Das Passwort ist ein erstaunlich zähes Konstrukt. Seit den 1960ern schützt es digitale Konten – meistens schlecht, fast immer lästig. Jetzt gibt es einen Nachfolger: Er heißt Passkey und er funktioniert grundlegend anders.
Ein Schlüssel, der nicht verloren gehen kann
Man stelle sich vor, jeden Morgen das Büro zu betreten – ohne Schlüssel, ohne Code, ohne das zerknitterte Post-it mit dem Zahlenwirrwarr. Die Tür kennt die Person einfach. Sie öffnet sich. Klingt nach Science-Fiction. Ist aber heute schon Realität.
Ein Passkey ist technisch gesehen ein kryptographisches Schlüsselpaar – ein öffentlicher und ein privater Schlüssel, die das Gerät beim Einrichten eines Accounts automatisch erzeugt. Der öffentliche Schlüssel geht an den Anbieter: Google, die eigene Bank, ein Onlineshop. Der private bleibt auf dem Gerät – verschlüsselt, gesperrt, unverrückbar. Unter normalen Umständen verlässt er das Gerät nicht, bei Cloud-Synchronisierung wird er verschlüsselt übertragen, bleibt aber für Dritte unlesbar.
Entwickelt wurde der Standard von der FIDO Alliance – einem Industrie-Konsortium, dem Apple, Google, Microsoft und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2015 als Mitglieder angehören. Das technische Ergebnis heißt FIDO2 bzw. WebAuthn, ist seit 2019 offiziell als Web-Standard verankert und wurde 2022 von den drei großen Plattformanbietern als synchronisierbares System ausgerollt. Kein Plugin, keine Drittanbieter-App.
Was passiert bei der Anmeldung?
Der Anbieter schickt dem Gerät beim Login eine zufällige Rechenaufgabe – eine sogenannte Challenge. Nur der private Schlüssel kann sie lösen. Bevor das passiert, will das Gerät wissen, dass es die berechtigte Person ist: Fingerabdruck, Gesichtsscan, PIN oder Hardwaretoken.
Klingt aufwendig. Dauert aber zwei Sekunden.
Was in diesem Moment nicht passiert: Kein Passwort wandert irgendwo hin. Kein Geheimnis wird übertragen. Der private Schlüssel bleibt, wo er hingehört. Genau da liegt der Unterschied – Passkeys sind nicht nur bequemer, sie sind strukturell sicherer.
Warum das mehr als nur Bequemlichkeit ist
Drei Dinge machen Passkeys einem Passwort überlegen – unabhängig davon, wie lang oder komplex das Passwort wäre.
Beim klassischen Login wird das Geheimnis durchs Netz geschickt. Der Passkey tut das nie. Was das Gerät nicht verlässt, kann auch nicht gestohlen werden – so simpel ist das.
Phishing funktioniert, weil Menschen auf Fake-Seiten ihr Passwort eintippen. Ein Passkey ist an die exakte Domain gebunden. Eine täuschend echte Kopie von „p4ypal.com“? Der Passkey verweigert dort einfach den Dienst. Er erkennt den Betrug, selbst wenn die betroffene Person es nicht tut.
Und dann ist da noch das Wiederverwendungsproblem. Wer dasselbe Passwort auf mehreren Seiten nutzt – und das sind viele –, riskiert bei einem einzigen Datenleck alles. Passkeys werden pro Dienst automatisch neu generiert. Ein Leck bei Dienst A tangiert Dienst B überhaupt nicht.
Passkeys vs. Passwörter – ein ehrlicher Vergleich
„123456“ ist seit Jahren das weltweit meistgenutzte Passwort. Das sagt eigentlich alles. Wer sich ein sicheres Passwort ausdenkt, hat gute Chancen, es zu vergessen – es sei denn, er nutzt einen Passwortmanager. Das BSI empfiehlt genau das. Wer es aufschreibt, riskiert, dass es jemand findet. Wer es im Browser speichert, vertraut Servern, die Angreifer angreifen können.
Passkeys umgehen das alles – nicht durch strengere Regeln, sondern weil das Problem dadurch aufhört zu existieren.
Strukturell gewinnt der Passkey klar. Aber Technologie allein reicht nicht. Das Passwort stirbt nicht, weil etwas Besseres existiert – es stirbt erst, wenn die Gewohnheit kippt. Und das dauert.
Kein System ohne Schwachstellen
Wer behauptet, Passkeys seien unfehlbar, lügt. Ein paar Dinge bleiben problematisch. Das Naheliegendste zuerst: Wer ein entsperrtes Gerät in den Händen hält, kommt rein. Passkeys schützen gut gegen digitale Angriffe – gegen jemanden, der physisch danebensteht, schützen sie nicht besser als ein Passwort. Die Bedrohung verlagert sich, sie verschwindet nicht.
Dann ist da die Cloud-Abhängigkeit. Passkeys werden über iCloud, den Google Passwort-Manager oder – seit Ende 2025 auch – Microsoft Edge synchronisiert: Mit Edge ab Version 142 hat Microsoft nachgezogen und bietet Cloud-Sync über das Microsoft-Konto an, wie Apple und Google es bereits seit 2022 tun. Praktisch, aber nicht risikofrei. Wer ein Cloud-Konto übernimmt, könnte theoretisch auch an die dort gesicherten Passkeys kommen. Das System ist also nur so stark wie der Cloud-Zugang, der es schützt.
Was aber wirklich oft übersehen wird: Viele Dienste bieten Passkeys an, lassen das Passwort aber als Fallback stehen. Angreifer nehmen dann einfach den schwächeren Weg. Solange der noch offen ist, hat sich an der Angriffsfläche wenig geändert.
Der Weg dorthin ist holprig – und das ist normal
Passkeys funktionieren. Die Technologie ist fertig. Die Herausforderungen liegen woanders.
Plattformen reden noch nicht richtig miteinander. Ein Passkey, der auf dem iPhone erstellt wurde, landet in iCloud – wer zu Android wechselt, muss ihn dort neu anlegen, es sei denn, er nutzt einen plattformübergreifenden Passwortmanager. Das wird besser, ist aber noch nicht vollständig gelöst.
Viele kleinere Anbieter fehlen komplett. Google und Apple sind dabei, klar. Aber die Mehrzahl der Websites, Unternehmensportale und gewachsenen Altsysteme unterstützt Passkeys nicht. Migration ist teuer, aufwendig und dauert.
Nutzerinnen und Nutzer müssen mitgenommen werden – das klingt banal, ist aber der häufigste Grund, warum Sicherheitstechnologien scheitern. Wer nicht versteht, was ein Passkey ist, wird ihn nicht nutzen. Wer die Technologie einführt, ohne zu erklären, verliert das Vertrauen noch bevor es gewonnen werden konnte.
Und Unternehmen? Die haben Systeme, die über Jahre geflickt und erweitert wurden. Passkeys einzubauen ist kein Schalter, den man umlegt – das ist ein Projekt mit Budget und Zeitplan.
Eines sollte dabei nicht vergessen werden: Passkeys sind eine Multi-Faktor-Authentifizierungs(MFA)-Methode unter vielen – neben Authenticator-Apps, SMS-Codes oder Hardware-Tokens. Für Unternehmen stellt sich also nicht nur die Frage, ob Passkeys eingeführt werden, sondern auch: Welche Methode passt zu welchem Anwendungsfall? Für viele Unternehmen ist der Einstieg über bestehende Infrastruktur wie Microsoft Entra ID, besonders naheliegend – Microsoft ermöglicht dort Passkeys (FIDO2) als vollwertige, phishing-resistente MFA-Methode.
Ein zusätzlicher Anlass, sich ausgiebig damit zu beschäftigen, ist die NIS-2-Richtlinie: Das NIS-2-Umsetzungsgesetz, das am 6. Dezember 2025 in Deutschland in Kraft getreten ist, verpflichtet rund 30.000 wichtige und besonders wichtige Einrichtungen explizit zur Einführung von MFA (§ 30 Abs. 2 BSIG). Passkeys werden selbst zwar nicht namentlich erwähnt, gelten aber als starke, phishing-resistente MFA-Methode, die diese Anforderungen erfüllen kann. Für NIS-2-betroffene Unternehmen, die ohnehin MFA einführen oder modernisieren müssen, ist ein Passkey-Konzept also kein Luxus – sondern ein strategisch sinnvoller Schritt.
Lohnt sich der Umstieg?
Ja. Ohne Wenn und Aber. Sobald ein regelmäßig genutzter Dienst Passkeys anbietet, lohnt sich der Wechsel. Zeit wird gespart, Frustration sinkt, und eine Sicherheitslücke wird geschlossen – ohne dafür irgendetwas tippen zu müssen. Besonders bei E-Mail, Banking und Cloud-Speicher lohnt es sich: genau dort, wo ein gestohlenes Passwort den größten Schaden anrichten kann.
Einen vollständigen Umstieg auf einmal braucht es nicht. Ein einziger Dienst als Einstieg reicht – das Google-Konto, die Apple ID, was auch immer naheliegt. Erfahrungen sammeln reicht für den Anfang.
Zwei Fragen sollten vorher geklärt werden: Steht nur ein einziges Gerät zur Verfügung? Dann sollte sofort ein Backup-Weg eingerichtet werden – ein zweites Gerät, ein Sicherheitsschlüssel oder die Wiederherstellungsoptionen des Cloud-Kontos. Werden Accounts mit anderen geteilt, etwa im Unternehmen? Passkeys sind für geteilte Zugänge nicht gebaut. Da braucht es andere Lösungen.
Das Risiko, nichts zu tun, ist inzwischen größer als das Risiko, etwas auszuprobieren. Jedes schwache Passwort, das heute noch aktiv ist, ist eine offene Tür. Ein Passkey schließt sie – ganz ohne Schlüsselsuche. Welche Dienste bereits mitmachen, zeigt passkeys.directory.