Passkeys im Enterprise: Warum 2026 das Jahr des passwortlosen Logins wird
Passwörter sind das schwächste Glied in fast jeder Sicherheitskette — und trotzdem klammern sich viele Unternehmen an sie wie an einen alten Freund. Doch mit der rasanten Verbreitung von Passkeys über Apple, Google und Microsoft ändert sich das Spielfeld grundlegend. Was bedeutet das für Enterprise-Umgebungen, und wie gelingt der Rollout ohne Chaos?
Der Status Quo: Warum Passkeys jetzt Fahrt aufnehmen
Die Zahlen sprechen eine klare Sprache: Über 15 Milliarden Accounts unterstützen mittlerweile Passkeys als Anmeldeoption. Apple hat sie in iCloud Keychain integriert, Google in den Password Manager, und Windows Hello nutzt sie nativ. Doch im Enterprise-Umfeld herrscht noch Zurückhaltung.
Die häufigsten Bedenken:
- „Wie migrieren wir 10.000 User ohne Servicedesk-Tsunami?”
- „Was passiert, wenn jemand sein Gerät verliert?”
- „Können wir Passkeys mit unserem IdP (Entra ID, Okta, etc.) nutzen?”
Die kurze Antwort auf alle drei: Ja, es geht — aber es braucht einen Plan.
Drei Phasen für den Enterprise-Rollout
Phase 1: Koexistenz (Monate 1–3)
Passkeys als optionale Anmeldung neben MFA anbieten. Das senkt die Einstiegshürde und gibt dem Helpdesk Zeit, Erfahrung zu sammeln.
1
2
Entra ID → Authentication Methods → FIDO2 Security Keys → Enable
Target: Pilotgruppe (IT, Security-Team)
Wichtig: Recovery-Flows von Anfang an definieren. Ein verlorenes Gerät darf nicht zum Lockout führen.
Phase 2: Preferred Method (Monate 4–6)
Passkeys als bevorzugte Methode konfigurieren. Passwort-Login bleibt als Fallback, wird aber mit zusätzlichen MFA-Challenges „unbequemer” gemacht.
- Conditional Access Policy: Passkey-Login = keine zusätzliche Challenge
- Passwort-Login = zwingend zweiter Faktor (TOTP, Hardware-Token)
Phase 3: Passwort-Sunset (ab Monat 7)
Schrittweise Deaktivierung von Passwort-Login für Gruppen, die Passkeys adoptiert haben.
- Monitoring: Wer nutzt noch Passwörter? Warum?
- Ausnahmen nur mit Ticket und Ablaufdatum
- Ziel: 95% passwortlos innerhalb von 12 Monaten
Technische Stolpersteine
Cross-Platform Sync
Apple ↔ Windows ist noch nicht reibungslos. Workaround: Plattformunabhängige Authenticator-Apps wie 1Password oder Bitwarden nutzen, die Passkeys geräteübergreifend synchronisieren.
Shared Devices
In Produktionsumgebungen oder Kiosks funktionieren gerätgebundene Passkeys nicht. Hier bleiben FIDO2-Hardware-Tokens (YubiKey, etc.) die beste Option.
Legacy-Anwendungen
Nicht jede Anwendung unterstützt WebAuthn. Für ältere Systeme: SSO-Bridge mit dem IdP nutzen, der Passkey-Authentifizierung akzeptiert und per SAML/OIDC an Legacy weiterreicht.
Was die Anbieter planen
- Microsoft: Ab 2026 H2 werden neue Entra-Tenants standardmäßig passwortlos erstellt
- Google Workspace: Passkeys als Standard-MFA seit Q4 2025
- Apple Business Manager: Managed Passkeys für MDM-verwaltete Geräte seit iOS 18.2
Mein Fazit
Passkeys sind kein Experiment mehr, sondern Production-Ready. Der wichtigste Schritt ist, jetzt mit einer Pilotgruppe zu starten und Recovery-Prozesse zu etablieren. Wer wartet, bis alle Hersteller perfekt harmonieren, wartet ewig.
Die Frage ist nicht mehr ob, sondern wie schnell ihr Passwörter loswerdet.