Bildquelle: Pexels / Schlüssel als Symbol für Login-Wiederherstellung / https://www.pexels.com/photo/person-holding-key-101808/
Passwörter verschwinden nicht über Nacht, aber ihr Nachfolger ist im Unternehmensalltag längst angekommen. Passkeys erlauben eine Anmeldung ohne klassisches Passwort. Nutzer entsperren ihr Gerät oder ihren Sicherheitsschlüssel, der Dienst prüft im Hintergrund einen kryptografischen Nachweis. Für den Betrieb klingt das wie eine Entlastung. Weniger vergessene Passwörter, weniger Phishing, weniger Zurücksetzen im Service Desk.
Kurz gesagt Ein Passkey ist ein digitaler Anmeldeschlüssel, der auf einem Gerät, in einem Passwortmanager oder auf einem Sicherheitsschlüssel gespeichert wird. Der Dienst bekommt nicht das Geheimnis selbst, sondern prüft eine passende Signatur. Das macht Angriffe mit gefälschten Loginseiten deutlich schwerer. Für ITSM-Generalisten ist trotzdem entscheidend, wie Nutzer wieder arbeitsfähig werden, wenn Gerät, Konto oder Schlüssel nicht verfügbar sind.
Genau dort beginnt die betriebliche Arbeit. Eine passwortlose Anmeldung ist nicht nur ein Security-Projekt. Sie verändert Prozesse im Service Desk, im Identitätsmanagement, im Gerätelebenszyklus und in der Notfallorganisation. Der sichere Login darf im Alltag nicht daran scheitern, dass für verlorene Geräte, neue Smartphones oder gesperrte Konten kein klarer Rettungsweg existiert.
Passkeys lösen ein altes Problem und erzeugen eine neue Betriebsfrage
Passkeys schützen vor einem typischen Muster klassischer Passwörter: Nutzer können ein Passwort auf einer gefälschten Seite eingeben, weitergeben oder mehrfach verwenden. Bei Passkeys ist die Anmeldung an den echten Dienst und an ein Gerät oder einen Schlüssel gebunden. FIDO Alliance und passkeys.dev beschreiben diesen Ansatz als phishingresistent, weil der private Schlüssel das Gerät nicht verlassen muss und der Dienst nur den öffentlichen Teil kennt.
Für die Sicherheitsseite ist das stark. Für den Servicebetrieb entsteht aber eine einfache Frage: Wer hilft dem Nutzer, wenn dieser Schlüssel gerade nicht nutzbar ist? Ein Mitarbeiter verliert sein Smartphone. Ein Notebook wird ersetzt. Ein synchronisierter Passwortmanager ist noch nicht freigegeben. Ein externer Mitarbeiter hat nur einen einzelnen Hardware-Schlüssel. Ohne geregelte Wiederherstellung kann eine bessere Anmeldung plötzlich zum Arbeitsstopp werden.
Der Service Desk braucht mehr als eine Reset-Anweisung
Beim Passwort konnte der Service Desk oft einem bekannten Muster folgen: Identität prüfen, Reset auslösen, Nutzer meldet sich neu an. Bei Passkeys reicht diese Logik nicht immer. Der Betrieb muss unterscheiden, ob ein zweiter Passkey vorhanden ist, ob ein verwaltetes Gerät genutzt wird, ob ein Cloud-Sync erlaubt ist, ob ein Hardware-Schlüssel ersetzt werden darf und welche Anwendungen sofort wieder erreichbar sein müssen.
Eine gute Betriebsregel beschreibt deshalb nicht nur den technischen Klickweg. Sie beantwortet auch die Zuständigkeitsfragen. Wer darf einen verlorenen Schlüssel entfernen? Welche Identitätsprüfung ist vor einem neuen Passkey nötig? Welche besonders kritischen Konten brauchen strengere Freigaben? Wie wird verhindert, dass ein Angreifer den Wiederherstellungsprozess missbraucht? Erst diese Antworten machen aus einer sicheren Technologie einen stabilen Service.
Wiederherstellung ist Teil des Sicherheitsdesigns
NIST SP 800-63B beschreibt Authentifizierung nicht nur als einzelne Login-Methode, sondern als Zusammenspiel aus Nachweisen, Authenticatoren, Bindung an Konten und Wiederherstellungswegen. Daraus folgt für Unternehmen eine wichtige Lehre: Recovery ist kein nachträglicher Komfortschritt. Sie gehört zum Sicherheitsdesign, weil ein schwacher Wiederherstellungsprozess die starke Anmeldung unterlaufen kann.
Wenn ein Nutzer seinen Passkey verliert, darf der Ersatz nicht leichter zu bekommen sein als der ursprüngliche Zugang. Gleichzeitig darf der Prozess nicht so kompliziert sein, dass Fachbereiche lange stillstehen oder Schattenlösungen entstehen. Der richtige Weg liegt meist in abgestuften Regeln. Normale Konten bekommen eine klare Service-Desk-Prozedur mit Identitätsprüfung. Administratorkonten, Finanzfreigaben oder produktionskritische Zugänge brauchen zusätzliche Genehmigung, dokumentierte Kontrolle und möglichst mehrere hinterlegte Faktoren.
Gerätewechsel muss vor dem Rollout geklärt sein
Der wichtigste Praxistest kommt oft nicht beim ersten Login, sondern beim nächsten Gerätewechsel. Wer Passkeys einführt, sollte vorab klären, wie neue Geräte registriert werden, wie alte Geräte aus Konten entfernt werden und welche Rolle mobile Geräteverwaltung, Passwortmanager oder Hardware-Schlüssel spielen. Sonst wird jeder Austauschfall zum Einzelfall.
Besonders heikel sind Nutzergruppen mit unregelmäßigem Zugriff. Externe Dienstleister, Führungskräfte auf Reisen, Schichtbetrieb oder Bereitschaftsteams können nicht immer denselben Supportweg nutzen. Für sie braucht der Betrieb einen verständlichen Ablaufplan: Welche Ersatzmethode ist erlaubt, welche Nachweise sind erforderlich, wer entscheidet außerhalb der Bürozeiten und wie wird der Vorgang protokolliert?
Was vor dem Produktivstart in die Checkliste gehört
Vor dem breiten Einsatz sollten ITSM-Teams keine technische Funktionsliste abhaken, sondern den Servicefall durchspielen. Hilfreich sind diese Punkte:
- Welche Anwendungen erlauben Passkeys und welche bleiben vorerst bei bestehender Mehrfaktor-Anmeldung?
- Welche Nutzer müssen mindestens zwei nutzbare Anmeldemöglichkeiten haben?
- Wie wird ein verlorenes Gerät sicher aus einem Konto entfernt?
- Welche Identitätsprüfung nutzt der Service Desk vor der Wiederherstellung?
- Welche Konten brauchen Vier-Augen-Freigabe oder eine stärkere Ersatzprozedur?
- Wie werden Gerätewechsel, Austritte und Rollenwechsel im Identitätsprozess berücksichtigt?
- Welche verständliche Nutzeranleitung erklärt, warum der neue Login sicherer ist und was im Notfall zu tun ist?
Diese Liste ist nicht nur für Sicherheitsteams relevant. Sie betrifft den täglichen Betrieb. Ein reibungsloser Passkey-Rollout zeigt sich daran, dass der Service Desk weniger Passwortprobleme bekommt, aber nicht durch ungeklärte Wiederherstellungsfälle überlastet wird.
Fazit
Der Login ohne Passwort kann Phishing-Risiken senken und den Alltag vereinfachen. Er wird aber erst dann zum stabilen Service, wenn verlorene Geräte, Gerätewechsel und gesperrte Konten sauber geregelt sind. Passkeys brauchen deshalb nicht nur technische Aktivierung, sondern einen verständlichen Betriebsplan. Wer diesen Plan vor dem Rollout erstellt, schützt nicht nur Konten. Er schützt auch die Arbeitsfähigkeit der Nutzer.
Quellen und Einordnung Geprüft wurden passkeys.dev zur Funktionsweise von Passkeys, NIST SP 800-63B zu Authenticatoren und Wiederherstellung sowie Microsoft Learn zur passwortlosen Anmeldung und Authentifizierungsmethoden. Stand der Quellenprüfung: 19.06.2026.
