Bildquelle: Pexels: https://www.pexels.com/photo/screen-lock-27522927/
Passkeys im Unternehmensbetrieb: Wo sie wirklich helfen und welche 5 Fragen IT-Teams vor dem Rollout klären müssen
Passkeys haben den Status des netten Zukunftsthemas inzwischen hinter sich gelassen. 2026 geht es in vielen IT-Organisationen nicht mehr um die Frage, ob passwortlose Anmeldung relevant wird, sondern wo sie im Unternehmensbetrieb echten Nutzen stiftet und wie sich ein Rollout sauber steuern lässt. Genau hier lohnt ein nüchterner Blick. Passkeys sind kein Wundermittel für jedes Identitätsproblem, aber sie können einen spürbaren Sicherheits- und Produktivitätsschub liefern, wenn Architektur, Zielgruppen und Supportprozesse zusammenpassen.
Der Kern ist technisch klar: Passkeys basieren auf FIDO-Standards und nutzen öffentliche Schlüsselkryptografie. Statt dass ein Passwort oder ein Einmalcode bei jeder Anmeldung neu übermittelt werden muss, wird lokal auf dem Gerät mit biometrischem Merkmal oder PIN freigegeben, dass der private Schlüssel verwendet werden darf. FIDO beschreibt Passkeys deshalb als phishing-resistent und verweist zudem auf höhere Erfolgsraten bei der Anmeldung. Microsoft ordnet Passkeys in Entra ID ausdrücklich als starke, phishing-resistente Anmeldung ein und unterstützt sowohl gerätegebundene als auch synchronisierte Passkeys.
Für IT-Leitungen, IAM-Teams und Service-Owner ist damit aber noch nichts entschieden. Der eigentliche Mehrwert entsteht erst in einer sauberen Einsatzstrategie.
1. Für welche Nutzergruppen lohnt sich der Einstieg zuerst?
Die beste Einführung beginnt nicht breit, sondern gezielt. In der Praxis eignen sich vor allem drei Gruppen für einen frühen Rollout: Administrations- und Hochrisikokonten, Wissensarbeiter mit vielen täglichen Anmeldungen sowie mobile Belegschaften, die heute noch unter Passwort-Reset-Schleifen und MFA-Reibung leiden. Gerade bei privilegierten Rollen ist der Sicherheitsgewinn hoch, weil Passkeys klassische Phishing-Angriffe auf Passwort plus OTP wirksam entschärfen können.
Weniger geeignet für eine erste Welle sind dagegen gemeinsam genutzte Konten, technische Service-Accounts oder Altanwendungen mit starren Authentifizierungswegen. Wer diese Sonderfälle ignoriert, erzeugt sofort Frust, Schattenprozesse und Helpdesk-Tickets. Besser ist ein zweigleisiger Ansatz: moderne Benutzerkonten zuerst, Sonderkonten mit klarer Ausnahmeregel getrennt behandeln.
2. Gerätgebunden oder synchronisiert, was ist im Unternehmen sinnvoller?
Genau an dieser Stelle wird das Thema operativ. Microsoft unterscheidet inzwischen klar zwischen gerätegebundenen Passkeys, etwa auf FIDO2-Sicherheitsschlüsseln, und synchronisierten Passkeys, die über Plattformanbieter oder Authenticator-Apps zwischen Geräten verfügbar sein können. Beide Varianten haben unterschiedliche Stärken.
Gerätegebundene Passkeys passen gut zu besonders sensiblen Rollen, zu streng verwalteten Endgeräten und zu Umgebungen mit hohen Anforderungen an Nachvollziehbarkeit und Hardwarebindung. Synchronisierte Passkeys sind im Rollout oft deutlich nutzerfreundlicher, weil sie Gerätewechsel, Ersatzgeräte und alltägliche Anmeldung vereinfachen.
Die eigentliche Management-Frage lautet deshalb nicht, welche Variante „besser“ ist, sondern welche Risiken, Supportkosten und Benutzerwege für die jeweilige Zielgruppe akzeptabel sind. Passkey-Profile, Gruppensteuerung und Attestierungsregeln sind genau deshalb sinnvoll: dieselbe Richtlinie für alle ist meist die falsche Richtlinie.
3. Wie verändert sich der Helpdesk, wenn Passwörter nicht mehr das Zentrum sind?
Viele Einführungspläne bleiben zu technisch. Sie beschreiben Registrierung, Richtlinie und Browserkompatibilität, aber nicht den Supportalltag. Dabei verschiebt sich mit Passkeys die typische Störungslage deutlich. Weniger relevant werden vergessene Passwörter und abgefangene Codes. Wichtiger werden Fragen wie: Was passiert bei Geräteverlust? Wie läuft die erneute Bindung nach Handytausch? Wer darf für privilegierte Nutzer eine Wiederherstellung anstoßen? Welche alternativen Anmeldewege bleiben für definierte Ausnahmefälle aktiv?
Passkey Central empfiehlt genau deshalb, Rollout und Betrieb als eigenes Einführungsprogramm zu behandeln, nicht nur als technische Aktivierung. Dazu gehören Kommunikationsbausteine, Metriken, Fehlerbilder und ein klarer Wiederherstellungsprozess. Wer hier zu spät ansetzt, verschiebt die Komplexität lediglich vom IAM-Team zum Service Desk.
Praktisch heißt das: Runbooks anpassen, Identitätsnachweise für Recovery schärfen, Self-Service und Support trennen und für kritische Rollen eine eng geführte Ersatzprozedur definieren. Sonst wird aus moderner Authentifizierung schnell ein neues Eskalationsthema.
4. Wo bleibt klassische MFA weiterhin notwendig?
Passkeys sind stark, aber sie ersetzen nicht automatisch jede bestehende Authentifizierungslogik. Altanwendungen, föderierte Drittplattformen, bestimmte VPN- oder Legacy-Clients und nicht-interaktive Konten bleiben häufig zunächst außerhalb der Passkey-Welt. Auch für externe Partner, Zeitarbeitskräfte oder Bring-your-own-Device-Szenarien kann eine Mischphase erforderlich sein.
Genau deshalb sollten IT-Teams Passkeys nicht als Totalablösung ankündigen. Erfolgreicher ist ein Architekturmodell mit klaren Zonen: Passkeys als bevorzugter Standard für moderne Benutzeranmeldung, phishing-resistente Hardware-Optionen für besonders sensible Rollen und befristete Legacy-Ausnahmen mit überprüfbarem Ablaufdatum. NIST betont in seinen Richtlinien zur digitalen Identität ohnehin, dass Authentisierung risikobasiert und am benötigten Schutzniveau ausgerichtet werden muss. Für Unternehmen bedeutet das: Stärke dort erzwingen, wo sie wirklich zählt, statt überall gleichzeitig halbfertig zu bleiben.
5. Woran erkennt man, dass ein Passkey-Rollout wirklich gelingt?
Nicht an der Anzahl aktivierter Richtlinien, sondern an den Betriebskennzahlen. Wenn die Anmeldeerfolgsquote steigt, Passwort-Resets sinken, Recovery-Fälle beherrschbar bleiben und privilegierte Nutzer konsequent auf phishing-resistente Verfahren wechseln, dann liefert das Projekt echten Wert. FIDO verweist auf höhere Sign-in-Erfolgsraten und geringere Reibung. Im Unternehmen sollten diese Aussagen jedoch mit eigenen Kennzahlen hinterlegt werden.
Sinnvolle Messgrößen sind unter anderem:
- Registrierungsquote je Zielgruppe nach 30, 60 und 90 Tagen
- Erfolgreiche Anmeldungen im Vergleich zu Passwort plus OTP
- Passwort-Reset-Volumen und MFA-bezogene Helpdesk-Fälle
- Recovery-Fälle nach Gerätewechsel oder Verlust
- Anteil privilegierter Konten mit phishing-resistenter Anmeldung
Spätestens hier zeigt sich, ob Passkeys strategisch eingeführt oder nur technisch eingeschaltet wurden.
Was IT-Teams jetzt konkret tun sollten
- Zielgruppen priorisieren: Starten Sie mit privilegierten Konten und Nutzern mit hoher Anmeldefrequenz, nicht mit allen gleichzeitig.
- Passkey-Typen bewusst zuordnen: Gerätegebunden für Hochschutzrollen, synchronisiert dort, wo Bedienbarkeit und Gerätewechsel dominieren.
- Recovery-Design vor dem Rollout festlegen: Geräteverlust, Ersatzgeräte und Supportfreigaben gehören vorab ins Betriebsmodell.
- Legacy-Ausnahmen inventarisieren: Benennen Sie Anwendungen und Kontotypen, die vorerst nicht passkey-fähig sind, mit Verantwortlichen und Enddatum.
- Conditional Access bzw. Authentifizierungsstärken nutzen: Erzwingen Sie phishing-resistente Anmeldung zuerst dort, wo das Risiko am höchsten ist.
- Erfolg über Betriebsdaten messen: Nicht nur Registrierungen zählen, sondern Reibung, Ticketlast und Schutzwirkung.
Das Entscheidende an Passkeys ist 2026 also nicht der Marketingbegriff, sondern die Betriebsreife. Wer sie als Ersatz für Passwort-Reset-Schmerz, OTP-Phishing und unnötige Login-Reibung sauber einführt, verbessert Sicherheit und Nutzererlebnis zugleich. Wer sie dagegen ohne Zielgruppenlogik, Recovery-Konzept und Altlasteninventur ausrollt, handelt sich nur eine neue Authentifizierungsvariante ein. Für IT-Organisationen ist genau dieser Unterschied der Punkt, an dem aus Technologie echter Betriebsnutzen wird.
