Die besten FIDO2-Smartcards für die Unternehmensauthentifizierung 2026

1. Einleitung#

Seit Jahrzehnten bilden Smartcards das Fundament für hochsichere Identitäten im öffentlichen Sektor und in Unternehmen. Ihre sichere, manipulationsgeschützte Hardware dient als vertrauenswürdige Basis für die Zugangskontrolle zu kritischen Systemen und Einrichtungen. Die moderne Unternehmenslandschaft, geprägt durch die rasante Cloud-Adaption und die allgegenwärtige Bedrohung durch ausgefeilte Phishing-Angriffe, stellt herkömmliche Authentifizierungsmethoden jedoch vor Herausforderungen, die sie kaum noch effektiv bewältigen können. Als Reaktion darauf hat sich die Technologiebranche auf einen neuen Standard geeinigt: FIDO2 (Fast Identity Online) und dessen benutzerfreundliche Implementierung, die als „Passkeys“ bekannt ist. Das Ziel: eine wirklich phishing-resistente, passwortlose Authentifizierung.

FIDO2-Smartcards befinden sich an der strategischen Schnittstelle dieser beiden Welten. Sie sind nicht einfach nur eine neue Art von Anmeldeinformation, sondern ein mächtiges Werkzeug für die Konvergenz. Diese Karten ermöglichen es, mit einem einzigen physischen Token sowohl Legacy-Systeme abzusichern, die auf einer Public Key Infrastructure (PKI) basieren (wie Workstation-Login und VPN), als auch moderne Webanwendungen zu nutzen, die auf FIDO2 setzen. In vielen Fällen kann dieselbe Karte auch den physischen Gebäudezugang steuern und so die gesamte Sicherheitsarchitektur eines Unternehmens auf einem einzigen Ausweis vereinen.

Dieser Bericht bietet IT-Entscheidungsträgern und Sicherheitsarchitekten eine detaillierte Analyse und beantwortet die wichtigsten Fragen, die sich bei der Auswahl einer FIDO2-Smartcard-Lösung im Jahr 2025 stellen:

1. Was sind die Kerntechnologien hinter einer FIDO2-Smartcard?

2. Welche sind die besten FIDO2-Smartcards für den Unternehmenseinsatz?

3. Ersetzen FIDO2-Smartcards traditionelle PKI-basierte Smartcards?

4. Wie schneiden FIDO2-Smartcards im Vergleich zu plattformbasierten Passkeys auf Smartphones und Laptops ab?

5. Welche FIDO2-Smartcard ist die richtige Wahl für spezifische Unternehmensanforderungen?

Hinweis zum Umfang: Zertifizierungen, Schnittstellenoptionen und integrierte Technologien für den physischen Zugang können selbst innerhalb derselben Produktfamilie je nach Artikelnummer (SKU) stark variieren. Es ist zwingend erforderlich, vor der Beschaffung die genaue Teilenummer mit den Anforderungen Ihrer Organisation abzugleichen.

2. Die Kerntechnologien verstehen: FIDO2 und PKI auf einem einzigen Ausweis#

Eine FIDO2-Smartcard ist ein Gerät im Scheckkartenformat (ID-1), das einen sicheren kryptografischen Chip enthält, oft als „Secure Element“ bezeichnet. Dieser Chip fungiert als FIDO2-Authenticator und ist darauf ausgelegt, kryptografische private Schlüssel direkt auf der Karte zu generieren und zu speichern. Diese Architektur stellt sicher, dass die privaten Schlüssel niemals dem Host-Computer oder einem Netzwerk ausgesetzt sind, was die Basis des Sicherheitsmodells bildet. Diese Karten verfügen typischerweise sowohl über eine kontaktbehaftete Schnittstelle (gemäß ISO/IEC 7816) für herkömmliche Lesegeräte als auch über eine kontaktlose Near Field Communication (NFC)-Schnittstelle (gemäß ISO/IEC 14443) zum „Tappen“ an Laptops, Tablets und Smartphones.

Wichtige Standards erklärt

Um eine fundierte Entscheidung zu treffen, ist es wichtig, die verschiedenen Standards zu verstehen, die diese hybriden Geräte unterstützen.

• FIDO2 (Fast Identity Online): Hierbei handelt es sich nicht um eine einzelne Technologie, sondern um eine offene Sammlung von Standards, die von der FIDO Alliance entwickelt wurde, um Passwörter durch stärkere, einfachere und sicherere Authentifizierungsmethoden zu ersetzen. Das FIDO2-Projekt besteht aus zwei Hauptkomponenten:

  • WebAuthn (Web Authentication): Ein Standard des World Wide Web Consortium (W3C). WebAuthn ist eine Programmierschnittstelle (API), die es Webbrowsern und Anwendungen ermöglicht, mit FIDO2-Authenticators zu kommunizieren. Es ist die Softwareschicht, die den passwortlosen Login auf Websites ermöglicht.

  • CTAP2 (Client to Authenticator Protocol 2): CTAP2 ist das Protokoll, das die Kommunikation zwischen einem Host-Gerät (wie einem Laptop oder Smartphone) und einem externen Authenticator (wie einer FIDO2-Smartcard) ermöglicht. Diese Kommunikation erfolgt über physische Schnittstellen wie ein Kontaktlesegerät, NFC oder USB.

• PKI (Public Key Infrastructure): PKI ist ein umfassendes System zur Erstellung, Verwaltung, Verteilung und zum Widerruf von digitalen Zertifikaten. Diese Zertifikate dienen dazu, öffentliche Schlüssel an bestimmte Identitäten, wie eine Person oder ein Gerät, zu binden. Im Gegensatz zu FIDO verlässt sich PKI auf ein hierarchisches und zentralisiertes Vertrauensmodell, das in einer vertrauenswürdigen dritten Partei, der Certificate Authority (CA), verankert ist. Die CA signiert Zertifikate digital, bürgt für die Identität des Inhabers, und Dienste vertrauen dieser Signatur. Zu den primären Anwendungsfällen von PKI in Unternehmen gehören der Windows-Smartcard-Logon via Certificate-Based Authentication (CBA), das digitale Signieren von Dokumenten und S/MIME-E-Mail-Verschlüsselung.

• Personal Identity Verification (PIV): PIV ist ein Standard der US-Regierung, definiert im NIST FIPS 201, für einen hochsicheren Identitätsnachweis, der an Bundesbedienstete und Auftragnehmer ausgegeben wird. Im kommerziellen Sektor ist eine „PIV-kompatible“ Smartcard eine Karte, die das spezifische Datenmodell und die PKI-Zertifikatsprofile implementiert, die durch den PIV-Standard definiert sind. Diese Kompatibilität sorgt dafür, dass sie nativ für den Smartcard-Logon auf Windows-, macOS- und Linux-Systemen unterstützt wird.

• Initiative for Open Authentication (OATH): OATH ist ein offener Standard, der sich auf die Generierung von Einmalpasswörtern (OTPs) konzentriert. Er ist die Basis sowohl für zeitbasierte (TOTP) als auch für HMAC-basierte (HOTP) Algorithmen. Einige hybride Smartcards enthalten ein OATH-Applet, um Abwärtskompatibilität mit Legacy-Systemen wie VPNs zu bieten, die noch auf OTPs zur Authentifizierung angewiesen sind.

Sicherheitszertifizierungen entmystifiziert

Die Sicherheit einer Smartcard wird durch strenge, unabhängige Testprogramme validiert. Zwei Zertifizierungen sind in diesem Bereich von größter Bedeutung:

• FIPS 140-2/3 (Federal Information Processing Standard): Dies ist ein Standard der US-Regierung, der die Sicherheitsanforderungen für kryptografische Module spezifiziert. Eine FIPS 140-2 oder die neuere 140-3 Zertifizierung bedeutet, dass der kryptografische Chip der Smartcard formal von staatlich akkreditierten Laboren auf Sicherheit, Integrität und Manipulationsschutz getestet und validiert wurde. Diese Zertifizierung ist oft eine zwingende Voraussetzung für den Einsatz in Regierungsbehörden, im Verteidigungssektor und anderen Hochsicherheitsbereichen.

• Common Criteria (CC) Evaluation Assurance Level (EAL): Die Common Criteria (ISO/IEC 15408) sind ein internationaler Standard für die Zertifizierung von Computersicherheit. Der EAL ist eine numerische Einstufung von 1 bis 7, die die Tiefe und Strenge der Sicherheitsprüfung beschreibt. Eine höhere Einstufung, wie EAL5+ oder EAL6+, zeigt an, dass das Produkt einen aufwendigeren Prozess der Designverifizierung, Tests und Analysen durchlaufen hat, was ein höheres Vertrauen in seine Sicherheitsversprechen bietet.

Ein häufiges Missverständnis ist, ob FIDO einfach eine andere Form von PKI ist. Während beide Technologien auf den Prinzipien der asymmetrischen Kryptografie (Public/Private Key) basieren, sind ihre zugrunde liegenden Vertrauensmodelle grundlegend verschieden und dienen unterschiedlichen Zwecken. PKI verwendet ein zentralisiertes Vertrauensmodell, bei dem eine Zertifizierungsstelle (CA) als vertrauenswürdiger Vermittler für eine Identität bürgt. Ein Dienst verifiziert die Identität eines Nutzers, indem er der CA vertraut, die dessen Zertifikat ausgestellt hat. Im starken Kontrast dazu nutzt FIDO ein dezentrales Vertrauensmodell. Bei der Registrierung für einen neuen Dienst generiert der FIDO-Authenticator ein einzigartiges Schlüsselpaar speziell für diesen Dienst. Der Dienst vertraut dann diesem öffentlichen Schlüssel direkt, ohne eine vermittelnde CA. Diese direkte Beziehung pro Dienst macht FIDO von Natur aus datenschutzfreundlich (verhindert das Tracking von Nutzern über verschiedene Seiten hinweg) und deutlich einfacher für die webbasierte Authentifizierung zu implementieren.

3. Detaillierter Überblick: Die Top FIDO2-Smartcards für 2025#

Die für diesen Bericht ausgewählten Smartcards sind solche, bei denen FIDO2 ein primäres, gut dokumentiertes Feature ist, das für den unternehmensweiten Einsatz konzipiert wurde. Diese Auswahl priorisiert Produkte mit klarer technischer Dokumentation, robuster Management-Software-Unterstützung und bestätigter Marktverfügbarkeit im Jahr 2025.

3.1 HID Crescendo C2300#

Die HID Crescendo C2300 positioniert sich als die ultimative Lösung für große Unternehmen, die physischen und logischen Zugang auf einem einzigen, konvergenten Firmenausweis vereinen wollen. Es ist ein pragmatischer Multiprotokoll-Ausweis, konzipiert für Organisationen mit erheblichen Investitionen sowohl in alte PKI-Systeme als auch in moderne Cloud-Infrastruktur.

Die Hauptstärke der C2300 liegt in ihrer umfassenden Multiprotokoll-Unterstützung, die wie ein „Schweizer Taschenmesser“ für die Unternehmensauthentifizierung wirkt. Sie bietet robuste Funktionen für FIDO2/WebAuthn, PKI (in einer PIV-kompatiblen Konfiguration) und optional OATH für die OTP-Generierung. Diese Vielseitigkeit ermöglicht es, mit einer einzigen Karte passwortlose Anmeldungen bei Cloud-Anwendungen durchzuführen, den Windows-Logon abzusichern, Dokumente digital zu signieren und sich bei Legacy-VPNs zu authentifizieren.

Ihr entscheidendes Unterscheidungsmerkmal ist die tiefe Integration in physische Zugangskontrollsysteme (PACS), also elektronische Systeme, die den Zutritt zu Gebäuden und Sicherheitsbereichen regeln. Spezifische SKUs der C2300 können mit einer breiten Palette eingebetteter PACS-Technologien bestellt werden, darunter moderne Standards wie Seos und iCLASS SE sowie Legacy-Systeme wie MIFARE DESFire und Prox. Dies ermöglicht eine echte „One-Badge“-Lösung, erfordert jedoch eine sorgfältige Überprüfung der genauen Teilenummer, um die Kompatibilität mit der vorhandenen Türleser-Infrastruktur sicherzustellen. Zur Absicherung ist das kryptografische Modul der Karte FIPS 140-2 zertifiziert und wurde nach Common Criteria mit EAL5+ bewertet. Für den Einsatz im großen Maßstab integriert sich die C2300 in Credential-Management-Systeme wie HID WorkforceID, was eine zentrale Kontrolle über Ausstellung, Updates und Widerruf ermöglicht.

Der ideale Anwendungsfall für die Crescendo C2300 ist ein Unternehmen, das einen einzigen Ausweis für Gebäudezugang, Windows-Smartcard-Logon, Authentifizierung bei Altsystemen und modernes passwortloses SSO für Cloud-Dienste wie Microsoft Entra ID sucht.

3.2 Thales SafeNet IDPrime Serie (3930/3940 & FIDO Bio)#

Die Thales SafeNet IDPrime-Serie ist maßgeschneidert für Organisationen mit einer tief verwurzelten PKI-Infrastruktur, insbesondere in regulierten Branchen wie Finanzen und Verwaltung, die hochsichere Ausweise benötigen und FIDO2 sowie kartenbasierte biometrische Fähigkeiten hinzufügen möchten.

Die Produktlinie teilt sich in zwei Hauptkategorien. Die SafeNet IDPrime 3930/3940 FIDO Karten sind robuste hybride Ausweise auf einer Java Card-Plattform, die leistungsstarke PKI- und FIDO-Applets kombinieren. Diese Karten sind FIPS 140-2 zertifiziert und basieren auf einem Secure Element, das nach CC EAL6+ zertifiziert ist, womit sie am oberen Ende der Sicherheitsgarantien stehen. Sie sind für Umgebungen konzipiert, in denen PKI die primäre Technologie ist, aber eine Brücke zur modernen FIDO-Authentifizierung benötigt wird.

Die SafeNet IDPrime FIDO Bio Smart Card ist ein eigenständiges und innovatives Modell, das ein kritisches Feature hinzufügt: einen Fingerabdrucksensor auf der Karte. Dies ermöglicht eine „Match-on-Card“-biometrische Verifizierung, bei der der Fingerabdruck des Nutzers sicher direkt auf dem Secure Element der Karte registriert, gespeichert und verifiziert wird. Die biometrischen Daten verlassen niemals die Karte, was ein Höchstmaß an Privatsphäre und Sicherheit bietet, da sichergestellt wird, dass die Person, die den Ausweis vorlegt, auch deren rechtmäßiger Besitzer ist. Dieses Modell ist ideal für Organisationen, die PINs abschaffen und einen biometrischen Authentifizierungsfaktor auf Kartenebene durchsetzen wollen.

Das Thales-Portfolio passt hervorragend zu PKI-lastigen Organisationen, die eine phishing-resistente FIDO2-Authentifizierung für Webdienste hinzufügen möchten, wobei die IDPrime FIDO Bio eine Premium-Option bietet, um eine starke biometrische Benutzerverifizierung direkt auf der Karte zu erzwingen.

3.3 FEITIAN Biometric Fingerprint Card#

Die FEITIAN Biometric Fingerprint Card ist eine zweckgebundene Lösung für Organisationen, die eine nahtlose, biometrische und passwortlose Benutzererfahrung für Web- und Cloud-Anwendungen priorisieren. Ihre Designphilosophie konzentriert sich auf Einfachheit und starke, benutzerfreundliche Authentifizierung.

Das Kernmerkmal dieser Karte ist ihr integrierter Fingerabdrucksensor, der eine Match-on-Card-Verifizierung ermöglicht. Dieses Design erlaubt es Benutzern, sich mit einer einfachen Berührung bei FIDO2-fähigen Diensten zu authentifizieren, ohne eine PIN über ein angeschlossenes Lesegerät eingeben zu müssen. Die Karte unterstützt sowohl den modernen FIDO2-Standard als auch dessen Vorgänger U2F, was eine breite Kompatibilität mit einer Vielzahl von Online-Diensten gewährleistet. Während FEITIAN auch für seine umfangreiche Linie von BioPass USB-Sicherheitsschlüsseln bekannt ist, handelt es sich bei diesem spezifischen Produkt um eine Karte im ID-1-Formfaktor. Architektonisch ist es eine Dual-Interface-Karte (kontaktbehaftet und kontaktlos), die batterielos ist und während der Transaktion Strom aus dem NFC-Feld oder dem Kontaktleser bezieht.

Diese Karte eignet sich am besten für ein Cloud-natives Unternehmen oder eine spezifische Abteilung, die einen einfachen, hochsicheren, rein biometrischen Passkey im vertrauten Kartenformat für die Webdienst-Authentifizierung einführen möchte, ohne die zusätzliche Komplexität der Verwaltung von PKI-Anmeldeinformationen.

3.4 TrustSEC FIDO2 Smartcard & Java Card Applet#

TrustSEC bietet den wohl flexibelsten und integrationsfreundlichsten Weg für Organisationen mit etablierten Smartcard-Programmen, insbesondere solchen, die auf der offenen Java Card-Plattform basieren.

Das Alleinstellungsmerkmal ist das FIDO2 Java Card Applet. Dies ist eine Softwarekomponente, die sicher auf die bestehenden, kompatiblen Java Card-basierten Smartcards einer Organisation geladen werden kann. Dieser Ansatz kann für große Unternehmen oder Regierungsbehörden, die bereits Millionen von Karten für PKI oder andere Funktionen im Einsatz haben, transformativ sein. Durch das Aufspielen eines neuen Applets anstelle der Neuausgabe physischer Hardware können Organisationen moderne FIDO2-Funktionen mit enormen Kosteneinsparungen und geringerem logistischen Aufwand hinzufügen.

Für Organisationen, die neue Implementierungen planen, bietet TrustSEC auch komplette, vorprovisionierte FIDO2-Smartcards an. Diese sind in Standardkonfigurationen sowie als biometrische Variante erhältlich, die einen Fingerabdrucksensor für die Match-on-Card-Verifizierung enthält.

Das ideale Szenario für das Angebot von TrustSEC, insbesondere das Applet, ist eine große Organisation, die FIDO2-Unterstützung zu ihrem bestehenden Smartcard-Bestand auf die kostengünstigste und am wenigsten störende Weise hinzufügen muss.

3.5 AuthenTrend ATKey.Card NFC#

Die AuthenTrend ATKey.Card NFC ist eine moderne „Biometric-First“-Smartcard, die auch kritische Anforderungen von Unternehmen und Behörden adressiert, indem sie PIV-Kompatibilität bietet. Sie zielt darauf ab, das Beste aus beiden Welten zu liefern: eine benutzerfreundliche biometrische Schnittstelle kombiniert mit Unterstützung für alte PKI-Systeme.

Die Karte verfügt über einen prominenten Fingerabdrucksensor für die Match-on-Card-Verifizierung, was ein einfaches und sicheres „Bio-Tap“-Erlebnis für FIDO2-Authentifizierungsabläufe ermöglicht. Entscheidend ist, dass spezifische SKUs der ATKey.Card ein PIV-Applet enthalten, das es der Karte ermöglicht, X.509-Zertifikate zu speichern und als traditionelle Smartcard für den zertifikatsbasierten Logon an Windows- und macOS-Workstations zu fungieren. Diese PIV-Fähigkeit macht sie zu einem direkten Wettbewerber der hybriden Angebote von HID und Thales.

Als Dual-Interface-Karte (NFC und Kontakt) ist sie für eine breite Kompatibilität mit PCs, Laptops und mobilen Geräten ausgelegt. Der Hersteller stellt Dokumentation für die Integration mit Cloud-Identity-Providern wie Microsoft Entra ID für die passwortlose Anmeldung bereit.

Die ATKey.Card ist eine ausgezeichnete Wahl für eine Organisation, die ihre Authentifizierungsstrategie mit einem modernen, biometrischen und passwortlosen Erlebnis für ihre Nutzer anführen möchte, aber auch Abwärtskompatibilität mit Legacy-Systemen wahren muss, die einen PIV-basierten Smartcard-Logon erfordern.

3.6 Token2 T2F2-NFC-Card PIN+ (Release 3)#

Die Token2 T2F2-NFC-Card positioniert sich als erste Wahl für preisbewusste Einsätze im großen Maßstab, bei denen das primäre Ziel darin besteht, einer großen Benutzerbasis effizient und kostengünstig standardkonforme FIDO2-Passkeys bereitzustellen.

Ihr herausragendes technisches Merkmal ist die Kapazität, bis zu 300 residente Schlüssel (auch bekannt als Discoverable Credentials oder Passkeys) auf einer einzigen Karte zu speichern. Dies ist deutlich mehr als bei vielen anderen Authenticators und ideal für Benutzer wie Entwickler oder Systemadministratoren, die auf eine große und vielfältige Menge von Online-Diensten zugreifen müssen. Die Karte unterstützt die FIDO2.1- und CTAP2-Standards vollständig, was eine breite Kompatibilität mit allen gängigen Plattformen und Browsern gewährleistet.

Die „Release 3“-Version der Karte bietet zusätzlichen Mehrwert durch ein integriertes OpenPGP-Applet. Dies ist ein wertvolles Feature für technische Nutzer, Entwickler und Sicherheitsexperten, die auf den OpenPGP-Standard zum Verschlüsseln von E-Mails, Signieren von Code oder für andere kryptografische Aufgaben angewiesen sind. Für die Benutzerverifizierung verlässt sich die Karte auf eine PIN-Eingabe über die Schnittstelle des Host-Geräts, da sie keinen integrierten biometrischen Sensor besitzt.

Diese Karte eignet sich perfekt für die Bereitstellung von FIDO2-Authenticators an eine große Belegschaft, Studierende oder einen Pool von Auftragnehmern, wo Kosten ein primärer Treiber sind und Biometrie auf der Karte keine zwingende Anforderung ist.

3.7 BoBeePass FIDO 2nd Gen (SmartDisplayer)#

Die BoBeePass FIDO 2nd Gen Karte von SmartDisplayer ist der technologisch ambitionierteste Ausweis in dieser Aufstellung und verschiebt die Grenzen der Konnektivität innerhalb des Standard-ID-1-Formfaktors.

Ihr einzigartigstes Merkmal ist die 3-in-1-Konnektivität, die NFC, Bluetooth Low Energy (BLE) und einen physischen USB-Anschluss direkt auf der Karte vereint. Dieses Multi-Transport-Design wird von einer internen wiederaufladbaren Batterie gespeist und zielt darauf ab, universelle Konnektivität über Desktops, Laptops und mobile Geräte hinweg zu bieten. Die Karte enthält auch einen eingebetteten Fingerabdrucksensor für die Match-on-Card-Verifizierung und hat die FIDO2 Level 2 (L2) Zertifizierung erreicht, eine höhere Stufe der Sicherheitsvalidierung der FIDO Alliance, die die Stärke ihres Designs und ihrer Betriebsumgebung bescheinigt.

Das Versprechen der universellen Konnektivität kommt jedoch mit einer signifikanten plattformspezifischen Einschränkung. Während sie technologisch beeindruckend ist, entfällt der Nutzen ihres BLE-Transports auf Apple-Geräten, da iOS und iPadOS keine FIDO-Authentifizierung über BLE unterstützen. Zudem unterstützen iPads keine FIDO-Authentifizierung über NFC, was ihre kontaktlose Nutzung auf diesen Geräten auf ein Kontaktlesegerät oder eine direkte USB-Verbindung beschränkt. Daher ist ihre „3-in-1“-Funktionalität nicht universell anwendbar, eine kritische Überlegung für jede Organisation mit einer signifikanten Präsenz von Apple-Geräten.

Die BoBeePass eignet sich am besten für eine zukunftsorientierte Organisation, wahrscheinlich in einer überwiegenden Windows- und Android-Umgebung, die Wert auf die FIDO L2-Zertifizierung legt und das Potenzial von Multi-Transport-Ausweisen erkunden möchte.

3.8 CardLab Access#

Die CardLab Access Karte des dänischen Herstellers CardLab Innovation ist eine biometrische FIDO2-Smartcard, die primär für den passwortlosen Login der Belegschaft entwickelt wurde. Ein besonderer Schwerpunkt liegt auf Umgebungen mit gemeinsam genutzten Geräten wie Lagerhaltung, Logistik und Schichtbetrieb, wo mehrere Benutzer abwechselnd an denselben Workstations arbeiten.

Die Karte integriert einen FPC1323-Fingerabdrucksensor für die Match-on-Card-Verifizierung und unterstützt bis zu 10 registrierte Fingerabdrücke, die direkt auf dem 32-Bit ARM Cortex-M4F Mikrocontroller der Karte gespeichert werden. Für die Konnektivität bietet sie sowohl NFC (ISO 14443 bei 13,56 MHz) als auch Bluetooth Low Energy 5, was kontaktlose Tap-Authentifizierung mit drahtloser Kommunikation für eine breitere Gerätekompatibilität über Windows, macOS, iOS und Android kombiniert. Die Karte ist FIDO2-zertifiziert für phishing-resistente Web-Authentifizierung und enthält eine wiederaufladbare Batterie, die für über 500 Ladezyklen ausgelegt ist – mit sowohl kontaktgebundenen als auch drahtlosen Ladeoptionen. Ein eingebetteter MIFARE DESFire RFID-Transponder ermöglicht die doppelte Nutzung mit physischen Zugangskontrollsystemen, sodass dieselbe Karte sowohl als FIDO2-Authenticator für den logischen Zugriff als auch als Ausweis für den Gebäudezutritt dienen kann.

Die CardLab Access eignet sich hervorragend für Unternehmen, die Umgebungen mit gemeinsam genutzten Geräten betreiben – insbesondere in Logistik, Fertigung oder Gesundheitswesen –, die einen einzigen Ausweis benötigen, der biometrischen passwortlosen Login mit physischem Türzugang kombiniert und die Flexibilität von NFC- und BLE-Konnektivität für plattformübergreifenden Support schätzt.

4. Vergleich: FIDO2-Smartcards, traditionelle PKI und Plattform-Passkeys#

Die Wahl der richtigen Authentifizierungstechnologie ist eine strategische Entscheidung, die von den spezifischen Anwendungsfällen, Bedrohungsmodellen und der bestehenden IT-Infrastruktur einer Organisation abhängt. Der folgende Vergleich bietet einen klaren Rahmen zur Bewertung der unterschiedlichen Rollen von FIDO2-Smartcards, traditionellen PKI-Smartcards und den immer beliebter werdenden plattformbasierten Passkeys.

Analyse und Erläuterung

Die beständige Rolle von PKI wurzelt in ihrer Fähigkeit, Funktionen zu erfüllen, die über die einfache Benutzerauthentifizierung hinausgehen. FIDO2 wurde entworfen, um die Frage zu beantworten: „Sind Sie der, der Sie vorgeben zu sein?“. PKI hingegen ist durch digitale Signaturen darauf ausgelegt, Beglaubigung und Nichtabstreitbarkeit zu bieten und die Frage zu beantworten: „Haben Sie diese spezifische Aktion autorisiert?“. Dies sind grundlegend verschiedene Sicherheitsfunktionen, weshalb viele Unternehmen, insbesondere in regulierten Branchen, beides benötigen. Moderne Identity Provider wie Microsoft Entra ID erkennen dies an, indem sie sowohl FIDO2 als auch zertifikatsbasierte Authentifizierung (CBA) als parallele, phishing-resistente Anmeldemethoden unterstützen.

Der Aufstieg von Plattform-Passkeys, die nahtlos in die Betriebssysteme von Apple, Google und Microsoft integriert sind, bietet unvergleichlichen Komfort für Benutzer. Dieser Komfort geht jedoch auf Kosten der Unternehmenskontrolle. Die kritische Unterscheidung für ein Unternehmen liegt zwischen synchronisierten Passkeys und gerätegebundenen Passkeys. Plattform-Passkeys werden typischerweise über das persönliche Cloud-Konto eines Benutzers synchronisiert (z. B. iCloud Schlüsselbund oder Google Passwortmanager). Das bedeutet, dass ein Passkey, der für ein Firmenkonto auf einem verwalteten Arbeitslaptop erstellt wurde, automatisch auf das persönliche, nicht verwaltete Tablet eines Mitarbeiters zu Hause synchronisiert werden könnte. Für jede Hochsicherheitsumgebung ist dieser Kontrollverlust über den Standort und Lebenszyklus des Authenticators ein inakzeptables Risiko.

FIDO2-Smartcards lösen dieses Problem, indem sie einen hochsicheren, gerätegebundenen Passkey bieten. Der kryptografische Schlüssel ist physisch und logisch an die vom Unternehmen ausgegebene Karte gebunden. IT-Sicherheitsteams kontrollieren die Ausgabe, Verwaltung und den Widerruf dieses physischen Tokens, was ein Maß an Auditierbarkeit und Kontrolle bietet, das mit synchronisierten Passkeys unmöglich zu erreichen ist. Dies macht gerätegebundene Authenticators wie Smartcards unverzichtbar für die Sicherung von gemeinsam genutzten Workstations, die Verwaltung privilegierter Zugriffe und den Betrieb in Air-Gapped- oder stark regulierten Umgebungen.

5. Ersetzen FIDO2-Smartcards traditionelle Smartcards?#

Die direkte Antwort lautet Nein; FIDO2-Smartcards ersetzen traditionelle PKI-Smartcards nicht pauschal. Stattdessen stellen sie eine Evolution dar, die neue Fähigkeiten integriert, um modernen Bedrohungen zu begegnen, während sie mit etablierten Technologien koexistieren. Die Beziehung ist eine der Ergänzung, nicht des Ersatzes.

Die primäre Funktion von FIDO2 ist es, die Passworteingabe während des Authentifizierungsprozesses zu ersetzen. In dieser Funktion ist es eine direkte und weit überlegene Alternative zu wissensbasierten Geheimnissen und bietet starken Widerstand gegen Phishing, Credential Stuffing und andere gängige Angriffe. Es modernisiert das Login-Erlebnis für Web- und Cloud-Anwendungen und macht es sowohl sicherer als auch benutzerfreundlicher.

FIDO2 wurde jedoch nicht entwickelt, um das breitere Set an kryptografischen Funktionen zu adressieren, das PKI seit Jahrzehnten handhabt. Anwendungsfälle wie rechtlich bindende digitale Signaturen auf Dokumenten, S/MIME für verschlüsselte und signierte E-Mails sowie bestimmte Arten der Maschine-zu-Maschine-Authentifizierung bauen auf dem X.509-Zertifikatsstandard und dem hierarchischen Vertrauensmodell von PKI auf. Diese Funktionen haben oft spezifische rechtliche oder regulatorische Anforderungen, die FIDO2 nicht erfüllt.

Die pragmatische Lösung der Industrie für diese Divergenz ist die hybride Smartcard. Ausweise wie die HID Crescendo C2300 und die Thales SafeNet IDPrime-Serie verkörpern diese Strategie der Koexistenz. Sie ermöglichen es einer Organisation, phishing-resistente FIDO2-Authentifizierung für alle modernen Anwendungen einzuführen und gleichzeitig ihre Investitionen und Fähigkeiten in PKI für die Legacy-Systeme und spezialisierten Workflows beizubehalten, die immer noch darauf angewiesen sind. Dies erlaubt eine phasenweise und strategische Modernisierung der Authentifizierung, ohne kritische Geschäftsprozesse zu stören.

6. Empfehlungen für IT-Manager in Unternehmen für 2025#

Die Auswahl einer FIDO2-Smartcard sollte von der spezifischen Sicherheitslage, der bestehenden Infrastruktur und den primären Anwendungsfällen einer Organisation bestimmt werden. Die folgenden Empfehlungen orientieren sich an gängigen Unternehmensszenarien.

• Für PKI-lastige Umgebungen (Finanzen, Regierung): Organisationen, die stark auf PKI für Windows-Smartcard-Logon, digitale Signaturen und Datenverschlüsselung angewiesen sind, sollten hybride Karten priorisieren. Die HID Crescendo C2300 und Thales SafeNet IDPrime 3930/3940 FIDO sind führende Optionen. Sie ermöglichen eine schrittweise Einführung von FIDO2 für Web- und Cloud-Single Sign-On (SSO), ohne bestehende, geschäftskritische PKI-Workflows zu stören.

• Für konvergenten physischen und logischen Zugang: Um die Vision eines „einzigen Ausweises“ zu verwirklichen, ist die HID Crescendo C2300 die direkteste Lösung. Es ist entscheidend, die spezifische SKU auszuwählen, die die PACS-Technologie (z. B. Seos, iCLASS, Prox) einbettet, welche zur vorhandenen Türleser-Infrastruktur des Gebäudes passt. Dieser Ansatz strafft das Ausweismanagement und verbessert das Mitarbeitererlebnis.

• Für vorgeschriebene Biometrie auf der Karte: Wenn Sicherheitsrichtlinien vorschreiben, dass die biometrische Verifizierung auf dem Authenticator selbst stattfinden muss, anstatt auf dem Host-Gerät (wie bei Windows Hello), sind die primären Optionen die Thales IDPrime FIDO Bio, AuthenTrend ATKey.Card NFC oder die FEITIAN Biometric Fingerprint Card. Diese Karten bieten einen starken Nachweis der Benutzeranwesenheit und des Besitzes, indem sie den biometrischen Check auf den Ausweis verlagern.

• Für kostensensitive Rollouts im großen Maßstab: Wenn das Ziel darin besteht, einer großen Gruppe von Auftragnehmern, Partnern oder Mitarbeitern FIDO2-Passkeys bereitzustellen und das Budget eine primäre Einschränkung ist, bietet die Token2 T2F2-NFC-Card PIN+ (Release 3) eine hervorragende Balance aus Funktionen und Kosten. Ihre hohe Kapazität für residente Schlüssel und die Standardkonformität machen sie zu einer skalierbaren und effektiven Lösung.

• Für Umgebungen mit geteilten Geräten und Schichtarbeit: Organisationen in Logistik, Fertigung oder Gesundheitswesen, in denen mehrere Mitarbeiter dieselben Workstations teilen, sollten die CardLab Access in Betracht ziehen. Ihre biometrische Match-on-Card-Verifizierung ermöglicht schnelle Benutzerwechsel ohne geteilte PINs, während die duale NFC- und BLE-Konnektivität Flexibilität über Gerätetypen hinweg bietet. Der integrierte DESFire-Transponder fügt physischen Zugang auf derselben Karte hinzu.

• Für Organisationen mit bestehenden Java Card-Einsätzen: Das TrustSEC FIDO2 Applet stellt einen einzigartig leistungsstarken und kosteneffizienten Upgrade-Pfad dar. Für Organisationen, die bereits eine große Anzahl kompatibler Java Cards ausgegeben haben, kann die Einführung dieses Applets moderne FIDO2-Authentifizierungsfunktionen hinzufügen, ohne die immensen Kosten und die logistische Last eines vollständigen Hardware-Austauschzyklus.

7. Fazit#

Die Landschaft der Unternehmensauthentifizierung unterzieht sich einem fundamentalen Wandel, wobei FIDO2-Smartcards als kritische Brücke zwischen alten Sicherheitsinvestitionen und modernen, passwortlosen Frameworks hervortreten. Dieser Bericht hat eine detaillierte Analyse der Technologie, führender Produkte und strategischer Überlegungen für deren Einsatz geliefert. Zusammenfassend lassen sich die eingangs gestellten Kernfragen wie folgt beantworten:

1. Was sind die Kerntechnologien hinter einer FIDO2-Smartcard? Es handelt sich um einen Hardware-Authenticator im Kartenformat, der einen sicheren kryptografischen Chip beherbergt. Dieser Chip führt moderne, phishing-resistente FIDO2-Protokolle (WebAuthn und CTAP2) für die Web-Authentifizierung aus, oft zusammen mit traditionellen Public Key Infrastructure (PKI)-Funktionen für Legacy-Anwendungsfälle wie Smartcard-Logon und digitales Signieren.

2. Welche sind die besten im Jahr 2025? Die beste Karte wird durch den spezifischen Anwendungsfall bestimmt. HIDs Crescendo C2300 brilliert beim konvergenten physischen und logischen Zugang. Die Thales IDPrime-Serie ist ideal für hochsichere PKI-Umgebungen, wobei ihr FIDO Bio-Modell Biometrie auf der Karte hinzufügt. AuthenTrend und FEITIAN bieten starke, auf Biometrie fokussierte Lösungen. CardLab Access zielt mit seiner Kombination aus biometrischem FIDO2 und BLE-Konnektivität auf Umgebungen mit geteilten Geräten und Schichtarbeit ab. Token2 bietet eine kostengünstige Option für den Einsatz im großen Maßstab, und BoBeePass führt innovative Multi-Transport-Konnektivität ein, wenn auch mit Plattformbeschränkungen.

3. Ersetzen sie PKI-Smartcards? Nein, sie ergänzen sie. FIDO2 wurde entwickelt, um das Passwort für die Authentifizierung zu ersetzen und bietet eine überlegene Abwehr gegen Phishing. PKI bleibt weiterhin essentiell für breitere Funktionen wie digitale Signaturen, E-Mail-Verschlüsselung und Beglaubigung. Die dominante Unternehmensstrategie ist die Koexistenz, oft auf einer einzigen hybriden Karte.

4. Wie schneiden sie im Vergleich zu Plattform-Passkeys ab? FIDO2-Smartcards bieten einen gerätegebundenen Passkey, was dem Unternehmen physische Kontrolle und Auditierbarkeit über den Ausweis selbst gibt. Dies steht im Gegensatz zu den synchronisierten Passkeys, die von Plattformanbietern wie Apple und Google angeboten werden und Benutzerkomfort über Unternehmenskontrolle stellen. Für Hochsicherheitskontexte und geteilte Workstations ist die gerätegebundene Natur einer Smartcard ein kritischer Sicherheitsvorteil.

5. Welche sollte ich wählen? Die endgültige Wahl muss mit dem primären Ziel Ihrer Organisation übereinstimmen. Wenn die Vereinheitlichung von Gebäude- und IT-Zugang das Ziel ist, ist eine konvergente Karte die Antwort. Wenn biometrische Sicherheit auf Ebene des Ausweises oberste Priorität hat, ist ein Match-on-Card-Modell erforderlich. Wenn die Integration in eine tiefe PKI-Infrastruktur Priorität hat, ist eine robuste hybride Karte notwendig. Und wenn die Einführung von Passkeys im großen Maßstab mit begrenztem Budget der Haupttreiber ist, ist eine kostengünstige FIDO2-only Karte die logische Wahl. Der Weg nach vorn ist eine strategische Koexistenz: Nutzung von FIDO2 für moderne, phishing-resistente Authentifizierung wo immer möglich, bei gleichzeitiger Beibehaltung von PKI für die essentiellen Funktionen, die nur sie bieten kann.