PASSWORTLOSE AUTHENTIFIZIERUNG (FIDO2): PHISHING-RESISTENTER SCHUTZ, SSO-VORTEILE UND UMSETZUNG IN MICROSOFT 365

Passwörter gehören zu den größten Schwachstellen der IT-Sicherheit.

Gestohlene oder erratene Passwörter ermöglichen Identitätsdiebstahl und den Zugang zu Unternehmensnetzwerken (bsi.bund.de). Einfache Benutzername-Passwort-Kombinationen gelten längst als unsicher, doch noch immer sind Passwörter das Standardmittel zur Anmeldung – mit gravierenden Nachteilen. In diesem Blogpost erklären wir, warum passwortlose Authentifizierung mit FIDO2-Passkeys jetzt der richtige Schritt ist. Wir beleuchten die Bedeutung phishing-resistenter Logins, zeigen Vorteile von Single Sign-On (SSO) auf und erläutern anhand von Microsoft 365, wie man passwortlose Anmeldung praktisch erzwingen kann.

Zusammenfassung – Warum jetzt auf passwortlos umstellen?

• Passwörter sind unsicher und Auslöser vieler Angriffe:

  Schätzungen zufolge sind gestohlene oder kompromittierte Zugangsdaten bei über 50% (bis zu 80%) aller Sicherheitsvorfälle im Spiel (proofpoint.com; keytos.io). Phishing-E-Mails und Datenlecks führen ständig dazu, dass Passwörter in falsche Hände geraten.

• Passwortlose Authentifizierung erhöht Sicherheit und Komfort:

  Verfahren wie FIDO2/Passkeys nutzen kryptografische Schlüssel anstelle von Passwörtern. Dadurch werden keine Passwörter mehr übertragen oder gespeichert – Phishing und Passwort-Knacken werden technisch verhindert. Die Anmeldung wird für Nutzer einfacher und schneller, da z.B. ein Fingerabdruck oder Security-Key genügt.

• Phishing-resistente MFA ist unverzichtbar:

  Selbst herkömmliche Zwei-Faktor-Authentifizierung (etwa SMS-TAN oder App-Codes) kann durch raffinierte Phishing-Angriffe ausgetrickst werden (dashlane.com). FIDO2-Passkeys hingegen gelten als phishing-sicher, weil sie keine für Angreifer nutzbaren Geheimnisse preisgeben (dashlane.com).

• SSO + Passkeys = bessere Nutzererfahrung und zentrale Kontrolle:

  Mit Single Sign-On meldet sich der Nutzer einmal an und erhält Zugang zu allen benötigten Diensten. Das reduziert Passwortmüdigkeit und erleichtert die Verwaltung. Sicherheitsrichtlinien (z.B. Passkey-Pflicht) können zentral durchgesetzt werden – ohne Ausnahmen (trufflepig-forensics.de).

• Microsoft 365 unterstützt Passwortlosigkeit – jetzt handeln:

  In Microsofts Azure AD (Entra ID) lassen sich passwortlose Anmeldemethoden aktivieren (z.B. FIDO2-Sicherheitsschlüssel, Microsoft Authenticator) und per Richtlinie erzwingen. Die Technologie ist ausgereift und wird bereits von Konzernen wie IBM und Target eingesetzt (fidoalliance.org). Die Bedrohungslage durch Passwortdiebstahl ist akut – es gibt keinen Grund mehr zu warten, die Umstellung bietet mehr Sicherheit und Produktivität.

Vom Passwort zum Risiko – die Schwächen herkömmlicher Logins

Passwörter sind seit Jahrzehnten der Standard, um digitale Konten zu schützen. Doch dieses System stößt an seine Grenzen. Ein Hauptproblem: Viele Nutzer wählen immer noch einfache, leicht zu erratende Passwörter wie 123456 oder Passwort (trufflepig-forensics.de). Selbst komplexere Passwörter lassen sich durch automatisierte Brute-Force-Angriffe innerhalb kurzer Zeit knacken (trufflepig-forensics.de). Zudem neigen viele Nutzer dazu, dasselbe Passwort für mehrere Konten wiederzuverwenden (trufflepig-forensics.de). Wird eines dieser Konten gehackt, sind alle anderen mit dem gleichen Passwort gefährdet – ein einziges Leck kann eine Kaskade von Kompromittierungen auslösen.

Ein weiteres enormes Risiko sind Phishing-Angriffe (trufflepig-forensics.de). Hierbei werden Mitarbeiter durch täuschend echte E-Mails oder Websites dazu gebracht, ihre Zugangsdaten einzugeben. Angreifer stehlen so Passwörter direkt von ahnungslosen Nutzern. Gerade in Unternehmen kann ein einziger erfolgreicher Phishing-Angriff großen Schaden anrichten, weil er oft der Einstieg für weitergehende Kompromittierungen (Datenklau, Ransomware etc.) ist.

Sicherheitsverantwortliche haben auf diese Probleme mit Multi-Faktor-Authentifizierung (MFA) reagiert. Zusätzliche Faktoren (etwa Einmalcodes per Smartphone) bieten tatsächlich eine höhere Sicherheit als das nackte Passwort (trufflepig-forensics.de). Doch auch MFA ist nicht gleich MFA: Methoden wie SMS-TAN oder OTP-App sind weiterhin anfällig für bestimmte Phishing-Tricks. Mittels sogenannter Man-in-the-Middle-Angriffe oder Social-Engineering können Kriminelle sogar Einmalcodes und Push-Benachrichtigungen abfangen oder ergaunern (dashlane.com; dashlane.com). In der Praxis sehen Incident-Response-Experten immer wieder, dass selbst Passwörter mit 2FA gegen raffinierte, automatisierte Angriffe nicht standhalten (trufflepig-forensics.de).

Die traurige Wahrheit: Passwörter (auch in Kombination mit simpler 2FA) sind ein Auslaufmodell. Unsere Erfahrungen und Studien zeigen klar, dass ein Großteil erfolgreicher Cyberangriffe mit schwachen oder gestohlenen Passwörtern beginnt (proofpoint.com). Kurzum, das Passwort als Schutzmechanismus ist veraltet und genügt den heutigen Bedrohungen nicht mehr (trufflepig-forensics.de). Es ist Zeit für einen grundlegenden Wechsel in der Art, wie wir Anmeldungen durchführen.

Phishing-resistente Authentifizierung mit FIDO2-Passkeys

Die gute Nachricht: Es gibt eine Lösung, die sowohl sicherer als auch benutzerfreundlicher ist. Das Passkey-Verfahren nach FIDO2-Standard – umgangssprachlich passwortlose Authentifizierung – bietet phishing-resistente Logins durch den Einsatz moderner Kryptografie. Dabei wird das Passwort durch ein Schlüsselpaar ersetzt: einen geheimen privaten Schlüssel beim Nutzer und einen öffentlichen Schlüssel beim Dienst.

Beispiel eines FIDO2-Hardwaretokens (YubiKey): Solche Sicherheitsschlüssel implementieren die passwortlose Authentifizierung mittels öffentlicher und privater Schlüssel.

Die Anmeldung mit Passkey funktioniert grob vereinfacht so: Bei der Konto-Einrichtung erzeugt das Gerät des Nutzers (z.B. sein Smartphone oder ein USB-Sicherheitsschlüssel) ein Schlüsselpaar und sendet nur den öffentlichen Teil an den Server. Beim Login stellt der Server eine kryptographische Herausforderung (Challenge), die das Nutzergerät mit dem privaten Schlüssel signiert. Der Server prüft die Signatur mit dem passenden öffentlichen Schlüssel. Ergebnis: Der Nutzer ist authentifiziert, ohne ein Passwort einzugeben oder ein Geheimnis an den Server zu senden (dashlane.com). Ein Passwortdiebstahl per Phishing ist nicht mehr möglich, denn es gibt kein gemeinsames Geheimnis, das ein Angreifer abgreifen könnte (dashlane.com). Selbst wenn ein Mitarbeiter versehentlich auf eine gefälschte Login-Seite hereinfällt, bleibt der Passkey sicher – das Protokoll erlaubt die Anmeldung nur, wenn die echte Webseite die Challenge anfordert. Ein Passkey „kennt“ sozusagen die echte Domain, für die er erstellt wurde, und gibt auf einer falschen Website keine gültige Authentifizierung heraus (dashlane.com). Dies ist der entscheidende Unterschied zu herkömmlichen MFA-Codes, die der Nutzer manuell eintippt und die ein Angreifer im Phishing-Fall abfangen kann.

Neben der Sicherheit bringt FIDO2 auch Komfort: Nutzer können sich per Fingerabdruck, Gesichtserkennung oder PIN auf ihrem Gerät verifizieren, anstatt Passwörter zu tippen. Ein Smartphone mit Authenticator-App wird so zum Authentifizierungsgerät – der Login erfolgt etwa durch Bestätigen einer Push-Anfrage und biometrischem Scan. Alternativ können physische Security-Keys (siehe Bild oben) per USB oder NFC verwendet werden. All diese Varianten sind FIDO2-konforme Passkeys, d.h. sie arbeiten nach dem offenen Standard der FIDO-Allianz. Wichtig ist, dass die gewählte Lösung zertifiziert und echt phishing-resistent ist – ein Blick in die öffentliche Zertifizierungsdatenbank der FIDO-Allianz kann helfen (trufflepig-forensics.de).

Angesichts dieser Vorteile überrascht es nicht, dass Experten und Behörden Passkeys als deutlich sicherer einschätzen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Passkeys als höheres Sicherheitsniveau gegenüber herkömmlichen Verfahren und fordert mehr Bekanntmachung dieser Technologie (bsi.bund.de; bsi.bund.de). Sicherheitsexperten sind sich einig: Das einzige Verfahren, das in der Praxis dauerhaft Schutz vor Phishing bietet, sind Passkeys (trufflepig-forensics.de). Für Unternehmen bedeutet das: auf ein Login-Verfahren zu setzen, das von Grund auf gegen die häufigsten Angriffe (Passwortdiebstahl, Phishing) immun ist.

Unternehmensweite Vorteile: SSO als Schlüssel zur Effizienz

Neben der erhöhten Sicherheit bringt die passwortlose Zukunft auch organisatorische Vorteile mit sich – insbesondere, wenn sie mit Single Sign-On (SSO) kombiniert wird. SSO bedeutet, dass sich Nutzer einmalig bei einem zentralen Identitätsanbieter anmelden und danach Zugriff auf alle benötigten Anwendungen erhalten, ohne sich separat neu einloggen zu müssen (trufflepig-forensics.de). Anstatt Dutzende verschiedener Passwörter zu verwalten, reicht ein einziger Login, um z.B. E-Mails, Cloud-Speicher, CRM-Systeme und andere Tools zu nutzen.

Für Mitarbeiter ist das ein Segen: weniger Passwort-Stress, keine Zettelwirtschaft mit Login-Daten und ein insgesamt reibungsloseres Arbeiten. Doch die echten Gewinner sind die IT-Abteilungen und die Sicherheit: Durch SSO können Authentifizierungsrichtlinien zentral festgelegt und durchgesetzt werden, ohne Ausnahmen (trufflepig-forensics.de). Wenn ein Unternehmen beispielsweise beschließt, Passkeys als Pflicht einzuführen, kann dies im SSO-System für alle angebundenen Dienste einheitlich konfiguriert werden. Man muss nicht jede Anwendung einzeln nachziehen – die Identitätsplattform steuert den Zugang.

Auch das On- und Offboarding von Mitarbeitern wird erleichtert (trufflepig-forensics.de). Verlassen Mitarbeitende die Firma oder wechseln die Abteilung, braucht die IT lediglich das zentrale Konto zu deaktivieren oder Gruppenberechtigungen anzupassen. Sofort entziehen sich damit die Zugänge zu allen angebundenen Services. Ohne SSO besteht die Gefahr, dass irgendwo ein vergessenes Einzelkonto aktiv bleibt (z.B. ein alter Login bei einem SaaS-Dienst), was ein Sicherheits- und Compliance-Risiko darstellt (trufflepig-forensics.de). Mit SSO gehört dieses Problem weitgehend der Vergangenheit an – ein einziger Verzeichnisdienst steuert alle Berechtigungen.

Natürlich erfordert SSO initialen Aufwand und eine sorgfältige Einrichtung. Und man muss sich im Klaren sein: Wenn das zentrale Konto kompromittiert wird, sind potenziell mehrere Dienste betroffen (trufflepig-forensics.de). Doch genau deshalb kombinieren wir SSO mit starker passwortloser Authentifizierung – um dieses Risiko minimal zu halten. Unterm Strich überwiegen die Vorteile: ein zentral gesichertes Konto statt dutzender schwächer geschützter Logins, weniger Support-Aufwand (Passwort resets) und glücklichere Nutzer, die sich nicht ständig neu anmelden müssen. Für IT-Leiter bedeutet SSO mit Passkeys eine saubere, einheitliche Sicherheitsarchitektur: global abgesichert, aber für den Anwender im Tagesgeschäft einfach und störungsfrei (trufflepig-forensics.de).

Praxisbeispiel Microsoft 365: Passwortlose Anmeldung durchsetzen

Wie lässt sich der Umstieg zur passwortlosen Authentifizierung konkret umsetzen? Als Beispiel betrachten wir Microsoft 365, das in den meisten Unternehmen im Kern auf Azure Active Directory (heute Entra ID) als Identitätsdienst aufbaut. Azure AD unterstützt passwortlose Methoden bereits seit einigen Jahren – man kann also heute schon sämtliche Microsoft-365-Benutzer mit Passkeys anmelden lassen. Die Herausforderung für IT-Verantwortliche ist eher organisatorisch: das Feature aktivieren, die Nutzer registrieren und letztlich die Passwort-Anmeldung möglichst unterbinden. Hier ein möglicher Fahrplan:

1. Passwortlose Methoden aktivieren:

   In der Azure-AD Verwaltungsoberfläche (Entra Admin Center) können Administratoren unter Security > Authentication Methods die gewünschten passwortlosen Verfahren zulassen. Typischerweise aktiviert man Microsoft Authenticator (Phone Sign-in) und FIDO2-Sicherheitsschlüssel für die Benutzer. (learn.microsoft.com; learn.microsoft.com) Auch Windows Hello for Business (plattforminterne Passkeys auf Windows 10/11 Geräten) gehört dazu. Diese Methoden sollten idealerweise für alle Nutzer oder zumindest für definierte Benutzergruppen freigeschaltet werden.

2. Benutzer registrieren Passkeys:

   Informieren Sie Ihre Belegschaft frühzeitig über die Umstellung und führen Sie sie durch die Einrichtung. Jeder Nutzer sollte mindestens einen Passkey registrieren – beispielsweise sein Smartphone (Authenticator App mit biometrischer Entsperrung) oder einen USB/NFC-Sicherheitsschlüssel. In Azure AD erfolgt die Registrierung entweder vom Nutzer selbst über das My Sign-Ins-Portal oder administrativ. Microsoft ermöglicht es Administratoren inzwischen sogar, FIDO2-Keys im Auftrag von Usern vorzuprovisionieren (learn.microsoft.com). Praktisch läuft die Einrichtung so ab, dass der Nutzer auf „Passkey hinzufügen” klickt und dann zwischen Hardware-Token (z.B. YubiKey), integrierten Optionen (Windows Hello, iOS/Android Passkey) oder einem Mobiltelefon als Passkey wählt – der Browser bzw. das Gerät führt dann durch die Einrichtungtrufflepig-forensics.de. Es ist empfehlenswert, zwei Passkeys pro Nutzer zu hinterlegen (z.B. Handy und USB-Token), um bei Verlust eines Geräts gewappnet zu sein.

3. Anmelderichtlinie erzwingen:

   Sobald alle benötigten Personen einen Passkey eingerichtet haben, kann man die strikte Durchsetzung aktivieren. Dies geschieht über Conditional Access (Bedingter Zugriff) in Azure AD. Microsoft bietet hier vordefinierte Authentifizierungsstärken an. Die stärkste Option, „Phishing-resistant MFA“, beinhaltet nur Methoden, die gegen Phishing robust sind (z.B. FIDO2, Zertifikat-basierte Auth., Windows Hello) (learn.microsoft.com). Man erstellt also eine Richtlinie, die für die gewünschten Benutzer oder Rollen gilt (z.B. alle Mitarbeiter, oder zunächst nur Admin-Konten) und wählt als Zugriffsbedingung “Require authentication strength: Phishing-resistant MFA”learn.microsoft.com. Damit akzeptiert das System fortan nur noch Anmeldungen, die diesen hohen Standard erfüllen – ein Login mit bloßem Passwort würde abgelehnt. Wichtig: Testen Sie neue Richtlinien zunächst im Report-only Modus und sperren Sie Notfall-Accounts aus (Break-Glass-Konten) von der Richtlinie aus, um sich nicht selbst auszusperrenlearn.microsoft.comlearn.microsoft.com.

4. Passwörter schrittweise verbannen:

   Obwohl Azure AD aktuell noch kein komplettes Abschalten aller Passwörter auf Knopfdruck erlaubt (learn.microsoft.com), erreicht man mit obiger CA-Richtlinie faktisch das Ziel: Benutzer müssen sich mit Passkey anmelden. Kommunizieren Sie klar, dass das alte Passwort ab einem Stichtag nicht mehr genutzt werden soll. Für Dienste, die noch kein modernes Login unterstützen, finden sich Übergangslösungen (dazu gleich mehr). In Windows-Umgebungen sollte außerdem Windows Hello oder eine Lösung mit FIDO2-Token für die PC-Anmeldung eingeführt werden, damit auch das Desktop-Login passwortfrei abläuft. Microsofts Web Sign-In für Azure AD oder Drittanbietertools können hier helfen, falls nötig.

5. Sonderfälle absichern:

   In fast jedem Unternehmen gibt es Legacy-Systeme oder Spezialanwendungen, die (noch) keine Passkey-Login unterstützen. Diese sollten identifiziert und möglichst in das SSO integriert werden. Wo das nicht geht, empfiehlt sich als letzter Ausweg ein zentral verwalteter Passwortmanager (Enterprise Password Vault) (trufflepig-forensics.de; trufflepig-forensics.de). Darin kann man für solche Altsysteme jeweils einzigartige, sehr lange Zufallspasswörter (z.B. 30+ Zeichen) generieren und speichern lassen. Die Nutzer greifen dann gar nicht direkt auf diese Passwörter zu, sondern der Passwortmanager füllt sie bei Bedarf ein. Wichtig ist auch hier: Der Zugang zum Passwort-Tresor selbst muss natürlich mit Passkey oder SSO geschützt sein (trufflepig-forensics.de). Außerdem sollte – wo möglich – auch ein zweiter Faktor (z.B. TOTP-Code) für die Altsystem-Logins hinterlegt werden, um wenigstens bei Datenbank-Leaks geschützt zu sein (trufflepig-forensics.de). Langfristig sollte jedoch das Ziel sein, auch diese letzten Anwendungen abzulösen oder zu modernisieren, denn das finale Eingeben eines Passworts birgt immer ein Phishing-Risiko (trufflepig-forensics.de). Durch diesen Prozess schafft man es, Passwörter aus dem Alltag der Nutzer so gut wie verschwinden zu lassen. Die Benutzer melden sich an ihrem PC via Windows Hello an, nutzen die Microsoft 365 Cloud mit ihrem Authenticator oder FIDO2-Key und müssen kein Passwort mehr eintippen. Für Administratoren bietet Microsoft übrigens an, statt Passwörtern sogenannte Temporary Access Pass (zeitlich begrenzte Einmal-Codes) zu verwenden, um neue Geräte oder Passkeys einzurichten – so lässt sich ein komplett passwordless Onboarding gestalten (learn.microsoft.com). Insgesamt gilt: Mit etwas Planung und Schulung ist die Einführung passwortloser Authentifizierung machbar und bringt schnell mehr Sicherheit im Betriebsalltag.

Fazit: Warten Sie nicht länger!

Die Bedrohungslage durch Passwortdiebstahl ist real und nimmt weiter zu. Phishing bleibt alarmierend effektiv, wobei insbesondere finanzielle Schäden durch Account-Kompromittierungen stark gestiegen sind (2023 wurden 144% mehr finanzielle Verluste gemeldet als im Vorjahr) (dashlane.com). Angreifer entwickeln ständig neue Tricks – selbst versierte Nutzer und IT-Profis können hereingelegt werden.

Warum also auf ein Wunder hoffen, während sichere Lösungen bereitstehen? Passkeys nach FIDO2-Standard sind heute verfügbar, standardisiert und von allen großen Plattformen unterstützt. Apple, Google und Microsoft haben sich gemeinsam hinter diese Technologie gestellt; über 15 Milliarden Online-Konten weltweit sind bereits passkey-fähig (fidoalliance.org). Große Unternehmen wie IBM, TikTok oder Amazon berichten von erfolgreichen Implementierungen und einer spürbaren Verbesserung der Login-Erfahrung und Sicherheit (fidoalliance.org; fidoalliance.org). Die BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: „Wir müssen Cybersicherheit so einfach wie möglich und gleichzeitig robust gestalten. Passkeys sind ein perfektes Beispiel dafür… ihnen gehört die Zukunft.“ (bsi.bund.de)

Für Sie als IT-Leiter bedeutet das: Jetzt handeln, nicht abwarten. Jeder Tag, den Sie mit veralteten Passwort-Logins verbringen, ist ein unnötiges Risiko für Ihr Unternehmen. Gleichzeitig verschenken Sie die Chance, Ihren Nutzern den Arbeitsalltag zu erleichtern und Ihre IT-Prozesse zu straffen. Die Einführung passwortloser, phishing-resistenter Anmeldungen mag als großer Schritt erscheinen – doch er lohnt sich. Mit einer klugen Strategie (und vielleicht zunächst Pilotprojekten in Teilbereichen) können Sie den Übergang meistern. Die nötigen Werkzeuge, von FIDO2-Token bis zu Azure AD Richtlinien, stehen bereit.

Kurzum: Passwortlose Authentifizierung ist keine ferne Vision mehr, sondern einsatzbereite Realität. Unternehmen, die frühzeitig umsteigen, gewinnen einen Sicherheitsvorsprung und modernisieren ihre Infrastruktur. Angesichts der Tatsache, dass kompromittierte Passwörter zu den häufigsten Einfallstoren von Angreifern gehören (proofpoint.com), gibt es kaum eine effektivere einzelne Maßnahme zur Risikoreduzierung. Lassen Sie also das unsichere Passwort-Zeitalter hinter sich – Ihre Benutzer und Ihr IT-Sicherheitsbudget werden es Ihnen danken. Jetzt ist der richtige Zeitpunkt, auf phishing-sichere, passwortlose Loginverfahren umzusteigen, bevor der nächste Angreifer zuschlägt.

TL; DR: Passwörter haben ausgedient. Mit FIDO2-Passkeys und SSO erhöhen Sie die Sicherheit und den Komfort. Microsoft & Co. bieten bereits alle Mittel, um Passwörter überflüssig zu machen – nutzen wir sie. Die Zukunft der sicheren Anmeldung hat begonnen, und sie ist passwortlos. (trufflepig-forensics.de; bsi.bund.de)