-Entra-verbundenen Umgebungen mit Biometrie oder PIN. Die Credentials sind gerätegebunden und erfüllen die Anforderungen an phishingresistente Authentifizierung. Windows Hello for Business ist kein FIDO2-Passkey im technischen Sinne, bietet aber gleichwertigen Schutz für verwaltete Geräte.

Microsoft Entra Passkeys (FIDO2) ermöglichen seit 2024 die Anmeldung an Entra-geschützten Ressourcen mit FIDO2-Passkeys. Administratoren aktivieren die Methode in den Authentifizierungsrichtlinien. Geeignet für Szenarien, in denen Geräte nicht Entra-joined sind.

Apple Face ID / Touch ID und Google Passkeys funktionieren plattformübergreifend für Web-Dienste mit WebAuthn-Unterstützung. Für Microsoft-365-Umgebungen ist der Entra-Weg der bevorzugte Pfad.

Passwortmanager als Brücke

Der vollständige Übergang zu Passkeys dauert in einer heterogenen Unternehmensumgebung mehrere Jahre. Nicht alle Systeme unterstützen FIDO2. Als Zwischenlösung deckt ein Passwortmanager den verbleibenden passwortbasierten Bereich ab und reduziert Wiederverwendung und schwache Credentials.

Für zentral verwaltete Unternehmenspasswörter mit Active-Directory-Integration empfiehlt sich Pleasant Password Server.

Rollout-Schritte für KMU

Ein pragmatischer Einstieg in passwortlose Anmeldung:

  1. Microsoft 365 mit Entra ID nutzen (Voraussetzung für Windows Hello for Business und Entra Passkeys)
  2. Conditional Access mit MFA-Pflicht aktivieren (Sofortmaßnahme, kein Passkey erforderlich)
  3. Windows Hello for Business auf allen verwalteten Clients aktivieren (via Intune oder GPO)
  4. Für privilegierte Konten FIDO2-Hardwareschlüssel einsetzen (YubiKey oder vergleichbar)
  5. Entra Passkeys (FIDO2) für Szenarien mit nicht verwalteten Geräten einführen

Jeder dieser Schritte lässt sich unabhängig vom nächsten umsetzen. Der Sicherheitsgewinn entsteht bereits mit Schritt 2.

Zwei-Faktor-Authentifizierung als Mindeststandard

Wer noch kein Passkey-Konzept hat, setzt als Sofortmaßnahme 2FA für alle Microsoft-365-Konten durch. Ein Konto ohne 2FA ist bei Passwortleak sofort kompromittiert. Mit TOTP-App oder Microsoft Authenticator bleibt der Zugang auch bei geleakten Credentials geschützt.

Häufige Fragen

Sind Passkeys für KMU ohne IT-Abteilung umsetzbar? Ja, wenn Microsoft 365 mit Entra ID bereits vorhanden ist. Die Aktivierung von Windows Hello for Business via Intune ist ein klar dokumentierter Prozess. Schritt 2 (Conditional Access mit MFA) lässt sich in einem Nachmittag einrichten.

Was kostet der Einstieg in passwortlose Authentifizierung? Windows Hello for Business ist im M365-Business-Premium-Tarif enthalten. Für FIDO2-Hardwareschlüssel für privilegierte Konten fallen Kosten von ca. 30 bis 60 EUR pro Schlüssel an. Das ist günstiger als ein einziger erfolgreicher Phishing-Angriff.

Müssen alle Systeme gleichzeitig umgestellt werden? Nein. Passkeys und klassische Passwörter plus Passwortmanager koexistieren problemlos. Die Migration läuft in Wellen.

Techiota richtet Conditional Access, Windows Hello for Business und Passkey-Rollouts für Unternehmenskunden in Hamburg ein. Sprechen Sie uns an über techiota.de.

Share:
Back to Blog

Related Posts

View All Posts »