Passwörter nerven. Das hört man überall, ganz gleich, ob man mit Mitarbeitenden in Unternehmen spricht oder mit Familienmitgliedern und Freund:innen. Aber ist das wirklich so? Nicht doch. Was, wenn man einen Passwortmanager benutzt? Ich merke mir dann nur noch eine einzige Passphrase und sperre damit meinen Tresor auf. Das geht auch geräteunabhängig. Praktischerweise speichert der in die Cloud. Doch halt, Einwände sind programmiert. Denn wir vertrauen der Cloud nur mit Einschränkungen, sicherheitshalber.
Trotzdem gibt es Alternativen, wenn es darum geht, Zugänge zu Systemen abzudichten!
Welche das sind, wissen Alexander Karls, IT-Security-Spezialist bei der Pegasus GmbH und Host des IT-Security-Podcasts BLUESCREEN, und Christian Volkmer, Inhaber der p29.group. Beide Unternehmen sind Mitglieder in unserem IT-Sicherheitscluster. Zum kommenden 4. Regensburger Cybersecurity-Kongresses am 28. April 2025 im Jahnstadion Regensburg werden sie natürlich präsent sein. Hier sprechen sie schon jetzt mit uns über eins der beiden Hauptthemen des Kongresses: digitale Identitäten im weitesten Sinn. Heute stehen Passkeys auf dem Programm. Was sind sie? Echte Alternativen oder bloß ein weiterer Hype mehr aus der Marketingabteilung der Tech-Giganten aus dem Valley? Was also sagt Ihr, Alexander und Christian, zu Passkeys?
IT-Sicherheitscluster: Wo stehen wir überhaupt und was ist Stand der Dinge und State of the Art in der Authentifizierung mit der Passkey-Technologie?
Alexander Karls: Mittlerweile bieten so ziemlich alle Hersteller eine Lösung an, um Passkeys umzusetzen. Hierbei muss man grundsätzlich unterscheiden, ob der Schlüssel nur auf eigener Hardware existiert oder ob es eine Möglichkeit gibt, den Schlüssel in der Cloud des jeweiligen Herstellers (zum Beispiel Google oder Apple) zu speichern. Ich persönlich empfehle die Verwendung von in der Cloud gespeicherten Schlüsseln maximal für private Anwendungen. Sobald es um Unternehmensdaten geht, würde ich keinem Cloud-Anbieter wirklich vertrauen. Besser geeignet sind hierfür entweder Hardware-Schlüssel wie zum Beispiel ein Yubikey oder hardwaregebundene Zertifikate wie bei Windows Hello for Business.
IT-Sicherheitscluster: Wie funktioniert das?
Alexander Karls: Darüber könnte man jetzt eine halbstündige Abhandlung schreiben, aber ganz vereinfacht gesagt besteht hier die Kombination häufig aus einem privaten und einem öffentlichen Schlüsselpaar. Daten können mit dem privaten Schlüssel signiert und mit dem öffentlichen Schlüssel verifiziert werden. Dadurch, dass ein Hardware-Bezug in der Authentifizierungskette eine Rolle spielt – beziehungsweise bei der Anmeldung an Microsoft 365 die Bindung des Schlüssels an eine feste Identität, nämlich die Webseiten von Microsoft, gekoppelt wird – besteht hier kein Risiko für Man-in-the-Middle-Angriffe. Selbst wenn man meinen privaten Schlüssel kopieren würde, fehlt immer noch die exakte Zuordnung zur verwendeten Hardware, mit welcher ursprünglich die Verbindung abgesichert und registriert wurde. Vorteil: Dieses Verfahren ist nicht anfällig für Cookie-Diebstahl, wie es bei normalen Anmeldungen mit Multifaktor-Authentifizierung, beispielsweise mit dem Microsoft Authenticator, der Fall ist.
IT-Sicherheitscluster: Gibt es eine plattform- bzw. geräteübergreifende Lösung? Oder kochen da wieder alle marktführenden Anbieter jeweils ihr eigenes Süppchen, und hinterher muss die EU wieder Regeln aufstellen, wie bei der Festlegung von USB-C als Standard bei Ladekabeln?
Alexander Karls: Glücklicherweise ist das Ganze durch die FIDO Alliance geregelt und standardisiert. Es gibt mittlerweile verschiedene Versionen dieses Standards, zum Beispiel FIDO2, mit denen man moderne Passkey-Implementierungen realisieren kann, vor allem bei hochsicheren Authentifizierung an verschiedenen Diensten. Aber grundsätzlich ist das nichts, was auf einen Hersteller beschränkt ist – hier wird sich tatsächlich an die Standardisierung gehalten.
IT-Sicherheitscluster: Unsere Mitglieder und Interessenten, und damit auch Anwender, wollen sicher eins ganz genau wissen, lieber Alex: Wie stelle ich in meiner Firma auf Passkeys um?
Alexander Karls: Das ist nicht sonderlich komplex: Man muss sich lediglich die geeignete Hardware besorgen. Ein Hardwareschlüssel kostet zwischen 40 und 60 Euro. Mit dem man die meisten Dinge bereits absichern kann. Günstigere Schlüssel gibt es natürlich auch – es kommt stark darauf an, welche Version des FIDO-Standards unterstützt werden soll. Alternativ benötigt man ein entsprechendes Endgerät wie zum Beispiel einen Laptop mit Windows 11, auf dem dann Windows Hello for Business eingerichtet werden kann. Ähnliche Lösungen gibt es auch für andere Betriebssysteme. Aufwendig wird das Ganze nur, wenn man versucht, alles von Hand zu konfigurieren. Hier wäre es besser, mit einer zentralen Lösung zu arbeiten und die Schlüssel entweder über eine eigene Public-Key-Infrastruktur (PKI) zu verteilen oder sie über eine Verwaltungsoberfläche wie Microsoft Intune an die Endgeräte auszuliefern.
IT-Sicherheitscluster: Wie stelle ich mit Blick auf Rechtspraktiken, rechtliche Anforderungen in Verbindung mit der Technik meine Firma auf Passkeys um? Welche Rolle spielt der Datenschutz und das Netz? Geht das überhaupt ohne riesige Aufwände?
Christian Volkmer: Die Einführung von Passkeys ist technisch und rechtlich möglich, erfordert jedoch eine durchdachte Planung. Passkeys basieren auf dem FIDO2-Standard und nutzen asymmetrische Kryptographie, so wie es Kollege Karls soeben mit der PKI beschrieben hat. Im Detail sieht das dann so aus: Der private Schlüssel verbleibt sicher auf dem Endgerät des Nutzers, während der öffentliche Schlüssel auf einem Server gespeichert wird. Diese Methode minimiert die Risiken von Phishing und Datenbank-Leaks. Sie entspricht zudem den Grundsätzen der Datensparsamkeit und Sicherheit gemäß DSGVO. Die Umstellung beginnt mit einer technischen Analyse der bestehenden IT-Infrastruktur. Unternehmen müssen sicherstellen, dass ihre Systeme das WebAuthn-Protokoll unterstützen, das die Grundlage für Passkeys bildet. Moderne Betriebssysteme sind bereits FIDO2-kompatibel. Allerdings könnten bei älteren Systemen oder firmenspezifischer Software Anpassungen notwendig sein. Zudem benötigen Mitarbeitende Geräte mit biometrischen Funktionen wie Fingerabdruck- oder Gesichtserkennung, die oft für Passkeys eingesetzt werden. Unternehmen sollten sicherstellen, dass alle notwendigen Hardwareanforderungen erfüllt werden. Ein weiterer wichtiger Aspekt ist die organisatorische Vorbereitung. Die Akzeptanz neuer Technologien steht und fällt mit der Unterstützung der Mitarbeitenden. Um Vorbehalte zu überwinden, sollten Unternehmen Schulungen anbieten, die die Vorteile von Passkeys sowohl in puncto Sicherheit als auch Benutzerfreundlichkeit hervorheben. Pilotprojekte bieten zudem die Möglichkeit, die Umstellung schrittweise zu testen und mögliche Probleme frühzeitig zu identifizieren.
Rechtlich ist die Einführung von Passkeys gut handhabbar. Biometrische Daten, falls sie verwendet werden, müssen gemäß Art. 9 Abs. 2 DSGVO geschützt und ausschließlich lokal gespeichert werden. Unternehmen müssen sicherstellen, dass Einwilligungen der Mitarbeitenden vorliegen, die freiwillig, informiert und widerrufbar sind. Zudem ist die Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG erforderlich, da Passkeys eine neue Technologie zur Verhaltens- und Leistungskontrolle darstellen könnten.
IT-Sicherheitscluster: Welche neuen Compliance-Anforderungen ergeben sich aus dem Einsatz von Passkeys?
Christian Volkmer: Die Einführung von Passkeys bringt neue Anforderungen im Bereich Datenschutz und IT-Sicherheit mit sich. Das bedeutet, dass Unternehmen sicherstellen müsse, dass die Nutzung von Passkeys den geltenden rechtlichen und regulatorischen Standards entspricht. Ein zentraler Punkt ist die Transparenz. Nutzer und Mitarbeitende müssen klar und verständlich über die Funktionsweise und Vorteile der neuen Authentifizierungsmethode informiert werden. Falls biometrische Daten verarbeitet werden, ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich. Diese Analyse identifiziert mögliche Risiken und dokumentiert Maßnahmen zu deren Minimierung. Darüber hinaus müssen interne Prozesse und Dokumentationen angepasst werden. Das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist zu aktualisieren, um die neuen Verfahren korrekt abzubilden. Sicherheitskonzepte sollten regelmäßig überprüft und durch internationale Standards wie ISO 27001 ergänzt werden.
Ein weiterer zentraler Aspekt ist die Zusammenarbeit mit Drittanbietern. Unternehmen müssen sicherstellen, dass externe Dienstleister, die an der Implementierung oder dem Betrieb von Passkeys beteiligt sind, ebenfalls die DSGVO-Anforderungen erfüllen. Dies kann durch den Abschluss von Auftragsverarbeitungsverträgen gewährleistet werden.
IT-Sicherheitscluster: Alex, noch einmal aus der eher technischen Praxis: Uns interessiert als IT-Sicherheitscluster natürlich besonders, welche Rolle das Kompromittieren von Session-Cookies bei Passkeys gegenüber MFA spielt. Was lässt sich dazu sagen?
Alexander Karls: Wie bereits ausgeführt, entsteht ein gewaltiger Vorteil dadurch, dass die Anwendung eines Passkeys die Authentifizierung resilient gegen Man-in-the-Middle-Angriffe macht. Bei einer herkömmlichen Anmeldung über eine Authenticator-App an einer manipulierten oder fingierten Webseite sieht der Angreifer nicht nur den Benutzernamen und das Kennwort, sondern erhält nach erfolgreicher Anmeldung und Bestätigung durch den Benutzer auf seinem Smartphone Einsicht und Zugriff auf den vom Seitenbetreiber ausgestellten Session-Cookies oder JSON Web Tokens (JWT). Mit diesem Cookie oder Token kann der Angreifer direkt in die Sitzung springen. Es ist nicht einmal notwendig, den Benutzernamen oder das Kennwort einzugeben – der Token reicht aus. Diese Form des Identitätsdiebstahls, auch bekannt als Session Hijacking, funktioniert nicht, wenn die Anmeldung über Passkeys beziehungsweise eine FIDO-konforme Lösung erfolgt. Hier sieht der Angreifer weder den Benutzernamen noch das Kennwort, geschweige denn Cookies oder Tokens.
IT-Sicherheitscluster: Zum Abschluss noch eine Frage an Christian. Abstrahiert man einmal von der Technik, welche Chancen und Herausforderungen ergeben sich für KMU in Sachen Passkeys? Gibt es ökonomische oder politische Aspekte, die man mitdenken sollte, bevor man in diese Infrastruktur investiert?
Christian Volkmer: Passkeys bieten KMU zahlreiche Vorteile, die über die reine Sicherheit hinausgehen. Sie eliminieren Sicherheitsrisiken wie Phishing und Datenbank-Leaks, da keine zentral gespeicherten Zugangsdaten existieren, die kompromittiert werden könnten. Dies stärkt die IT-Sicherheit erheblich und reduziert potenzielle haftungsrechtliche Risiken. Zudem verringert sich der Aufwand für IT-Support, da vergessene Passwörter und damit verbundene Rücksetzungen entfallen. Die Benutzerfreundlichkeit ist ein weiterer Pluspunkt. Passkeys ermöglichen eine schnelle und intuitive Authentifizierung, die besonders in mobilen und hybriden Arbeitsumgebungen Vorteile bietet. Mitarbeitende können sich sicher und komfortabel über biometrische Merkmale anmelden, ohne sich komplizierte Passwörter merken zu müssen. Für KMU, die häufig mit begrenzten Ressourcen arbeiten, bietet dies eine erhebliche Entlastung. Jedoch gibt es auch Herausforderungen. Die Integration in bestehende Systeme kann ressourcenintensiv sein. Insbesondere ältere oder speziell angepasste Software erfordert wie angedeutet zusätzliche Anpassungen. Hinzu kommen die Kosten für die Anschaffung neuer Hardware und die Schulung der Mitarbeitenden. Vorbehalte gegenüber biometrischen Daten könnten die Akzeptanz der Technologie weiter erschweren. Unternehmen sollten daher großen Wert auf eine transparente Kommunikation legen und die Belegschaft frühzeitig einbinden. Ein weiteres Risiko ist die Abhängigkeit von großen Technologieanbietern wie Apple, Google oder Microsoft, deren Plattformen die Nutzung von Passkeys maßgeblich beeinflussen. Unternehmen sollten sicherstellen, dass die gewählten Lösungen langfristig tragfähig und plattformübergreifend einsetzbar sind.
Die Fragen stellte Matthias Kampmann fürs Cluster. Wir bedanken und bei Alex Karls und Christian Volkmer ganz herzlich für die ausführlichen Antworten.