Zurück zum Journal
IT-Sicherheit Mai 2026

Passkeys: Anmeldung, die sich nicht abphishen lässt

Passkeys ersetzen das Passwort durch ein kryptografisches Schlüsselpaar. Der private Schlüssel verlässt Ihr Gerät nie, die Anmeldung ist fest an die echte Domain gebunden. Phishing wird dadurch technisch unmöglich.

Ein Phishing-Angriff beginnt immer mit einem Passwort oder einem Einmalcode.

Ein Mitarbeiter erhält eine E-Mail, die aussieht wie eine Benachrichtigung seines Cloud-Dienstanbieters. Er klickt auf den Link, landet auf einer täuschend echten Login-Seite und gibt sein Passwort ein. Der Angreifer leitet die Daten sofort an den echten Dienst weiter und ist drin. Selbst wer einen Einmalcode aus einer SMS oder einer Authenticator-App eingibt, ist nicht sicher. Der Angreifer fängt den Code in Echtzeit ab und reicht ihn ebenfalls weiter. Dieses Muster nennt sich Echtzeit-Phishing oder Adversary-in-the-Middle. Es umgeht jede klassische Zwei-Faktor-Authentifizierung, die auf einem geteilten Geheimnis beruht.

Das Problem sitzt tiefer. Passwort und Einmalcode sind beides Geheimnisse, die der Server kennt und die der Nutzer übermittelt. Wer diese Übermittlung abfängt, hat gewonnen. Die IT-Sicherheit hat lange versucht, dieses Problem mit immer komplexeren Regeln für Passwörter zu lösen. Das hat die Angriffe nicht gestoppt, sondern nur die Frustration der Nutzer erhöht.

Passkeys ersetzen das Passwort durch ein Schlüsselpaar, das auf Ihrem Gerät bleibt.

Ein Passkey besteht aus zwei Teilen: einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel wird auf Ihrem Gerät erzeugt und verlässt es nie. Er liegt in einer sicheren Umgebung, dem sogenannten Authenticator. Das kann der sichere Chip in Ihrem Smartphone, Ihr Laptop oder ein externer Hardware-Security-Key sein. Der öffentliche Schlüssel wird an den Server des Dienstes übertragen, bei dem Sie sich anmelden möchten.

Bei der Anmeldung passiert Folgendes: Der Server sendet eine kryptografische Herausforderung an Ihr Gerät. Ihr Gerät signiert diese Herausforderung mit Ihrem privaten Schlüssel. Die Signatur wird an den Server zurückgesendet. Der Server prüft die Signatur mit Ihrem öffentlichen Schlüssel. Stimmt sie, sind Sie angemeldet. Ein Passwort wird an keiner Stelle eingegeben oder übertragen.

Damit nicht jeder, der Ihr Gerät in die Hand nimmt, sich anmelden kann, ist der private Schlüssel durch eine lokale Freigabe geschützt. Das ist in der Regel Ihre Biometrie (Fingerabdruck oder Gesichtserkennung) oder Ihre Geräte-PIN. Diese Freigabe erfolgt ausschließlich auf Ihrem Gerät. Der Server erfährt nichts davon.

Die Phishing-Resistenz kommt von der Bindung an die echte Domain und der asymmetrischen Kryptografie.

Der entscheidende Unterschied zu Passwort und Einmalcode ist die sogenannte Origin-Bindung. Bei der Erstellung eines Passkeys wird der private Schlüssel mit der Internetadresse (dem Origin) des Dienstes verknüpft, für den er bestimmt ist. Ihr Smartphone merkt sich: Dieser Schlüssel gehört zu „example.com“. Wenn Sie auf einer betrügerischen Seite landen, die „examp1e.com“ heißt, wird Ihr Gerät den privaten Schlüssel nicht freigeben. Die Domain stimmt nicht überein. Der Angriff stoppt hier.

Hinzu kommt die asymmetrische Kryptografie. Der Server besitzt nur Ihren öffentlichen Schlüssel. Mit diesem kann er zwar überprüfen, ob eine Signatur von Ihrem privaten Schlüssel stammt. Er kann aber nicht Ihren privaten Schlüssel ableiten oder ihn für eine Anmeldung an einem anderen Dienst verwenden. Selbst wenn ein Angreifer den Server kompromittiert und alle öffentlichen Schlüssel stiehlt, hat er nichts gewonnen. Er kann sich damit nicht als Sie ausgeben.

Einmalcodes und Passwörter sind dagegen symmetrische Geheimnisse. Der Server kennt sie und muss sie mit dem vergleichen, was der Nutzer sendet. Wer diese Kommunikation abhört, hat das Geheimnis. Bei Passkeys gibt es kein Geheimnis, das übertragen wird. Es gibt nur eine Signatur, die ohne den privaten Schlüssel wertlos ist.

Die Einführung von Passkeys im Unternehmen ist eine Organisationsaufgabe, keine reine Technikfrage.

Die Technik ist ausgereift. Die Standards FIDO2 und WebAuthn sind von allen großen Plattformen (Apple, Google, Microsoft) implementiert. Die Herausforderung liegt in der Planung. Drei Punkte entscheiden über den Erfolg eines Rollouts.

Erstens die Wiederherstellung. Was passiert, wenn ein Mitarbeiter sein Smartphone verliert? Der private Schlüssel ist weg. Ohne Plan kann sich der Mitarbeiter nicht mehr anmelden. Die Lösung sind synchronisierte Passkeys. Dabei wird der private Schlüssel verschlüsselt in der Cloud des Geräteherstellers (iCloud, Google Passwortmanager) gesichert. Der Mitarbeiter kann sich auf einem neuen Gerät mit seinem Cloud-Konto authentifizieren und den Schlüssel wiederherstellen. Für kritische Konten, etwa Administratorzugänge, empfehlen wir zusätzlich gerätegebundene Passkeys auf Hardware-Security-Keys. Diese Schlüssel verlassen den USB-Stick nie und bieten die höchste Sicherheitsstufe.

Zweitens der Geräteverlust. Ein Hardware-Security-Key kann verloren gehen. Unternehmen brauchen einen Prozess, um den verlorenen Schlüssel zu sperren und einen Ersatz auszustellen. Das erfordert eine Verwaltung der Schlüssel und eine klare Zuständigkeit im Team.

Drittens die Rollout-Reihenfolge. Wir empfehlen, mit einer kleinen, technisch affinen Gruppe zu beginnen. Diese Gruppe testet die Passkeys im Alltag und identifiziert Probleme, bevor der Rollout auf die gesamte Belegschaft ausgeweitet wird. Parallel sollte das alte Passwortverfahren noch eine Weile parallel laufen, um Ausfälle zu vermeiden. Der Übergang ist ein Prozess, kein Knopfdruck.

Unsere Position: Passkeys sind der einzige Weg zu einer phishing-resistenten Authentifizierung im großen Maßstab.

Wir bei Mountain Road halten Passkeys für den wichtigsten Fortschritt in der Authentifizierung seit Jahrzehnten. Klassische MFA mit SMS oder Einmalcodes vermittelt nur ein falsches Sicherheitsgefühl. Sie stoppt den Angreifer nicht, der in Echtzeit mitsurft. Passkeys tun das. Sie machen das Phishing des Anmeldevorgangs technisch unmöglich.

Die Einführung erfordert Disziplin und eine durchdachte Organisation. Aber der Aufwand lohnt sich. Jedes Unternehmen, das heute auf Passkeys umstellt, eliminiert eine ganze Angriffsklasse. Das ist mehr als ein Upgrade. Es ist ein Paradigmenwechsel. Wir begleiten Unternehmen bei dieser Umstellung, von der Konzeption der Wiederherstellungsprozesse bis zur Integration in bestehende Identitätsplattformen. Denn Sicherheit ist kein Produkt, das man kauft. Sie ist eine Praxis, die man gestaltet.

Häufige Fragen

Was sind Passkeys?

Passkeys sind ein Verfahren zur passwortlosen Anmeldung, das auf einem kryptografischen Schlüsselpaar basiert. Der private Schlüssel bleibt auf Ihrem Gerät, der öffentliche Schlüssel liegt beim Dienstanbieter. Bei der Anmeldung wird keine geheime Information übertragen, sondern nur eine kryptografische Signatur.

Warum sind Passkeys phishing-resistent?

Passkeys sind an die echte Internetadresse (Origin) des Dienstes gebunden. Ihr Gerät gibt den privaten Schlüssel nur für die Domain frei, für die er erstellt wurde. Landen Sie auf einer betrügerischen Seite, verweigert Ihr Gerät die Freigabe. Hinzu kommt die asymmetrische Kryptografie: Der Server kennt nur den öffentlichen Schlüssel und kann damit keine Anmeldung an einem anderen Dienst durchführen.

Wie führt man Passkeys im Unternehmen ein?

Die Einführung erfordert Planung in drei Bereichen: Wiederherstellung bei Geräteverlust (synchronisierte Passkeys oder Hardware-Security-Keys), Verwaltung der Schlüssel und ein gestaffelter Rollout. Wir empfehlen, mit einer kleinen Pilotgruppe zu starten und das alte Passwortverfahren parallel laufen zu lassen, bis die Passkeys im Alltag stabil funktionieren.