Das Ende des Passworts:
wie die Anmeldung mit Passkeys funktioniert
Jahrzehntelang war das Passwort der Schlüssel zu allem — und zugleich die Stelle, an der die meisten Einbrüche beginnen. Passkeys schaffen das Geheimnis ab, das man eintippt: nichts mehr zum Erraten, nichts zum Abfischen.
Das Passwort ist die älteste Idee der digitalen Sicherheit und ihre schwächste: ein Geheimnis, das man sich merken, eintippen und im Zweifel auch verraten kann. Wir verlangen davon, dass es lang, einmalig und für jeden Dienst verschieden ist — und wundern uns, dass am Ende doch überall dasselbe steht oder auf einem Zettel klebt.
Passkeys drehen das Prinzip um. Anstatt ein gemeinsames Geheimnis auszutauschen, das beide Parteien kennen müssen, weist sich das Gerät mit einem Schlüssel aus, der es niemals verlässt. Das klingt nach einer technischen Feinheit, ist aber ein grundlegender Wechsel: Eine ganze Klasse von Angriffen — das Erschleichen von Zugangsdaten — verliert damit ihre Grundlage. Dieser Beitrag erklärt, was dahintersteckt, warum es funktioniert und wie ein Betrieb den Umstieg ordnet, ohne das Passwort über Nacht abzuschalten.
Wie eine passwortlose Anmeldung abläuft
Vier Schritte, bei denen kein Geheimnis das Gerät verlässt
Der entscheidende Unterschied steckt in Schritt 3: Das Gerät beweist etwas, ohne etwas preiszugeben
Warum das Passwort die schwache Stelle ist
Ein Passwort funktioniert nach einem einfachen Prinzip: Zwei Seiten kennen dasselbe Geheimnis, und wer es nennt, gilt als berechtigt. Genau darin liegt der Konstruktionsfehler. Ein Geheimnis, das man kennt, kann man weitergeben, wiederverwenden, erraten lassen oder auf der falschen Seite eintippen — und es gibt keinen technischen Mechanismus, der das verhindert.
In der Praxis bündeln sich daraus drei Schwächen, die sich gegenseitig verstärken. Wie sich allein die erste — das gemeinsam genutzte Passwort — im Alltag ordnen lässt, haben wir im Beitrag zu den geteilten Passwörtern im Betrieb ausführlich beschrieben. Passkeys setzen eine Ebene darunter an und lösen die Wurzel des Problems.
- Wiederverwendung: Dasselbe Passwort an vielen Stellen — ein einziges Datenleck öffnet damit gleich mehrere Türen
- Übertragbarkeit: Ein Geheimnis, das man kennt, lässt sich erschleichen, abtippen oder auf einer gefälschten Seite eingeben
- Schwäche im Bau: Was man sich merken kann, ist meist auch erratbar — was sicher ist, landet auf einem Zettel
Der zweite Faktor — ein Einmal-Code zusätzlich zum Passwort — entschärft das spürbar, beseitigt es aber nicht. Denn auch der Code ist ein Geheimnis, das man eintippt. Eine überzeugend nachgebaute Anmeldeseite kann Passwort und Code genau in dem Augenblick abfangen, in dem das Opfer sie eintippt, und beides umgehend selbst verwenden. Solange Menschen Geheimnisse eintippen, bleibt diese Lücke offen.
Viele halten Passwort plus Einmal-Code für das Maximum des Machbaren. Gegen das Erschleichen über eine gefälschte Seite hilft das nur bedingt: Wer Passwort und Code in Echtzeit auf der falschen Seite eingibt, reicht beide an den Angreifer weiter. Der Code per Kurznachricht gilt zusätzlich als schwächste Variante, weil sich Rufnummern unter Umständen umleiten lassen.
Was ein Passkey wirklich ist
Ein Passkey ist kein besseres Passwort, sondern etwas anderes: ein kryptografisches Schlüsselpaar. Bei der Einrichtung erzeugt das Gerät zwei zusammengehörige Schlüssel. Der eine ist öffentlich und wird beim Dienst hinterlegt — er darf bekannt sein und richtet in fremden Händen keinen Schaden an. Der andere ist privat, bleibt auf dem Gerät und verlässt es nie.
Das Prinzip von Schloss und Schlüssel
Man kann sich den öffentlichen Schlüssel als ein Schloss vorstellen, von dem der Dienst eine Kopie behält. Aufschließen kann es nur der passende private Schlüssel — und der liegt ausschließlich beim Nutzer. Beim Anmelden muss der private Schlüssel nie preisgegeben werden; das Gerät zeigt lediglich, dass es ihn hat, indem es eine Aufgabe des Dienstes damit signiert. Die so erzeugte Signatur lässt sich mit dem öffentlichen Schlüssel überprüfen, aber nicht rückwärts auflösen.
Wo der private Schlüssel liegt — und wie er geschützt ist
Der private Schlüssel liegt in einem besonders abgeschirmten Bereich des Geräts und gibt sich erst frei, sobald sich die Person lokal legitimiert — per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Auch diese biometrischen Merkmale bleiben auf dem Gerät; sie schalten den Schlüssel ausschließlich vor Ort frei. Es gibt also kein zentrales Geheimnis mehr, das gestohlen werden könnte — und nichts, was man versehentlich auf der falschen Seite eingeben kann.
Technisch steht hinter Passkeys kein einzelnes Produkt, sondern ein offener, herstellerübergreifender Standard, den Betriebssysteme und Browser gemeinsam tragen. Dadurch funktioniert dasselbe Verfahren über Geräte- und Plattformgrenzen hinweg, ohne dass man sich an einen einzelnen Anbieter bindet.
Warum Phishing damit ins Leere läuft
Der größte Gewinn von Passkeys ist nicht Bequemlichkeit, sondern eine Eigenschaft, die kein Passwort haben kann: Sie sind an die echte Adresse des Dienstes gebunden. Beim Einrichten merkt sich der Passkey, zu welcher Web-Adresse er gehört. Das Gerät gibt eine Unterschrift nur heraus, wenn die aufrufende Adresse exakt passt.
Damit zerbricht die gesamte Mechanik des klassischen Datendiebstahls. Eine gefälschte Seite kann noch so perfekt nachgebaut sein — sie liegt unter einer anderen Adresse, und der Passkey verweigert dort schlicht die Mitarbeit. Es gibt nichts einzutippen, nichts weiterzuleiten, kein Geheimnis, das in der Eile preisgegeben werden könnte. Der häufigste Einstieg in fremde Konten verschwindet nicht, weil die Menschen aufmerksamer werden, sondern weil die Technik den Fehler gar nicht mehr zulässt.
Das ergänzt andere Schutzmaßnahmen, die am selben Problem ansetzen — etwa die Absicherung der eigenen Absenderadresse, damit Betrüger nicht im Namen des Betriebs schreiben, beschrieben im Beitrag zu Phishing-Schutz für die Firmen-Domain. Passkeys sichern die Gegenrichtung ab: Selbst wer einer täuschend echten Mail aufsitzt und den enthaltenen Link anklickt, findet am Ziel nichts Verwertbares vor.
Beginnen Sie mit dem Konto, das alle anderen schützt: dem zentralen E-Mail-Postfach. Über die „Passwort vergessen"-Funktion lässt sich fast jeder andere Zugang darüber zurücksetzen — wer das Postfach mit einem Passkey absichert, schließt damit indirekt viele weitere Türen. Richten Sie dort zusätzlich gleich einen zweiten Passkey auf einem anderen Gerät ein.
Wie sich die Anmeldung im Alltag anfühlt
So aufwendig die Technik im Hintergrund ist, so unscheinbar ist sie an der Oberfläche. Statt eine Adresse, ein Passwort und einen Code einzutippen, genügt eine Geste: der Blick in die Kamera, der Finger auf dem Sensor, die kurze Geräte-PIN. Die Anmeldung ist bereits erledigt, sobald sie nach altem Muster gerade erst losgegangen wäre.
Weniger Schritte, weniger Reibung
Der praktische Effekt ist beträchtlich. Niemand sucht mehr in Notizen nach dem richtigen Passwort, niemand wartet auf einen Code, niemand vertippt sich dreimal und landet in der Sperre. Was als Sicherheitsgewinn beginnt, entpuppt sich im Alltag als spürbare Erleichterung — und das ist wichtiger, als es klingt, denn Sicherheit, die nervt, wird umgangen.
Über mehrere Geräte hinweg
Damit der Passkey nicht an ein einzelnes Gerät gebunden bleibt, gleicht ihn das Betriebssystem über seinen verschlüsselten Schlüsselbund – oder ein Passwort-Manager mit Passkey-Unterstützung – geräteübergreifend ab. So steht derselbe Zugang am Rechner, am Tablet und am Telefon bereit, ohne dass irgendwo ein Geheimnis im Klartext liegt. Für ein neues Gerät kann ein bestehendes den Anmeldevorgang freigeben — etwa durch kurzes Bestätigen am Telefon.
Was der Umstieg im Betrieb bedeutet
Im betrieblichen Umfeld sind Passkeys kein reines Technik-, sondern ein Organisationsthema. Die gute Nachricht: Der Umstieg ist kein Großprojekt mit Stichtag, sondern ein schrittweises Ablösen, das sich gut neben dem Tagesgeschäft fahren lässt. Drei Punkte verdienen dabei besondere Aufmerksamkeit.
Persönlich statt geteilt
Ein Passkey gehört zu einer Person und ihren Geräten. Das passt nicht zu einem Login, das sich mehrere teilen — und genau deshalb passt es gut zu dem Ziel, von geteilten Zugängen wegzukommen. Wo ein Dienst persönliche Konten erlaubt, bekommt jede Person ihren eigenen Passkey, und jeder Zugriff bleibt nachvollziehbar einer Person zugeordnet.
Verwaltung über den Passwort-Manager
Ein betrieblicher Passwort-Manager bleibt auch in der Passkey-Welt das Fundament. Er verwaltet die Passkeys dort, wo sie schon möglich sind, und die verbleibenden Passwörter dort, wo ein Dienst sie noch verlangt. So entsteht ein einziger, geordneter Ort für alle Zugänge — statt einer Mischung aus Schlüsselbund, Notizen und Erinnerung.
Ein klar benannter Verantwortlicher
Wie bei jeder Zugangs-Ordnung braucht es eine Person, die den Überblick hält: Wer hat welchen Zugang, wo liegt der zweite Passkey für den Notfall, was passiert bei Ein- und Austritt. Diese Verantwortung gehört benannt, nicht stillschweigend vorausgesetzt.
Passkeys lassen sich bei den meisten Diensten parallel zum bestehenden Passwort einrichten. Das nimmt dem Umstieg das Risiko: Funktioniert etwas wider Erwarten nicht, bleibt der gewohnte Weg vorerst offen. Das alte Passwort wird erst entfernt, wenn der Passkey über mehrere Geräte zuverlässig läuft.
Grenzen, Geräteverlust und geteilte Zugänge
Passkeys lösen das Phishing-Problem, aber sie machen nicht alle anderen Fragen überflüssig. Drei davon sollten geklärt sein, bevor man umstellt — sonst tauscht man ein Risiko gegen ein anderes.
Der Verlust des Geräts
Wenn der Schlüssel auf dem Gerät liegt, stellt sich sofort die Frage, was bei Verlust passiert. Die Antwort liegt in zwei Vorkehrungen: der Synchronisierung über mehrere Geräte und einem bewusst hinterlegten zweiten Passkey oder Wiederherstellungs-Weg pro wichtigem Konto. Beides gehört eingerichtet, bevor es gebraucht wird — dieselbe Logik wie bei einer tragfähigen Datensicherung nach der 3-2-1-Regel: Ausgerechnet im Ernstfall die Wiederherstellung zum allerersten Mal durchzuspielen, geht selten gut.
Noch nicht überall verfügbar
Nicht jeder Dienst unterstützt Passkeys schon. Für die verbleibenden gilt der bewährte Übergangsweg: ein langes, einmaliges Passwort aus dem Manager, ergänzt um einen zweiten Faktor. Der passwortlose Zustand entsteht nicht an einem Tag, sondern wächst, je mehr Dienste nachziehen.
Geteilte Konten bleiben ein Sonderfall
Wo ein Dienst technisch nur ein einziges Konto kennt, das mehrere bedienen müssen, stoßen Passkeys an ihre Grenze — sie sind auf Personen ausgelegt. Hier bleibt der Passwort-Manager mit gezielter Freigabe der richtige Weg, bis der Dienst selbst ein Mehr-Personen-Modell anbietet.
In welcher Reihenfolge ein Betrieb umstellt
Der Umstieg gelingt am besten in derselben Logik wie jede Zugangs-Ordnung: das Wichtigste zuerst, in kleinen Schritten, ohne den Alltag zu blockieren.
- Postfach absichern: Das zentrale E-Mail-Konto bekommt als Erstes einen Passkey — und gleich einen zweiten auf einem anderen Gerät.
- Kritische Zugänge nachziehen: Banking, Buchhaltung, Website-Login und das Konto beim Domain- und Hosting-Anbieter folgen, wo immer sie Passkeys anbieten.
- Im Manager bündeln: Passkeys und verbleibende Passwörter wandern in einen betrieblichen Passwort-Manager als zentralen Ort.
- Geteilte Logins ablösen: Gemeinsame Passwörter werden durch persönliche Konten mit eigenem Passkey ersetzt, wo der Dienst es zulässt.
- Notfall und Routine festlegen: Zweiter Passkey und Wiederherstellungs-Weg sind dokumentiert; bei Eintritt wird eingerichtet, bei Austritt entzogen, einmal im Jahr geprüft.
Der wichtigste Zugang ist passwortlos und gegen Geräteverlust abgesichert
Banking, Website und Domain-Konto nutzen Passkeys, wo verfügbar
Passwort-Manager verwaltet Passkeys und den schrumpfenden Passwort-Rest
Zweiter Passkey und Wiederherstellung sind eingerichtet, bevor sie gebraucht werden
Die fünf häufigsten Fehler beim Umstieg
Quer durch Branchen und Betriebsgrößen wiederholen sich dieselben Stolperstellen — und fast alle lassen sich vorab vermeiden.
Ohne Zweitschlüssel auf einem anderen Gerät droht der Aussperr-Fall
Wird das schwache Passwort nicht entfernt, bleibt die alte Lücke bestehen
Der Generalschlüssel bleibt ungeschützt, während Nebensächliches umgestellt wird
Die Wiederherstellung wird erst im Ernstfall gesucht — und nicht gefunden
Der harte Schnitt überfordert; der schrittweise Weg dient Dienst für Dienst
Punkte 1 bis 3 wiegen am schwersten — sie führen zu Aussperrung oder lassen die alte Schwachstelle offen.
Häufig gestellte Fragen
Ja, und der Unterschied ist grundsätzlicher Natur. Ein Passwort ist ein Geheimnis, das eingetippt, übertragen und damit abgefangen oder erschlichen werden kann — auch ein zweiter Faktor per Einmal-Code lässt sich auf einer überzeugend gefälschten Seite mitabgreifen. Ein Passkey überträgt nie ein Geheimnis: Der private Schlüssel verlässt das Gerät nicht, und die Anmeldung ist fest an die echte Adresse des Dienstes gebunden. Eine nachgebaute Seite bekommt deshalb nichts Verwertbares, selbst wenn sie täuschend echt aussieht. Damit fällt die häufigste Angriffsform — das Abfischen von Zugangsdaten — technisch weg, statt nur erschwert zu werden.
Für genau diesen Fall gibt es zwei eingebaute Wege. Erstens wird ein Passkey in der Regel über den verschlüsselten Schlüsselbund des Betriebssystems oder einen Passwort-Manager mit Passkey-Funktion über mehrere Geräte synchronisiert — geht ein Gerät verloren, steht der Passkey auf dem nächsten weiterhin bereit. Zweitens sollte bei jedem wichtigen Konto ein zweiter Passkey auf einem anderen Gerät oder ein Wiederherstellungs-Weg hinterlegt sein. Entscheidend ist, diesen Ersatz vorher einzurichten, nicht im Ernstfall zu improvisieren — sonst tauscht man das Phishing-Risiko gegen ein Aussperr-Risiko.
Noch nicht überall, aber bei einem stetig wachsenden Teil der wichtigen Geschäfts-Zugänge: E-Mail-Postfächer, viele Online-Konten, Verwaltungsoberflächen und Geschäftsanwendungen unterstützen Passkeys bereits. Wo der Dienst sie anbietet, lassen sie sich meist parallel zum bestehenden Passwort einrichten, sodass kein harter Schnitt nötig ist. Wo ein Dienst sie noch nicht kennt, bleibt ein langes, einmaliges Passwort aus dem Passwort-Manager kombiniert mit einem zweiten Faktor der richtige Übergangsweg. Der Umstieg verläuft deshalb Dienst für Dienst, nicht über Nacht.
Mittelfristig läuft es darauf hinaus, kurzfristig nicht vollständig. Solange einzelne Dienste keine Passkeys unterstützen, bleibt für diese ein Passwort nötig — gehört dann aber in einen Passwort-Manager und nicht in eine geteilte Notiz. Auch das Gerät selbst und der Passwort-Manager brauchen weiterhin einen starken Zugangsschutz. Der realistische Zielzustand ist deshalb: Passkeys überall dort, wo es sie gibt, und gut verwaltete Passwörter nur noch als schrumpfender Rest für den Übergang.
Passkeys sind an einzelne Personen und deren Geräte gebunden — das passt schlecht zu einem Login, das sich mehrere teilen, und gut zu dem Ziel, geteilte Zugänge ohnehin abzulösen. Wo ein Dienst persönliche Konten erlaubt, bekommt jede Person einen eigenen Passkey, und der Zugang bleibt nachvollziehbar einer Person zugeordnet. Wo ein Dienst nur ein einziges Konto kennt, ist der richtige Ort weiterhin der Passwort-Manager mit gezielter Freigabe. Passkeys verstärken damit genau die Bewegung weg vom gemeinsamen Passwort hin zu klar zugeordneten Zugängen.
Das Geheimnis abschaffen, nicht verbessern
Jahrzehntelang haben wir versucht, das Passwort zu retten — länger, komplizierter, ergänzt um einen zweiten Faktor. Passkeys gehen den anderen Weg: Sie schaffen das eingetippte Geheimnis ab, das die ganze Schwäche ausmacht. Was bleibt, ist ein Beweis ohne Preisgabe — und damit eine Anmeldung, die zugleich sicherer und einfacher ist.
Der Umstieg verlangt keinen Stichtag und keine große Umstellung, sondern Reihenfolge: das Postfach zuerst, dann die kritischen Konten, alles im Passwort-Manager gebündelt, mit einem geregelten Weg für den Notfall. Wer so vorgeht, gewinnt Sicherheit, die im Hintergrund läuft und im Alltag nicht im Weg steht — genau das, was eine gute Absicherung ausmacht.
Wir sichten in 1 Werktag, welche Ihrer wichtigsten Zugänge sich schon heute auf passwortlose Anmeldung umstellen lassen und in welcher Reihenfolge Sie vorgehen sollten.
Künstliche Intelligenz, die im Betrieb ankommt.
Jede Woche ein Fachbeitrag mit konkreten Anwendungen für kleine und mittlere Unternehmen. Jederzeit abbestellbar.
Zu den KI-News