· Rexoma Team · IT-Sicherheit · 5 min read
Passkeys für KMU: Passwortlos und sicher mit FIDO2
Passkeys ersetzen unsichere Passwörter durch kryptografische Schlüssel – phishing-resistent und ohne Merkchaos. Was das für KMU bedeutet und wie die Einführung gelingt.
Jedes zweite erfolgreiche Konto-Kompromittierung in kleinen und mittleren Unternehmen beginnt mit gestohlenen, schwachen oder wiederverwendeten Passwörtern. IT-Teams in Dresden und ganz Sachsen kennen das Problem: Mitarbeiter nutzen “Sommer2024!” oder Varianten des Firmennamens – und trotz Passwortrichtlinien landet alle paar Monate ein Phishing-Link in der Inbox. Passkeys lösen dieses Problem fundamental.
Was sind Passkeys – und was steckt dahinter?
Passkeys basieren auf dem FIDO2-Standard, entwickelt von der FIDO Alliance (Microsoft, Apple, Google u. a.). Technisch handelt es sich um ein kryptografisches Schlüsselpaar:
- Privater Schlüssel: bleibt auf dem Gerät des Nutzers (Smartphone, Laptop, Hardware-Token) und verlässt es nie
- Öffentlicher Schlüssel: wird beim Dienst (z. B. Microsoft 365, Google Workspace) gespeichert
Bei der Anmeldung signiert das Gerät eine zufällige Challenge mit dem privaten Schlüssel. Der Dienst prüft die Signatur mit dem öffentlichen Schlüssel – kein Passwort wird übertragen, kein Passwort kann gestohlen werden.
Passkeys vs. klassisches MFA: Was ist der Unterschied?
Klassische Multi-Faktor-Authentifizierung mit TOTP-Apps (Google Authenticator, Aegis) ist besser als ein einzelnes Passwort – aber nicht phishing-resistent. Ein Angreifer, der eine täuschend echte Login-Seite betreibt, kann Passwort und TOTP-Code in Echtzeit abfangen (sogenannte Adversary-in-the-Middle-Angriffe, AiTM).
Passkeys sind inhärent phishing-resistent: Der private Schlüssel ist an die exakte Ursprungs-Domain gebunden. Eine gefälschte Login-Seite auf einer anderen Domain kann den Schlüssel schlicht nicht auslösen – selbst wenn der Mitarbeiter nicht aufpasst.
Welche Dienste unterstützen Passkeys bereits?
Die Unterstützung wächst rasant. Stand 2026 bieten folgende für KMU relevante Plattformen vollständige Passkey-Unterstützung:
| Dienst | Passkey-Unterstützung |
|---|---|
| Microsoft 365 / Entra ID | Vollständig (Windows Hello, FIDO2-Keys) |
| Google Workspace | Vollständig |
| GitHub / GitLab | Vollständig |
| Bitwarden / 1Password | Passkey-Speicherung und -Weitergabe |
| Nextcloud (ab Hub 9) | FIDO2 via WebAuthn |
| Cloudflare Zero Trust | Vollständig |
Für interne Dienste – etwa ein selbst gehostetes Nextcloud oder eine Firmen-Wiki – empfiehlt sich ein FIDO2-kompatibler Identity Provider wie Authentik oder Keycloak.
Hardware-Token oder Geräte-Passkey?
Geräte-gebundene Passkeys (Plattform-Authenticators) Smartphone-Biometrie (Face ID, Fingerprint) oder Windows Hello auf dem Laptop. Bequem und kostenlos, wenn die Hardware vorhanden ist. Nachteil: Der Passkey liegt nur auf diesem Gerät. Bei Verlust greift ein hinterlegter Recovery-Passkey oder das IT-Helpdesk-Verfahren.
Hardware-Security-Keys (Roaming-Authenticators) YubiKey, Nitrokey oder Google Titan Key. Ein USB-/NFC-Stick, der gerätunabhängig funktioniert. Für privilegierte Konten (Admins, Geschäftsführung) die empfohlene Lösung. Kosten: 25–60 € pro Key.
Passkeys einführen: Schritt für Schritt für KMU
Schritt 1: Dienste inventarisieren
Listet alle Dienste auf, die Mitarbeiter täglich nutzen. Die Website passkeys.directory zeigt, welche Plattformen FIDO2 unterstützen. Priorisiert E-Mail, VPN-Portal und Cloud-Speicher.
Schritt 2: Pilotgruppe definieren
Startet mit 5–10 technikaffinen Mitarbeitern. Ziel: Praxisfeedback sammeln, bevor das Rollout unternehmensweit läuft.
Schritt 3: Microsoft 365 oder Google Workspace konfigurieren
Bei Microsoft 365 (Entra ID):
- Azure-Portal → Entra ID → Sicherheit → Authentifizierungsmethoden
- “FIDO2-Sicherheitsschlüssel” aktivieren, Richtlinie auf Pilotgruppe anwenden
- Mitarbeiter registrieren ihren Passkey unter
myprofile.microsoft.com
Bei Google Workspace:
- Admin-Konsole → Sicherheit → 2-Schritt-Verifizierung → Passkeys aktivieren
- Mitarbeiter registrieren den Passkey einmalig unter
myaccount.google.com
Schritt 4: Recovery-Verfahren festlegen
Was passiert, wenn ein Mitarbeiter sein Gerät verliert? Empfohlene Maßnahmen:
- Mindestens zwei Passkeys pro Konto registrieren (Smartphone + YubiKey)
- IT-Helpdesk-Prozess für temporäre Einmal-Passwörter dokumentieren
- Bei kritischen Konten: Hardware-Key als Backup im Unternehmenstresor
Schritt 5: Flächendeckendes Rollout
Nach erfolgreichem Piloten: Rollout abteilungsweise. Eine kurze Schulung genügt – Passkeys sind deutlich intuitiver als TOTP-Apps. Nach vollständiger Migration können klassische Passwörter für die migrierten Konten deaktiviert werden.
Passkeys und Compliance: NIS2 und DSGVO
Für ostdeutsche KMU, die unter die NIS2-Richtlinie fallen – etwa Unternehmen in der KRITIS-Lieferkette, im Gesundheitssektor oder in der Energie- und Wasserversorgung –, gehört phishing-resistente Authentifizierung zur geforderten Basis-Absicherung der Zugangskontrollen.
Auch unter der DSGVO gilt: Bei der Verarbeitung personenbezogener Daten sind angemessene technische Schutzmaßnahmen vorgeschrieben. Passkeys reduzieren das Risiko unbefugter Zugriffe nachweisbar und lassen sich in einer Sicherheitsdokumentation belegen.
Was Passkeys nicht lösen
Passkeys sind kein Allheilmittel:
- Session-Hijacking nach erfolgreichem Login ist weiterhin möglich – Passkeys schützen nur den Anmeldevorgang
- Insider-Threats (böswillige Mitarbeiter mit legitimem Zugang) werden nicht adressiert
- Legacy-Systeme ohne WebAuthn-Unterstützung brauchen separate Lösungen
Ergänzende Maßnahmen wie Zero-Trust-Netzwerksegmentierung und EDR-Lösungen bleiben weiterhin sinnvoll.
Passkeys in KMU einführen – Rexoma IT hilft in Dresden
Sie möchten Passkeys in Ihrem Unternehmen einführen, wissen aber nicht, wo anfangen? Rexoma IT begleitet KMU in Dresden und Sachsen von der Bestandsaufnahme über die Konfiguration von Microsoft 365 oder Nextcloud bis zum unternehmensweiten Rollout. Sprechen Sie uns an – wir erklären, was in Ihrer konkreten Umgebung sinnvoll ist.
FAQ: Passkeys für KMU
Sind Passkeys sicherer als Passwort + Authenticator-App? Ja. Klassische TOTP-MFA ist anfällig für Echtzeit-Phishing (AiTM-Angriffe), bei denen Angreifer Code und Passwort gleichzeitig abfangen. Passkeys sind an die exakte Domain gebunden – selbst ein überzeugend gefälschter Login kann den Schlüssel nicht auslösen.
Was kostet die Passkey-Einführung? Geräte-Passkeys über Windows Hello oder Smartphone kosten nichts zusätzlich, wenn die Hardware vorhanden ist. Hardware-Keys für privilegierte Konten liegen bei 25–60 € pro Gerät. Der Hauptaufwand liegt in der Konfiguration und Schulung.
Was passiert, wenn ein Mitarbeiter sein Gerät verliert? Ohne Backup-Passkey ist das Konto gesperrt. Deshalb immer zwei Passkeys pro Konto registrieren. Der IT-Helpdesk kann für die Neuregistrierung temporär ein Einmal-Passwort ausstellen.
Funktioniert FIDO2 auch für selbst gehostete Dienste? Ja. Nextcloud (ab Hub 9), Authentik und Keycloak unterstützen FIDO2/WebAuthn. Rexoma IT richtet solche Setups für KMU-Infrastrukturen in Dresden und Sachsen ein.
Können Passkeys auch zwischen Geräten synchronisiert werden? Ja – auf Wunsch. Apple Keychain, Google Password Manager und Passwortmanager wie Bitwarden oder 1Password synchronisieren Passkeys geräteübergreifend. Für erhöhte Sicherheitsanforderungen empfiehlt sich stattdessen ein gerätegebundener Key ohne Sync.
Rexoma IT