Viele Unternehmen glauben, mit 2FA auf der sicheren Seite zu sein. Das war einmal. Die Angriffsmethoden haben sich weiterentwickelt – die Schutzkonzepte oft nicht.
Es ist Zeit, das ehrlich zu benennen und sich mit der Passkey-Umsetzung zu befassen.
Das 2FA-Versprechen und seine Risse
Zwei- oder „Multifaktor“-Authentifizierung (2FA/MFA) hat in vielen Bereichen über Jahre gute Dienste geleistet. Der Gedanke dahinter ist grundsätzlich richtig: besser als ein einzelnes Passwort. (Password1234 soll immer noch sehr beliebt sein…) Und ein gestohlenes Passwort allein soll nicht reichen. Wer sich einloggen will, muss einen zweiten Faktor nachweisen – einen Code per SMS, eine App-Bestätigung, ein Token.
Das Problem: Angreifer haben sich angepasst und zwar deutlich schneller als die meisten umgesetzten Sicherheitskonzepte. Sie nutzen dabei modernste Techniken, häufig KI-gestützt.
Tools wie evilginx2 – frei verfügbar, kein Expertenwissen nötig – automatisieren heute das vollständige Abfangen von Login-Vorgängen inklusive 2FA-Code. Das Werkzeug agiert als Proxy zwischen Nutzer und Dienst, fängt Zugangsdaten und Sitzungscookies in Echtzeit ab und umgeht damit selbst gut gemeinte MFA-Implementierungen vollständig. Kein Spezialwissen, kein staatlicher Akteur nötig – das ist Commodity-Hacking.
Hinzu kommt ein konzeptionelles Problem, das in der Diskussion zu selten benannt wird: Die meisten 2FA-Verfahren funktionieren nur in eine Richtung. Der Nutzer beweist seine Identität gegenüber dem Dienst. Aber der Dienst beweist seine Identität gegenüber dem Nutzer nicht. Eine gefälschte Login-Seite sieht für den Nutzenden genauso aus wie die echte – und nimmt SMS-Code und Passwort genauso entgegen.
Das unterschätzte Szenario:
Nicht das Passwort wird erraten – die gesamte Anmeldung wird in Echtzeit mitgeschnitten, während der Nutzer glaubt, sich beim echten Dienst anzumelden.
Wenn die Identität selbst zum Angriffsziel wird
Ein Thema, das über klassische 2FA-Diskussionen hinausgeht, aber dringend dazugehört:
KI-gestützte Täuschungen bei digitalen Identitätsverfahren.
Video-Ident-Verfahren, die als digitaler Ersatz für den klassischen PostIdent dienen, galten lange als sicher. Biometrische Gesichtserkennung, Liveness-Detection, Dokumentenprüfung in Echtzeit – das klang nach einem robusten System. Die Realität holt diesen Eindruck inzwischen ein.
Laut einer Studie des europäischen Identitätsdienstleisters Signicat sind Deepfake-Betrugsversuche im Finanzsektor in den letzten drei Jahren um über 2.100 Prozent (!) gestiegen – und machen inzwischen rund 6,5 % aller erkannten Identitätsbetrugsversuche aus.¹
Das BSI hält fest, dass KI-gestützte Gesichtsfälschungen (Face Swapping, Face Reenactment) heute in Echtzeit und mit handelsüblicher Hardware möglich sind.² Für videobasierte Identifizierungsverfahren ist das eine strukturelle Herausforderung – für Anbieter und Auftraggeber dieser Verfahren gleichermaßen.
Die Konsequenz: Nicht nur Unternehmenskonten sind betroffen. Im privaten Bereich kann eine erfolgreiche Identitätstäuschung bedeuten, dass jemand in Ihrem Namen einen Kredit aufnimmt, eine SIM-Karte ausstellt oder ein Bankkonto eröffnet. Das sind keine theoretischen Szenarien mehr.
Für Unternehmen, die solche Verfahren einsetzen oder empfehlen – etwa im Onboarding oder bei der Vertragserstellung – entsteht damit eine direkte haftungsrelevante Frage:
Ist das eingesetzte Verfahren noch dem Stand der Technik entsprechend? Und: Wie wird das regelmäßig überprüft?
Passkeys: nicht nur ein besseres Passwort, sondern ein anderes Konzept
Passkeys (auf Basis des FIDO2/WebAuthn-Standards) setzen an einem grundlegend anderen Punkt an. Der entscheidende Unterschied zu allen bisherigen Verfahren: Es gibt nichts mehr zu stehlen und nichts mehr zu täuschen.
Beim Einrichten eines Passkeys entstehen zwei mathematisch verknüpfte Schlüssel – dasselbe kryptografische Grundprinzip, das auch sicherer verschlüsselter Kommunikation zugrunde liegt. Der öffentliche Schlüssel liegt beim Dienst – für sich allein wertlos. Der private Schlüssel verlässt das Gerät nie. Er liegt geschützt im Secure Enclave (Apple) oder im TPM-Chip (Windows/Android), gesichert durch Biometrie oder PIN.
Was das technisch bedeutet: Ein Passkey funktioniert ausschließlich für die exakt registrierte Herkunft (Origin). Eine Phishing-Seite, die sich als Bank ausgibt, bekommt schlicht keinen gültigen Schlüssel – egal wie überzeugend sie aussieht. Das ist der Punkt, an dem WebAuthn/FIDO2 qualitativ aus der Masse der MFA-Lösungen herausfällt. Es löst das Problem bidirektionaler Authentifizierung: Der kryptografische Handshake funktioniert nur, wenn beide Seiten – Nutzer und Dienst – echt sind.
Das BSI formuliert es klar: Passkeys sind immun gegen die breite Masse bekannter Phishing- Angriffe³.
Der Stand der Technik – und was NIS-2 damit zu tun hat
Wer im Kontext der NIS-2-Richtlinie arbeitet, kennt die Anforderung: Multi-Faktor-Authentifizierung ist für betroffene Unternehmen verpflichtend. Was dabei übersehen wird: NIS-2 fordert nicht irgendeine MFA, sondern angemessene technische Maßnahmen nach dem Stand der Technik.
Passkeys (FIDO2) sind dieser Stand der Technik. Sie erfüllen die MFA-Anforderungen – und gehen gleichzeitig einen entscheidenden Schritt weiter, weil sie phishing-resistent sind. Wer NIS-2-konform aufgestellt sein will und trotzdem noch auf SMS-TANs oder zeitbasierte Codes setzt, sollte diese Entscheidung gut dokumentieren können.
Was oft vergessen wird: die Lieferkette
Ein blinder Fleck in vielen Sicherheitskonzepten: die eigenen Dienstleister. Angriffe auf die Lieferkette nehmen massiv zu – und häufig ist der schwächste Punkt nicht das eigene Unternehmen, sondern ein externer Auftragsverarbeiter mit laxen Authentifizierungsstandards.
Wer Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO abschließt, hat die Pflicht sicherzustellen, dass Auftragsverarbeiter ausreichende Garantien bieten. Dazu gehört konkret: Wie schützen sie den Zugang zu den Daten, die sie in Ihrem Auftrag verarbeiten? Ein Dienstleister, der interne Systeme noch mit einfachem Passwort plus SMS-Code absichert, ist ein Risiko – auch für Sie.
Es lohnt sich, das Thema Authentifizierung aktiv in Lieferantenaudits und AVV-Prüfungen aufzunehmen. Nicht als bürokratisches Abhaken, sondern als echten Sicherheitsbestandteil. Die Frage „Welche MFA-Verfahren setzen Sie ein, und sind diese phishing-resistent?“ sollte zur Standardfrage im Vendor-Assessment werden.
Große Anbieter machen es vor
Die Richtung ist klar: Microsoft schützt nach eigenen Angaben bereits 99,6 % der eigenen Beschäftigten durch phishing-resistente Authentifizierung – und hat Ende Mai 2026 Passkey-Unterstützung für externe Identitäten in seiner Entra-External-ID-Plattform eingeführt. Hintergrund: Allein im ersten Quartal 2026 stiegen sogenannte Quishing-Angriffe (Phishing über QR-Codes) um 150 Prozent auf 18 Millionen erfasste Fälle.
Google ermöglicht Workspace-Admins seit Mai 2026, Passwörter vollständig zu deaktivieren. Die kryptografischen Schlüssel sollen künftig nach FIDO-Standards zwischen Diensten portierbar sein.
Passkeys sind kein Nischenthema mehr. Sie sind dabei, zum neuen Standard zu werden – bei Verbraucheranwendungen genauso wie in Unternehmensumgebungen.
Was das für die Praxis bedeutet
Kein Unternehmen muss morgen alles umstellen. Aber es lohnt sich, jetzt mit der Standortbestimmung zu beginnen:
Welche Systeme sind mit welcher Authentifizierungsmethode geschützt?
Wo sind die kritischsten Zugänge – und sind diese Phishing-resistent abgesichert?
Unterstützen die genutzten Dienste bereits Passkeys?
Welche Identitätsverfahren setzen externe Dienstleister ein – und wurden diese zuletzt auf ihre Fälschungssicherheit überprüft?
Und: Was steht im AVV zu Authentifizierungsstandards?
Wer Datenschutz und Informationssicherheit zusammen denkt – und das sollte man –, kommt an Passkeys nicht vorbei.
Nicht weil es ein Trend ist. Sondern weil es funktioniert.
Haben Sie Fragen zur technischen oder rechtlichen Umsetzung von Passkeys oder zur Überprüfung Ihrer AVV-Struktur? Sprechen Sie uns an.
Quellen
¹ Signicat, The Battle Against AI-Driven Identity Fraud, Pressemitteilung: signicat.com
² BSI, Deepfakes – Gefahren und Gegenmaßnahmen: bsi.bund.de
³ BSI, Passkeys – Anmelden ohne Passwort: bsi.bund.de
Die Symbolbilder dieses Beitrags wurden KI-basiert erstellt.