· Rexoma Team · IT-Sicherheit  · 5 min read

Passkeys für KMU: Passwortlos und sicher mit FIDO2

Passkeys ersetzen unsichere Passwörter durch kryptografische Schlüssel – phishing-resistent und ohne Merkchaos. Was das für KMU bedeutet und wie die Einführung gelingt.

Passkeys ersetzen unsichere Passwörter durch kryptografische Schlüssel – phishing-resistent und ohne Merkchaos. Was das für KMU bedeutet und wie die Einführung gelingt.

Jedes zweite erfolgreiche Konto-Kompromittierung in kleinen und mittleren Unternehmen beginnt mit gestohlenen, schwachen oder wiederverwendeten Passwörtern. IT-Teams in Dresden und ganz Sachsen kennen das Problem: Mitarbeiter nutzen “Sommer2024!” oder Varianten des Firmennamens – und trotz Passwortrichtlinien landet alle paar Monate ein Phishing-Link in der Inbox. Passkeys lösen dieses Problem fundamental.

Was sind Passkeys – und was steckt dahinter?

Passkeys basieren auf dem FIDO2-Standard, entwickelt von der FIDO Alliance (Microsoft, Apple, Google u. a.). Technisch handelt es sich um ein kryptografisches Schlüsselpaar:

  • Privater Schlüssel: bleibt auf dem Gerät des Nutzers (Smartphone, Laptop, Hardware-Token) und verlässt es nie
  • Öffentlicher Schlüssel: wird beim Dienst (z. B. Microsoft 365, Google Workspace) gespeichert

Bei der Anmeldung signiert das Gerät eine zufällige Challenge mit dem privaten Schlüssel. Der Dienst prüft die Signatur mit dem öffentlichen Schlüssel – kein Passwort wird übertragen, kein Passwort kann gestohlen werden.

Passkeys vs. klassisches MFA: Was ist der Unterschied?

Klassische Multi-Faktor-Authentifizierung mit TOTP-Apps (Google Authenticator, Aegis) ist besser als ein einzelnes Passwort – aber nicht phishing-resistent. Ein Angreifer, der eine täuschend echte Login-Seite betreibt, kann Passwort und TOTP-Code in Echtzeit abfangen (sogenannte Adversary-in-the-Middle-Angriffe, AiTM).

Passkeys sind inhärent phishing-resistent: Der private Schlüssel ist an die exakte Ursprungs-Domain gebunden. Eine gefälschte Login-Seite auf einer anderen Domain kann den Schlüssel schlicht nicht auslösen – selbst wenn der Mitarbeiter nicht aufpasst.

Welche Dienste unterstützen Passkeys bereits?

Die Unterstützung wächst rasant. Stand 2026 bieten folgende für KMU relevante Plattformen vollständige Passkey-Unterstützung:

DienstPasskey-Unterstützung
Microsoft 365 / Entra IDVollständig (Windows Hello, FIDO2-Keys)
Google WorkspaceVollständig
GitHub / GitLabVollständig
Bitwarden / 1PasswordPasskey-Speicherung und -Weitergabe
Nextcloud (ab Hub 9)FIDO2 via WebAuthn
Cloudflare Zero TrustVollständig

Für interne Dienste – etwa ein selbst gehostetes Nextcloud oder eine Firmen-Wiki – empfiehlt sich ein FIDO2-kompatibler Identity Provider wie Authentik oder Keycloak.

Hardware-Token oder Geräte-Passkey?

Geräte-gebundene Passkeys (Plattform-Authenticators) Smartphone-Biometrie (Face ID, Fingerprint) oder Windows Hello auf dem Laptop. Bequem und kostenlos, wenn die Hardware vorhanden ist. Nachteil: Der Passkey liegt nur auf diesem Gerät. Bei Verlust greift ein hinterlegter Recovery-Passkey oder das IT-Helpdesk-Verfahren.

Hardware-Security-Keys (Roaming-Authenticators) YubiKey, Nitrokey oder Google Titan Key. Ein USB-/NFC-Stick, der gerätunabhängig funktioniert. Für privilegierte Konten (Admins, Geschäftsführung) die empfohlene Lösung. Kosten: 25–60 € pro Key.

Passkeys einführen: Schritt für Schritt für KMU

Schritt 1: Dienste inventarisieren

Listet alle Dienste auf, die Mitarbeiter täglich nutzen. Die Website passkeys.directory zeigt, welche Plattformen FIDO2 unterstützen. Priorisiert E-Mail, VPN-Portal und Cloud-Speicher.

Schritt 2: Pilotgruppe definieren

Startet mit 5–10 technikaffinen Mitarbeitern. Ziel: Praxisfeedback sammeln, bevor das Rollout unternehmensweit läuft.

Schritt 3: Microsoft 365 oder Google Workspace konfigurieren

Bei Microsoft 365 (Entra ID):

  1. Azure-Portal → Entra ID → Sicherheit → Authentifizierungsmethoden
  2. “FIDO2-Sicherheitsschlüssel” aktivieren, Richtlinie auf Pilotgruppe anwenden
  3. Mitarbeiter registrieren ihren Passkey unter myprofile.microsoft.com

Bei Google Workspace:

  1. Admin-Konsole → Sicherheit → 2-Schritt-Verifizierung → Passkeys aktivieren
  2. Mitarbeiter registrieren den Passkey einmalig unter myaccount.google.com

Schritt 4: Recovery-Verfahren festlegen

Was passiert, wenn ein Mitarbeiter sein Gerät verliert? Empfohlene Maßnahmen:

  • Mindestens zwei Passkeys pro Konto registrieren (Smartphone + YubiKey)
  • IT-Helpdesk-Prozess für temporäre Einmal-Passwörter dokumentieren
  • Bei kritischen Konten: Hardware-Key als Backup im Unternehmenstresor

Schritt 5: Flächendeckendes Rollout

Nach erfolgreichem Piloten: Rollout abteilungsweise. Eine kurze Schulung genügt – Passkeys sind deutlich intuitiver als TOTP-Apps. Nach vollständiger Migration können klassische Passwörter für die migrierten Konten deaktiviert werden.

Passkeys und Compliance: NIS2 und DSGVO

Für ostdeutsche KMU, die unter die NIS2-Richtlinie fallen – etwa Unternehmen in der KRITIS-Lieferkette, im Gesundheitssektor oder in der Energie- und Wasserversorgung –, gehört phishing-resistente Authentifizierung zur geforderten Basis-Absicherung der Zugangskontrollen.

Auch unter der DSGVO gilt: Bei der Verarbeitung personenbezogener Daten sind angemessene technische Schutzmaßnahmen vorgeschrieben. Passkeys reduzieren das Risiko unbefugter Zugriffe nachweisbar und lassen sich in einer Sicherheitsdokumentation belegen.

Was Passkeys nicht lösen

Passkeys sind kein Allheilmittel:

  • Session-Hijacking nach erfolgreichem Login ist weiterhin möglich – Passkeys schützen nur den Anmeldevorgang
  • Insider-Threats (böswillige Mitarbeiter mit legitimem Zugang) werden nicht adressiert
  • Legacy-Systeme ohne WebAuthn-Unterstützung brauchen separate Lösungen

Ergänzende Maßnahmen wie Zero-Trust-Netzwerksegmentierung und EDR-Lösungen bleiben weiterhin sinnvoll.

Passkeys in KMU einführen – Rexoma IT hilft in Dresden

Sie möchten Passkeys in Ihrem Unternehmen einführen, wissen aber nicht, wo anfangen? Rexoma IT begleitet KMU in Dresden und Sachsen von der Bestandsaufnahme über die Konfiguration von Microsoft 365 oder Nextcloud bis zum unternehmensweiten Rollout. Sprechen Sie uns an – wir erklären, was in Ihrer konkreten Umgebung sinnvoll ist.


FAQ: Passkeys für KMU

Sind Passkeys sicherer als Passwort + Authenticator-App? Ja. Klassische TOTP-MFA ist anfällig für Echtzeit-Phishing (AiTM-Angriffe), bei denen Angreifer Code und Passwort gleichzeitig abfangen. Passkeys sind an die exakte Domain gebunden – selbst ein überzeugend gefälschter Login kann den Schlüssel nicht auslösen.

Was kostet die Passkey-Einführung? Geräte-Passkeys über Windows Hello oder Smartphone kosten nichts zusätzlich, wenn die Hardware vorhanden ist. Hardware-Keys für privilegierte Konten liegen bei 25–60 € pro Gerät. Der Hauptaufwand liegt in der Konfiguration und Schulung.

Was passiert, wenn ein Mitarbeiter sein Gerät verliert? Ohne Backup-Passkey ist das Konto gesperrt. Deshalb immer zwei Passkeys pro Konto registrieren. Der IT-Helpdesk kann für die Neuregistrierung temporär ein Einmal-Passwort ausstellen.

Funktioniert FIDO2 auch für selbst gehostete Dienste? Ja. Nextcloud (ab Hub 9), Authentik und Keycloak unterstützen FIDO2/WebAuthn. Rexoma IT richtet solche Setups für KMU-Infrastrukturen in Dresden und Sachsen ein.

Können Passkeys auch zwischen Geräten synchronisiert werden? Ja – auf Wunsch. Apple Keychain, Google Password Manager und Passwortmanager wie Bitwarden oder 1Password synchronisieren Passkeys geräteübergreifend. Für erhöhte Sicherheitsanforderungen empfiehlt sich stattdessen ein gerätegebundener Key ohne Sync.

Back to Blog

Related Posts

View All Posts »