FIDO2: Mehr Sicherheit ganz ohne Passwörter
Nicht wenige Unternehmen setzen noch immer auf veraltete Authentifizierungsmechanismen wie schwache Passwörter oder angreifbare MFA-Verfahren. Der Artikel beleuchtet, wie FIDO2 als moderner Web-Authentifizierungsstandard auf Basis asymmetrischer Kryptografie echte Passwortfreiheit ermöglicht und den Zero-Trust-Ansatz technisch fundiert umsetzt.
In vielen Firmen ist es immer noch gelebte Praxis: Mitarbeiter nutzen lediglich schwache Passwörter wie "1234567" oder "password" – und diese auch noch für mehrere Accounts. Ein Risiko, das es angesichts der zunehmenden Cyberangriffe dringlichst zu vermeiden gilt. Wer sich hingegen durch Multifaktor-Authentifizierung (MFA) in Sicherheit wähnt, freut sich zu früh. Denn hier lassen sich Phishing-Attacken unbefugter Dritter ebenfalls nicht ausschließen. Sicherheits- und Datenschutzexperten plädieren deshalb für ein Phishing-resistentes Verfahren komplett ohne Passwörter, das die Kriterien von Zero Trust erfüllen kann: Fast Identity Online (FIDO2).
Bekannte Muster, neue Risiken
Ein Blick in die Organisation zeigt: In vielen Unternehmen mangelt es nicht an Sicherheitsrichtlinien, sondern an deren praktischer Umsetzung. Mitarbeiter wählen leicht zu merkende Passwörter, verwenden sie mehrfach – teils über berufliche und private Anwendungen hinweg – und ändern sie selten. Ein schwaches Passwort an einem sensiblen Zugangspunkt genügt, um Angreifern Tür und Tor zu öffnen. Existieren strenge Vorgaben vonseiten der IT-Abteilungen, bleiben diese oftmals unberücksichtigt. Der Grund: Die Benutzerfreundlichkeit kommt zu kurz.
Auch die Einführung von Multi-Faktor-Authentifizierung bietet nur bedingt Schutz. Zwar wird durch einen zweiten Faktor wie eine SMS oder Authenticator-App die Hürde erhöht, doch Cyberkriminelle haben längst Mittel gefunden, diese Verfahren zu umgehen – etwa durch sogenannte MFA-Phishing-Kampagnen. In der Konsequenz geraten selbst Unternehmen mit erweiterten Schutzmechanismen ins Visier der Angreifer. Umso wichtiger ist es, auf moderne, manipulationssichere Werkzeuge zu setzen, die Vertrauen nicht mehr voraussetzen, sondern technisch erzwingen. Damit verfolgen Verantwortliche konsequent das Zero-Trust-Prinzip.
FIDO2 – der Kerngedanke
Doch was verbirgt sich hinter dem Web-Authentifizierungsstandard, der von der FIDO Alliance und vom World Wide Web Consortium (W3C) ins Leben gerufen wurde? Basierend auf der Public-Key-Kryptografie ermöglichen FIDO2-Protokolle eine maximal sichere, passwortlose Authentifizierung. Dabei lässt sich die Identität eines Benutzers erst durch einen zweiteiligen Schlüsselbund validieren. Ein privater Schlüssel verbleibt sicher auf dem FIDO2-Key, während ein öffentlicher Schlüssel beim Identity Provider gespeichert wird. Das Beste aus diesem Zusammenspiel ist, dass sensible Informationen nicht an den Identity Provider weitergeleitet werden.
Technisch gesehen setzt FIDO2 auf zwei zentrale Protokolle, die gemeinsam für Sicherheit sorgen: WebAuthn (Web Authentication) und CTAP (Client to Authenticator Protocol). WebAuthn regelt die Kommunikation zwischen Webdienst (Server) und Browser. CTAP hingegen ist für den Austausch zwischen Browser und dem eigentlichen Authentifizierungsgerät – etwa einem Sicherheitsschlüssel oder eingebetteten Modul – zuständig.
Die Hardwarekomponente der FIDO2-Sicherheitsschlüssel bilden meist USB- oder NFC-Token. Diese lassen sich flexibel an unterschiedlichen Geräten einsetzen und bieten dadurch ein Plus an Sicherheit, insbesondere bei hochsensiblen Zugängen. Durch die physische Trennung vom Endgerät eignen sie sich besonders für privilegierte Konten oder stark regulierte Umgebungen.
Passkeys für mehr Usability
In puncto Nutzerfreundlichkeit hat jedoch eine weitere FIDO2-Möglichkeit, die Nase vorn: Passkeys. Sie nutzen die im Gerät integrierte Hardware – etwa im Smartphone oder Laptop – und speichern dort den privaten Schlüssel sicher ab. Zur Authentifizierung genügt es, das Gerät über biometrische Merkmale, zum Beispiel Fingerabdruck, Face ID oder eine PIN zu entsperren. Ein zusätzlicher Token ist nicht erforderlich, die Anmeldung erfolgt komfortabel direkt auf dem Endgerät.
Doch genau hier liegt zugleich die Herausforderung: Ist ein Gerät verloren oder kompromittiert, kann der Zugriff – je nach Konfiguration – erschwert oder unmöglich werden. Zudem lässt sich die zentrale Verwaltung von Passkeys in Unternehmensnetzwerken bislang nur mit zusätzlicher Infrastruktur wie MDM-Systemen oder Identity-Plattformen effektiv umsetzen. Für Organisationen mit hohen Compliance-Ansprüchen empfiehlt sich daher eine Kombination aus Passkeys für den Alltag und dedizierten FIDO2-Sicherheitsschlüsseln für besonders kritische Rollen und Systeme.
In der Praxis: FIDO2 strategisch einführen
Wer FIDO2 als Multifaktor-Authentifizierungsmethode im Unternehmen implementieren möchte, sollte sich frühzeitig mit den strategischen und technischen Voraussetzungen auseinandersetzen. Schließlich gilt: Auch wenn FIDO2 ein hohes Sicherheitsniveau verspricht, ersetzt es nicht automatisch alle bestehenden Verfahren. Daneben funktioniert es lediglich dann reibungslos, wenn IT-Verantwortliche den gesamten Lifecycle von Identitäten, Geräten und Wiederherstellungsprozessen mitdenken.
Über den Erfolg entscheidet demnach die richtige Kombination aus Passkeys für komfortable Authentifizierung im Arbeitsalltag und FIDO2-Hardware-Keys sowohl für besonders schützenswerte Zugänge als auch Phishing-resistente und passwortlose Verfahren für Endanwender und Administratoren. Neben der technischen Integration nimmt also auch ein durchdachtes Gerätemanagement eine zentrale Rolle ein. Dieses muss nachvollziehbar regeln, wo welche Schlüssel registriert sind – und welche Benutzer sie verwenden dürfen. Je nach Einsatzzweck bieten sich unterschiedliche Strategien an:
Für Standardnutzer in moderat geschützten Umgebungen eignen sich synchronisierte Passkeys mit Identity-Provider-Anbindung oder der Einsatz von FIDO2-Keys.
Für privilegierte Nutzer und Admins empfiehlt sich der Einsatz von hardwaregebundenen Sicherheitsschlüsseln – idealerweise doppelt pro Person, um Wiederherstellungsprozesse abzusichern.
In föderierten SSO-Umgebungen lässt sich die Passkey-Unterstützung zentral über den Identity Provider steuern, um den Wartungsaufwand gering zu halten.
Für gemeinsam genutzte Geräte, beispielsweise Schichtarbeitsplätze, sind Passkeys ungeeignet – hier sollten Firmen auf physische Authenticator zurückgreifen.
Wer sich unsicher ist, kann bei erfahrenen Experten wie q.beyond eine kostenfreie strategische Erstberatung anfragen. Denn von der Beratung bis hin zur Implementierung und Pre-Provisionierung von FIDO2-Keys ist Unterstützung möglich – so muss das Unternehmen selbst nur noch die PIN-Eingabe durchführen.
Fazit
FIDO2 ist mehr als ein technisches Nice-to-have. Der neue Authentifizierungsstandard stellt einen Paradigmenwechsel hin zu Zero Trust dar. Damit setzen Unternehmen auf ein Sicherheitsmodell, das kein Vertrauen voraussetzt, sondern über kryptografisch abgesicherte Authentifizierung hinweg Vertrauen herstellt. Eine solide Basis, die Unternehmen heute dringender denn je benötigen.
Autoren:
Mashhoud Ghadrdan Idlou unterstützt die q.beyond AG im Bereich Cloud & Application Consulting. Seine langjährige Erfahrung als Microsoft System Administrator und Consultant in den Bereichen Identity and Access Management und Cloud Solutions ist in Kundenprojekten eine Bereicherung.
Marc Müller schnuppert neben seinem Studium im Bereich Wirtschaftsinformatik an der FOM Hochschule für Ökonomie & Management Praxisluft im q.beyond Team. Bereits seit 2023 wirkt er im Fachvertrieb Cloud mit.