Hannes Riehl
Head of Architecture
19 Milliarden Passwörter im Darknet
Allein aus 2024 und 2025 stehen rund 19 Milliarden gestohlene Passwörter zum Verkauf. Das ist kein Hype, sondern die Realität unserer Passwort-Abhängigkeit.
Passkeys lösen das strukturell
Keine übertragenen Anmeldedaten, kein Phishing, keine Wiederverwendung. Der private Schlüssel verlässt dein Gerät nie.
Der Rollout braucht Fingerspitzengefühl
Menschen sind Gewohnheitstiere. Wer das bei der Einführung ignoriert, scheitert nicht an der Technik, sondern an der Akzeptanz.
Passwordless Authentifizierung
Das Problem, das wir jahrzehntelang ignoriert haben
Mal ehrlich: Wir alle wissen, dass Passwörter eine schlechte Idee sind. Trotzdem hängen wir daran wie an einem alten Lieblingspullover. Und das hat Konsequenzen.
Auf der diesjährigen European Identity and Cloud Conference (EIC 2026) wurden die nackten Zahlen präsentiert, und die sind alles andere als beruhigend. 94 % aller Passwörter werden wiederverwendet. 2025 wurden durch Account-Übernahmen rund 262 Millionen US-Dollar erbeutet. 36 % der Opfer verloren dabei mehr als 10.000 US-Dollar.
Das unnötige Festhalten an Passwörtern kostet Industrie und Verbraucher Milliarden. Jedes Jahr. Und das Verrückte daran: Die Alternative ist längst da.
Grundlagen
Was ist ein Passkey eigentlich?
Ein Passkey ist ein kryptographisches Credential auf Basis des FIDO2-Standards, einem offenen Industriestandard der FIDO Alliance und dem W3C. Klingt sperrig, funktioniert aber erstaunlich elegant.
Wenn du dich bei einem Dienst registrierst, erzeugt dein Gerät zwei mathematisch zusammengehörige Schlüssel. Der private Schlüssel bleibt auf deinem Smartphone, Laptop oder Hardware-Authenticator und verlässt das Gerät nie. Der öffentliche Schlüssel wird beim Dienst hinterlegt, sozusagen das Schloss, zu dem nur du den passenden Schlüssel hast.
Bei der Anmeldung läuft das so ab: Der Dienst schickt eine zufällige Challenge an dein Gerät. Du entsperrst es per Fingerabdruck, Gesichtserkennung oder PIN. Dein Gerät signiert die Challenge mit dem privaten Schlüssel und schickt die Signatur zurück. Der Dienst prüft sie und gewährt Zugriff.
Was dabei nie passiert: Es wird kein Passwort übertragen. Es gibt keinen Einmalcode, der abgefangen werden könnte. Selbst wenn jemand den Datenverkehr mitschneidet, bekommt er damit rein gar nichts, weil der private Schlüssel das Gerät schlicht nicht verlässt.
Der entscheidende Unterschied zum klassischen Passwort
| Passwort | Passkey | |
|---|---|---|
| Kann gephisht werden | Ja | Nein (Domain-gebunden) |
| Kann geleakt werden | Ja | Nein (privater Schlüssel bleibt auf Gerät) |
| Muss gemerkt werden | Ja | Nein |
| Anfällig für Brute-Force | Ja | Nein |
| Geräteübergreifend nutzbar | Ja | Ja (Synced Passkeys) |
Ein Passkey ist an die genaue Domain gebunden, für die er erstellt wurde. Ein gefälschtes Nachahmerportal funktioniert technisch einfach nicht. Klassisches Credential-Phishing, die häufigste Form von Cyberangriffen, wird damit strukturell unterbunden. Nicht erschwert. Unterbunden.
Varianten
Zwei Varianten: Für jeden Anwendungsfall das Richtige
Reifegrad
Smartphones haben den Weg bereitet, der Desktop holt auf
Passkeys wurden bislang vor allem im Smartphone-Bereich stark vorangetrieben, und das ist kein Zufall. Viele Nutzer wurden dort über Jahre schrittweise an biometrische Authentifizierung gewöhnt: Gesichtserkennung zum Entsperren, Fingerabdruck für den App-Zugang, biometrische Bestätigung für Zahlungen.
Im Bereich Desktop-Browser und Laptops ist die Reife noch im Wachstum, aber der Fortschritt ist deutlich. Wer in einem geschlossenen Geräte-Ökosystem lebt, merkt das bereits heute: Ein auf dem Smartphone erstellter Passkey lässt sich über den Passwortmanager des Betriebssystems automatisch auch auf dem Laptop nutzen. Die Synchronisation funktioniert nahtlos, und genau das macht Passkeys für den Alltag praktikabel.
Akzeptanz
Menschen sind Gewohnheitstiere, und das muss man ernst nehmen
Hier kommt der Punkt, den viele bei der Einführung unterschätzen: Man darf nicht erwarten, dass Nutzer sofort und vollständig umsteigen.
Das Passwort existiert seit Jahrzehnten. Wer jahrelang damit umgegangen ist, hat dieses Verhalten tief verinnerlicht. Passkeys sind eine Verhaltensänderung, und Verhaltensänderungen brauchen Zeit. Die Aufgabe besteht nicht nur darin, die Technologie bereitzustellen, sondern den Nutzern den Raum zu geben, sich daran zu gewöhnen.
Das bedeutet konkret:
- Einen sofortigen 100%-Umstieg zu erwarten ist unrealistisch und kontraproduktiv.
- Freiwillige Opt-in-Phasen funktionieren besser als erzwungene Migration.
- Verständliche Kommunikation und Support begleiten den Übergang.
- Fallback-Methoden für Nutzer, die noch nicht bereit sind, bleiben erhalten.
Diese Geduld ist keine Schwäche. Sie ist eine notwendige Investition in die Akzeptanz.
Bereit für die passwortlose Zukunft?
Wir bei amiconsult kennen die Lösungen, Anbieter und die praktischen Fallstricke und begleiten dich auf dem Weg zu Passkeys.
Rollout
Rollout mit Augenmaß: Nutzersegmentierung als Schlüssel
Ein erfolgreicher Passkey-Rollout beginnt nicht mit einem Big-Bang-Ansatz für alle Nutzer gleichzeitig. Die Praxis zeigt: Wer Nutzergruppen gezielt identifiziert und die Einführung schrittweise gestaltet, hat deutlich mehr Erfolg.
Warum? Weil Menschen in unterschiedlichen digitalen Realitäten leben. Jüngere, technikaffine Nutzer sind mit biometrischer Authentifizierung auf dem Smartphone vertraut und nehmen Passkeys schnell und positiv an. Ältere oder weniger technikaffine Nutzer haben über Jahre gelernt, mit Passwörtern umzugehen. Für sie ist der Passkey nicht intuitiv, er ist fremd. Ihnen das neue Verfahren aufzuzwingen führt zu Frustration, erhöhtem Support-Aufwand und im schlimmsten Fall zu Abwanderung.
Ein durchdachter Rollout sieht so aus:
- Nutzersegmente identifizieren nach Gerätenutzung, Altersgruppe und Interaktionsverhalten
- Opt-in für Early Adopters schaffen, wer will, steigt sofort um
- Schrittweise Ausweitung auf weitere Segmente mit gezielter Kommunikation
- Fallbacks beibehalten für Nutzer, die noch nicht wechseln können oder wollen
Dieser Ansatz respektiert die Nutzerdiversität und schützt gleichzeitig die Conversion Rate, was im B2C-Umfeld (CIAM) geschäftskritisch ist.
IAM Strategie
Passkeys in der Unternehmens-IAM-Strategie
Aus IAM-Perspektive fügen sich Passkeys sauber in moderne Sicherheitsarchitekturen ein.
Zero Trust: Passkeys sind kryptographisch stark und passen zum Prinzip „never trust, always verify”. Jede Authentifizierung ist eine frische, kryptographische Aussage und keine wiederverwendbare Credential.
Single Sign-On: Der Nutzer authentifiziert sich einmal per Passkey, der Identity Provider übernimmt die Tokenausstellung für alle nachgelagerten Anwendungen. Maximale Sicherheit bei minimalem Reibungsverlust.
Identity Fabric: Passkeys lassen sich flexibel neben anderen Verfahren einsetzen und ermöglichen einen schrittweisen, risikogesteuerten Übergang weg vom Passwort, ohne bestehende Systeme abrupt umstellen zu müssen.
Was die Branche auf der EIC 2026 diskutiert hat
Passwordless ist längst kein Nischen-Thema mehr. Branchenanalysten waren sich einig: Eine passwortlose Nutzererfahrung reduziert Reibung, stärkt das Vertrauen in deine Marke und vermeidet die Kosten durch Betrug und Compliance-Verstöße infolge von Account-Übernahmen.
Für eine erfolgreiche passwordlose B2C-Authentifizierung braucht es vier Dimensionen:
- Authenticators: Breite, Flexibilität und Interoperabilität der unterstützten Optionen
- Provisioning und Account Recovery: Effizientes Onboarding und verlässliche Wiederherstellung
- Adaptive Risk: Kontextbezogene, risikoadaptive Authentifizierungsentscheidungen
- Performance und Skalierbarkeit: Stabil auch unter hoher Last
Marktentwicklung
Warum jetzt handeln?
Der Markt für Passwordless-Lösungen wird auf 20 bis 25 Milliarden US-Dollar geschätzt und wächst weiter. Große Plattformanbieter haben Passkeys bereits tief in ihre Betriebssysteme und Dienste integriert. Immer mehr Anwendungen unterstützen sie nativ. Auch das BSI empfiehlt passwortlose Verfahren als zukunftssicheren Weg.
Die Frage ist nicht mehr ob, sondern wann und wie du Passkeys in deine Authentifizierungsstrategie integrierst. Wer heute beginnt, mit einem durchdachten Rollout, klarer Nutzersegmentierung und einer soliden Identity-Strategie im Hintergrund, ist der Konkurrenz einen entscheidenden Schritt voraus.
Fazit
Kurz gesagt: Der Wechsel zu Passkeys lohnt sich
Passkeys sind technisch ausgereift, von allen großen Plattformanbietern unterstützt und aus Nutzersicht komfortabler als jede Passwort-Alternative. Sie beseitigen strukturell die größten Angriffsvektoren: Phishing, Credential Stuffing, Brute Force. Gleichzeitig vereinfachen sie den Alltag der Nutzer.
Der Rollout erfordert Fingerspitzengefühl. Unterschiedliche Nutzergruppen, unterschiedliche Ökosysteme, unterschiedliche Reifegrade. Vor allem aber braucht er Geduld, denn es geht um Menschen, und Menschen ändern Gewohnheiten nicht über Nacht.
Passkeys sind das Fundament moderner Authentifizierung für Unternehmen, die Sicherheit und Nutzererfahrung gemeinsam denken.
Wenn du Fragen zur Einführung von Passkeys in deiner Organisation hast oder deine IAM-Strategie auf passwordlose Verfahren ausrichten willst, sprich uns gerne an.
Quellen & Referenzen: KuppingerCole Analysts, EIC 2026 (European Identity and Cloud Conference).
