0:00
FIDO2 und Passkeys

FIDO2: Phishing-sicher anmelden

Von Christoph BackhausAktualisiert am 10. Mai 20265 Minuten LesezeitZurück zum Blog

Anhören 0:00

Phishing-Training reduziert Risiko, aber Menschen bleiben unter Zeitdruck fehlbar. FIDO2 und Passkeys verlagern Schutz stärker in die Authentifizierung selbst: Ein Login soll nur für den richtigen Dienst funktionieren.

FIDO2-Einführung anfragen KI-Schulung ansehen
Sicherheitsvisual mit Schlüsseln, Schutzschilden und geprüfter Anmeldung
Sicherheitsvisual mit Schlüsseln, Schutzschilden und geprüfter Anmeldung

Das Wichtigste in Kürze

  • FIDO2 und Passkeys binden die Anmeldung kryptografisch an die echte Domain eines Dienstes, sodass eine gefälschte Phishing-Seite schlicht keine verwertbaren Anmeldedaten erhält.
  • SMS-Einmalcodes und Push-Bestätigungen können durch Echtzeit-Phishing oder MFA-Fatigue ausgehebelt werden – phishing-resistente Verfahren setzen dagegen technisch an, nicht beim menschlichen Urteilsvermögen.
  • Für die meisten Unternehmen ist eine Kombination sinnvoll: Hardware-Security-Keys für Administratoren und kritische Rollen, synchronisierte Passkeys für die breite Belegschaft.
  • Ein erfolgreicher Rollout erfordert zwei Schlüssel pro Person, einen definierten Recovery-Prozess und kurze Schulungen – ohne diese Vorbereitung gefährdet der erste verlorene Schlüssel die gesamte Einführung.
1Passwort reduzieren
2Security Key registrieren
3Rollen absichern
4Recovery klären
5Rollout schulen

Warum klassische MFA nicht immer reicht

Eine zweite Sicherheitsstufe ist gut – aber nicht jede Stufe ist gleich stark. Einmalcodes per SMS oder App und einfache Push-Bestätigungen können abgefangen, weitergeleitet oder durch Social Engineering missbraucht werden. Bei modernen Phishing-Angriffen schaltet sich der Angreifer als unsichtbarer Vermittler zwischen Nutzer und echten Dienst: Das Opfer gibt seinen Code auf einer täuschend echten Seite ein, der Angreifer reicht ihn in Echtzeit weiter und übernimmt die Sitzung. Auch „MFA-Fatigue“, also das genervte Wegklicken wiederholter Push-Anfragen, gehört zu den bekannten Schwächen.

Phishing-resistente Verfahren setzen an einer anderen Stelle an. Sie binden die Anmeldung kryptografisch an die echte Domain des Dienstes. Ein FIDO2-Schlüssel oder Passkey antwortet schlicht nicht, wenn die Adresse nicht stimmt – die gefälschte Seite bekommt nichts Verwertbares. Der Schutz hängt damit nicht mehr davon ab, ob ein gestresster Mensch eine URL korrekt liest. Genau deshalb sind FIDO2-Sicherheitsschlüssel und Passkeys ein wichtiger Baustein, sobald E-Mail, Cloud-Konten und Code-Repositories geschäftskritisch sind.

FIDO2, Passkeys und Security Keys: kurz einsortiert

Die Begriffe werden oft vermischt. Eine grobe Einordnung hilft bei Auswahl und Kommunikation im Team:

  • FIDO2 ist der zugrunde liegende offene Standard für phishing-resistente Anmeldung ohne geteilte Geheimnisse.
  • Hardware-Security-Keys (zum Beispiel als USB- oder NFC-Stick) sind physische Schlüssel, die besonders für Administrator- und Hochrisiko-Rollen geeignet sind.
  • Passkeys sind FIDO-Anmeldedaten, die auf Geräten wie Smartphone oder Laptop liegen und teils über die Plattform synchronisiert werden – bequem für breite Belegschaften.
  • Plattform- vs. geräteübergreifend: Synchronisierte Passkeys sind komfortabel, ein dedizierter Hardware-Schlüssel bietet die stärkste Trennung für besonders kritische Konten.

Für viele Unternehmen ist eine Mischung sinnvoll: Hardware-Schlüssel für die wenigen besonders heiklen Rollen, Passkeys für den breiten Alltag.

Wie ein sinnvoller Rollout aussieht

Ein Rollout funktioniert am besten in Wellen statt als Big Bang. Zuerst werden die kritischsten Konten und Administratorrollen geschützt, denn dort richtet ein übernommener Zugang den größten Schaden an. Danach folgen Geschäftsführung, Buchhaltung, Entwicklung, Support und alle Rollen mit Zugriff auf Kundendaten. So sinkt das Risiko früh dort, wo es am höchsten ist.

Mindestens ebenso wichtig wie die Einführung ist die Vorbereitung auf den Ernstfall. Bewährt haben sich folgende Punkte:

  • Zwei Schlüssel pro Person: ein Hauptschlüssel und ein sicher verwahrter Ersatz, damit ein verlorener Schlüssel niemanden aussperrt.
  • Definierter Recovery-Prozess: ein klarer, missbrauchssicherer Weg zurück ins Konto, der selbst nicht zum Einfallstor wird.
  • Saubere Dokumentation: wer welchen Schlüssel registriert hat und wie Verlust gemeldet wird.
  • Kurze Schulungen: ein paar Minuten Erklärung verhindern Frust und Support-Tickets beim ersten Einsatz.

So scheitert Sicherheit nicht am ersten verlorenen Schlüssel, und die Akzeptanz im Team bleibt hoch.

Häufige Fehler

Bei der Einführung lauern einige vermeidbare Stolperfallen:

  • Nur einen Schlüssel ausgeben: Geht er verloren, ist das Konto blockiert – und der Notfall-Workaround wird selbst unsicher.
  • Schwache Recovery-Methode offen lassen: Wenn nebenbei weiter per SMS-Code zurückgesetzt werden kann, bleibt genau dort die Lücke.
  • Nur die IT absichern: Buchhaltung und Geschäftsführung sind beliebte Ziele und gehören früh dazu.
  • Ohne Erklärung ausrollen: Unverständnis führt zu Umgehungen statt zu Sicherheit.

Wie wir unterstützen

NADOOIT kann bei Auswahl, Einführung, Registrierung, Schulung und interner Dokumentation helfen. Das passt besonders gut zu KI- und E-Mail-Automatisierung, weil beide auf sichere Identitäten angewiesen sind: Ein Agent, der auf Postfach oder Repository zugreift, ist nur so vertrauenswürdig wie die Anmeldung dahinter.

Das Ziel ist nicht mehr Passwortdisziplin als Appell, sondern ein System, das Angriffe technisch unattraktiver macht. Wer Phishing-Resistenz an der richtigen Stelle verankert, entlastet seine Mitarbeitenden – statt ihnen die alleinige Verantwortung aufzubürden, jede verdächtige Mail zu erkennen.

Häufige Fragen

Was ist der Unterschied zwischen FIDO2, Passkeys und einem Hardware-Security-Key?

FIDO2 ist der offene Standard für phishing-resistente Anmeldung ohne geteilte Geheimnisse. Hardware-Security-Keys (z. B. als USB- oder NFC-Stick) sind physische Geräte und besonders für Administratoren und Hochrisiko-Rollen geeignet. Passkeys sind FIDO-Anmeldedaten, die auf Smartphone oder Laptop gespeichert und teils über die Plattform synchronisiert werden – komfortabel für eine breite Belegschaft.

Warum reicht eine SMS oder Authenticator-App nicht aus, um Phishing zu verhindern?

Bei modernen Phishing-Angriffen schaltet sich der Angreifer unsichtbar zwischen Nutzer und echten Dienst: Das Opfer gibt seinen Code auf einer täuschend echten Seite ein, der Angreifer reicht ihn in Echtzeit weiter und übernimmt die Sitzung. Dazu kommt MFA-Fatigue, bei der wiederholte Push-Anfragen genervt weggeklickt werden. Phishing-resistente Verfahren wie FIDO2 umgehen dieses Problem, indem die Anmeldung technisch nicht für die falsche Domain funktioniert.

Wie läuft eine FIDO2-Einführung im Unternehmen sinnvoll ab?

Bewährt hat sich ein Rollout in Wellen: zuerst Administratoren und kritische Konten, dann Geschäftsführung, Buchhaltung und Entwicklung. Pro Person sollten mindestens zwei Schlüssel registriert werden, ein Ersatzschlüssel sicher verwahrt und ein klarer Recovery-Prozess definiert sein, damit ein verlorener Schlüssel niemanden dauerhaft aussperrt. Kurze Schulungen verhindern Frustration und halten die Akzeptanz im Team hoch.

Quellen und Weiterlesen

Was wir daraus machen

NADOOIT verbindet diese Themen mit praktischen Angeboten: KI-Kompetenz-Schulung, Launchpad-Workflows, IT-Sicherheit, E-Mail-Automatisierung und technische Unterstützung beim Projektstart. Der Einstieg ist bewusst pragmatisch: vorhandenes Postfach ordnen, wiederkehrende Anfragen automatisieren und bestehende Systeme kontrolliert anbinden.

FIDO2-Einführung anfragen Newsletter abonnieren Weitere Artikel lesen