Passwörter sterben aus: Passkeys übernehmen die Kontrolle

Über 80 Prozent aller Datenpannen gehen auf gestohlene oder schwache Passwörter zurück — und dennoch nutzen Millionen Menschen weltweit „123456" als Zugangscode zu ihren wichtigsten Konten. Damit könnte bald Schluss sein: Apple, Google und Microsoft treiben gemeinsam den Abschied vom klassischen Passwort voran und setzen auf eine Technologie, die das digitale Login grundlegend neu denkt.

Was sind Passkeys — und warum jetzt?

Wer verstehen will, warum Passkeys als Revolution der digitalen Sicherheit gehandelt werden, muss zunächst begreifen, wie sie sich von klassischen Passwörtern unterscheiden. Ein herkömmliches Passwort ist im Grunde ein geteiltes Geheimnis: Der Nutzer kennt es, und der Server des Anbieters speichert es — in bester Form als sogenannten Hash, in schlechter Form sogar im Klartext. Genau dort liegt das Problem: Wird der Server gehackt, sind Millionen Passwörter kompromittiert. Wird das Passwort durch Phishing erschlichen, öffnet es Angreifern Tür und Tor.

Passkeys funktionieren fundamental anders. Sie beruhen auf einem asymmetrischen Kryptografieverfahren, das aus zwei mathematisch verknüpften Schlüsseln besteht: einem öffentlichen Schlüssel, der beim Anbieter gespeichert wird, und einem privaten Schlüssel, der ausschließlich auf dem Gerät des Nutzers verbleibt — geschützt durch den Chip des Smartphones, Laptops oder Tablets. Der öffentliche Schlüssel allein ist wertlos; ohne den privaten Schlüssel lässt sich damit keine Authentifizierung durchführen. Das bedeutet: Selbst wenn ein Anbieter gehackt wird, erhält der Angreifer kein nutzbares Geheimnis.

Die Anmeldung läuft dabei aus Nutzersicht denkbar einfach ab: statt eines Passworts genügt ein Fingerabdruck, ein Gesichtsscan oder die Geräte-PIN. Das Smartphone oder der Computer bestätigt die Identität lokal und signiert die Anmeldeanfrage mit dem privaten Schlüssel — ohne dass dieser jemals das Gerät verlässt. Für den Nutzer fühlt es sich an wie eine Entsperrung per Biometrie; im Hintergrund läuft hochsichere Kryptografie ab.

Der FIDO2-Standard: Das technische Fundament

Der Begriff FIDO2 steht für „Fast Identity Online 2" und bezeichnet einen offenen Standard, der gemeinsam von der FIDO Alliance und dem World Wide Web Consortium (W3C) entwickelt wurde. Er kombiniert zwei Spezifikationen: WebAuthn, eine Browser-API für die Web-Authentifizierung, und CTAP2 (Client to Authenticator Protocol), das die Kommunikation zwischen Gerät und externer Hardware wie USB-Sicherheitsschlüsseln regelt. Gemeinsam ermöglichen diese Protokolle eine plattformübergreifende, passwortlose Anmeldung — egal ob auf dem iPhone, einem Android-Smartphone oder einem Windows-PC.

Entscheidend für die breite Akzeptanz ist, dass Apple, Google und Microsoft den Standard nicht nur unterstützen, sondern aktiv in ihre Ökosysteme integriert haben. Apple baut Passkeys in iCloud Keychain ein, sodass sie nahtlos zwischen iPhone, iPad und Mac synchronisiert werden. Google verwaltet Passkeys über den Google Passwortmanager und stellt sie auf allen Android-Geräten bereit. Microsoft hat die Technologie in Windows Hello und das Microsoft-Konto integriert. Damit erreicht der Standard ohne zusätzliche App-Downloads eine Nutzerbasis von mehreren Milliarden Menschen weltweit.

Dass ausgerechnet diese drei Konzerne, die in vielen Bereichen erbitterte Konkurrenten sind, beim Thema Passkeys an einem Strang ziehen, unterstreicht den Ernst der Lage. Sicherheitslücken durch Passwörter sind längst kein Nischenproblem mehr — sie sind ein wirtschaftlicher Schaden von globaler Dimension. IDC schätzt die jährlichen Kosten durch Identitätsdiebstahl und passwortbezogene Cyberangriffe weltweit auf mehrere hundert Milliarden US-Dollar. (Quelle: IDC)

Welche Anbieter sind bereits dabei?

Die Unterstützung für Passkeys wächst rasant. Neben den Betriebssystem-Riesen haben zahlreiche Dienste die Technologie bereits eingeführt oder angekündigt. PayPal ermöglicht Passkey-Logins für US-Nutzer, eBay hat den Support ausgerollt, und Dienste wie Shopify, DocuSign sowie GitHub unterstützen den Standard. In Deutschland haben Unternehmen wie die Deutsche Telekom und mehrere große Online-Händler erste Implementierungen angekündigt. Laut einer Statista-Erhebung plant die Mehrheit der befragten IT-Entscheider in DACH-Unternehmen, in den nächsten Jahren auf passwortlose Authentifizierungslösungen umzusteigen. (Quelle: Statista)

Was ändert sich konkret für Nutzer?

Für die meisten Verbraucher dürfte der Umstieg auf Passkeys weniger technische Hürde als angenehme Erleichterung sein. Wer sich heute bei einem unterstützten Dienst registriert, wird häufig direkt gefragt, ob er statt eines Passworts einen Passkey anlegen möchte. Ein Fingertipp auf den Sensor oder ein Blick in die Frontkamera — fertig. Kein Ausdenken komplexer Zeichenfolgen, kein Risiko, das Passwort zu vergessen, kein Wiederverwenden desselben Codes auf mehreren Seiten.

Gerade das Recycling von Passwörtern ist nach wie vor eines der größten Sicherheitsrisiken im Alltag. Bitkom hat ermittelt, dass rund 40 Prozent der deutschen Internetnutzer dasselbe Passwort für mehrere Dienste verwenden — eine fatale Praxis, die es Kriminellen ermöglicht, mit einem einzigen gestohlenen Datensatz gleich mehrere Konten zu übernehmen. (Quelle: Bitkom) Passkeys machen dieses Problem strukturell unmöglich, da für jeden Dienst automatisch ein einzigartiges Schlüsselpaar erzeugt wird.

Ein weiterer entscheidender Vorteil: Phishing-Angriffe, bei denen Nutzer auf gefälschte Webseiten gelockt und zur Eingabe ihrer Zugangsdaten verleitet werden, funktionieren mit Passkeys nicht mehr. Der private Schlüssel ist an die exakte Domain des Dienstes gebunden. Eine täuschend echte Nachahmerseite von „paypa1.com" statt „paypal.com" erhält schlicht keine gültige Signatur — das System verweigert die Authentifizierung automatisch, ohne dass der Nutzer den Betrug erkennen muss. Wie riskant herkömmliche Passwort-Infrastruktur sein kann, zeigt sich etwa daran, dass Passwörter in manchen Browser-Implementierungen im Klartext auslesbar waren — ein Albtraumszenario, das Passkeys technisch ausschließen.

Geräteübergreifende Nutzung: Wo es noch hakt

Die größte praktische Einschränkung der aktuellen Passkey-Implementierungen liegt in der ökosystemgebundenen Synchronisierung. Wer ausschließlich Apple-Geräte nutzt, profitiert von einer nahtlosen iCloud-Synchronisation. Wer jedoch zwischen einem iPhone und einem Windows-Laptop wechselt, steht vor einer Reibungsstelle: Der in iCloud gespeicherte Passkey muss über einen QR-Code oder Bluetooth-Kopplung auf das andere Gerät übermittelt werden — ein Prozess, der funktioniert, aber noch nicht so reibungslos ist wie das Eintippen eines Passworts.

Hersteller wie 1Password und Dashlane arbeiten als plattformübergreifende Passkey-Manager an der Lösung dieses Problems. Sie fungieren als universelle Tresorlösung, die Passkeys unabhängig vom Betriebssystem-Ökosystem speichert und geräteübergreifend bereitstellt. Gartner bewertet diesen Markt als einen der am schnellsten wachsenden Segmente im Identity-and-Access-Management-Bereich und erwartet erhebliche Investitionen von Unternehmensseite. (Quelle: Gartner)

Für Unternehmen und IT-Abteilungen stellen sich zusätzliche Fragen: Was passiert, wenn ein Mitarbeiter sein Smartphone verliert? Wie werden Passkeys in bestehende Identity-Provider wie Active Directory integriert? Die Antworten liegen in Wiederherstellungsmechanismen über Backup-Codes, alternativen Authentifikatoren sowie in der wachsenden Unterstützung durch Enterprise-Lösungen wie Microsoft Entra und Okta. Der Übergang erfordert Planung — ist aber technisch gelöst.

Die gesellschaftliche Dimension: Sicherheit als Infrastrukturthema

Passwörter sterben nicht über Nacht. Der Übergang wird Jahre dauern, und eine vollständige Ablösung ist auf absehbare Zeit unrealistisch — zu viele Altsysteme, zu viele Nutzergewohnheiten, zu viele Dienste, die noch keine Passkey-Unterstützung bieten. Dennoch ist die Richtung klar: Die großen Plattformen geben den Takt vor, die Standards sind gesetzt, und die Nutzerzahlen steigen kontinuierlich.

Das Thema berührt dabei weit mehr als individuelle Bequemlichkeit. Digitale Sicherheit ist längst eine gesamtgesellschaftliche Infrastrukturaufgabe — ähnlich wie physische Kontrollen und Regulierungen in anderen Bereichen. Wer sich etwa mit der Frage beschäftigt, wie staatliche Stellen digitale Risiken managen, findet Parallelen in der Art, wie Behörden mit begrenzten Ressourcen maximale Wirkung erzielen müssen: So wie Grenzkontrollen bis zu 14.000 Bundespolizisten binden, bindet die Abwehr von Cyberangriffen erhebliche personelle und finanzielle Kapazitäten in Unternehmen und Behörden. Effizientere Technologien wie Passkeys können diesen Aufwand strukturell senken.

Auch auf regulatorischer Ebene gewinnt das Thema an Fahrt. Die NIS2-Richtlinie der Europäischen Union, die für eine wachsende Zahl von Unternehmen verbindliche Mindeststandards in der Cybersicherheit festlegt, erhöht den Druck, Authentifizierungsprozesse zu modernisieren. Wer als Unternehmen weiterhin auf einfache Passwörter ohne Mehrfaktor-Absicherung setzt, riskiert nicht nur Datenverluste, sondern auch empfindliche Bußgelder. Passkeys erfüllen dabei die Anforderungen an starke Authentifizierung von Haus aus.

Vergleichbar zu anderen Kontrollmechanismen im digitalen und physischen Raum — wie etwa bei der Frage, was Binnengrenzen-Kontrollen wirklich bringen, nämlich primär eine Abschreckungswirkung — liegt die Stärke von Passkeys weniger in ihrer Undurchdringlichkeit als in ihrer systematischen Überlegenheit gegenüber dem Status quo. Kein System ist absolut sicher; aber Passkeys heben die Messlatte für Angreifer so deutlich an, dass der überwiegende Teil der heute gängigen Angriffsvektoren schlicht wirkungslos wird.

Auch Lieferketten und digitale Transaktionskontrolle spielen in diesem Kontext eine Rolle: So wie der Zoll bundesweite Kontrollen bei Paketzustellern durchführt, um die Integrität physischer Warenströme zu sichern, braucht der digitale Raum technische Mechanismen, die die Integrität von Identitäten und Transaktionen gewährleisten. Passkeys sind ein Baustein dieser digitalen Vertrauensinfrastruktur.

Was Nutzer jetzt tun sollten

Die gute Nachricht: Für Verbraucher ist der Einstieg in die Passkey-Welt heute einfacher denn je. Wer ein aktuelles Smartphone mit iOS oder Android betreibt, hat die technische Grundlage bereits in der Tasche. Konkret empfehlen Sicherheitsexperten folgende Schritte:

Zunächst sollten Nutzer prüfen, welche ihrer regelmäßig genutzten Dienste bereits Passkeys unterstützen — eine aktuelle Liste pflegt die FIDO Alliance auf ihrer offiziellen Website. Wo immer möglich, lohnt es sich, bestehende Passwörter durch Passkeys zu ersetzen: Der Prozess dauert in der Regel unter eine Minute und ist in den Sicherheitseinstellungen des jeweiligen Dienstes zu finden. Wer mehrere Ökosysteme nutzt, sollte einen plattformübergreifenden Passwortmanager mit Passkey-Unterstützung in Betracht ziehen.

Für Dienste, die noch kein Passkey-Login anbieten, gilt weiterhin: starke, einzigartige Passwörter kombiniert mit einem zweiten Faktor — idealerweise einer Authenticator-App statt einer SMS. Denn SMS-basierte Zwei-Faktor-Authentifizierung ist durch sogenannte SIM-Swapping-Angriffe angreifbar, bei denen Kriminelle eine Telefonnummer auf eine eigene SIM-Karte übertragen lassen.

Der Abschied vom Passwort ist kein Datum, sondern ein Prozess. Aber er hat begonnen — und die Weichen sind gestellt. Wer heute auf Passkeys umsteigt, handelt nicht als Early Adopter eines Nischenp