Pass­keys

Lese­dau­er 3 Minu­ten

Vor einem Jahr haben wir uns in einem Blog-Arti­kel mit den Grund­la­gen von Pass­keys beschäf­tigt – der pass­wort­lo­sen, phis­hin­gre­sis­ten­ten Authen­ti­fi­zie­rungs­tech­no­lo­gie, die als Zukunft der digi­ta­len Sicher­heit gilt. Seit­dem hat sich viel getan: Immer mehr Platt­for­men unter­stüt­zen Pass­keys, und ers­te Unter­neh­men begin­nen mit dem Roll­out. Doch die Pra­xis zeigt: Der Umstieg ist nicht immer ein­fach. Wel­che Hür­den gibt es, und wie las­sen sie sich überwinden?

Tech­ni­sche Integration

Im letz­ten Arti­kel haben wir die Vor­tei­le von Pass­keys her­vor­ge­ho­ben – doch die Umset­zung in bestehen­den Sys­te­men bleibt eine Her­aus­for­de­rung. Vie­le Unter­neh­men nut­zen noch älte­re Soft­ware oder pro­prie­tä­re Lösun­gen, die Pass­keys nicht stan­dard­mä­ßig unter­stüt­zen. Hier hilft ein schritt­wei­ser Ansatz: Begin­nen Sie mit der Inte­gra­ti­on in kri­ti­sche Anwen­dun­gen wie E‑Mail-Sys­te­me oder Kund*innenportale, wäh­rend weni­ger rele­van­te Tools nach und nach folgen.

Ein zen­tra­les The­ma ist die Infra­struk­tur. Pass­keys basie­ren auf kryp­to­gra­fi­schen Schlüs­sel­paa­ren, die sicher gespei­chert wer­den müs­sen. Cloud-Diens­te wie Goog­le Pass­word Mana­ger oder Apple iCloud Key­chain bie­ten hier Unter­stüt­zung, doch für Unter­neh­men mit stren­gen Com­pli­ance-Anfor­de­run­gen kann eine loka­le oder hybri­de Lösung sinn­vol­ler sein. Beson­ders wich­tig: Die Syn­chro­ni­sa­ti­on zwi­schen Gerä­ten muss rei­bungs­los funk­tio­nie­ren, um Akzep­tanz zu schaffen.

Nut­zer­ak­zep­tanz

Auch die bes­te Tech­no­lo­gie schei­tert, wenn Nutzer*innen sie nicht ver­ste­hen oder ableh­nen. Vie­le sind es gewohnt, Pass­wör­ter zu ver­wen­den – und ste­hen Pass­keys skep­tisch gegen­über. Hier ist Auf­klä­rung ent­schei­dend: Schu­lun­gen soll­ten nicht nur die Vor­tei­le erklä­ren, son­dern auch prak­ti­sche Anlei­tun­gen bie­ten. Ein Bei­spiel: Wie rich­te ich einen Pass­key auf mei­nem Smart­phone ein? Wie nut­ze ich ihn auf ver­schie­de­nen Geräten?

Ein bewähr­ter Ansatz ist die optio­na­le Ein­füh­rung. Unter­neh­men kön­nen Pass­keys zunächst als Alter­na­ti­ve zu Pass­wör­tern anbie­ten und erst spä­ter zur Pflicht machen. So gewöh­nen sich Mit­ar­bei­terinnen und Kundinnen lang­sam an die neue Metho­de, ohne sich über­for­dert zu fühlen.

Sicher­heits­be­den­ken

Pass­keys sind zwar siche­rer als Pass­wör­ter, aber nicht frei von Risi­ken. Ein zen­tra­les Sze­na­rio: der Ver­lust des Geräts, auf dem der Pass­key gespei­chert ist. Ohne Back­up-Optio­nen könn­te der Zugriff auf Kon­ten ver­lo­ren gehen. Hier hel­fen Lösun­gen wie die Syn­chro­ni­sa­ti­on über ver­trau­ens­wür­di­ge Cloud-Diens­te oder die Nut­zung meh­re­rer Gerä­te als Backup.

Zudem müs­sen Unter­neh­men sicher­stel­len, dass die Imple­men­tie­rung selbst kei­ne Sicher­heits­lü­cken auf­weist. Regel­mä­ßi­ge Audits und Pene­tra­ti­ons­tests sind uner­läss­lich, um Schwach­stel­len früh­zei­tig zu erken­nen. Beson­ders kri­tisch: Die Abhän­gig­keit von Dritt­an­bie­tern wie Apple oder Goog­le, die die Schlüs­sel­ver­wal­tung über­neh­men. Hier lohnt es sich, auf offe­ne Stan­dards wie FIDO2 zu set­zen, um Fle­xi­bi­li­tät zu bewahren.

Fazit

Ein Jahr nach unse­rem ers­ten Arti­kel zu Pass­keys ist klar: Die Tech­no­lo­gie hat das Poten­zi­al, die Authen­ti­fi­zie­rung zu revo­lu­tio­nie­ren. Doch der Erfolg hängt von einer durch­dach­ten Inte­gra­ti­on, einer kla­ren Kom­mu­ni­ka­ti­ons­stra­te­gie und der Berück­sich­ti­gung von Sicher­heits­aspek­ten ab. Unter­neh­men, die die­se Hür­den pro­ak­tiv ange­hen, pro­fi­tie­ren lang­fris­tig von weni­ger Pass­wort-Pro­ble­men, höhe­rer Sicher­heit und zufrie­de­ne­ren Nutzer*innen.

Also las­sen Sie sich gut beraten.