Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert mit der Veröffentlichung der Technischen Richtlinie BSI TR-03188 „Passkey Server“ einen maßgeblichen Meilenstein. Passkeys werden hierdurch offiziell als Stand der Technik eingeordnet und gewinnen aus technischer sowie regulatorischer Perspektive massiv an Relevanz.
Für mittelständische Unternehmen bedeutet dies weit mehr als die bloße Einführung einer neuen Anmeldemethode. Die Richtlinie liefert klare, verbindliche Vorgaben für den sicheren Einsatz von Passkeys. Angesichts strengerer gesetzlicher Vorgaben durch NIS2, das novellierte BSI-Gesetz und den Cyber Resilience Act ist eine strategische Neuausrichtung der Authentifizierungsverfahren zwingend erforderlich, um wirksame Schutzmaßnahmen gegen Cyberangriffe nachzuweisen.
Warum klassische Passwörter an ihre Grenzen stoßen
Passwörter, selbst in Kombination mit SMS-TANs, Authenticator-Apps oder Push-Bestätigungen, bleiben das bevorzugte Einfallstor für Angreifer. Moderne Phishing-Kampagnen agieren derart professionell, dass gefälschte Anmeldeseiten für den Nutzer kaum noch zu identifizieren sind.
Angreifer fangen Zugangsdaten und Einmalcodes in Echtzeit ab und nutzen diese umgehend für den unautorisierten Zugriff auf Unternehmensnetzwerke. Die weitreichenden Konsequenzen sind Kontoübernahmen, gravierende Datenschutzverletzungen und immense wirtschaftliche Schäden.
Passkeys: Hochsichere Authentifizierung ohne Passwort
Passkeys implementieren ein fundamental anderes Sicherheitskonzept basierend auf asymmetrischer Kryptografie. Bei der Registrierung wird lokal auf dem Endgerät des Nutzers ein individuelles Schlüsselpaar generiert:
- Der private Schlüssel verbleibt kompromisslos und ausschließlich auf dem Gerät.
- Der öffentliche Schlüssel wird beim entsprechenden Onlinedienst hinterlegt.
- Bei jeder Anmeldung wird eine kryptografische Signatur erzeugt. Der private Schlüssel verlässt das Gerät zu keinem Zeitpunkt.
Ein entscheidender Faktor: Passkeys sind untrennbar an die tatsächliche Internet-Domain gebunden. Selbst technisch perfekt nachgebildete Phishing-Webseiten können keine gültige Anmeldung erzwingen. Typische Angriffsvektoren werden somit architektonisch ausgeschlossen.
Die 3 Vertrauensniveaus nach BSI TR-03188
Normales Niveau
Einsatz synchronisierter Passkeys. Fokus auf Nutzerkomfort bei gleichzeitig drastisch verbessertem Schutz gegenüber klassischen Passwörtern. Geeignet für Anwendungen mit geringem Schadenspotenzial.
Substantielles Niveau
Verpflichtende Nutzerverifikation gefordert. Serverseitige Überprüfung durch biometrische Verfahren oder Geräte-PIN zwingend erforderlich. Ideal für die Verarbeitung sensibler Daten oder Finanztransaktionen.
Hohes Niveau
Ausschließlich gerätegebundene Passkeys auf zertifizierten Hardware-Token zugelassen. Cloud-Synchronisation und Passwort-Fallbacks sind ausgeschlossen. Zwingend für Kritische Infrastrukturen und Hochsicherheitsbereiche.
Passkeys und gesetzliche Compliance
Unternehmen, die den Vorgaben von NIS2 oder dem neuen BSI-Gesetz unterliegen, müssen zwingend geeignete Maßnahmen zur starken Authentifizierung nachweisen. Die TR-03188 definiert hierfür den anerkannten technischen Referenzrahmen. Die konsequente Umsetzung bedeutet für Verantwortliche:
- Maximale Rechtssicherheit bei der Auswahl moderner Authentifizierungsverfahren
- Transparente Nachweisbarkeit gegenüber Aufsichtsbehörden und Auditoren
- Signifikante Reduzierung des Risikos erfolgreicher Cyberangriffe
- Nachhaltige Erfüllung der Rechenschaftspflicht nach DSGVO (Art. 5 Abs. 2) und Sicherheit der Verarbeitung (Art. 32 DSGVO)
Herausforderungen bei der organisatorischen Einführung
Während die technische Implementierung von WebAuthn gut dokumentiert ist, erfordern die organisatorischen Prozesse höchste Aufmerksamkeit:
1. Sichere Kontowiederherstellung (Recovery)
Bei Verlust eines Endgeräts darf der Zugang keinesfalls über unsichere Legacy-Verfahren wiederhergestellt werden. Es bedarf strikt definierter Recovery-Prozesse und der Möglichkeit, mehrere Passkeys pro Benutzer zu registrieren.
2. Integration in die Bestandsarchitektur
Fehlt Fachanwendungen die native WebAuthn-Unterstützung, ist der Einsatz eines zentralen Identity- und Access-Management-Systems (IAM) mit Single Sign-on (SSO) der strategisch empfohlene Weg zur schrittweisen Integration.
3. Hardware-Auswahl für Hochsicherheitsbereiche
Für Administratoren und Führungskräfte sind zertifizierte FIDO2-Hardware-Token unerlässlich, da sie den Export privater Schlüssel physisch unterbinden und das geforderte hohe Sicherheitsniveau gewährleisten.
Strategische Informationssicherheit für Ihr Unternehmen
Die flächendeckende Etablierung von Passkeys ist keine kurzlebige Modeerscheinung, sondern der fundamentale Wandel der digitalen Identitätssicherung. Unternehmen, die jetzt adaptieren, minimieren Haftungsrisiken, erfüllen regulatorische Anforderungen proaktiv und entlasten ihre IT-Administration messbar.
Mit der BSI TR-03188 verfügen wir nun über das offizielle Fundament für diese Transformation. Die Janus Datenschutz GmbH begleitet Sie kompetent bei der Bewertung regulatorischer Pflichten, der DSGVO-konformen Konzeptionierung und der Implementierung einer belastbaren Sicherheitsarchitektur.
Häufig gestellte Fragen (FAQ)
Ja, Passkeys unterstützen die Vorgaben der DSGVO optimal. Da der private Schlüssel das Endgerät nicht verlässt und biometrische Daten (wie Fingerabdruck oder Face-ID) ausschließlich lokal auf dem Gerät des Nutzers verarbeitet und nicht an den Server übertragen werden, entspricht dieses Verfahren den Prinzipien der Datenminimierung und Privacy by Design (Art. 25 DSGVO). Zudem wird die Sicherheit der Verarbeitung (Art. 32 DSGVO) durch den starken Phishing-Schutz signifikant erhöht.
Nicht zwingend. Für das vom BSI definierte „Normale“ und „Substantielle Vertrauensniveau“ können bestehende Endgeräte wie moderne Smartphones, Tablets oder Laptops mit integrierten Sicherheitschips (TPM/Secure Enclave) genutzt werden. Lediglich für das „Hohe Vertrauensniveau“ (z.B. für IT-Administratoren oder kritische Infrastrukturen) sind dedizierte, zertifizierte FIDO2-Hardware-Token (wie z.B. YubiKeys) erforderlich.
Der Verlust eines Geräts stellt kein akutes Sicherheitsrisiko dar, da der Passkey durch die lokale Geräte-PIN oder Biometrie geschützt ist. Der Finder kann sich somit nicht anmelden. Administrativ muss der verlorene Passkey im System widerrufen werden. Um einen reibungslosen Ablauf zu gewährleisten, sollten organisatorische Richtlinien vorsehen, dass Mitarbeiter stets mindestens zwei Passkeys registrieren (z.B. Smartphone und Firmen-Laptop).
Die TR-03188 definiert den Rahmen für den Einsatz von Passkeys. Wo Passkeys (noch) nicht technisch implementierbar sind, gelten weiterhin die bekannten BSI-Vorgaben für klassische Passwörter. Ziel ist es jedoch, kritische und sensible Systeme sukzessive auf passwortlose, kryptografische Verfahren umzustellen, da klassische Passwörter den aktuellen Stand der Technik hinsichtlich Phishing-Resistenz nicht mehr abbilden können.