IAM

Passkeys im Realitätscheck – 4 Mythen auf dem Prüfstand

#Authentisierung  ·  #IAM
Marc Bütikofer

Passkeys im Realitätscheck

4 Mythen auf dem Prüfstand

Passkeys gelten als Hoffnungsträger für die Zukunft der Authentisierung – sicher, benutzerfreundlich und zunehmend unterstützt von Plattformen wie Apple, Google und Microsoft. Dennoch begegnen viele Unternehmen dem Thema mit Skepsis: Sind Passkeys wirklich sicher genug? Können sie gesetzliche Anforderungen wie starke Kundenauthentifizierung (SCA) erfüllen? Ist die Technologie bereit für den Einsatz in der Praxis?

In diesem Artikel nehmen wir vier verbreitete Mythen rund um Passkeys unter die Lupe und zeigen, worauf es ankommt, um das Potenzial und die Grenzen von Passkeys realistisch einordnen zu können.
 

Mythos 1: «Synced Passkeys sind unsicher.» 

Die Fakten: Nicht alle Passkeys sind gleich. Es gibt zwei grundlegende Varianten mit unterschiedlichen Sicherheits- und Usability-Eigenschaften: device-bound und synced Passkeys. Die Unterscheidung der Varianten ist wichtig, um ihre Eignung für verschiedene Einsatzbereiche bewerten zu können:
 

  • Synced Passkeys werden über Plattformdienste wie iCloud, Google oder Passwortmanager synchronisiert. Sie bieten hohen Nutzungskomfort, Phishing-Schutz und eine gute Recovery-Funktion. Ihre Sicherheit hängt allerdings stark von den Sicherheitsrichtlinien und der Cloud-Synchronisation des jeweiligen Plattformanbieters ab – ein Aspekt, den Unternehmen meist nicht selbst kontrollieren können. 
     
  • Device-bound Passkeys sind an Hardware gebunden (z. B. TPM, Secure Enclave) und bieten maximale Sicherheit, unabhängig vom Cloud-Anbieter. Sie eignen sich besonders für stark regulierte Umgebungen, setzen aber mehr Aufwand bei der Geräteverwaltung und im Recoveryprozess voraus.

Fazit: Synced Passkeys pauschal als «unsicher» zu bezeichnen, greift zu kurz. Beide Varianten basieren auf dem FIDO2-Standard und können bei korrekter Implementierung ein sehr hohes Sicherheitsniveau erreichen. Entscheidend ist, sie im Kontext der eigenen Risikotoleranz, regulatorischen Anforderungen, technischen Architektur und Nutzererwartungen zu bewerten. Es geht darum, Sicherheit, Usability und Betriebskosten bewusst abzuwägen – und sich der jeweiligen Kompromisse bewusst zu sein.
 

Mythos 2: «Passkeys bieten keine starke Kundenauthentifizierung (SCA)» 

Die Fakten: Die PSD2-Richtlinie definiert starke Kundenauthentifizierung (SCA bzw. Strong Customer Authentication) als Kombination aus zwei von drei Faktoren: Wissen (z. B. Passwort), Besitz (z. B. Gerät) und Inhärenz (z. B. Fingerabdruck). 

Bewertung typischer Methoden: 

Methode SCA-konform 
Passwort + SMS  Ja 
App mit Biometrie & Push  Ja
App mit Biometrie & QR-Code Ja
Device-bound Passkey & Biometrie  Ja
Synced Passkey & Biometrie  Eingeschränkt 

Warum ist die SCA-Konformität bei Synced Passkeys umstritten? 

Bei Synced Passkeys fehlt der eindeutige Nachweis des Besitzfaktors, da der Schlüssel nicht hardwaregebunden ist. Dennoch: Sie bieten hohen Schutz vor Phishing, gute UX und lösen Recovery-Probleme. Ob SCA-Konformität erreicht wird, hängt schliesslich von der Cloud-Sync-Sicherheit ab, welche wiederum schwierig zu verifizieren ist. 

Fazit: Device-bound Passkeys erfüllen die Anforderungen an SCA eindeutig. Bei Synced Passkeys hängt die Bewertung von der Qualität des Cloud-Syncs ab. Ohne zusätzliche Massnahmen zur Device-Bindung halten sie den PSD2-Anforderungen nicht stand. 
 

Mythos 3: «Banken können keine Passkeys einsetzen.» 

Die Fakten: Viele Banken zögern bei der Einführung von Passkeys. Häufig genannte Gründe sind: 

  1. Zweifel an der Sicherheit – stimmt für synced Passkeys je nach Use Case, device-bound Passkeys sind aber SCA-konform. 
  2. Fehlender zweiter Kanal – SCA ist nicht zwingend zwei Kanäle, sondern zwei Faktoren. 
  3. Bereits implementierte SCA-Lösungen – aber oft mit schlechter UX oder hohen Kosten. 
  4. Fehlende Transaktionsfreigabe – technisch möglich mit Passkeys, wenn auch nicht vollständig WYSIWYS-konform. 
  5. Unklare Compliance-Situation – ein aktuelles Hindernis, da die regulatorische Lage bei synced Passkeys noch nicht abschliessend geklärt ist. Sie wird mit PSD3/PSR hoffentlich klarer. 

Fazit: Banken können sehr wohl Passkeys nutzen – vor allem als erste Authentisierungsstufe oder zur Abschaffung von Passwörtern. Passkeys lösen akute Phishing-Probleme, die für Banken erhebliche finanzielle Risiken bedeuten. Wichtig ist eine kontinuierliche Beobachtung der regulatorischen Entwicklung und ein durchdachter Migrationspfad. 
 

Mythos 4: «Passkeys benötigen zwingend einen alternativen Authentisierungsfaktor.» 

Die Fakten: Es gibt Situationen, in denen ein Benutzer keinen Zugriff auf seine Passkeys hat – beispielsweise auf einem fremden Gerät oder bei technischem Ausfall. 

  • Die «Cross-device» Fähigkeit von Passkeys – also die Nutzung des persönlichen Smartphones in Kombination mit einem Browser auf einem unpersönlichen Gerät – können hier helfen, setzen aber entsprechende Geräteunterstützung voraus (Bluetooth ist auf beiden Geräten zwingend erforderlich). 
  • In bestimmten Szenarien bleibt ein alternativer Authentisierungsfaktor bzw. eine Backup-Lösung unverzichtbar. 

Wenn ein System wirklich immer und überall zugänglich sein muss, ist ein zusätzlicher Faktor notwendig – das gilt jedoch auch für viele andere Authentisierungsfaktoren. 

Fazit: Kein Mythos, sondern eine realistische Designentscheidung. Wichtig ist, ob diese Szenarien für das Geschäftsmodell relevant sind. Meist ist dies nicht der Fall. 
 

Differenzieren statt pauschalisieren 

Passkeys sind keine Allzwecklösung – aber sie bieten überzeugende Vorteile bei Sicherheit, Benutzerfreundlichkeit und Betriebskosten, wenn sie richtig eingesetzt werden. Unternehmen sollten sich folgende Fragen stellen:  

  • Passen Passkeys zu den eigenen Use Cases? 
  • Ist die Compliance-Situation (z. B. SCA) geklärt? 
  • Sind Synced oder Device-bound Passkeys geeigneter? 
  • Ist eine Passkey-fähige CIAM-Lösung vorhanden? 
  • Wie wird der Migrationsprozess gestaltet? 
  • Wird ein alternativer Faktor benötigt? 

 

Bereit für den Einstieg in die passwortlose Zukunft? 

Airlock IAM unterstützt Unternehmen dabei, Passkeys nutzerzentriert und sicher zu integrieren. Kontaktieren Sie uns für eine Beratung oder besuchen Sie uns beim nächsten Event vor Ort

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper: Wie wird Ihr CIAM zum Erfolgsfaktor?

Steigende Anforderungen an Sicherheit und Benutzerfreundlichkeit machen Customer Identity and Access Management unverzichtbar. Finden Sie in diesem Whitepaper heraus, wie Sie mit der richtigen CIAM-Strategie Ihren Wettbewerbsvorteil sichern.

Jetzt kostenlos anfordern

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern