Sign up to the Passkey Intelligence Webinar on Oct. 8Sign up to the Passkey Intelligence Webinar & learn how to get +80% Passkey AdoptionDie besten FIDO2-Smartcards 2025: Ein Vergleich von HID, Thales, FEITIAN & Co. Entdecken Sie Funktionen, Biometrie, PKI-Unterstützung und Preise für eine sichere, passwortlose Anmeldung.
Max
Created: October 2, 2025
Updated: October 4, 2025
See the original blog version in English here.
Want to learn how to get +80% Passkey Adoption?
Join our Passkey Intelligence Webinar on October 8.
Seit Jahrzehnten bilden Smartcards den Grundpfeiler für hochsichere Identitäten im Behördenumfeld und in der Unternehmenswelt. Ihre sichere, manipulationsresistente Hardware ist die bewährte Grundlage für die Kontrolle des Zugriffs auf kritische Systeme und Einrichtungen. Die moderne Unternehmenslandschaft, die durch die schnelle Einführung der Cloud und die allgegenwärtige Bedrohung durch raffinierte Phishing-Angriffe gekennzeichnet ist, stellt jedoch Herausforderungen dar, denen herkömmliche Authentifizierungsmethoden nur schwer begegnen können. Als Reaktion darauf hat sich die Technologiebranche auf neue Standards, FIDO2 (Fast Identity Online), und dessen benutzerfreundliche Implementierung namens „Passkeys“ geeinigt, um eine wirklich Phishing-resistente, passwortlose Authentifizierung zu ermöglichen.
FIDO2-Smartcards befinden sich an der strategischen Schnittstelle dieser beiden Welten. Sie stellen nicht nur eine neue Art von Credential dar, sondern sind ein leistungsstarkes Werkzeug zur Konvergenz. Mit diesen Karten kann ein einziger physischer Token sowohl ältere Systeme sichern, die von einer Public-Key-Infrastruktur (PKI) abhängen, wie z. B. die Anmeldung an Workstations und den VPN-Zugang, als auch moderne Webanwendungen, die FIDO2 nutzen. In vielen Fällen kann dieselbe Karte auch den physischen Gebäudezutritt verwalten und so die gesamte Sicherheitsarchitektur eines Unternehmens auf einem einzigen Credential vereinen.
Dieser Bericht bietet eine detaillierte Analyse für IT-Entscheidungsträger und Sicherheitsarchitekten und beantwortet die wichtigsten Fragen, die bei der Auswahl einer FIDO2-Smartcard-Lösung im Jahr 2025 aufkommen:
Welche Kerntechnologien stecken hinter einer FIDO2-Smartcard?
Welches sind die besten FIDO2-Smartcards für den Unternehmenseinsatz?
Ersetzen FIDO2-Smartcards herkömmliche PKI-basierte Smartcards?
Wie schneiden FIDO2-Smartcards im Vergleich zu plattformbasierten Passkeys auf Telefonen und Laptops ab?
Welche FIDO2-Smartcard ist die richtige Wahl für spezifische Unternehmensanforderungen?
Hinweis zum Umfang: Zertifizierungen, Schnittstellenoptionen und integrierte Technologien für den physischen Zutritt können selbst innerhalb derselben Produktfamilie je nach Lagerhaltungseinheit (SKU) erheblich variieren. Es ist unerlässlich, vor der Beschaffung die genaue Teilenummer mit den Anforderungen Ihrer Organisation abzugleichen.
Recent Articles
Eine FIDO2-Smartcard ist ein Gerät im Kreditkartenformat (ID-1), das einen sicheren kryptografischen Chip, oft als Secure Element bezeichnet, enthält. Dieser Chip fungiert als FIDO2-Authenticator, der kryptografische private Schlüssel direkt auf der Karte erzeugt und speichert. Diese Architektur stellt sicher, dass die privaten Schlüssel niemals dem Host-Computer oder einem Netzwerk preisgegeben werden, was die Grundlage ihres Sicherheitsmodells bildet. Diese Karten verfügen in der Regel sowohl über eine Kontaktschnittstelle (konform mit ISO/IEC 7816) für die Verwendung mit herkömmlichen Smartcard-Lesegeräten als auch über eine kontaktlose Near Field Communication (NFC)-Schnittstelle (konform mit ISO/IEC 14443) zum Anhalten an Laptops, Tablets und Mobiltelefone.
Wichtige Standards erklärt
Um eine fundierte Entscheidung treffen zu können, ist es wichtig, die Bandbreite der Standards zu verstehen, die diese hybriden Geräte unterstützen.
FIDO2 (Fast Identity Online): Dies ist keine einzelne Technologie, sondern ein offener Satz von Standards, der von der FIDO Alliance entwickelt wurde, um Passwörter durch Authentifizierungsmethoden zu ersetzen, die stärker, einfacher und sicherer sind. Das FIDO2-Projekt besteht aus zwei Hauptkomponenten:
WebAuthn (Web Authentication): Als Standard des World Wide Web Consortium (W3C) ist WebAuthn eine Anwendungsprogrammierschnittstelle (API), die es Webbrowsern und Anwendungen ermöglicht, mit FIDO2-Authenticators zu kommunizieren. Es ist die Softwareschicht, die eine passwortlose Anmeldung auf Websites ermöglicht.
CTAP2 (Client to Authenticator Protocol 2): CTAP2 ist das Protokoll, das die Kommunikation zwischen einem Host-Gerät (wie einem Laptop oder Smartphone) und einem externen Authenticator (wie einer FIDO2-Smartcard) ermöglicht. Diese Kommunikation erfolgt über physische Schnittstellen wie ein Kontaktlesegerät, NFC oder USB.
PKI (Public-Key-Infrastruktur): PKI ist ein umfassendes System zur Erstellung, Verwaltung, Verteilung und zum Widerruf von digitalen Zertifikaten. Diese Zertifikate dienen dazu, öffentliche Schlüssel an bestimmte Identitäten, wie eine Person oder ein Gerät, zu binden. Im Gegensatz zu FIDO basiert die PKI auf einem hierarchischen und zentralisierten Vertrauensmodell, das von einer vertrauenswürdigen Drittpartei, der sogenannten Zertifizierungsstelle (CA), verankert wird. Die CA signiert Zertifikate digital, bürgt für die Identität des Inhabers, und Dienste vertrauen dieser Signatur. Die Hauptanwendungsfälle für PKI in Unternehmen sind die Windows-Smartcard-Anmeldung über zertifikatbasierte Authentifizierung (CBA), die digitale Signatur von Dokumenten und die S/MIME-E-Mail-Verschlüsselung.
Personal Identity Verification (PIV): PIV ist ein Standard der US-Bundesregierung, definiert in NIST FIPS 201, für ein hochsicheres Identitätsdokument, das an Bundesangestellte und Auftragnehmer ausgegeben wird. Im kommerziellen Sektor ist eine „PIV-kompatible“ Smartcard eine, die das spezifische Datenmodell und die PKI-Zertifikatsprofile des PIV-Standards implementiert. Diese Kompatibilität macht sie nativ für die Smartcard-Anmeldung auf Windows-, macOS- und Linux-Systemen nutzbar.
Initiative for Open Authentication (OATH): OATH ist ein offener Standard, der sich auf die Erzeugung von Einmalpasswörtern (OTPs) konzentriert. Er ist die Grundlage für sowohl zeitbasierte (TOTP) als auch HMAC-basierte (HOTP) Algorithmen. Einige hybride Smartcards enthalten ein OATH-Applet, um Abwärtskompatibilität mit älteren Systemen, wie z. B. VPNs, zu gewährleisten, die noch auf OTPs für die Authentifizierung angewiesen sind.
Sicherheitszertifizierungen einfach erklärt
Die Sicherheit einer Smartcard wird durch strenge, unabhängige Testprogramme validiert. Zwei Zertifizierungen sind in diesem Bereich von größter Bedeutung:
FIPS 140-2/3 (Federal Information Processing Standard): Dies ist ein Standard der US-Regierung, der die Sicherheitsanforderungen für kryptografische Module festlegt. Eine FIPS 140-2- oder die neuere 140-3-Zertifizierung bedeutet, dass der kryptografische Chip einer Smartcard von staatlich akkreditierten Labors formell auf seine Sicherheit, Integrität und Manipulationssicherheit getestet und validiert wurde. Diese Zertifizierung ist oft eine zwingende Voraussetzung für den Einsatz in Regierungs-, Verteidigungs- und anderen Hochsicherheitsbereichen.
Common Criteria (CC) Evaluation Assurance Level (EAL): Die Common Criteria (ISO/IEC 15408) sind ein internationaler Standard für die Zertifizierung der Computersicherheit. Der EAL ist eine numerische Bewertung von 1 bis 7, die die Tiefe und Strenge der Sicherheitsbewertung beschreibt. Eine höhere Bewertung, wie z. B. EAL5+ oder EAL6+, zeigt an, dass das Produkt einem strengeren Prozess der Designverifizierung, des Testens und der Analyse unterzogen wurde, was ein höheres Maß an Vertrauen in seine Sicherheitsaussagen bietet.
Ein häufiges Missverständnis ist, ob FIDO einfach eine andere Form von PKI ist. Obwohl beide Technologien auf den Prinzipien der asymmetrischen (Public/Private Key) Kryptografie aufbauen, sind ihre zugrunde liegenden Vertrauensmodelle grundlegend verschieden und dienen unterschiedlichen Zwecken. PKI verwendet ein zentralisiertes Vertrauensmodell, bei dem eine Zertifizierungsstelle als vertrauenswürdiger Vermittler fungiert, um eine Identität zu bestätigen. Ein Dienst überprüft die Identität eines Benutzers, indem er der CA vertraut, die sein Zertifikat ausgestellt hat. Im krassen Gegensatz dazu verwendet FIDO ein dezentrales Vertrauensmodell. Bei der Registrierung bei einem neuen Dienst erzeugt der FIDO-Authenticator ein einzigartiges Schlüsselpaar speziell für diesen Dienst. Der Dienst vertraut dann direkt diesem öffentlichen Schlüssel, ohne einen zwischengeschalteten CA. Diese direkte, pro Dienst bestehende Beziehung macht FIDO von Natur aus datenschutzfreundlich (verhindert die Nachverfolgung von Benutzern über verschiedene Websites hinweg) und wesentlich einfacher für die webbasierte Authentifizierung bereitzustellen.
Die für diese Überprüfung ausgewählten Smartcards sind solche, bei denen FIDO2 ein primäres, gut dokumentiertes Merkmal ist, das für den Einsatz im Unternehmensmaßstab konzipiert wurde. Diese Methodik priorisiert Produkte mit klarer technischer Dokumentation, robuster Unterstützung durch Verwaltungssoftware und bestätigter Marktverfügbarkeit im Jahr 2025.
| Modell | Anbieter | Kategorie | Formfaktor | Wichtige Anwendungsfälle |
|---|---|---|---|---|
| Crescendo C2300 | HID Global | Hybrid (FIDO2 + PKI + OATH; PACS je nach SKU) | ID-1 Smartcard | Konvergenter Ausweis (logisch + physisch), Windows/Entra ID, SSO/VPN |
| SafeNet IDPrime 3930/3940 FIDO & IDPrime FIDO Bio | Thales | Hybrid (3930/3940) & Biometrisches FIDO (FIDO Bio) | ID-1 Smartcard | Unternehmens-PKI + FIDO2, optionaler Match-on-Card-Fingerabdruck |
| Biometric Fingerprint Card (FIDO2) | FEITIAN | Biometrisches FIDO (optionale PKI-Varianten) | ID-1 Smartcard | Passwortloses Web-Login mit Match-on-Card-Fingerabdruck |
| TrustSEC FIDO2 Smartcard (und FIDO2 Java Card Applet) | TrustSEC | FIDO2-Smartcard / Java Card Applet | ID-1 Smartcard | FIDO2 zu bestehenden Java-Card-Beständen hinzufügen; biometrische Variante verfügbar |
| ATKey.Card NFC | AuthenTrend | Biometrisches FIDO + PIV (SKU-abhängig) | ID-1 Smartcard | Fingerabdruck-Passkey, Entra ID-Login, optionaler PIV-Smartcard-Login |
| T2F2-NFC-Card PIN+ (Release 3) | Token2 | FIDO2 (CTAP 2.1) Smartcard (+ OpenPGP) | ID-1 Smartcard | Budgetfreundlich, hohe Passkey-Kapazität (bis zu 300), NFC/Kontaktleser |
| BoBeePass 2nd Generation | BoBeePass | FIDO2 Smartcard | ID-1 Smartcard | Moderne FIDO2-Authentifizierung, NFC/Kontakt-Schnittstellen, Unternehmenseinsatz |
Der HID Crescendo C2300 ist als die ideale Lösung für große Unternehmen positioniert, die den physischen und logischen Zugriff auf einem einzigen, konvergenten Unternehmensausweis vereinen möchten. Es ist ein pragmatisches, multiprotokollfähiges Credential, das für Organisationen mit erheblichen Investitionen in sowohl ältere PKI-Systeme als auch moderne Cloud-Infrastrukturen entwickelt wurde.
Die Hauptstärke des C2300 liegt in seiner umfangreichen Multiprotokoll-Unterstützung, die ihn zu einem „Schweizer Taschenmesser“ für die Unternehmensauthentifizierung macht. Er bietet robuste Funktionen für FIDO2/WebAuthn, PKI (in einer PIV-kompatiblen Konfiguration) und optional OATH zur OTP-Erzeugung. Diese Vielseitigkeit ermöglicht es einer einzigen Karte, die passwortlose Anmeldung bei Cloud-Anwendungen, die sichere Windows-Anmeldung, das digitale Signieren von Dokumenten und die Authentifizierung bei älteren VPNs zu ermöglichen.
Sein wichtigstes Unterscheidungsmerkmal ist die tiefe Integration mit Physical Access Control Systems (PACS), also elektronischen Systemen, die den Zutritt zu Gebäuden und sicheren Bereichen kontrollieren. Bestimmte SKUs des C2300 können mit einer breiten Palette von eingebetteten PACS-Technologien bestellt werden, einschließlich moderner Standards wie Seos und iCLASS SE sowie älterer Systeme wie MIFARE DESFire und Prox. Dies ermöglicht eine echte „One-Badge“-Lösung, erfordert jedoch eine sorgfältige Überprüfung der genauen Teilenummer, um die Kompatibilität mit der bestehenden Türleser-Infrastruktur einer Organisation sicherzustellen. Zur Absicherung ist das kryptografische Modul der Karte FIPS 140-2-zertifiziert und wurde nach Common Criteria auf EAL5+ evaluiert. Für großflächige Implementierungen lässt sich der C2300 in Credential-Management-Systeme wie HID WorkforceID integrieren und bietet so eine zentrale Kontrolle über Ausstellung, Updates und Widerruf.
Der ideale Anwendungsfall für den Crescendo C2300 ist ein Unternehmen, das ein einziges Credential zur Verwaltung des Gebäudezutritts, der Windows-Smartcard-Anmeldung, der Authentifizierung bei älteren Systemen und des modernen passwortlosen SSO bei Cloud-Diensten wie Microsoft Entra ID sucht.
Die Thales SafeNet IDPrime-Serie ist auf Organisationen mit einer tief verwurzelten PKI-Infrastruktur zugeschnitten, insbesondere solche in regulierten Branchen wie Finanzen und Behörden, die hochsichere Credentials benötigen und FIDO2- sowie On-Card-Biometrie-Funktionen hinzufügen möchten.
Die Produktlinie ist in zwei Hauptkategorien unterteilt. Die SafeNet IDPrime 3930/3940 FIDO-Karten sind robuste hybride Credentials auf einer Java-Card-Plattform, die leistungsstarke PKI- und FIDO-Applets kombinieren. Diese Karten sind FIPS 140-2-zertifiziert und basieren auf einem Secure Element, das nach CC EAL6+ zertifiziert ist, was sie an die Spitze der Sicherheitsgarantie stellt. Sie sind für Umgebungen konzipiert, in denen PKI die primäre Technologie ist, aber eine Brücke zur modernen FIDO-Authentifizierung erforderlich ist.
Die SafeNet IDPrime FIDO Bio Smart Card ist ein eigenständiges und innovatives Modell, das ein entscheidendes Merkmal hinzufügt: einen On-Card-Fingerabdrucksensor. Dies ermöglicht eine „Match-on-Card“-Biometrieverifizierung, bei der die Fingerabdruckvorlage eines Benutzers sicher auf dem Secure Element der Karte registriert, gespeichert und verifiziert wird. Die biometrischen Daten verlassen die Karte niemals und bieten so ein Höchstmaß an Datenschutz und Sicherheit, indem sichergestellt wird, dass die Person, die das Credential vorlegt, auch dessen rechtmäßiger Besitzer ist. Dieses Modell ist ideal für Organisationen, die PINs eliminieren und einen biometrischen Authentifizierungsfaktor auf Credential-Ebene durchsetzen möchten.
Das Thales-Portfolio ist eine ausgezeichnete Wahl für PKI-lastige Organisationen, die eine Phishing-resistente FIDO2-Authentifizierung für Webdienste hinzufügen möchten, wobei die IDPrime FIDO Bio eine Premium-Option bietet, um eine starke biometrische Benutzerverifizierung direkt auf der Karte zu erzwingen.
Die FEITIAN Biometric Fingerprint Card ist eine zweckgebundene Lösung für Organisationen, die ein nahtloses, biometrisches und passwortloses Benutzererlebnis für Web- und Cloud-Anwendungen priorisieren. Ihre Designphilosophie konzentriert sich auf Einfachheit und eine starke, benutzerfreundliche Authentifizierung.
Das Kernmerkmal dieser Karte ist ihr integrierter Fingerabdrucksensor, der eine Match-on-Card-Verifizierung ermöglicht. Dieses Design ermöglicht es Benutzern, sich mit einer einfachen Berührung bei FIDO2-fähigen Diensten zu authentifizieren, wodurch die Eingabe einer PIN über ein angeschlossenes Lesegerät vollständig entfällt. Die Karte unterstützt sowohl den modernen FIDO2-Standard als auch seinen Vorgänger U2F und gewährleistet so eine breite Kompatibilität mit einer Vielzahl von Onlinediensten. Während FEITIAN auch für seine umfangreiche Linie von BioPass USB-Sicherheitsschlüsseln bekannt ist, handelt es sich bei diesem speziellen Produkt um eine Karte im ID-1-Formfaktor. Architektonisch ist es eine Dual-Interface-Karte (Kontakt und kontaktlos), die batterielos ist und während der Transaktion Strom aus dem NFC-Feld oder dem Kontaktleser bezieht.
Diese Karte eignet sich am besten für ein Cloud-natives Unternehmen oder eine bestimmte Abteilung, die einen einfachen, hochsicheren, rein biometrischen Passkey im vertrauten Kartenformat für die Web-Service-Authentifizierung bereitstellen möchte, ohne die zusätzliche Komplexität der Verwaltung von PKI-Credentials.
TrustSEC bietet den wohl flexibelsten und integrationsfreundlichsten Weg für Organisationen mit etablierten Smartcard-Programmen, insbesondere solchen, die auf der offenen Plattform Java Card basieren.
Sein Alleinstellungsmerkmal ist das FIDO2 Java Card Applet. Dies ist eine Softwarekomponente, die sicher auf die bestehenden, kompatiblen Java-Card-basierten Smartcards einer Organisation geladen werden kann. Dieser Ansatz kann für große Unternehmen oder Regierungsbehörden, die bereits Millionen von Karten für PKI oder andere Funktionen im Einsatz haben, transformativ sein. Durch die Bereitstellung eines neuen Applets anstelle der Neuausgabe neuer physischer Hardware können Organisationen moderne FIDO2-Funktionen mit enormen Einsparungen bei Kosten und logistischem Aufwand hinzufügen.
Für Organisationen, die neue Implementierungen vornehmen, bietet TrustSEC auch komplette, vorprovisionierte FIDO2-Smartcards an. Diese sind in Standardkonfigurationen sowie in einer biometrischen Variante erhältlich, die einen On-Card-Fingerabdrucksensor für die Match-on-Card-Verifizierung enthält.
Das ideale Szenario für das Angebot von TrustSEC, insbesondere das Applet, ist eine große Organisation, die FIDO2-Unterstützung zu ihrem bestehenden Smartcard-Bestand auf die kostengünstigste und am wenigsten störende Weise hinzufügen muss.
Die AuthenTrend ATKey.Card NFC ist eine moderne, biometrisch ausgerichtete Smartcard, die durch das Angebot von PIV-Kompatibilität auch kritische Unternehmens- und Regierungsanforderungen erfüllt. Sie zielt darauf ab, das Beste aus beiden Welten zu bieten, indem sie eine benutzerfreundliche biometrische Schnittstelle mit Unterstützung für ältere PKI-Systeme kombiniert.
Die Karte verfügt über einen prominenten Fingerabdrucksensor für die Match-on-Card-Verifizierung, der ein einfaches und sicheres „Bio-Tap“-Erlebnis für FIDO2-Authentifizierungsabläufe ermöglicht. Entscheidend ist, dass bestimmte SKUs der ATKey.Card ein PIV-Applet enthalten, das es der Karte ermöglicht, X.509-Zertifikate zu speichern und als herkömmliche Smartcard für die zertifikatbasierte Anmeldung an Windows- und macOS-Workstations zu fungieren. Diese PIV-Fähigkeit macht sie zu einem direkten Konkurrenten der Hybrid-Angebote von HID und Thales.
Als Dual-Interface-Karte (NFC und Kontakt) ist sie für eine breite Kompatibilität mit PCs, Laptops und mobilen Geräten konzipiert. Der Anbieter stellt Dokumentation für die Integration mit Cloud-Identitätsanbietern wie Microsoft Entra ID für die passwortlose Anmeldung zur Verfügung.
Die ATKey.Card ist eine ausgezeichnete Wahl für eine Organisation, die ihre Authentifizierungsstrategie mit einem modernen, biometrischen passwortlosen Erlebnis für ihre Benutzer anführen möchte, aber auch die Abwärtskompatibilität mit älteren Systemen aufrechterhalten muss, die eine PIV-basierte Smartcard-Anmeldung erfordern.
Die Token2 T2F2-NFC-Card ist als die erste Wahl für großflächige, budgetbewusste Implementierungen positioniert, bei denen das Hauptziel darin besteht, einer großen Benutzerbasis effizient und kostengünstig standardkonforme FIDO2-Passkeys bereitzustellen.
Ihr herausragendes technisches Merkmal ist die Fähigkeit, bis zu 300 Resident Keys (auch als auffindbare Credentials oder Passkeys bekannt) auf einer einzigen Karte zu speichern. Dies ist deutlich mehr als bei vielen anderen Authenticators und ideal für Benutzer wie Entwickler oder Systemadministratoren, die auf eine große und vielfältige Anzahl von Onlinediensten zugreifen müssen. Die Karte unterstützt die Standards FIDO2.1 und CTAP2 vollständig und gewährleistet so eine breite Kompatibilität mit allen gängigen Plattformen und Browsern.
Die „Release 3“-Version der Karte bietet zusätzlichen Wert durch ein OpenPGP-Applet. Dies ist eine wertvolle Funktion für technische Benutzer, Entwickler und Sicherheitsexperten, die auf den OpenPGP-Standard zur Verschlüsselung von E-Mails, zum Signieren von Code oder für andere kryptografische Aufgaben angewiesen sind. Für die Benutzerverifizierung verlässt sich die Karte auf eine PIN, die über die Lesegeräteschnittstelle des Host-Geräts eingegeben wird, da sie keinen integrierten biometrischen Sensor hat.
Diese Karte eignet sich perfekt für die Bereitstellung von FIDO2-Authenticators für eine große Belegschaft, Studierendenschaft oder Auftragnehmer, bei denen die Kosten ein Hauptfaktor sind und On-Card-Biometrie keine zwingende Anforderung ist.
Die BoBeePass FIDO 2nd Gen-Karte von SmartDisplayer ist das technologisch anspruchsvollste Credential in dieser Aufstellung und erweitert die Grenzen der Konnektivität innerhalb des Standard-ID-1-Formfaktors.
Ihr einzigartigstes Merkmal ist ihre 3-in-1-Konnektivität, die NFC, Bluetooth Low Energy (BLE) und einen physischen USB-Anschluss direkt auf der Karte selbst integriert. Dieses Multi-Transport-Design wird von einem internen Akku angetrieben und zielt darauf ab, eine universelle Konnektivität über Desktops, Laptops und mobile Geräte hinweg zu bieten. Die Karte enthält auch einen eingebetteten Fingerabdrucksensor für die Match-on-Card-Biometrieverifizierung und hat die FIDO2 Level 2 (L2)-Zertifizierung erhalten, eine höhere Stufe der Sicherheitsvalidierung der FIDO Alliance, die die Stärke ihres Designs und ihrer Betriebsumgebung bescheinigt.
Das Versprechen universeller Konnektivität ist jedoch mit einem erheblichen plattformspezifischen Vorbehalt verbunden. Obwohl technologisch beeindruckend, wird der Nutzen ihres BLE-Transports auf Apple-Geräten zunichte gemacht, da iOS und iPadOS keine FIDO-Authentifizierung über BLE unterstützen. Darüber hinaus unterstützen iPads keine FIDO-Authentifizierung über NFC, was ihre kontaktlose Nutzung auf diesen Geräten auf ein Kontaktlesegerät oder eine direkte USB-Verbindung beschränkt. Daher ist ihre „3-in-1“-Funktionalität nicht universell anwendbar, eine kritische Überlegung für jede Organisation mit einer signifikanten Präsenz von Apple-Geräten.
Der BoBeePass eignet sich am besten für eine zukunftsorientierte Organisation, wahrscheinlich in einer überwiegend Windows- und Android-Umgebung, die Wert auf eine FIDO L2-Zertifizierung legt und das Potenzial von Multi-Transport-Credentials erkunden möchte.
Die Wahl der richtigen Authentifizierungstechnologie ist eine strategische Entscheidung, die von den spezifischen Anwendungsfällen, Bedrohungsmodellen und der bestehenden IT-Infrastruktur einer Organisation abhängt. Der folgende Vergleich bietet einen klaren Rahmen für die Bewertung der unterschiedlichen Rollen von FIDO2-Smartcards, traditionellen PKI-Smartcards und den immer beliebter werdenden plattformbasierten Passkeys.
| Merkmal | FIDO2-Smartcards | Traditionelle Smartcards (PKI) | Plattform-Passkeys (synchronisiert) |
|---|---|---|---|
| Hauptanwendungsfall | Phishing-resistente Anmeldung bei Web/Cloud-Apps; gemeinsam genutzte Workstations; konvergenter Zugriff. | Windows-Anmeldung (CBA); digitale Signaturen (S/MIME); Dokumenten-/Datenverschlüsselung. | Verbraucher-Login; bequemes SSO für Mitarbeiter auf Einzelbenutzer-, verwalteten Geräten. |
| Phishing-Resistenz | Hoch. Origin-Bindung verhindert den Diebstahl von Credentials. | Hoch (für CBA). Es wird kein gemeinsames Geheimnis übertragen. | Hoch. Origin-Bindung verhindert den Diebstahl von Credentials. |
| Vertrauensmodell | Dezentral. Direktes Vertrauen zwischen Authenticator und jedem Dienst (Relying Party). | Zentralisiert & Hierarchisch. Vertrauen wird durch eine Drittanbieter-Zertifizierungsstelle (CA) vermittelt. | Dezentral. Direktes Vertrauen, aber die Schlüssel werden vom Plattformanbieter (Apple, Google) verwaltet und synchronisiert. |
| Schlüsselverwaltung | Gerätegebunden. Private Schlüssel verlassen niemals das Secure Element der Smartcard. Verwaltet durch Unternehmens-CMS. | Gerätegebunden. Private Schlüssel werden auf der Karte gespeichert. Verwaltet durch PKI/CMS. | Synchronisiert. Schlüssel werden über das Plattformkonto eines Benutzers (z. B. iCloud Keychain) auf seinen Geräten synchronisiert. |
| Komplexität der Bereitstellung | Moderat. Erfordert Kartenausgabe, Lesegerätebereitstellung und IdP-Konfiguration. | Hoch. Erfordert eine vollständige PKI-Bereitstellung (CAs, CRLs, CMS), Middleware und Lesegeräte. | Niedrig. OS-integriert. Erfordert IdP-Konfiguration und Benutzeraktivierung. |
| Benutzererlebnis | Karte antippen/einstecken + PIN oder Fingerabdruck. | Karte einstecken + PIN. | Nahtlose Gerätebiometrie (Face ID, Windows Hello). |
| Unternehmerische Kontrolle | Hoch. Die IT kontrolliert den Lebenszyklus des Credentials und weiß, dass es an ein bestimmtes Hardwareteil gebunden ist. | Hoch. Die IT kontrolliert den gesamten Zertifikatslebenszyklus. | Niedrig. Die IT hat begrenzte Sichtbarkeit oder Kontrolle darüber, wo sich synchronisierte Schlüssel befinden (z. B. auf persönlichen Geräten). |
Analyse und Ausarbeitung
Die beständige Rolle der PKI wurzelt in ihrer Fähigkeit, Funktionen jenseits der einfachen Benutzerauthentifizierung zu erfüllen. FIDO2 wurde entwickelt, um die Frage zu beantworten: „Sind Sie der, für den Sie sich ausgeben?“ PKI ist durch digitale Signaturen darauf ausgelegt, Bestätigung und Nichtabstreitbarkeit zu bieten und die Frage zu beantworten: „Haben Sie diese spezifische Aktion autorisiert?“. Dies sind grundlegend unterschiedliche Sicherheitsfunktionen, weshalb viele Unternehmen, insbesondere in regulierten Branchen, beides benötigen. Moderne Identitätsanbieter wie Microsoft Entra ID erkennen dies an, indem sie sowohl FIDO2 als auch die zertifikatbasierte Authentifizierung (CBA) als parallele, Phishing-resistente Anmeldemethoden unterstützen.
Der Aufstieg von Plattform-Passkeys, die nahtlos von Apple, Google und Microsoft in Betriebssysteme integriert werden, bietet den Benutzern einen unvergleichlichen Komfort. Dieser Komfort geht jedoch auf Kosten der unternehmerischen Kontrolle. Die entscheidende Unterscheidung für ein Unternehmen liegt zwischen synchronisierten Passkeys und gerätegebundenen Passkeys. Plattform-Passkeys werden in der Regel über das persönliche Cloud-Konto eines Benutzers synchronisiert (z. B. iCloud Keychain oder Google Password Manager). Das bedeutet, dass ein für ein Unternehmenskonto auf einem verwalteten Arbeitslaptop erstellter Passkey automatisch mit dem persönlichen, nicht verwalteten Tablet eines Mitarbeiters zu Hause synchronisiert werden könnte. Für jede Hochsicherheitsumgebung ist dieser Kontrollverlust über den Standort und den Lebenszyklus des Authenticators ein inakzeptables Risiko.
FIDO2-Smartcards lösen dieses Problem, indem sie einen hochsicheren, gerätegebundenen Passkey bereitstellen. Der kryptografische Schlüssel ist physisch und logisch an die vom Unternehmen ausgegebene Karte gebunden. IT-Sicherheitsteams kontrollieren die Ausgabe, Verwaltung und den Widerruf dieses physischen Tokens und bieten so ein Maß an Überprüfbarkeit und Kontrolle, das mit synchronisierten Passkeys unmöglich zu erreichen ist. Dies macht gerätegebundene Authenticatoren wie Smartcards für die Sicherung gemeinsam genutzter Workstations, die Verwaltung privilegierter Zugriffe und den Betrieb in abgeschotteten oder stark regulierten Umgebungen unerlässlich.
Die direkte Antwort lautet nein; FIDO2-Smartcards ersetzen herkömmliche PKI-Smartcards nicht pauschal. Stattdessen stellen sie eine Weiterentwicklung dar, die neue Fähigkeiten zur Bewältigung moderner Bedrohungen integriert und gleichzeitig mit etablierten Technologien koexistiert. Die Beziehung ist eine der Ergänzung, nicht des Ersatzes.
Die Hauptfunktion von FIDO2 besteht darin, die Passwortabfrage während des Authentifizierungsprozesses zu ersetzen. In dieser Funktion ist es eine direkte und weitaus überlegene Alternative zu wissensbasierten Geheimnissen und bietet einen starken Schutz gegen Phishing, Credential Stuffing und andere gängige Angriffe. Es modernisiert das Anmeldeerlebnis für Web- und Cloud-Anwendungen und macht es sowohl sicherer als auch benutzerfreundlicher.
FIDO2 wurde jedoch nicht entwickelt, um die breitere Palette kryptografischer Funktionen abzudecken, die die PKI seit Jahrzehnten übernimmt. Anwendungsfälle wie rechtsverbindliche digitale Signaturen auf Dokumenten, S/MIME für verschlüsselte und signierte E-Mails und bestimmte Arten der Maschine-zu-Maschine-Authentifizierung basieren auf dem X.509-Zertifikatsstandard und dem hierarchischen Vertrauensmodell der PKI. Diese Funktionen haben oft spezifische rechtliche oder regulatorische Anforderungen, die FIDO2 nicht erfüllt.
Die pragmatische Lösung der Branche für diese Divergenz ist die hybride Smartcard. Credentials wie der HID Crescendo C2300 und die Thales SafeNet IDPrime-Serie verkörpern diese Strategie der Koexistenz. Sie ermöglichen einer Organisation, eine Phishing-resistente FIDO2-Authentifizierung für alle modernen Anwendungen bereitzustellen und gleichzeitig ihre Investitionen und Fähigkeiten in die PKI für die älteren Systeme und spezialisierten Arbeitsabläufe beizubehalten, die immer noch davon abhängen. Dies ermöglicht eine schrittweise und strategische Modernisierung der Authentifizierung, ohne kritische Geschäftsprozesse zu stören.
Die Auswahl einer FIDO2-Smartcard sollte von der spezifischen Sicherheitslage, der bestehenden Infrastruktur und den primären Anwendungsfällen einer Organisation bestimmt werden. Die folgenden Empfehlungen sind auf gängige Unternehmensszenarien zugeschnitten.
Für Umgebungen mit starker PKI-Nutzung (Finanzen, Behörden): Organisationen, die stark auf PKI für die Windows-Smartcard-Anmeldung, digitale Signaturen und Datenverschlüsselung angewiesen sind, sollten hybride Karten priorisieren. Der HID Crescendo C2300 und der Thales SafeNet IDPrime 3930/3940 FIDO sind führende Optionen. Sie ermöglichen einen schrittweisen Rollout von FIDO2 für Web- und Cloud-Single Sign-On (SSO), ohne bestehende, geschäftskritische PKI-Workflows zu stören.
Für konvergenten physischen und logischen Zugriff: Um die Vision des „einen Ausweises“ zu verwirklichen, ist der HID Crescendo C2300 die direkteste Lösung. Es ist entscheidend, die spezifische SKU auszuwählen, die die PACS-Technologie (z. B. Seos, iCLASS, Prox) enthält, die zur bestehenden Türleser-Infrastruktur des Gebäudes passt. Dieser Ansatz rationalisiert die Credential-Verwaltung und verbessert das Mitarbeitererlebnis.
Für vorgeschriebene On-Card-Biometrie: Wenn die Sicherheitsrichtlinie vorschreibt, dass die biometrische Verifizierung auf dem Authenticator selbst statt auf dem Host-Gerät (wie Windows Hello) erfolgen muss, sind die primären Optionen der Thales IDPrime FIDO Bio, die AuthenTrend ATKey.Card NFC oder die FEITIAN Biometric Fingerprint Card. Diese Karten bieten einen starken Nachweis der Benutzeranwesenheit und des Besitzes, indem sie die biometrische Prüfung auf das Credential verlagern.
Für große, kostensensitive Rollouts: Wenn das Ziel darin besteht, einer großen Population von Auftragnehmern, Partnern oder Mitarbeitern FIDO2-Passkeys zur Verfügung zu stellen, bei denen das Budget eine primäre Einschränkung ist, bietet die Token2 T2F2-NFC-Card PIN+ (Release 3) ein ausgezeichnetes Gleichgewicht zwischen Funktionen und Kosten. Ihre hohe Kapazität für Resident Keys und ihre Standardkonformität machen sie zu einer skalierbaren und effektiven Lösung.
Für Organisationen mit bestehenden Java-Card-Implementierungen: Das TrustSEC FIDO2-Applet bietet einen einzigartig leistungsstarken und kostengünstigen Upgrade-Pfad. Für Organisationen, die bereits eine große Anzahl kompatibler Java Cards ausgegeben haben, kann die Bereitstellung dieses Applets moderne FIDO2-Authentifizierungsfunktionen hinzufügen, ohne die immensen Kosten und den logistischen Aufwand eines vollständigen Hardware-Austauschzyklus.
Die Landschaft der Unternehmensauthentifizierung durchläuft einen fundamentalen Wandel, wobei sich FIDO2-Smartcards als entscheidende Brücke zwischen älteren Sicherheitsinvestitionen und modernen, passwortlosen Frameworks herauskristallisieren. Dieser Bericht hat eine detaillierte Analyse der Technologie, führender Produkte und strategischer Überlegungen für ihren Einsatz geliefert. Zusammenfassend lassen sich die zu Beginn gestellten Schlüsselfragen wie folgt beantworten:
Welche Kerntechnologien stecken hinter einer FIDO2-Smartcard? Es ist ein Hardware-Authenticator im Kartenformat, der einen sicheren kryptografischen Chip beherbergt. Dieser Chip führt moderne, Phishing-resistente FIDO2-Protokolle (WebAuthn und CTAP2) für die Web-Authentifizierung aus, oft neben traditionellen Public-Key-Infrastruktur (PKI)-Fähigkeiten für ältere Anwendungsfälle wie Smartcard-Anmeldung und digitales Signieren.
Welches sind die besten im Jahr 2025? Die beste Karte wird durch den spezifischen Anwendungsfall bestimmt. Der Crescendo C2300 von HID zeichnet sich durch konvergenten physischen und logischen Zugriff aus. Die Thales IDPrime-Serie ist ideal für hochsichere PKI-Umgebungen, wobei das FIDO Bio-Modell On-Card-Biometrie hinzufügt. AuthenTrend und FEITIAN bieten starke biometriefokussierte Lösungen. Token2 bietet eine kostengünstige Option für großflächige Implementierungen, und BoBeePass führt innovative Multi-Transport-Konnektivität ein, wenn auch mit Plattformbeschränkungen.
Ersetzen sie PKI-Smartcards? Nein, sie ergänzen sie. FIDO2 wurde entwickelt, um das Passwort für die Authentifizierung zu ersetzen und bietet einen überlegenen Schutz gegen Phishing. PKI bleibt für breitere Funktionen wie digitale Signaturen, E-Mail-Verschlüsselung und Attestation unerlässlich. Die dominierende Unternehmensstrategie ist die Koexistenz, oft auf einer einzigen Hybridkarte.
Wie schneiden sie im Vergleich zu Plattform-Passkeys ab? FIDO2-Smartcards bieten einen gerätegebundenen Passkey, der dem Unternehmen physische Kontrolle und Überprüfbarkeit über das Credential selbst gibt. Dies steht im Gegensatz zu den synchronisierten Passkeys, die von Plattformanbietern wie Apple und Google angeboten werden und die Benutzerfreundlichkeit über die unternehmerische Kontrolle stellen. Für Hochsicherheitskontexte und gemeinsam genutzte Workstations ist die gerätegebundene Natur einer Smartcard ein entscheidender Sicherheitsvorteil.
Welche sollte ich wählen? Die endgültige Wahl muss mit dem Hauptziel Ihrer Organisation übereinstimmen. Wenn die Vereinheitlichung des Gebäude- und IT-Zugangs das Ziel ist, ist eine konvergente Karte die Antwort. Wenn die biometrische Sicherheit auf Credential-Ebene von größter Bedeutung ist, ist ein Match-on-Card-Modell erforderlich. Wenn die Integration in eine tiefe PKI-Infrastruktur Priorität hat, ist eine robuste Hybridkarte notwendig. Und wenn die Bereitstellung von Passkeys in großem Maßstab mit begrenztem Budget der Hauptantrieb ist, ist eine kostengünstige, reine FIDO2-Karte die logische Wahl. Der Weg nach vorne ist eine strategische Koexistenz: FIDO2 für moderne, Phishing-resistente Authentifizierung nutzen, wo immer möglich, während die PKI für die wesentlichen Funktionen beibehalten wird, die nur sie bieten kann.
Share this article
Related Articles
Table of Contents
