Leistungen Referenzen Notfallservice Kontakt Blog
Close Menu
    KONTAKT.

    Königshofen Digital
    Volker Königshofen
    Mühlenbachstr. 40
    41462 Neuss

    Fon: +49 172 2485226 (auch Whatsapp)
    Fax: +49 2131 5394167
    Mail: info@koenigshofen.com

    USt-IdNr.: DE255840543

    Haendlerbund

    Passwortlose Anmeldung im KMU – Passkeys sinnvoll einführen

    Blog
    Passwortlose Anmeldung im KMU – Passkeys sinnvoll einführen
    Passwortlose Anmeldung im KMU – Passkeys sinnvoll einführen

    Viele KMU kämpfen nicht mit hochkomplexen Angriffen, sondern mit alltäglichen Schwachstellen: wiederverwendete Passwörter, schlecht gesicherte Konten und Login-Prozesse, die Mitarbeitende umgehen. Passkeys sind deshalb interessant, weil sie Anmeldungen einfacher und zugleich robuster gegen Phishing machen. Für kleine Teams lohnt sich aber kein blinder Komplettumstieg, sondern eine Einführung nach Priorität, Gerätebestand und vorhandenem Identitätsmanagement.

    Was Passkeys im KMU praktisch verbessern

    Passkeys sind eine moderne Anmeldemethode auf Basis asymmetrischer Kryptografie. Statt eines geheimen Passworts, das abgefragt und abgefangen werden kann, liegt ein privater Schlüssel sicher auf dem Gerät, während der Dienst nur den öffentlichen Schlüssel kennt.

    Für KMU ist der größte Vorteil nicht „mehr Sicherheit“ als abstraktes Schlagwort, sondern weniger Angriffsfläche bei typischen Login-Angriffen. Klassisches Phishing, Credential Stuffing nach Datenlecks und unsichere Passwortwahl verlieren an Wirkung, weil kein wiederverwendbares Passwort mehr eingegeben wird. Das ist besonders relevant für E-Mail-Konten, Cloud-Dienste, Kollaborationstools und Admin-Zugänge mit hoher Reichweite.

    Passkeys sind nicht automatisch eine Komplettlösung. Sie ersetzen weder sauberes Berechtigungsmanagement noch Gerätehärtung, noch ein strukturiertes Offboarding. Wenn aber Anmeldungen robuster werden, reduziert sich ein häufiger Einstiegspunkt für Angreifer messbar im Alltag kleiner Unternehmen.

    Anzeige

    Standards wie FIDO2 und WebAuthn bilden die technische Grundlage. In der Praxis heißt das: Ein Login wird an ein registriertes Gerät oder einen Sicherheitsschlüssel gebunden, oft mit biometrischer Freigabe oder Geräte-PIN. Das senkt den Reibungsverlust für Mitarbeitende und ist meist alltagstauglicher als ständig eingetippte Einmalcodes.

    • Priorisiere Konten mit hohem Schadenpotenzial: E-Mail, Microsoft 365, Google Workspace, Admin-Portale.
    • Prüfe zuerst, welche genutzten Dienste WebAuthn oder FIDO2 sauber unterstützen.
    • Plane Passkeys als Ergänzung zur bestehenden Anmeldung, nicht als spontanen Big Bang.
    • Definiere früh, wer Geräte registrieren, zurücksetzen und entziehen darf.
    • Berücksichtige auch externe Mitarbeitende und geteilte Support-Prozesse.

    Für welche Konten lohnt sich der Einstieg zuerst?

    KMU sollten Passkeys zuerst dort einführen, wo ein kompromittierter Zugang viele Folgeprobleme auslöst. Das sind meist Identitätskonten, E-Mail-Postfächer, zentrale Cloud-Dienste und Administrationszugänge.

    In kleinen Betrieben hängt vieles an wenigen Konten. Ein übernommenes Mailkonto reicht oft für Passwort-Resets, CEO-Fraud, Rechnungsbetrug oder unbemerkte Weiterleitungsregeln. Genau deshalb ist der Einstieg bei zentralen Identitäten sinnvoller als bei Randdiensten mit geringem Risiko.

    Gute erste Kandidaten sind Microsoft-365- oder Google-Workspace-Zugänge, Passwort-Manager für Teams, Ticket-Systeme, VPN-Portale und Admin-Logins für wichtige SaaS-Dienste. Wenn der Anbieter Passkeys nur halbherzig unterstützt oder Recovery-Prozesse unsauber sind, bleibt vorerst eine starke MFA-Kombination oft die pragmatischere Wahl. Für viele KMU wird der Übergang daher hybride Formen haben: Passkeys für Kernkonten, TOTP oder Sicherheitsschlüssel für andere Dienste.

    Auch die Gerätebasis entscheidet. Wenn Mitarbeitende überwiegend aktuelle Smartphones, Macs oder Windows-Notebooks mit moderner Plattformunterstützung nutzen, ist die Einführung deutlich einfacher. In heterogenen Umgebungen mit Altgeräten und wechselnden Browsern steigt der organisatorische Aufwand spürbar.

    Kontoart Priorität Warum zuerst
    E-Mail und IdP Sehr hoch Hohe Reichweite für Passwort-Resets und Identitätsmissbrauch
    Admin-Konten Sehr hoch Direkter Zugriff auf Systeme, Benutzer und Richtlinien
    Kollaborationstools Hoch Missbrauch für interne Täuschung und Datendiebstahl
    Fachanwendungen Mittel Sinnvoll, wenn der Anbieter stabile Passkey-Unterstützung hat
    Seltene Randdienste Niedrig Geringerer Nutzen bei höherem Einführungsaufwand

    Welche Voraussetzungen brauchen Geräte, Browser und Identitäten?

    Die Einführung scheitert selten an der Idee, sondern an unklaren Voraussetzungen. Damit passwortlose Anmeldung im KMU funktioniert, müssen Gerät, Browser, Dienst und Recovery-Prozess zusammenpassen.

    Technisch sollte geprüft werden, welche Plattformen im Unternehmen aktiv genutzt werden: Windows 11 mit Windows Hello, aktuelle macOS-Versionen mit Touch ID, iPhones und Android-Geräte mit sicherer Geräteentsperrung. Browserseitig ist wichtig, dass aktuelle Versionen von Chrome, Edge, Firefox oder Safari im Einsatz sind und nicht durch Altlasten blockiert werden.

    Organisatorisch ist die Identitätsseite noch wichtiger. Wer ein zentrales Verzeichnis oder SSO nutzt, sollte dort zuerst die Möglichkeiten und Grenzen prüfen. Ohne klare Zuständigkeiten bei Enrollment, Gerätewechsel, Verlust und Offboarding wird aus einem Sicherheitsgewinn schnell Support-Chaos. Das ist kein Gegenargument gegen Passkeys, sondern ein Hinweis auf saubere Vorbereitung.

    Anzeige

    Hilfreich ist außerdem ein realistischer Blick auf Synchronisierung. Plattformgebundene Passkeys, die innerhalb eines Hersteller-Ökosystems synchronisiert werden, sind für Nutzer bequem. Für sensible Rollen oder Administratoren kann ein zusätzlicher Hardware-Ansatz mit Sicherheitsschlüssel sinnvoller sein, weil die Trennung von Geräten und Rollen sauberer bleibt. In KMU ist oft eine Mischstrategie am vernünftigsten.

    Wo Passkeys im Alltag oft scheitern

    Typische Probleme sind gemeinsam genutzte Arbeitsplätze, unklare Browserstandards, fehlende Gerätesperren und improvisierte Notfallkonten. Auch lokale Adminrechte auf Endgeräten oder private Geräte ohne Mindeststandard können die Einführung erschweren.

    Wenn bereits saubere M365-Baselines existieren, wird der Einstieg leichter, weil Identitäten, Richtlinien und Recovery dort meist schon strukturierter sind. Fehlen solche Grundlagen, sollte zuerst die Kontenbasis geordnet werden, bevor neue Login-Methoden ausgerollt werden.

    • Inventarisiere genutzte Geräteklassen und ihre Betriebssystemstände.
    • Lege verbindliche Browserstandards für Unternehmenskonten fest.
    • Erzwinge Geräte-PIN oder Biometrie auf allen zugelassenen Endgeräten.
    • Dokumentiere, welche Dienste Passkeys vollständig und welche nur eingeschränkt unterstützen.
    • Definiere einen Recovery-Prozess vor dem ersten Rollout.

    Passkeys oder MFA mit App und Sicherheitsschlüssel?

    Passkeys verdrängen Passwörter schrittweise, aber sie machen andere starke Verfahren nicht sofort überflüssig. Für KMU bleibt die sinnvollste Entscheidung oft kontextabhängig: Passkeys für breite Nutzergruppen, Sicherheitsschlüssel für besonders kritische Rollen und TOTP nur dort, wo modernere Optionen noch fehlen.

    Wichtig ist die begriffliche Trennung. Ein Passkey ersetzt in vielen Szenarien das Passwort selbst. TOTP aus einer Authenticator-App ist dagegen ein zusätzlicher Faktor, der nach dem Passwort abgefragt wird. Ein Hardware-Sicherheitsschlüssel kann je nach Dienst als zweiter Faktor oder als passwortloses Anmeldeverfahren genutzt werden.

    Für den Alltag kleiner Teams haben Passkeys einen starken Vorteil: Sie sind meist leichter zu benutzen als klassische MFA-Codes und deshalb weniger fehleranfällig. Für privilegierte Konten kann ein dedizierter Sicherheitsschlüssel dennoch sinnvoll bleiben, weil er bewusst getrennt vom Alltagsgerät geführt werden kann. Das reduziert Risiken bei Geräteverlust oder unsauberer privater Nutzung.

    Wenn ein Unternehmen heute noch stark auf OTP-Codes angewiesen ist, lohnt ein Blick auf den MFA-Vergleich im KMU, weil dort die Übergangslogik meist sichtbar wird: nicht alles auf einmal tauschen, sondern Schutz nach Kontoklasse staffeln.

    Verfahren Stärke Schwäche
    Passkey Phishing-resistent, bequem, kein Passwort nötig Nicht jeder Dienst und nicht jeder Prozess ist schon ausgereift
    TOTP-App Breit verfügbar, relativ günstig Codes können abgefragt und weitergegeben werden
    Sicherheitsschlüssel Sehr stark für kritische Konten Mehr Logistik, Ersatzschlüssel und Inventar nötig

    Wie führt ein kleines Unternehmen Passkeys ohne Chaos ein?

    Ein geordneter Rollout beginnt klein, testet reale Arbeitsabläufe und erweitert danach schrittweise. Für ein KMU ist ein Pilot mit einer klar abgegrenzten Gruppe fast immer besser als ein unternehmensweiter Sofortstart.

    Starte mit fünf bis fünfzehn Personen aus Verwaltung, IT-nahen Rollen oder Führung, aber nicht nur mit Technik-affinen Mitarbeitenden. Der Test muss zeigen, wie gut Enrollment, Gerätewechsel, Browserwechsel und Support im echten Alltag funktionieren. Wenn nur die „einfachsten“ Nutzergruppen pilotiert werden, bleibt der schwierigere Teil unsichtbar.

    Danach sollte die Einführung pro Dienst und nicht nur pro Person geplant werden. Zuerst zentrale Konten, dann Teams mit klaren Geräte-Standards, zuletzt Sonderfälle. Für jedes System braucht es eine Entscheidung: Passkey verpflichtend, optional oder vorerst nicht geeignet.

    Hilfreich ist außerdem eine kurze interne Richtlinie mit drei Dingen: welche Geräte zugelassen sind, wie Wiederherstellung läuft und wie verlorene Geräte gemeldet werden. Wenn das Unternehmen bereits geteilte Zugangsdaten sauber organisiert, sinkt auch die Versuchung, Passkeys durch unsichere Ausweichlösungen zu unterlaufen.

    • Wähle eine kleine Pilotgruppe mit realen Alltagsrollen.
    • Teste Enrollment, Ersatzgerät, Browserwechsel und Offboarding bewusst durch.
    • Führe Passkeys zuerst für Identitäts- und E-Mail-Konten ein.
    • Dokumentiere Ausnahmen statt sie stillschweigend zu dulden.
    • Schule Mitarbeitende knapp und konkret: Login, Geräteverlust, Supportweg.
    • Erweitere erst nach stabilen zwei bis vier Wochen auf weitere Teams.

    Was tun bei Geräteverlust, Mitarbeiterwechsel oder Support-Fällen?

    Der Sicherheitsgewinn von Passkeys bleibt nur erhalten, wenn Recovery und Entzug sauber geregelt sind. Nicht der normale Login, sondern der Ausnahmefall entscheidet, ob die Einführung tragfähig ist.

    Anzeige

    Bei Geräteverlust muss zuerst der betroffene Zugang entzogen oder das registrierte Gerät aus dem Konto entfernt werden. Das sollte über ein zweites Administrationskonto, das zentrale Identitätssystem oder einen definierten Helpdesk-Prozess geschehen. Passwörter hektisch zu ändern, obwohl das eigentliche Problem die Gerätebindung ist, hilft oft nur teilweise.

    Beim Offboarding von Mitarbeitenden gilt dasselbe wie bei anderen Authentisierungsverfahren: Konten sperren, Sessions beenden, registrierte Anmeldemittel entziehen, Gruppenmitgliedschaften prüfen. Gerade bei Cloud-Diensten sollten Unternehmen darauf achten, dass nicht nur der Benutzer deaktiviert, sondern auch die registrierten Authentikatoren nachvollziehbar entfernt werden.

    Support-seitig brauchen KMU einen Weg, Identitäten ohne Improvisation wiederherzustellen. Dazu gehören definierte Nachweise, Ersatzverfahren und im Idealfall mindestens zwei registrierte Methoden für kritische Rollen. Für Admin-Konten ist ein separates Break-Glass-Konto mit streng kontrollierter Nutzung sinnvoll, aber nur mit klarer Protokollierung und starker Absicherung. Das Prinzip passt gut zu eng gefassten Zugriffsrechten, weil dort Ausnahmen bewusst selten und kontrolliert bleiben.

    Wie erkenne ich, ob Passkeys im KMU schon reif genug sind?

    Ein guter Reifegrad zeigt sich nicht daran, dass die Funktion irgendwo im Menü existiert. Entscheidend ist, ob Enrollment, Gerätewechsel, Backup-Methoden und Admin-Entzug verständlich dokumentiert und im Alltag testbar sind.

    Wenn ein Dienst Passkeys anbietet, aber Recovery nur über schwache E-Mail-Links oder unklare Support-Prozesse löst, ist Vorsicht sinnvoll. Dann kann starke MFA vorübergehend die bessere Option bleiben, bis die Plattform nachzieht.

    Ersetzen Passkeys alle Passwörter im Unternehmen?

    Nein. In absehbarer Zeit werden viele KMU hybride Umgebungen haben. Einige Dienste unterstützen Passkeys vollständig, andere nur teilweise, und manche Altanwendungen bleiben vorerst passwortbasiert.

    Genau deshalb ist ein abgestuftes Modell sinnvoll. Für moderne Kernkonten können Passkeys den Standard setzen, während weniger reife Systeme weiter mit langen, einzigartigen Passwörtern und zusätzlicher MFA abgesichert werden.

    Passkeys sind für KMU kein Trendthema, sondern ein praktischer Weg, einen häufigen Angriffsvektor zu verkleinern. Sie lohnen sich besonders für Identitäts-, E-Mail- und Admin-Konten, wenn Geräte, Recovery und Zuständigkeiten sauber vorbereitet sind. Der größte Fehler ist nicht, zu langsam zu starten, sondern ohne Pilot, Support-Prozess und Ausnahmeregeln zu beginnen. Wer Passkeys schrittweise einführt, verbessert Sicherheit und Bedienbarkeit gleichzeitig statt nur ein neues Login-Verfahren auszurollen.

    Anzeige
    Share.
    Avatar-Foto

    Königshofen Digital - Websites, E-Commerce, SEO/SEA, Google Ads, Branding und Automation mit KI. Liefert effiziente, automatisierte und messbare Lösungen aus einer Hand.

    Anzeige

    INTERESSANT.