Alternative zum Passwort

Passkeys sind kein neues Zugriffskonzept, dennoch bieten sie einen entscheidenden Vorteil: Sie erlauben den Zugang zu Systemen ganz ohne Passworteingabe. Alexander Karls, Senior IT Consultant bei der Pegasus GmbH aus Regenstauf, beschreibt das Verfahren: „Mittlerweile bieten so ziemlich alle Hersteller eine Lösung an, um Passkeys umzusetzen. Man muss aber unterscheiden, ob der Schlüssel nur auf eigener Hardware existiert oder ob es eine Möglichkeit gibt, den Schlüssel in der Cloud des jeweiligen Anbieters zu speichern.

Sobald es um Unternehmensdaten geht, würde ich keinem Cloud Anbieter wirklich vertrauen. Besser geeignet sind hier entweder Hardwareschlüssel, zum Beispiel ein Yubikey, oder hardwaregebundene Zertifikate wie bei Windows Hello for Business.“ Dadurch ergeben sich jedoch neue Herausforderungen:

Hardware-Dongle können verloren gehen und hinter Windows Hello steckt Biometrie. Dazu weiß Christian Volkmer, IT-Security-Spezialist und Inhaber der Regensburger P29 Group: „Unternehmen müssen sicherstellen, dass die Nutzung von Passkeys den geltenden rechtlichen und regulatorischen Standards entspricht.“

Ein zentraler Punkt sei Transparenz. „Mitarbeitende müssen verständlich über Funktionsweise und Vorteile der neuen Authentifizierungsmethode informiert werden. Falls biometrische Daten verarbeitet werden, ist eine Datenschutz-Folgenabschätzung erforderlich.“ Diese Analyse identifiziere Risiken und dokumentiere Maßnahmen zu deren Minimierung. Darüber hinaus müssten interne Prozesse und Dokumentationen angepasst werden. „Das Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO ist zu aktualisieren, um die neuen Verfahren korrekt abzubilden. Sicherheitskonzepte sollten regelmäßig überprüft und durch internationale Standards wie ISO 27001 ergänzt werden“, beschreibt Volkmer die Anforderungen des Datenschutzes und der Informationssicherheit.

Aber wie funktionieren Passkeys genau? Ein Blick zurück: In der Zeit, bevor jedes Gerät vernetzt war, gab es in der Regel nur ein Verfahren, das nach und nach erweitert und sicherer gemacht wurde. Das System verlangte die Eingabe des Benutzernamens und Passworts. Vielfach ist das noch immer Standard. Vor 20 Jahren nahm man aber an, dass ein System mit achtstelligen Passwörtern sinnvoll geschützt ist. Eine permanent steigende Rechnerleistung und ausgeklügelte Angriffsverfahren sorgten dafür, dass Angreifer mittels Durchspielens aller Möglichkeiten schnell Zugriff auf einen Account erlangten. Immer längere Passwörter waren die Antwort – und sorgten für immer mehr Frust bei den Nutzern.

Alexander Karls beschreibt, wie hingegen Passkeys funktionieren: „Vereinfacht gesagt, besteht die Kombination häufig aus einem privaten und einem öffentlichen Schlüsselpaar. Daten können mit dem privaten Schlüssel signiert und mit dem öffentlichen Schlüssel verifiziert werden. Dadurch, dass ein Hardwarebezug in der Authentifizierungskette eine Rolle spielt, beziehungsweise bei der Microsoft-365-Anmeldung die Bindung des Schlüssels an eine feste Identität, nämlich die Websites von Microsoft, gekoppelt wird, besteht hier kein Risiko für Man-in-the-Middle-Angriffe.“ Der Clou dabei: „Selbst wenn man meinen privaten Schlüssel kopieren würde, fehlt immer noch die exakte Zuordnung zur verwendeten Hardware, mit welcher ursprünglich die Verbindung abgesichert und registriert wurde.“

Neues Verfahren, neuer Stress? Nein. Passkeys lassen sich relativ einfach in die Infrastruktur integrieren. „Man muss sich lediglich die geeignete Hardware besorgen. Ein Hardware-Schlüssel, mit dem man die meisten Dinge bereits absichern kann, kostet zwischen 40 und 60 Euro“, erläutert Alexander Karls. „Aufwendig wird das Ganze nur, wenn man versucht, alles von Hand zu konfigurieren. Hier wäre es besser, mit einer zentralen Lösung zu arbeiten und die Schlüssel entweder über eine eigene Public-Key-Infrastructure (PKI) zu verteilen oder sie über eine Verwaltungsoberfläche wie Microsoft Intune an die Endgeräte auszuliefern.“

Christian Volkmer betont den generellen Nutzen der Standards und Technologie: „Passkeys bieten KMU zahlreiche Vorteile, die über die reine Sicherheit hinausgehen. Sie eliminieren Sicherheitsrisiken wie Phishing und Datenbank-Leaks, da keine zentral gespeicherten Zugangsdaten existieren, die kompromittiert werden könnten. Dies stärkt die IT-Sicherheit erheblich und reduziert potenzielle haftungsrechtliche Risiken. Zudem verringert sich der Aufwand für IT-Support, da vergessene Passwörter und damit verbundene Rücksetzungen entfallen.“ Außerdem punkte die Lösung durch ihre Benutzerfreundlichkeit: „Passkeys ermöglichen eine schnelle und intuitive Authentifizierung, die besonders in mobilen und hybriden Arbeitsumgebungen Vorteile bietet. Mitarbeitende können sich sicher und komfortabel über biometrische Merkmale anmelden, ohne sich komplizierte Passwörter merken zu müssen. Für KMU, die häufig mit begrenzten Ressourcen arbeiten, bietet dies eine erhebliche Entlastung.“

Volkmer berichtet jedoch auch über Hürden: „Die Integration in bestehende Systeme kann ressourcenintensiv sein. Ältere oder speziell angepasste Software erfordert Anpassungen. Hinzu kommen die Kosten für die Anschaffung neuer Hardware und die Schulung der Mitarbeitenden.“ Es gebe zudem Vorbehalte gegenüber der Verwendung biometrischer Daten. Unternehmen sollten daher großen Wert auf eine transparente Kommunikation legen und die Belegschaft frühzeitig einbinden. Ein weiteres Risiko kann die Abhängigkeit von großen Technologieanbietern sein. „Deren Plattformen beeinflussen die Nutzung von Passkeys maßgeblich“, meint Volkmer und empfiehlt: „Unternehmen sollten sicherstellen, dass die Lösungen langfristig tragfähig und plattformübergreifend einsetzbar sind.“

(Autor: Dr. Christian Götz)