Zum Inhalt springen

Passkeys in Unternehmen: Phishing-Schutz scheitert an Legacy-Systemen und Recovery-Risiken

Auf den Punkt: Passkeys erfordern in Großkonzernen komplexe Verbundarchitekturen und cloudbasierte Identitätsdienste, während das Fehlen von Geräten zu sofortigen Zugriffssperrungen führt.

FIDO2-basierte Passkeys bieten starken Schutz vor Phishing-Angriffen, stoßen in etablierten Unternehmensumgebungen aber auf erhebliche Integrationshürden. Besonders die fehlende Unterstützung durch Legacy-Systeme und das Risiko von Kontensperrungen bei Geräteverlust erschweren eine unternehmensweite Migration.

Passkeys basieren auf asymmetrischer Kryptografie: Der private Schlüssel wird beim Registrieren lokal auf dem Endgerät im Trusted Platform Module oder einer Secure Enclave generiert und verbleibt dort unwiederbringlich. Nur der öffentliche Schlüssel wird an den Identitätsdienst übermittelt. Beim Anmelden signiert das Gerät eine Server-Herausforderung nach biometrischer oder PIN-Verifizierung. Das WebAuthn-Protokoll bindet diese Authentifizierung durch Origin Binding fest an die spezifische Domain – Phishing über gefälschte Anmeldeseiten wird dadurch technologisch ausgehebelt, da die SignaturAPI die Domain des Angreifers ablehnt.

In etablierten Unternehmensstrukturen entstehen jedoch massive Integrationshindernisse. Passkeys wurden primär für konsumentenorientierte Web-Anwendungen und Cloud-native Umgebungen entwickelt. Große Teile der Unternehmens-IT basieren jedoch auf Legacy-Infrastrukturen: klassisches Active Directory, Kerberos, NTLM, proprietäre Anwendungen, Terminalschnittstellen und SSH-Zugänge. Diese Systeme können nicht direkt mit der WebAuthn-API kommunizieren. Um Passkey-Login in diesen Umgebungen zu ermöglichen, müssen Unternehmen komplexe Verbundarchitekturen (Identity Federation) mit cloudbasierten Diensten wie Entra ID, Okta oder Ping Identity aufbauen, die als Übersetzungsschicht fungieren und Kerberos-Tickets oder SAML-Token für Legacy-Systeme ausstellen.

Zusätzliche Komplexität entsteht bei Virtual Desktop Infrastrukturen (VDI) und Thin Clients: Die Weiterleitung kryptografischer Signaturbefehle vom physischen Endpunkt über Remote-Protokolle in die virtuelle Arbeitsumgebung erfordert spezifische Middleware-Versionen und verursacht erhebliche Latenzen und Kompatibilitätskonflikte.

Das operationell kritischste Problem liegt in der Kontenwiederherstellung bei Geräteverlust. Wenn ein Mitarbeiter das Diensthandy oder den Laptop mit dem registrierten Passkey verliert, ist der Zugang zu allen Unternehmensressourcen sofort blockiert. Im Consumer-Bereich werden synchrone Passkeys über Cloud-Infrastrukturen (beispielsweise iCloud Keychain bei Apple oder Google Password Manager) gelöst, die eine Synchronisation zwischen Geräten ermöglichen. Für geschlossene Unternehmensumgebungen ist diese Lösung nicht unmittelbar verfügbar – Mitarbeiter sind auf manuelle Recovery-Prozesse angewiesen, die zeitaufwändig sind und den Schutzzweck des Systems relativieren.


Quelle: www.it-daily.net · Erschienen 29. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: