Passkey im Unternehmen: Warum operative Mitarbeitende den Schlüssel zur Zukunft halten

Wenn der Schlüssel zum Symbol wird

In der griechischen Mythologie übergibt Zeus seiner Tochter Hekate die Schlüssel zu drei Welten: Himmel, Erde und Unterwelt. Wer den Schlüssel hält, hält die Macht, Grenzen zu öffnen oder zu schließen. Hekate war keine Wächterin im engen Sinne, sie war die Vermittlerin, die entschied, wer wann wohin Zugang bekam. Was an dieser Figur bis heute fasziniert: Der Schlüssel war nie nur ein technisches Werkzeug. Er war ein Statement darüber, wem Verantwortung übertragen wird.

Genau in diesem Spannungsfeld bewegen sich heute Unternehmen, wenn sie über die Einführung von Passkeys nachdenken. Ein Passkey ist technisch betrachtet ein kryptografisches Schlüsselpaar, ein privater Schlüssel auf dem Endgerät, ein öffentlicher Schlüssel beim Dienstanbieter. Aber wer entscheidet, welche Mitarbeitenden welchen Schlüssel bekommen? Wer kümmert sich um die Mitarbeiterin in der dritten Schicht im Hochregallager, die kein Diensthandy hat und sich seit drei Jahren mit dem gleichen Initial-Passwort durch die Schichtplanung klickt?

Stellen Sie sich eine mittelständische Logistik-Drehscheibe vor, die ihre Belegschaft auf passwortlose Anmeldung umstellen möchte. Der Plan ist ambitioniert: Microsoft Entra ID als zentraler Identity Provider, eine Authenticator-App auf jedem Endgerät, Multi-Faktor-Authentifizierung für alle Online-Dienste. In den ersten Wochen läuft das in der Verwaltung reibungslos. In der Halle dagegen entsteht ein Engpass, mit dem im Projektplan niemand gerechnet hat:

Ein erheblicher Teil der Lagermitarbeitenden besitzt kein privates Smartphone, das sie auf der Arbeit nutzen wollen oder dürfen. Die geteilten Terminals an den Kommissionier-Stationen sind für 1:1-Passkeys nicht ausgelegt. Statt mehr Sicherheit gibt es mehr Workarounds: Klebezettel, geteilte PIN-Listen, ein einziger gemeinsamer Account für eine ganze Schicht. Die Schwachstellen, die die Einführung von Passkeys eigentlich schließen soll, verlagern sich nur an einen anderen Ort.

Dieses Beispiel ist kein Einzelfall, sondern in Logistik, Produktion und Einzelhandel der Normalfall, überall dort, wo Menschen ohne Diensthandy an geteilten Geräten arbeiten. Und es ist exemplarisch für eine größere Wahrheit: Passkey im Unternehmen einsetzen funktioniert nur, wenn man die Realität operativer Mitarbeitender ernst nimmt. Genau hier liegt die strategische Chance.

Was sind Passkeys, und warum ersetzen sie Passwörter? Ein Überblick

Ein Passkey ist eine Authentifizierungsmethode, die auf dem FIDO2-Standard basiert und Passwörter komplett ersetzt. Im Überblick funktioniert die Technologie so: Statt eines Geheimnisses, das auf einem Server gespeichert wird, kommt ein Schlüsselpaar zum Einsatz. Der private Schlüssel bleibt auf dem Gerät der Nutzer, der öffentliche Schlüssel liegt beim Dienst, bei dem die Anmeldung stattfindet. Bestätigt wird die Anmeldung lokal durch biometrischen Login (Fingerabdruck, Gesichtserkennung) oder eine Geräte-PIN.

Der entscheidende Unterschied zu klassischen Passwörtern und älteren Authentifizierungsmethoden: Es gibt nichts mehr, das Angreifer durch Phishing-Angriffe abfangen oder aus einer kompromittierten Cloud-Datenbank stehlen könnten. Selbst täuschend echte Phishing-Mails laufen ins Leere, weil der private Schlüssel das Endgerät nie verlässt. Apple, Google und Microsoft haben sich gemeinsam mit der FIDO Alliance auf diese Standards geeinigt. Das bedeutet, dass Passkeys plattformübergreifend im gesamten Internet funktionieren, von macOS über Android bis hin zu Windows und Microsoft Entra ID. Die Vorteile: höhere Online-Sicherheit, weniger Reibung im Arbeitsalltag und ein messbarer Beitrag zur IT-Effizienz.

In der Praxis sieht das so aus: Eine Mitarbeiterin meldet sich auf einer Website oder in einer App an, das System erkennt ihren Benutzer:innennamen, fragt nach dem Passkey, das Endgerät bestätigt die Identität per Fingerabdruck — fertig. Keine Eingabe, kein Tippen eines Benutzernamens und Passworts, keine SMS mit einem Code, der nach 30 Sekunden abläuft.

Von Multi-Faktor-Authentifizierung zu Passkeys: Warum die nächste Stufe nötig ist

Multi-Faktor-Authentifizierung galt jahrelang als der Goldstandard im Unternehmen. SMS-Code, Authenticator-App, Hardware-Token: Mehrere Faktoren sollten den Diebstahl eines einzelnen Passworts entwerten. Die Idee ist richtig, die Umsetzung aber zunehmend angreifbar. Multi-Faktor-Authentifizierung über SMS lässt sich durch SIM-Swapping aushebeln, App-basierte Codes durch Real-Time-Phishing, Push-Bestätigungen durch sogenannte MFA-Fatigue-Angriffe, bei denen Mitarbeitende mit Anfragen so lange genervt werden, bis sie versehentlich bestätigen.

Passkeys sind keine Erweiterung der Multi-Faktor-Authentifizierung, sondern eine grundlegende Alternative. Sie kombinieren in einem einzigen Schritt das, was MFA in zwei Schritten zu leisten versucht: einen Besitzfaktor (das Endgerät) und einen Inhärenzfaktor (Biometrie). Dadurch entsteht eine Möglichkeit der Authentifizierung, die für Nutzende einfacher und für Angreifer praktisch unangreifbar ist. Wer heute MFA betreibt, hat den ersten Schritt gemacht — Passkeys sind der zweite, und für Frontline-Bereiche oft der entscheidende.

Warum Passwörter im Unternehmenskontext zu einer messbaren Sicherheitslücke geworden sind

Die Diskussion über Passwörter wird oft so geführt, als wären sie ein lästiges Übel — ein Komfort-Problem, kein Sicherheitsproblem. Die Datenlage zeichnet ein anderes Bild. Laut dem Verizon Data Breach Investigations Report 2024 sind 68 Prozent aller Sicherheitsvorfälle auf menschliches Versagen zurückzuführen, wobei kompromittierte Anmeldedaten der häufigste Einstiegsweg für Angreifer sind. In über 80 Prozent der webbezogenen Angriffe spielen gestohlene oder schwache Zugangsdaten eine zentrale Rolle.

Die Sicherheitsrisiken, die mit Passwörtern verbunden sind, lassen sich in vier Kategorien zusammenfassen: Phishing (eine Mail, die zu einer Eingabe verleitet), Credential Stuffing (Passwörter aus Leaks werden auf andere Online-Konten angewendet), schwache Passwörter (immer noch zu oft "Sommer2024!" mit Großschreibung) und vor allem: die Wiederverwendung. Mitarbeitende, die sich an dutzenden Systemen anmelden müssen, verwenden Variationen desselben Schlüssels. Dort liegt eine Schwachstelle, die kein Multi-Faktor-Authentifizierungs-System der Welt vollständig kompensieren kann.

Multi-Faktor-Authentifizierung ist ein wichtiger Schritt, aber sie löst das Grundproblem nicht. Ein zweiter Faktor, der per SMS oder Authenticator-App ausgeliefert wird, kann durch Social Engineering, SIM-Swapping oder Token-Phishing umgangen werden. Passkeys lösen das, weil sie phishing-resistent sind: Es gibt keinen Code, den ein Mensch weitergeben könnte. Diese Eigenschaft allein macht den Umstieg auf Passkeys zu einer der wirkungsvollsten Investitionen in Cybersicherheit, die ein Unternehmen 2026 tätigen kann.

Die besondere Herausforderung: operative Mitarbeitende und geteilte Geräte

Office-Mitarbeitende und Frontline-Mitarbeitende leben in zwei verschiedenen digitalen Welten. Wer am Schreibtisch arbeitet, hat einen festen Account, ein festes Endgerät, ein Diensthandy. Wer in Produktion, Logistik oder Einzelhandel arbeitet, teilt sich oft ein Terminal mit drei Kolleginnen pro Schicht, hat keine Firmen-E-Mail-Adresse, und in vielen Werken ist das private Smartphone am Arbeitsplatz schlichtweg aus Sicherheitsgründen, aus Hygienegründen oder aus Datenschutzgründen verboten.

Die Standard-Verfahren für Passkeys gehen aber genau davon aus: ein Nutzer, ein persönliches Gerät, eine biometrische Bestätigung. Diese Annahme bricht in der operativen Welt zusammen. Die Folgen sind nicht trivial. Wenn die Einführung von Passkeys an dieser Stelle scheitert, entstehen Parallelstrukturen. Mitarbeitende behalten ihre alten Passwörter, IT-Teams pflegen zwei Systeme parallel, und der versprochene Sicherheitsgewinn löst sich auf.

Es gibt vier Lösungsansätze, die in der Praxis tragfähig sind:

1. Hardware-Token mit NFC oder USB-C. Ein YubiKey oder ein vergleichbarer FIDO2-Schlüssel kann an einem Schlüsselbund getragen werden, ist robust, batterielos, und erlaubt die Anmeldung an geteilten Geräten per Antippen. Für Mitarbeitende ohne Smartphone ist dies derzeit der Goldstandard.

2. QR-Code-Login mit dem Privatgerät. Wo persönliche Smartphones erlaubt sind, kann ein QR-Code am Terminal gescannt werden, die Authentifizierung läuft dann auf dem Endgerät der Nutzerin. Dieses Verfahren ist gut für Filialen und Backoffice-Bereiche.

3. Shared-Device-Passkeys mit isolierten Schlüsselpartitionen. Microsoft, Apple und Google entwickeln derzeit Lösungen, bei denen mehrere Nutzer auf einem Gerät getrennte Schlüssel-Partitionen haben — wichtig für Kassenterminals, POS-Systeme und Werks-PCs.

4. Biometrisches Terminal-Login. In hochsensiblen Bereichen (Pharma-Produktion, Lebensmittel-Verarbeitung) ist ein fest installiertes biometrisches Lesegerät am Terminal eine Option, oft kombiniert mit einem RFID-Badge als zweitem Faktor.

Eine kompakte Übersicht für die Praxis:

Entra ID, Google Workspace und die Grenzen klassischer Identity Provider

Microsoft Entra ID ist heute das Standard-Werkzeug, wenn Unternehmen über die Einführung von Passkeys nachdenken. Die Plattform unterstützt FIDO2 nativ, integriert sich tief in Microsoft 365 und erlaubt eine zentrale Verwaltung von Authentifizierungsmethoden über alle Office-Mitarbeitenden hinweg. Für Schreibtisch-Belegschaften ist Entra ID eine ausgereifte Lösung und ein wichtiger Beitrag zur Cybersicherheit im Unternehmen.

Für Frontline-Mitarbeitende bleibt Entra ID jedoch eine halbe Antwort. Drei Punkte fallen in der Praxis auf. Erstens setzt Entra ID auf eine Architektur, die für Mitarbeitende mit eigenem Endgerät und Microsoft-365-Account konzipiert ist; wer kein Diensthandy und keine geschäftliche E-Mail hat, fällt durchs Raster. Zweitens ist die Registrierung neuer Authentifizierungsmethoden für Frontline-Teams oft umständlich — Self-Service-Portale verlangen Schritte, die im Schichtbetrieb nicht funktionieren. Drittens fehlt der direkte Bezug zur täglichen Arbeit: Entra ID ist ein Identity Provider, keine Plattform, in der Mitarbeitende kommunizieren, Aufgaben erledigen oder Informationen finden.

Diese Lücke ist nicht kosmetisch, sondern strukturell. Eine gute Lösung für Passkey im Unternehmen muss zwei Welten verbinden: die strenge Logik der IT-Sicherheit und die Lebenswirklichkeit operativer Mitarbeitender. Genau hier setzt eine Plattform-Architektur an, die für Frontline-Teams gebaut ist, statt für sie nachgerüstet zu werden.

Wo Flip ins Bild kommt — und warum es um mehr geht als Log-in

Passkeys sind nur dann ein Gewinn, wenn Mitarbeitende sie tatsächlich nutzen. Genau das ist die Stelle, an der eine Mitarbeiter-App wie Flip einen Unterschied macht: Sie ist für viele Frontline-Mitarbeitende der erste tägliche Berührungspunkt mit den digitalen Systemen ihres Arbeitgebers. Sie ist der Ort, an dem Anmelden, Schichtinfos abrufen und auf andere Systeme zugreifen zu einer Bewegung verschmelzen.

Mit Flip Identity wird der Anmeldevorgang für operative Teams konsequent neu gedacht: ein einziger, sicherer Zugang zu allen relevanten Anwendungen, ohne dass Mitarbeitende für jedes System eine eigene Kombination aus Benutzername und Passwort verwalten müssen. Damit wird Flip nicht nur zur Plattform für Mitarbeiterkommunikation, sondern zum digitalen Schlüsselbund derjenigen, die das Unternehmen jeden Tag am Laufen halten.

Einführung von Passkeys: Was wirklich funktioniert

Die Einführung von Passkeys gelingt nicht, indem ein Memo an alle Mitarbeitenden geht. Sie gelingt, indem ein Unternehmen die Mitarbeitenden in den Mittelpunkt stellt, nicht das Authenticator-Tool. Aus den Projekten, die wir gesehen haben, lassen sich vier Schritte herausschälen, die den Unterschied machen.

Erstens: Mit einer Pilotgruppe starten. 30 bis 50 Mitarbeitende, idealerweise mit gemischtem Profil — Verwaltung, Schicht, Außendienst — bekommen Passkeys, Hardware-Token und ein klares Onboarding. Nach vier Wochen weiß man, welche Probleme auftreten und welche Lösungen tragen. Diese Phase ist nicht verhandelbar.

Zweitens: Den Identity Provider bewusst wählen. Microsoft Entra ID bietet derzeit die ausgereifteste Unterstützung für FIDO2 und Passkeys in Unternehmensumgebungen. Google Workspace zieht nach. Wichtig: Die Wahl bestimmt, welche Methoden für Kontowiederherstellung, MFA und Self-Service zur Verfügung stehen.

Drittens: Kontowiederherstellung von Anfang an mitdenken. Was passiert, wenn ein Mitarbeiter sein Hardware-Token verliert? Was, wenn ein Endgerät kaputt geht? Ohne durchdachten Recovery-Prozess wird der Support überrannt — und Mitarbeitende fallen zurück in alte Routinen. Empfehlenswert ist eine Kombination aus zweitem Hardware-Token, gesicherter Recovery durch HR und klar dokumentierten Notfall-Verfahren.

Viertens: Kommunikation als eigenen Workstream verstehen. Mitarbeitende müssen nicht nur wissen, dass sich etwas ändert. Sie müssen verstehen, warum, was sie davon haben, und wo sie Hilfe bekommen. In der Praxis hat sich bewährt, Mitarbeiter-Apps wie Flip dafür zu nutzen — als zentralen Ort für Schritt-für-Schritt-Erklärungen, kurze Videos und einen direkten Draht zum IT-Support.

Was bedeutet das für die Zukunft?

Wenn man weiter denkt, ist die Frage nicht, ob Unternehmen Passkeys einführen, sondern wann. Apple, Google und Microsoft haben den Standard gesetzt, immer mehr Online-Dienste unterstützen ihn, und die Innovatoren in der Industrie haben den Umstieg bereits abgeschlossen. Wer 2026 noch auf reine Passwort-Authentifizierung setzt, signalisiert nicht Stabilität, sondern Stillstand.

Strategisch interessant ist dabei nicht nur der Sicherheitsgewinn. Die eigentliche Verschiebung liegt darin, wie Identitäten im Unternehmen gemanagt werden. Identity Access Management entwickelt sich von einer reinen IT-Funktion zu einer strategischen Dimension der Mitarbeitererfahrung. Ein Unternehmen, das seinen operativen Mitarbeitenden einen sicheren, schnellen und würdevollen Zugang zu ihren Werkzeugen gibt, sagt damit etwas Größeres: dass diese Mitarbeitenden zur Kernbelegschaft gehören und eben nicht zu einer schlecht bedienten Randgruppe.

Und genau das wird in den kommenden drei Jahren über Wettbewerbsfähigkeit entscheiden. Frontline-Mitarbeitende sind in vielen Branchen der Engpass: zu wenige, zu wenig digital ausgestattet, zu lange ignoriert. Wer ihnen einen modernen Hauptschlüssel zu allen Systemen in die Hand gibt, gewinnt nicht nur Sicherheit, sondern Bindung. Wer es nicht tut, sucht in fünf Jahren immer noch nach den richtigen Bewerberinnen.

Fazit: Wer den Schlüssel hält, gestaltet die Zukunft mit

Einen Passkey im Unternehmen einzusetzen, stellt mehr als ein technisches Upgrade dar. Seine Integration ist eine Entscheidung über Vertrauen. Vertrauen darauf, dass Mitarbeitende, auch ohne IT-Studium und auch ohne Diensthandy, in der Lage sind, sicher mit den Werkzeugen ihrer Arbeit umzugehen, wenn man ihnen die richtigen Verfahren in die Hand gibt. Die FIDO2-Standards, die Verfügbarkeit in Microsoft Entra ID und die ausgereiften Lösungen für geteilte Endgeräte machen 2026 zum Jahr, in dem es keine technischen Ausreden mehr gibt. Was bleibt, ist die strategische Frage: Wem geben Sie den Schlüssel?

Quellenangabe: Verizon: 2024 Data Breach Investigations Report; FIDO Alliance: Passkeys (Passkey Authentication).

FAQ - Passkey in Unternehmen