Bildquelle: Pexels / Foto-ID 277574 / altes Schloss als Motiv für sicheren Ersatzweg, Zugriffskontrolle und Login-Risiko / https://www.pexels.com/photo/277574/
Passkeys sollen Anmeldungen sicherer und einfacher machen. Im Betrieb entsteht aber eine neue Frage: Was passiert, wenn genau das Gerät fehlt, an dem der sichere Login hängt?
Ein Passkey ist ein moderner Anmeldenachweis, der Passwörter ersetzen oder stark ergänzen kann. Statt ein Geheimnis einzutippen, nutzt der Nutzer ein Gerät, einen Sicherheitsschlüssel oder eine Plattformfunktion, die kryptografisch beweist, dass die Anmeldung echt ist. Für ITSM-Generalisten ist daran vor allem wichtig: Der Schutz gegen Phishing wird besser, aber der Supportfall verschwindet nicht. Er verändert nur seine Form.
Passwortlos heißt nicht supportlos
Passkeys wirken im Alltag elegant. Nutzer tippen kein Passwort mehr ein, der zweite Faktor kann direkt im Gerät stecken und gefälschte Login-Seiten verlieren einen Teil ihrer Wirkung. Microsoft beschreibt Passkeys als phishingresistente Anmeldeinformation, die auf FIDO2 und öffentlicher Schlüsselkryptografie basiert. Google ordnet Passkeys ähnlich als einfachere und sicherere Alternative zu Passwörtern ein.
Für den Service Desk beginnt damit aber keine ruhigere Welt automatisch. Ein Telefon geht verloren, ein Mitarbeiter wechselt das Gerät, ein Hardware-Schlüssel bleibt im Homeoffice, ein Browserprofil wird zurückgesetzt oder ein Konto ist nach einem Rollenwechsel nicht richtig vorbereitet. Dann braucht der Betrieb keine improvisierte Ausnahme, sondern einen Ersatzweg, der genauso ernst geplant ist wie der normale Login.
Der gefährliche Moment liegt im Ersatzprozess
Der normale Passkey-Login ist oft gut geschützt. Kritisch wird der Moment, in dem der Nutzer wieder Zugriff bekommen soll. Wenn der Service Desk unter Zeitdruck einen Ersatzweg öffnet, kann aus einem sicheren Verfahren ein schwacher Prozess werden. Angreifer müssen dann nicht den Passkey brechen. Es reicht, die Wiederherstellung zu täuschen.
Deshalb muss die Identitätsprüfung für Ersatzwege klarer sein als eine Wissensfrage oder ein freundlicher Anruf. CISA empfiehlt starke Authentisierung und warnt grundsätzlich vor schwachen Passwort- und Kontoprozessen. NIST SP 800-63B beschreibt digitale Identitäten, Authentifikatoren und Wiederherstellung mit dem Ziel, Betrug und Kontoübernahme zu erschweren. Für ITSM heißt das: Der Ersatzweg braucht eigene Kontrollen, Nachweise und Zuständigkeiten.
Der Service Desk braucht eine sichere Prüfkette
Eine sichere Prüfkette beginnt vor dem Ausfall. Beim Onboarding sollte feststehen, welche Geräte oder Sicherheitsschlüssel registriert werden, welche Ersatzkontakte gelten und welche Rolle im Notfall bestätigen darf. Die Wiederherstellung darf nicht davon abhängen, ob ein einzelner Supportmitarbeiter den Anrufer erkennt oder eine alte Mailadresse noch funktioniert.
Praktisch helfen mehrere Bausteine. Ein registriertes zweites Gerät kann als Ersatz dienen. Ein physischer Sicherheitsschlüssel kann kontrolliert ausgegeben werden. Eine Führungskraft kann über bekannte Kontaktdaten bestätigen, dass die Person wirklich Zugriff braucht. Ein Rückruf über eine im System hinterlegte Nummer schützt besser als eine Nummer, die im Ticket steht. Wichtig ist, dass diese Schritte dokumentiert sind und nicht erst im Stress erfunden werden.
Nicht jeder Login braucht denselben Rückweg
Der Ersatzweg sollte zum Risiko des Zugangs passen. Ein normales Mitarbeiterkonto, ein Konto mit Zugriff auf Kundendaten und ein Administratorzugang dürfen nicht denselben einfachen Wiederherstellungsprozess haben. Je höher die Wirkung eines falschen Logins, desto stärker müssen Prüfung, Freigabe und Protokollierung sein.
Für privilegierte Rollen kann ein engerer Prozess sinnvoll sein. Dazu gehören Vier-Augen-Freigabe, zeitlich begrenzter Ersatz, sichtbares Ticket, Protokollprüfung und nachgelagerte Kontrolle. Der Nutzer bekommt dann nicht unbegrenzt Zugriff zurück, sondern genau den Zugang, der für die konkrete Lage nötig ist. Das schützt den Betrieb und entlastet den Service Desk, weil die Entscheidung nicht im einzelnen Gespräch hängen bleibt.
Kommunikation verhindert falsche Erwartungen
Passkey-Einführungen werden oft als Komfortprojekt verkauft. Das ist nachvollziehbar, aber unvollständig. Nutzer müssen wissen, was sie tun sollen, wenn ein Gerät verloren geht, ein neues Telefon eingerichtet wird oder eine Anmeldung nicht klappt. Sonst entsteht im Supportfall Frust, weil ein sicherer Prozess plötzlich wie eine absichtliche Blockade wirkt.
Eine kurze Anleitung reicht oft aus. Sie sollte erklären, welche Ersatzoptionen vorher eingerichtet werden müssen, wie schnell der Service Desk helfen kann, welche Nachweise nötig sind und warum manche Freigaben nicht übersprungen werden. Gerade bei Führungskräften und kritischen Betriebsrollen lohnt sich ein kurzer Test. Wer den Ersatzweg einmal kontrolliert geübt hat, ruft im Ernstfall nicht mit einer unlösbaren Ausnahme an.
Ein kleiner Test zeigt die Lücke
ITSM-Teams können den Prozess mit einer einfachen Übung prüfen. Ein Nutzer meldet ein verlorenes Gerät, ein zweiter Fall betrifft einen privilegierten Zugang und ein dritter Fall kommt aus dem Ausland oder aus dem Homeoffice. Danach wird geprüft, ob Identität, Freigabe, Ersatzgerät, Ticket, Zeitfenster und Nachkontrolle wirklich zusammenpassen.
Das Ergebnis ist keine Sicherheitsakademie, sondern ein betrieblicher Ablaufplan. Passkeys bleiben eine starke Antwort auf Phishing und Passwortdiebstahl. Sie werden aber erst dann alltagstauglich, wenn der Service Desk auch den Ausfall des Passkey-Geräts sauber beherrscht. Der sichere Login darf nicht an einem einzigen Gerät hängen, sondern an einem geprüften Prozess.
Quellen und Einordnung: Microsoft Learn zu Passkeys und FIDO2, Microsoft Learn zu Passkeys in Windows, Google Developers zu Passkeys, CISA Secure Our World zu starken Passwörtern und Mehrfaktor-Anmeldung, NIST SP 800-63B Digital Identity Guidelines. Stand der Quellenprüfung: 17.07.2026. Bildquelle: Pexels, Foto-ID 277574.
