Zum Hauptinhalt springen
Alle Beiträge
Microsoft 365 Passkeys IT-Sicherheit Authentifizierung

Passkeys in Microsoft 365: Was Unternehmen jetzt wissen sollten

Passkeys sind kein Zukunftsthema mehr. Apple, Google, Microsoft, Passwortmanager und viele Online-Dienste unterstützen sie inzwischen. Auch im Microsoft-365-Umfeld wird passwordless Authentication immer wichtiger.

Für Unternehmen ist das spannend, weil Passkeys ein zentrales Problem klassischer Anmeldung lösen: Es gibt kein Passwort mehr, das abgefangen, wiederverwendet oder auf einer Phishing-Seite eingegeben werden kann.

Trotzdem sollte man Passkeys nicht einfach „anschalten“ und hoffen, dass alles besser wird. Gerade im Microsoft-365-Kontext braucht es ein sauberes Konzept.


Was ist ein Passkey im Unternehmenskontext?

Ein Passkey basiert auf asymmetrischer Kryptografie. Beim Einrichten entsteht ein Schlüsselpaar:

  • Der öffentliche Schlüssel liegt beim Dienst, zum Beispiel Microsoft Entra ID
  • Der private Schlüssel bleibt auf dem Gerät oder in einem sicheren Authenticator

Beim Login wird eine Challenge signiert. Der Dienst prüft die Signatur. Das Passwort wird nicht übertragen, weil es keines gibt.

Wichtig: Der private Schlüssel ist an den Ursprung der Anmeldung gebunden. Eine gefälschte Login-Seite kann ihn nicht einfach verwenden. Genau das macht Passkeys und FIDO2-Verfahren phishing-resistent.


Windows Hello for Business vs. Passkeys

Im Microsoft-Umfeld begegnen einem mehrere Begriffe:

Windows Hello for Business (WHfB) ersetzt das Passwort für die Anmeldung an Windows und Microsoft-Diensten durch PIN oder Biometrie auf einem registrierten Gerät. Der private Schlüssel liegt im TPM oder einer vergleichbaren sicheren Komponente.

FIDO2 Security Keys sind externe Hardware-Token, zum Beispiel YubiKeys. Sie speichern den Schlüssel physisch auf dem Token.

Passkeys in Microsoft Entra nutzen dasselbe Grundprinzip, sind aber stärker in moderne Web- und Plattform-Anmeldung eingebettet.

Für die Praxis heißt das: WHfB ist besonders stark für verwaltete Windows-Geräte. FIDO2-Keys eignen sich sehr gut für Admin-Konten, Shared Workstations und Notfallzugänge. Passkeys können den Einstieg für normale Nutzer vereinfachen, wenn Geräte und Richtlinien passen.


Warum das besser ist als SMS oder Push

Viele Unternehmen haben MFA eingeführt und fühlen sich damit sicher. Das ist gut, aber nicht alle MFA-Verfahren sind gleich stark.

SMS-Codes, TOTP-Codes und Push-Benachrichtigungen können in modernen Phishing-Szenarien abgefangen oder weitergeleitet werden. Bei Adversary-in-the-Middle-Angriffen sitzt ein Proxy zwischen Nutzer und echter Login-Seite. Der Nutzer authentifiziert sich scheinbar korrekt, der Angreifer übernimmt aber die Session.

FIDO2, Passkeys und WHfB schützen dagegen deutlich besser, weil die Authentifizierung an die echte Domain gebunden ist. Eine Phishing-Domain kann keine gültige Signatur für Microsofts Login-Origin erzeugen.

Das ist der entscheidende Unterschied: klassische MFA schützt den zweiten Faktor. Phishing-resistente MFA schützt die Anmeldung selbst.


Was Unternehmen vor der Einführung klären sollten

Passkeys sind technisch stark, aber organisatorisch kein Selbstläufer.

Vor der Einführung sollten diese Fragen beantwortet sein:

  • Welche Geräte sind verwaltet, welche privat?
  • Dürfen private Geräte für Unternehmens-Passkeys genutzt werden?
  • Wie wird ein verlorenes Gerät ersetzt?
  • Welche Backup- oder Wiederherstellungsverfahren gibt es?
  • Welche Konten brauchen besonders starke Verfahren?
  • Wie werden Admin-Konten abgesichert?
  • Gibt es Legacy-Anwendungen, die weiter Passwörter benötigen?

Ohne Antworten entstehen neue Supportfälle. Nutzer verlieren Geräte, wechseln Smartphones, setzen Windows neu auf oder melden sich an einem fremden PC an. Ein gutes Konzept plant diese Situationen ein.


Admin-Konten zuerst

Der sinnvollste Startpunkt sind privilegierte Konten.

Für Administratoren, globale Microsoft-365-Rollen, Firewall-Zugänge und kritische Dienstkonten sollte phishing-resistente MFA zuerst eingeführt werden. Diese Konten sind für Angreifer besonders wertvoll.

Empfehlung:

  • Keine täglichen Arbeiten mit Global-Admin-Konten
  • Separate Admin-Konten
  • FIDO2-Security-Key oder WHfB für Admins
  • Notfallkonto mit sehr starkem Schutz und klarer Dokumentation
  • Conditional Access für riskante Anmeldungen

Erst wenn privilegierte Konten sauber abgesichert sind, lohnt der breite Rollout an alle Nutzer.


Conditional Access bleibt wichtig

Passkeys ersetzen nicht alle Sicherheitsrichtlinien. Sie sind ein starker Authentifizierungsfaktor, aber Unternehmen sollten weiterhin Conditional Access nutzen.

Sinnvolle Regeln:

  • Blockieren von Legacy Authentication
  • MFA oder phishing-resistente MFA für Admins erzwingen
  • Zugriff aus ungewöhnlichen Ländern prüfen oder blockieren
  • Geräte-Compliance berücksichtigen
  • Riskante Anmeldungen stärker prüfen
  • Gast- und Dienstleisterkonten gesondert behandeln

Passkeys sind ein Baustein. Die Sicherheitsarchitektur entsteht aus mehreren Schichten.


Nutzerkommunikation nicht vergessen

Passwordless scheitert selten an Kryptografie. Häufig scheitert es an Kommunikation.

Nutzer müssen verstehen:

  • Was ein Passkey ist
  • Warum er sicherer ist
  • Was bei Gerätewechsel passiert
  • Warum eine PIN nicht dasselbe ist wie ein Passwort
  • Wie sie sich im Notfall melden

Gerade die PIN-Frage ist wichtig. Viele denken: „Dann ist es doch wieder nur eine PIN.“ Tatsächlich entsperrt die PIN nur den lokalen Schlüssel. Sie wird nicht an Microsoft gesendet und ist ohne das Gerät wertlos.

Diese Erklärung reduziert Widerstand erheblich.


Fazit

Passkeys und Windows Hello for Business sind ein großer Schritt weg vom Passwort. Für Microsoft-365-Umgebungen können sie Phishing-Risiken deutlich senken, besonders bei Admin-Konten und sensiblen Zugriffen.

Der richtige Weg ist kein Big Bang, sondern ein geplanter Rollout: zuerst privilegierte Konten, dann Pilotgruppe, dann breitere Einführung mit klaren Wiederherstellungsprozessen.

Wenn Sie Microsoft 365 passwortloser und sicherer machen möchten, unterstütze ich Sie gerne bei Planung und Umsetzung.