Technik

Das Ende des Passworts:
wie die Anmeldung mit Passkeys funktioniert

Jahrzehntelang war das Passwort der Schlüssel zu allem — und zugleich die Stelle, an der die meisten Einbrüche beginnen. Passkeys schaffen das Geheimnis ab, das man eintippt: nichts mehr zum Erraten, nichts zum Abfischen.

13 Min. Lesezeit24. Juni 2026

Das Passwort ist die älteste Idee der digitalen Sicherheit und ihre schwächste: ein Geheimnis, das man sich merken, eintippen und im Zweifel auch verraten kann. Wir verlangen davon, dass es lang, einmalig und für jeden Dienst verschieden ist — und wundern uns, dass am Ende doch überall dasselbe steht oder auf einem Zettel klebt.

Passkeys drehen das Prinzip um. Anstatt ein gemeinsames Geheimnis auszutauschen, das beide Parteien kennen müssen, weist sich das Gerät mit einem Schlüssel aus, der es niemals verlässt. Das klingt nach einer technischen Feinheit, ist aber ein grundlegender Wechsel: Eine ganze Klasse von Angriffen — das Erschleichen von Zugangsdaten — verliert damit ihre Grundlage. Dieser Beitrag erklärt, was dahintersteckt, warum es funktioniert und wie ein Betrieb den Umstieg ordnet, ohne das Passwort über Nacht abzuschalten.

Wie eine passwortlose Anmeldung abläuft

Vier Schritte, bei denen kein Geheimnis das Gerät verlässt

1. Schlüsselpaar
Einmalig erzeugtÖffentlich + privatPrivat bleibt am Gerät
Einrichtung
2. Aufgabe
Dienst stellt AnfrageAn die echte AdresseNur einmal gültig
Anmeldung
3. Freigabe
Fingerabdruck o. PINGerät signiert lokalKein Geheimnis unterwegs
Bestätigung
4. Zugang
Server prüft SignaturNichts zum AbfangenAn Domain gebunden
Phishing-resistent

Der entscheidende Unterschied steckt in Schritt 3: Das Gerät beweist etwas, ohne etwas preiszugeben

Warum das Passwort die schwache Stelle ist

Ein Passwort funktioniert nach einem einfachen Prinzip: Zwei Seiten kennen dasselbe Geheimnis, und wer es nennt, gilt als berechtigt. Genau darin liegt der Konstruktionsfehler. Ein Geheimnis, das man kennt, kann man weitergeben, wiederverwenden, erraten lassen oder auf der falschen Seite eintippen — und es gibt keinen technischen Mechanismus, der das verhindert.

In der Praxis bündeln sich daraus drei Schwächen, die sich gegenseitig verstärken. Wie sich allein die erste — das gemeinsam genutzte Passwort — im Alltag ordnen lässt, haben wir im Beitrag zu den geteilten Passwörtern im Betrieb ausführlich beschrieben. Passkeys setzen eine Ebene darunter an und lösen die Wurzel des Problems.

  • Wiederverwendung: Dasselbe Passwort an vielen Stellen — ein einziges Datenleck öffnet damit gleich mehrere Türen
  • Übertragbarkeit: Ein Geheimnis, das man kennt, lässt sich erschleichen, abtippen oder auf einer gefälschten Seite eingeben
  • Schwäche im Bau: Was man sich merken kann, ist meist auch erratbar — was sicher ist, landet auf einem Zettel

Der zweite Faktor — ein Einmal-Code zusätzlich zum Passwort — entschärft das spürbar, beseitigt es aber nicht. Denn auch der Code ist ein Geheimnis, das man eintippt. Eine überzeugend nachgebaute Anmeldeseite kann Passwort und Code genau in dem Augenblick abfangen, in dem das Opfer sie eintippt, und beides umgehend selbst verwenden. Solange Menschen Geheimnisse eintippen, bleibt diese Lücke offen.

Der Denkfehler beim zweiten Faktor:

Viele halten Passwort plus Einmal-Code für das Maximum des Machbaren. Gegen das Erschleichen über eine gefälschte Seite hilft das nur bedingt: Wer Passwort und Code in Echtzeit auf der falschen Seite eingibt, reicht beide an den Angreifer weiter. Der Code per Kurznachricht gilt zusätzlich als schwächste Variante, weil sich Rufnummern unter Umständen umleiten lassen.

Was ein Passkey wirklich ist

Ein Passkey ist kein besseres Passwort, sondern etwas anderes: ein kryptografisches Schlüsselpaar. Bei der Einrichtung erzeugt das Gerät zwei zusammengehörige Schlüssel. Der eine ist öffentlich und wird beim Dienst hinterlegt — er darf bekannt sein und richtet in fremden Händen keinen Schaden an. Der andere ist privat, bleibt auf dem Gerät und verlässt es nie.

Das Prinzip von Schloss und Schlüssel

Man kann sich den öffentlichen Schlüssel als ein Schloss vorstellen, von dem der Dienst eine Kopie behält. Aufschließen kann es nur der passende private Schlüssel — und der liegt ausschließlich beim Nutzer. Beim Anmelden muss der private Schlüssel nie preisgegeben werden; das Gerät zeigt lediglich, dass es ihn hat, indem es eine Aufgabe des Dienstes damit signiert. Die so erzeugte Signatur lässt sich mit dem öffentlichen Schlüssel überprüfen, aber nicht rückwärts auflösen.

Wo der private Schlüssel liegt — und wie er geschützt ist

Der private Schlüssel liegt in einem besonders abgeschirmten Bereich des Geräts und gibt sich erst frei, sobald sich die Person lokal legitimiert — per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Auch diese biometrischen Merkmale bleiben auf dem Gerät; sie schalten den Schlüssel ausschließlich vor Ort frei. Es gibt also kein zentrales Geheimnis mehr, das gestohlen werden könnte — und nichts, was man versehentlich auf der falschen Seite eingeben kann.

Technisch steht hinter Passkeys kein einzelnes Produkt, sondern ein offener, herstellerübergreifender Standard, den Betriebssysteme und Browser gemeinsam tragen. Dadurch funktioniert dasselbe Verfahren über Geräte- und Plattformgrenzen hinweg, ohne dass man sich an einen einzelnen Anbieter bindet.

Warum Phishing damit ins Leere läuft

Der größte Gewinn von Passkeys ist nicht Bequemlichkeit, sondern eine Eigenschaft, die kein Passwort haben kann: Sie sind an die echte Adresse des Dienstes gebunden. Beim Einrichten merkt sich der Passkey, zu welcher Web-Adresse er gehört. Das Gerät gibt eine Unterschrift nur heraus, wenn die aufrufende Adresse exakt passt.

Damit zerbricht die gesamte Mechanik des klassischen Datendiebstahls. Eine gefälschte Seite kann noch so perfekt nachgebaut sein — sie liegt unter einer anderen Adresse, und der Passkey verweigert dort schlicht die Mitarbeit. Es gibt nichts einzutippen, nichts weiterzuleiten, kein Geheimnis, das in der Eile preisgegeben werden könnte. Der häufigste Einstieg in fremde Konten verschwindet nicht, weil die Menschen aufmerksamer werden, sondern weil die Technik den Fehler gar nicht mehr zulässt.

Das ergänzt andere Schutzmaßnahmen, die am selben Problem ansetzen — etwa die Absicherung der eigenen Absenderadresse, damit Betrüger nicht im Namen des Betriebs schreiben, beschrieben im Beitrag zu Phishing-Schutz für die Firmen-Domain. Passkeys sichern die Gegenrichtung ab: Selbst wer einer täuschend echten Mail aufsitzt und den enthaltenen Link anklickt, findet am Ziel nichts Verwertbares vor.

Praxis-Tipp:

Beginnen Sie mit dem Konto, das alle anderen schützt: dem zentralen E-Mail-Postfach. Über die „Passwort vergessen"-Funktion lässt sich fast jeder andere Zugang darüber zurücksetzen — wer das Postfach mit einem Passkey absichert, schließt damit indirekt viele weitere Türen. Richten Sie dort zusätzlich gleich einen zweiten Passkey auf einem anderen Gerät ein.

Wie sich die Anmeldung im Alltag anfühlt

So aufwendig die Technik im Hintergrund ist, so unscheinbar ist sie an der Oberfläche. Statt eine Adresse, ein Passwort und einen Code einzutippen, genügt eine Geste: der Blick in die Kamera, der Finger auf dem Sensor, die kurze Geräte-PIN. Die Anmeldung ist bereits erledigt, sobald sie nach altem Muster gerade erst losgegangen wäre.

Weniger Schritte, weniger Reibung

Der praktische Effekt ist beträchtlich. Niemand sucht mehr in Notizen nach dem richtigen Passwort, niemand wartet auf einen Code, niemand vertippt sich dreimal und landet in der Sperre. Was als Sicherheitsgewinn beginnt, entpuppt sich im Alltag als spürbare Erleichterung — und das ist wichtiger, als es klingt, denn Sicherheit, die nervt, wird umgangen.

Über mehrere Geräte hinweg

Damit der Passkey nicht an ein einzelnes Gerät gebunden bleibt, gleicht ihn das Betriebssystem über seinen verschlüsselten Schlüsselbund – oder ein Passwort-Manager mit Passkey-Unterstützung – geräteübergreifend ab. So steht derselbe Zugang am Rechner, am Tablet und am Telefon bereit, ohne dass irgendwo ein Geheimnis im Klartext liegt. Für ein neues Gerät kann ein bestehendes den Anmeldevorgang freigeben — etwa durch kurzes Bestätigen am Telefon.

Was der Umstieg im Betrieb bedeutet

Im betrieblichen Umfeld sind Passkeys kein reines Technik-, sondern ein Organisationsthema. Die gute Nachricht: Der Umstieg ist kein Großprojekt mit Stichtag, sondern ein schrittweises Ablösen, das sich gut neben dem Tagesgeschäft fahren lässt. Drei Punkte verdienen dabei besondere Aufmerksamkeit.

Persönlich statt geteilt

Ein Passkey gehört zu einer Person und ihren Geräten. Das passt nicht zu einem Login, das sich mehrere teilen — und genau deshalb passt es gut zu dem Ziel, von geteilten Zugängen wegzukommen. Wo ein Dienst persönliche Konten erlaubt, bekommt jede Person ihren eigenen Passkey, und jeder Zugriff bleibt nachvollziehbar einer Person zugeordnet.

Verwaltung über den Passwort-Manager

Ein betrieblicher Passwort-Manager bleibt auch in der Passkey-Welt das Fundament. Er verwaltet die Passkeys dort, wo sie schon möglich sind, und die verbleibenden Passwörter dort, wo ein Dienst sie noch verlangt. So entsteht ein einziger, geordneter Ort für alle Zugänge — statt einer Mischung aus Schlüsselbund, Notizen und Erinnerung.

Ein klar benannter Verantwortlicher

Wie bei jeder Zugangs-Ordnung braucht es eine Person, die den Überblick hält: Wer hat welchen Zugang, wo liegt der zweite Passkey für den Notfall, was passiert bei Ein- und Austritt. Diese Verantwortung gehört benannt, nicht stillschweigend vorausgesetzt.

Kein harter Schnitt nötig

Passkeys lassen sich bei den meisten Diensten parallel zum bestehenden Passwort einrichten. Das nimmt dem Umstieg das Risiko: Funktioniert etwas wider Erwarten nicht, bleibt der gewohnte Weg vorerst offen. Das alte Passwort wird erst entfernt, wenn der Passkey über mehrere Geräte zuverlässig läuft.

Grenzen, Geräteverlust und geteilte Zugänge

Passkeys lösen das Phishing-Problem, aber sie machen nicht alle anderen Fragen überflüssig. Drei davon sollten geklärt sein, bevor man umstellt — sonst tauscht man ein Risiko gegen ein anderes.

Der Verlust des Geräts

Wenn der Schlüssel auf dem Gerät liegt, stellt sich sofort die Frage, was bei Verlust passiert. Die Antwort liegt in zwei Vorkehrungen: der Synchronisierung über mehrere Geräte und einem bewusst hinterlegten zweiten Passkey oder Wiederherstellungs-Weg pro wichtigem Konto. Beides gehört eingerichtet, bevor es gebraucht wird — dieselbe Logik wie bei einer tragfähigen Datensicherung nach der 3-2-1-Regel: Ausgerechnet im Ernstfall die Wiederherstellung zum allerersten Mal durchzuspielen, geht selten gut.

Noch nicht überall verfügbar

Nicht jeder Dienst unterstützt Passkeys schon. Für die verbleibenden gilt der bewährte Übergangsweg: ein langes, einmaliges Passwort aus dem Manager, ergänzt um einen zweiten Faktor. Der passwortlose Zustand entsteht nicht an einem Tag, sondern wächst, je mehr Dienste nachziehen.

Geteilte Konten bleiben ein Sonderfall

Wo ein Dienst technisch nur ein einziges Konto kennt, das mehrere bedienen müssen, stoßen Passkeys an ihre Grenze — sie sind auf Personen ausgelegt. Hier bleibt der Passwort-Manager mit gezielter Freigabe der richtige Weg, bis der Dienst selbst ein Mehr-Personen-Modell anbietet.

In welcher Reihenfolge ein Betrieb umstellt

Der Umstieg gelingt am besten in derselben Logik wie jede Zugangs-Ordnung: das Wichtigste zuerst, in kleinen Schritten, ohne den Alltag zu blockieren.

  1. Postfach absichern: Das zentrale E-Mail-Konto bekommt als Erstes einen Passkey — und gleich einen zweiten auf einem anderen Gerät.
  2. Kritische Zugänge nachziehen: Banking, Buchhaltung, Website-Login und das Konto beim Domain- und Hosting-Anbieter folgen, wo immer sie Passkeys anbieten.
  3. Im Manager bündeln: Passkeys und verbleibende Passwörter wandern in einen betrieblichen Passwort-Manager als zentralen Ort.
  4. Geteilte Logins ablösen: Gemeinsame Passwörter werden durch persönliche Konten mit eigenem Passkey ersetzt, wo der Dienst es zulässt.
  5. Notfall und Routine festlegen: Zweiter Passkey und Wiederherstellungs-Weg sind dokumentiert; bei Eintritt wird eingerichtet, bei Austritt entzogen, einmal im Jahr geprüft.
Postfach mit Passkey und Zweitschlüssel

Der wichtigste Zugang ist passwortlos und gegen Geräteverlust abgesichert

Kritische Konten umgestellt

Banking, Website und Domain-Konto nutzen Passkeys, wo verfügbar

Ein Ort für alle Zugänge

Passwort-Manager verwaltet Passkeys und den schrumpfenden Passwort-Rest

Notfall-Weg dokumentiert

Zweiter Passkey und Wiederherstellung sind eingerichtet, bevor sie gebraucht werden

Die fünf häufigsten Fehler beim Umstieg

Quer durch Branchen und Betriebsgrößen wiederholen sich dieselben Stolperstellen — und fast alle lassen sich vorab vermeiden.

1
Nur ein einziger Passkey

Ohne Zweitschlüssel auf einem anderen Gerät droht der Aussperr-Fall

2
Altes Passwort bleibt offen

Wird das schwache Passwort nicht entfernt, bleibt die alte Lücke bestehen

3
Postfach zuletzt statt zuerst

Der Generalschlüssel bleibt ungeschützt, während Nebensächliches umgestellt wird

4
Kein dokumentierter Notfall-Weg

Die Wiederherstellung wird erst im Ernstfall gesucht — und nicht gefunden

5
Alles auf einmal umstellen

Der harte Schnitt überfordert; der schrittweise Weg dient Dienst für Dienst

Punkte 1 bis 3 wiegen am schwersten — sie führen zu Aussperrung oder lassen die alte Schwachstelle offen.

Häufig gestellte Fragen

Das Geheimnis abschaffen, nicht verbessern

Jahrzehntelang haben wir versucht, das Passwort zu retten — länger, komplizierter, ergänzt um einen zweiten Faktor. Passkeys gehen den anderen Weg: Sie schaffen das eingetippte Geheimnis ab, das die ganze Schwäche ausmacht. Was bleibt, ist ein Beweis ohne Preisgabe — und damit eine Anmeldung, die zugleich sicherer und einfacher ist.

Der Umstieg verlangt keinen Stichtag und keine große Umstellung, sondern Reihenfolge: das Postfach zuerst, dann die kritischen Konten, alles im Passwort-Manager gebündelt, mit einem geregelten Weg für den Notfall. Wer so vorgeht, gewinnt Sicherheit, die im Hintergrund läuft und im Alltag nicht im Weg steht — genau das, was eine gute Absicherung ausmacht.

ÜBER DIE AUTORIN
Dagmar Seebo, CEO von ProXWorks®Dagmar Seebo

Dagmar Seebo, B.A., ist seit 1999 im E-Commerce tätig. Als CEO von ProXWorks® verbindet sie über 27 Jahre Marketing-Erfahrung mit digitalem Know-how.

Die Inhalte entstehen unter redaktioneller Verantwortung und fachlicher Prüfung unter Einsatz moderner KI-gestützter Systeme.

Antwort in 1 Werktag

Wir sichten in 1 Werktag, welche Ihrer wichtigsten Zugänge sich schon heute auf passwortlose Anmeldung umstellen lassen und in welcher Reihenfolge Sie vorgehen sollten.

Passkey-Umstieg prüfen
ProXWorks® KI-News

Künstliche Intelligenz, die im Betrieb ankommt.

Jede Woche ein Fachbeitrag mit konkreten Anwendungen für kleine und mittlere Unternehmen. Jederzeit abbestellbar.

Zu den KI-News