· Mehdi Aroui · cybersecurity · 3 min read
Passkeys und FIDO2: Passwortlos im Unternehmen
Apple, Microsoft und Google haben FIDO2-Passkeys als Standard etabliert. Windows Hello for Business und Entra-Passkeys ersetzen Passwörter in verwalteten Unternehmensumgebungen. Was KMU jetzt vorbereiten sollten.
Warum Passwörter strukturell unsicher sind
(Aktualisiert 2026: Passkeys sind in Microsoft Entra, Apple ID und Google seit 2024 produktionsreif. Die beschriebenen Rollout-Schritte gelten unverändert.) Passwörter können gestohlen, erraten, geleakt oder bei Phishing-Angriffen abgegriffen werden. Das ist keine Nutzerschwäche, sondern ein Designproblem: Das Geheimnis muss für die Anmeldung übertragen werden, und bei der Übertragung entsteht ein Angriffspunkt.
Passkeys lösen dieses Problem durch kryptographische Schlüsselpaare. Der private Schlüssel verlässt das Gerät nie. Der Server kennt nur den öffentlichen Schlüssel. Phishing auf Passwortebene ist damit strukturell ausgeschlossen: Es gibt kein Passwort, das abgegriffen werden könnte.
FIDO2 als gemeinsamer Standard
FIDO2 ist der von der FIDO Alliance entwickelte Standard, auf dem Passkeys aufbauen. Apple, Microsoft und Google haben ihn gemeinsam im Mai 2022 übernommen und in ihre Betriebssysteme integriert. Für Unternehmen bedeutet das: Passkeys sind keine proprietäre Lösung eines einzelnen Anbieters, sondern ein interoperabler Standard.
Die wichtigsten Implementierungen im Unternehmensumfeld:
Windows Hello for Business sichert die Geräteanmeldung in Microsoft-Entra-verbundenen Umgebungen mit Biometrie oder PIN ab. Die Credentials sind gerätegebunden und erfüllen die Anforderungen an phishingresistente Authentifizierung. Windows Hello for Business ist kein FIDO2-Passkey im technischen Sinne, bietet aber gleichwertigen Schutz für verwaltete Geräte.
Microsoft Entra Passkeys (FIDO2) ermöglichen seit 2024 die Anmeldung an Entra-geschützten Ressourcen mit FIDO2-Passkeys. Administratoren aktivieren die Methode in den Authentifizierungsrichtlinien und erstellen Passkey-Profile mit Windows Hello AAGUIDs. Geeignet für Szenarien, in denen Geräte nicht Entra-joined sind.
Apple Face ID / Touch ID und Google Passkeys funktionieren plattformübergreifend für Web-Dienste, die WebAuthn unterstützen. Für Microsoft-365-Umgebungen ist der Entra-Weg der bevorzugte Pfad.
Passwortmanager als Brücke
Der vollständige Übergang zu Passkeys dauert in einer heterogenen Unternehmensumgebung mehrere Jahre. Nicht alle Systeme unterstützen FIDO2. Als Zwischenlösung deckt ein Passwortmanager den verbleibenden Passwort-basierten Bereich ab und reduziert Wiederverwendung und schwache Credentials.
Netzleiter empfiehlt Pleasant Password Server für zentral verwaltete Unternehmenspasswörter mit Active-Directory-Integration.
Rollout-Schritte für KMU
Ein pragmatischer Einstieg in Passkeys und passwortlose Anmeldung:
- Microsoft 365 mit Entra ID nutzen (Voraussetzung für Windows Hello for Business und Entra Passkeys)
- Conditional Access mit MFA-Pflicht aktivieren (Sofortmaßnahme, kein Passkey erforderlich)
- Windows Hello for Business auf allen verwalteten Clients aktivieren (via Intune oder GPO)
- Für privilegierte Konten FIDO2-Hardwareschlüssel einsetzen (YubiKey oder vergleichbar)
- Entra Passkeys (FIDO2) für Szenarien mit nicht verwalteten Geräten einführen
Jeder dieser Schritte lässt sich unabhängig vom nächsten umsetzen. Der Sicherheitsgewinn entsteht bereits mit Schritt 2.
Zwei-Faktor-Authentifizierung als Mindeststandard heute
Wer noch kein Passkey-Konzept hat, setzt als Sofortmaßnahme 2FA für alle Microsoft-365-Konten durch. Ein Konto ohne 2FA ist bei Passwortleak sofort kompromittiert. Mit TOTP-App oder Microsoft Authenticator bleibt der Zugang auch bei geleakten Credentials geschützt.
Netzleiter richtet Conditional Access, Windows Hello for Business und Passkey-Rollouts für Unternehmenskunden in Hamburg und DACH ein. Hotline: 040 25 499 500.
