Passkeys für Unternehmen – Login-Sicherheit ohne Passwörter

Kompromittierte Mitarbeiterkonten gehören zu den häufigsten Einfallstoren für Cyberangriffe. Passkeys eliminieren das größte Risiko – das Passwort – und bieten Unternehmen eine phishing-resistente Alternative, die keine spezielle Hardware erfordert.

Kurz erklärt:

Passkeys ersetzen Passwörter durch kryptografische Schlüssel – kein Geheimnis, das gestohlen werden kann.
Phishing-E-Mails werden wirkungslos, weil Passkeys nur auf der echten Website funktionieren.
Kein Schulungsaufwand für komplexe Passwort-Richtlinien – Login per Fingerabdruck, Face ID oder PIN.
Schrittweise Einführung möglich – kritische Konten zuerst, dann Erweiterung.

Inhalt dieser Seite:

Warum Passkeys für Unternehmen wichtig sind
Kritische Angriffsziele im Unternehmen
Was passiert, wenn Mitarbeiterkonten kompromittiert werden
Vorteile von Passkeys im Unternehmensalltag
Organisatorische Grenzen und Herausforderungen
Checkliste: Wo zuerst umstellen?
Passkeys schrittweise einführen
Häufige Fragen

Warum Passkeys für Unternehmen wichtig sind

Die Mehrzahl erfolgreicher Cyberangriffe auf Unternehmen beginnt mit kompromittierten Zugangsdaten. Phishing-E-Mails, geleakte Passwörter aus Datenbank-Leaks und Credential Stuffing – also das automatisierte Testen gestohlener Passwörter bei anderen Diensten – sind die häufigsten Angriffsmethoden.

Kleine und mittelständische Unternehmen sind besonders betroffen, weil sie oft keine dedizierten IT-Sicherheitsteams haben und Mitarbeiter dieselben Passwörter für private und berufliche Konten verwenden. Ein einziges kompromittiertes Passwort kann ausreichen, um auf E-Mail-Postfächer, Cloud-Speicher, Kundendatenbanken oder Admin-Bereiche zuzugreifen.

Passkeys lösen dieses Problem grundlegend: Es gibt kein Passwort mehr, das gestohlen, erraten oder auf einer gefälschten Website eingegeben werden kann. Die Anmeldung erfolgt über kryptografische Schlüssel, die an das Gerät des Mitarbeiters gebunden sind und nur auf der echten Website funktionieren.

Wichtig zu wissen

Passkeys ersetzen nicht die gesamte IT-Sicherheitsstrategie eines Unternehmens. Sie eliminieren jedoch das mit Abstand häufigste Einfallstor – kompromittierte Passwörter – und machen Phishing-Angriffe auf Mitarbeiterkonten wirkungslos.

Kritische Angriffsziele im Unternehmen

Nicht alle Unternehmenskonten sind gleich kritisch. Manche Zugänge sind für Angreifer besonders wertvoll, weil sie weitreichende Zugriffsrechte bieten oder sensible Daten enthalten.

E-Mail-Konten

Das E-Mail-Konto ist der Schlüssel zu fast allen anderen Diensten. Wer Zugriff auf die E-Mail hat, kann Passwörter zurücksetzen, Rechnungen umleiten und sich als Mitarbeiter ausgeben.

Risiko: Passwort-Reset für alle verknüpften Dienste, CEO-Fraud, Rechnungsbetrug

Cloud-Speicher & Filesharing

Google Drive, OneDrive, Dropbox oder SharePoint enthalten oft Verträge, Kundendaten, Finanzdaten und interne Dokumente. Ein kompromittierter Zugang bedeutet Zugriff auf das gesamte Unternehmenswissen.

Risiko: Datendiebstahl, Wirtschaftsspionage, DSGVO-Verletzungen

Admin- & CMS-Zugänge

Wer Zugriff auf das CMS, den Hosting-Provider oder die Domain-Verwaltung hat, kann die gesamte Webpräsenz des Unternehmens manipulieren, lahmlegen oder für Phishing-Kampagnen missbrauchen.

Risiko: Website-Defacement, Malware-Verteilung, Domain-Hijacking

Kundenverwaltung & CRM

CRM-Systeme, Buchhaltungssoftware und Kundendatenbanken enthalten personenbezogene Daten, Zahlungsinformationen und Geschäftsgeheimnisse. Ein Zugriff kann erheblichen wirtschaftlichen und rechtlichen Schaden verursachen.

Risiko: Kundendaten-Leak, Bußgelder, Vertrauensverlust

Praxis-Tipp

Beginnen Sie die Passkey-Einführung bei den Konten mit dem höchsten Risiko. In den meisten Unternehmen sind das: E-Mail, Cloud-Speicher und Admin-Zugänge zur Website oder zum Hosting.

Was passiert, wenn Mitarbeiterkonten kompromittiert werden

Ein einziges kompromittiertes Mitarbeiterkonto kann eine Kette von Schäden auslösen. Die Folgen betreffen nicht nur die IT, sondern das gesamte Unternehmen.

Lateral Movement – ein Konto, viele Zugänge

Angreifer nutzen ein kompromittiertes Konto, um sich lateral durch das Unternehmen zu bewegen. Von der E-Mail zum Cloud-Speicher, vom Cloud-Speicher zur Kundendatenbank. Jeder Dienst, der dasselbe Passwort oder schwache Passwörter verwendet, wird zum nächsten Ziel.

Business Email Compromise (BEC)

Mit Zugriff auf ein E-Mail-Konto können Angreifer gefälschte Rechnungen versenden, Zahlungsanweisungen umleiten oder sich als Geschäftsführer ausgeben. BEC-Angriffe verursachen weltweit Milliardenschäden – auch bei kleinen Unternehmen.

Datenschutzverletzungen und Bußgelder

Wenn personenbezogene Kundendaten betroffen sind, besteht eine Meldepflicht nach DSGVO. Neben möglichen Bußgeldern drohen Reputationsschäden und der Verlust von Kundenvertrauen – oft schwerer wiedergutzumachen als der finanzielle Schaden.

Häufiger Irrtum

„Unser Unternehmen ist zu klein, um Ziel eines Angriffs zu sein." – Das Gegenteil ist der Fall. Automatisierte Angriffe wie Credential Stuffing unterscheiden nicht nach Unternehmensgröße. Gerade kleine Unternehmen ohne professionelle IT-Sicherheit sind leichte Ziele.

Vorteile von Passkeys im Unternehmensalltag

Passkeys verbessern nicht nur die Sicherheit, sondern auch den Arbeitsalltag. Weniger Passwort-Resets, kein Ärger mit vergessenen Zugangsdaten und ein schnellerer Login-Prozess.

Phishing wird wirkungslos

Passkeys sind kryptografisch an die echte Website-Domain gebunden. Selbst wenn ein Mitarbeiter auf einen Phishing-Link klickt, funktioniert der Passkey auf der gefälschten Seite nicht. Es gibt nichts, was eingegeben oder weitergegeben werden kann.

Weniger Passwort-Resets

Vergessene Passwörter sind einer der häufigsten Gründe für IT-Support-Anfragen. Mit Passkeys entfällt dieses Problem komplett. Die Anmeldung erfolgt per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.

Schnellerer Login

Ein Passkey-Login dauert typischerweise 2–3 Sekunden. Kein Passwort eintippen, keinen SMS-Code abwarten, keinen Authenticator öffnen. Bei Mitarbeitern, die sich täglich dutzende Male anmelden, summiert sich die Zeitersparnis.

Kein Schulungsaufwand für Passwort-Richtlinien

Komplexe Passwort-Richtlinien (Mindestlänge, Sonderzeichen, regelmäßiger Wechsel) sind mit Passkeys überflüssig. Das reduziert den Schulungsaufwand und die Frustration bei Mitarbeitern.

Organisatorische Grenzen und Herausforderungen

Passkeys lösen das Passwort-Problem, aber sie ersetzen keine IT-Sicherheitsstrategie. Es gibt organisatorische Aspekte, die bei der Einführung bedacht werden müssen.

Offboarding-Prozess anpassen

Wenn ein Mitarbeiter das Unternehmen verlässt, müssen seine Passkeys bei allen Diensten entfernt werden. Das erfordert einen dokumentierten Offboarding-Prozess, der neben dem Sperren von Konten auch das Löschen von Passkeys umfasst. Ohne diesen Schritt könnte ein ehemaliger Mitarbeiter theoretisch weiterhin Zugang haben.

Recovery-Prozesse definieren

Was passiert, wenn ein Mitarbeiter sein Gerät verliert oder ein neues Gerät erhält? Unternehmen brauchen klare Recovery-Prozesse: Zweitgeräte, IT-Admin-gestütztes Re-Enrollment oder temporäre Zugänge. Ohne solche Prozesse kann ein Geräteverlust zum Produktivitätsproblem werden.

Nicht alle Dienste unterstützen Passkeys

Viele moderne Cloud-Dienste bieten Passkeys bereits an, aber nicht alle. Für Legacy-Systeme, spezialisierte Branchensoftware oder selbst gehostete Anwendungen ist möglicherweise weiterhin ein starkes Passwort plus zweiter Faktor erforderlich. Eine hybride Strategie ist realistischer als eine sofortige Komplettumstellung.

Geteilte Geräte und Schichtbetrieb

In Szenarien mit geteilten Geräten (z. B. Kasse, Lager-PC, Empfangsrechner) funktionieren Passkeys anders als auf persönlichen Geräten. Hier können QR-Code-basierte Passkey-Logins über das persönliche Smartphone eine Lösung sein – der Mitarbeiter scannt einen QR-Code und bestätigt auf seinem Handy.

Wichtig zu wissen

Passkeys machen die Authentifizierung sicherer, ersetzen aber nicht die Autorisierung. Rollenkonzepte, Zugriffsrechte und das Prinzip der minimalen Berechtigung bleiben weiterhin unverzichtbar.

Checkliste: Wo zuerst umstellen?

Eine sofortige Komplettumstellung ist in den meisten Unternehmen weder realistisch noch nötig. Beginnen Sie mit den Konten, bei denen ein kompromittierter Zugang den größten Schaden anrichten würde.

E-Mail-Konten aller Mitarbeiter

Höchste Priorität – Zugang zu E-Mail bedeutet Zugang zu fast allen anderen Diensten über Passwort-Reset-Funktionen.

Cloud-Speicher (Google Drive, OneDrive, Dropbox)

Enthält oft sensible Geschäftsdokumente, Verträge und Kundendaten.

Admin-Zugänge (CMS, Hosting, Domain)

Zugriff auf die gesamte Webpräsenz und Infrastruktur des Unternehmens.

Code-Repositories und Entwicklungszugänge

GitHub, GitLab und ähnliche Plattformen unterstützen Passkeys. Besonders wichtig bei Projekten mit Kundendaten oder proprietärem Code.

CRM- und Buchhaltungssysteme

Personenbezogene Kundendaten und Finanzdaten erfordern besonderen Schutz nach DSGVO.

Social-Media- und Marketing-Konten

Kompromittierte Social-Media-Konten können erheblichen Reputationsschaden verursachen.

Passkeys schrittweise einführen

Eine erfolgreiche Passkey-Einführung folgt einem pragmatischen Stufenplan. Beginnen Sie klein, sammeln Sie Erfahrungen und erweitern Sie dann.

Bestandsaufnahme

Welche Dienste und Konten nutzt Ihr Unternehmen? Welche davon unterstützen bereits Passkeys? Wo werden die kritischsten Daten verarbeitet? Diese Analyse bildet die Grundlage für die Priorisierung.

Pilotgruppe starten

Beginnen Sie mit einer kleinen Gruppe – idealerweise IT-affine Mitarbeiter oder die Geschäftsleitung. Richten Sie Passkeys für die zwei bis drei kritischsten Dienste ein und sammeln Sie Feedback.

Recovery-Prozesse definieren

Legen Sie fest, wie bei Geräteverlust, neuen Geräten und Mitarbeiterwechsel vorgegangen wird. Dokumentieren Sie den Prozess und testen Sie ihn. Ein zweiter Passkey auf einem Zweitgerät ist die einfachste Recovery-Strategie.

Schrittweise ausrollen

Erweitern Sie die Passkey-Nutzung auf alle Mitarbeiter und weitere Dienste. Wo Passkeys noch nicht unterstützt werden, setzen Sie auf starke Passwörter plus Authenticator-App als Übergangslösung.

Weiterlesen im Passkeys-Ratgeber

Passkeys erklärt – Übersicht Passkeys einrichten – Schritt für Schritt Passkeys vs. Passwortmanager Passkeys vs. 2FA Phishing-resistente MFA

Häufige Fragen: Passkeys für Unternehmen

Sind Passkeys für kleine Unternehmen relevant?

Ja, besonders. Kleine Unternehmen sind häufig Ziel von Phishing und Credential-Stuffing-Angriffen, weil sie oft keine dedizierten IT-Sicherheitsteams haben. Passkeys eliminieren das größte Einfallstor – das Passwort – ohne zusätzliche Komplexität.

Müssen alle Mitarbeiter gleichzeitig umstellen?

Nein. Passkeys lassen sich schrittweise einführen. Beginnen Sie mit den kritischsten Konten – E-Mail, Cloud-Speicher, Admin-Zugänge – und erweitern Sie dann auf weitere Mitarbeiter und Dienste.

Was passiert, wenn ein Mitarbeiter das Unternehmen verlässt?

Passkeys sind an das Gerät und das Betriebssystem-Konto des Mitarbeiters gebunden. Beim Offboarding muss der Zugang zum jeweiligen Dienst gesperrt und der Passkey dort entfernt werden. Das ist vergleichbar mit dem Entzug eines Passworts – muss aber aktiv im Offboarding-Prozess berücksichtigt werden.

Funktionieren Passkeys mit unserer bestehenden IT-Infrastruktur?

Die meisten modernen Cloud-Dienste (Microsoft 365, Google Workspace, Salesforce, GitHub) unterstützen Passkeys bereits. Für ältere Systeme oder selbst gehostete Anwendungen kann eine Übergangslösung mit Passwort plus zweitem Faktor sinnvoll sein.

Brauchen wir für Passkeys spezielle Hardware?

Nein. Passkeys funktionieren mit den Geräten, die Ihre Mitarbeiter bereits nutzen – Smartphones, Laptops, Desktop-PCs. Voraussetzung ist ein aktuelles Betriebssystem (Windows 10/11, macOS 13+, iOS 16+, Android 9+) und eine aktive Bildschirmsperre.

Sind Passkeys DSGVO-konform?

Ja. Passkeys speichern keine personenbezogenen Daten auf dem Server – nur einen öffentlichen Schlüssel, der ohne den privaten Schlüssel wertlos ist. Biometrische Daten verbleiben ausschließlich auf dem Gerät des Nutzers und werden nie übertragen.

Was kostet die Umstellung auf Passkeys?

Für die meisten Cloud-Dienste ist die Aktivierung von Passkeys kostenlos. Es fallen keine Lizenzgebühren an. Der Hauptaufwand liegt in der Planung des Rollouts und der Schulung der Mitarbeiter – beides ist in der Regel überschaubar.

Was passiert bei Geräteverlust eines Mitarbeiters?

Passkeys, die über Cloud-Dienste synchronisiert werden (z. B. iCloud-Schlüsselbund, Google Passwortmanager), stehen nach der Kontowiederherstellung auf einem neuen Gerät wieder zur Verfügung. Zusätzlich sollte ein Recovery-Prozess definiert sein – etwa ein zweiter Passkey auf einem Zweitgerät oder ein temporärer Zugang über den IT-Administrator.

Können Passkeys mit Rollenkonzepten kombiniert werden?

Ja. Passkeys sichern die Authentifizierung – also die Frage „Wer ist diese Person?". Rollenkonzepte regeln die Autorisierung – also „Was darf diese Person?". Beides ergänzt sich und sollte gemeinsam geplant werden.

Schützen Passkeys auch gegen Ransomware?

Passkeys schützen nicht direkt gegen Ransomware, aber sie verhindern den häufigsten Einstiegsweg: kompromittierte Zugangsdaten durch Phishing. Da Phishing-E-Mails einer der Hauptverbreitungswege für Ransomware sind, reduzieren Passkeys das Risiko erheblich.

Sichere Authentifizierung für Ihr Unternehmen

WIMARO Networks integriert moderne Sicherheitskonzepte wie Passkeys direkt in die Projektarchitektur – von der ersten Planung bis zum laufenden Betrieb.

Mehr über unsere Sicherheitsarchitektur Kontakt aufnehmen