Diese Seite wurde automatisch übersetzt. Lesen Sie die englische Originalversion hier.
Enterprise-Passkey-Whitepaper. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.
Multi-Faktor-Authentifizierung (MFA) hat sich definitiv von einer Sicherheitsfunktion für proaktive Nutzer zu einer nicht verhandelbaren, vorgeschriebenen Realität für Unternehmen weltweit gewandelt. Diese Transformation geschieht nicht freiwillig, sondern aus der Not heraus, angetrieben durch unaufhörliche, auf Zugangsdaten basierende Cyberangriffe und wachsenden regulatorischen Druck. Branchen von Finanzdienstleistungen bis hin zum öffentlichen Sektor arbeiten nun unter Rahmenbedingungen, die MFA zur Grundvoraussetzung für Compliance machen. Diese neue Ära, in der MFA erzwungen statt nur angeboten wird, bringt eine Kaskade komplexer Herausforderungen mit sich, die weit über die anfängliche technische Implementierung hinausgehen.
Wenn jeder Nutzer MFA verwenden muss, tauchen neue kritische Fragen auf, die jedes Unternehmen beantworten muss. Dieser Artikel wird diese Herausforderungen eingehend untersuchen und einen klaren Weg nach vorn aufzeigen. Wir befassen uns mit folgenden Punkten:
Was sind die versteckten operativen Kosten und die Tücken bei der Nutzererfahrung, wenn MFA flächendeckend erzwungen wird?
Für welche MFA-Methoden entscheiden sich Nutzer tatsächlich, wenn sie die Wahl haben, und welche Sicherheitsrisiken entstehen dadurch?
Wie wird die Account-Wiederherstellung zur neuen primären Herausforderung in einer Umgebung mit MFA-Pflicht, und welche Kompromisse gibt es bei der Lösung?
Warum sind Passkeys die strategische Lösung für genau die Probleme, die durch MFA-Pflichten entstehen, und nicht einfach nur eine weitere Option?
Wie sieht ein praktischer Schritt-für-Schritt-Plan für den erfolgreichen Übergang von einer vorgeschriebenen Legacy-MFA zu der überlegenen Sicherheit und Nutzererfahrung von Passkeys aus?
Diese Analyse bietet einen klaren, umsetzbaren Plan für den erfolgreichen Übergang von der Ein-Faktor-Authentifizierung zur MFA-Pflicht (bis hin zur Passkey-Pflicht).
Aktuelle Artikel
Bevor wir die Herausforderungen der Durchsetzung untersuchen, ist es wichtig, ein klares Verständnis der Authentifizierungslandschaft zu entwickeln und zu begreifen, warum Pflichten diese grundlegend verändern. Die Terminologie selbst kann eine Quelle von Verwirrung sein, aber die Unterscheidungen sind für jede Sicherheits- oder Produktstrategie entscheidend.
Die Evolution der Authentifizierung ist eine direkte Reaktion auf die inhärente Schwäche ihrer grundlegendsten Form.
Single-Factor Authentication (SFA): Die bekannte Kombination aus Benutzername und Passwort. Sie beruht auf einem einzigen „Wissens“-Faktor, also etwas, das der Nutzer weiß. Die Anfälligkeit für Phishing, Credential Stuffing und Brute-Force-Angriffe ist der Hauptgrund für die Einführung stärkerer Methoden.
Two-Step Verification (2SV): Wird oft synonym mit MFA verwendet, ist aber ein eigenständiger und schwächerer Prozess. Er erfordert zwei Verifizierungsschritte, kann jedoch zwei Faktoren aus derselben Kategorie verwenden. Ein typisches Beispiel ist ein Passwort gefolgt von einer Sicherheitsfrage – beides sind „Wissens“-Faktoren. Obwohl es besser als SFA ist, erfüllt es nicht die Kriterien für echte Multi-Faktor-Sicherheit.
Multi-Factor Authentication (MFA): Der Goldstandard für Sicherheit. MFA erfordert die Verifizierung aus mindestens zwei verschiedenen Kategorien von Authentifizierungsfaktoren. Die drei Hauptkategorien sind:
Wissen (Knowledge): Etwas, das der Nutzer weiß (z. B. ein Passwort, eine PIN).
Besitz (Possession): Etwas, das der Nutzer besitzt (z. B. ein Mobiltelefon, das einen Code empfängt, ein Hardware-Sicherheitsschlüssel).
Inhärenz (Inherence): Etwas, das der Nutzer ist (z. B. ein Fingerabdruck, Gesichtserkennung).
Der Übergang von optionaler zu obligatorischer MFA ist ein Paradigmenwechsel. Ein optionales System ermöglicht eine schrittweise Einführung durch besonders sicherheitsbewusste Nutzer und verbirgt die wahren Reibungspunkte. Eine Pflicht zwingt die gesamte Nutzerbasis, vom Technikaffinen bis zum Technik-Muffel, gleichzeitig in das neue System und deckt jeden Fehler in der Nutzererfahrung und Supportstruktur auf.
Dieser Wandel wurde durch regulatorische Katalysatoren weltweit beschleunigt. Am bekanntesten ist die zweite Zahlungsdiensterichtlinie (PSD2) in Europa mit ihrer Anforderung an die Starke Kundenauthentifizierung (SCA), die die europäische Zahlungslandschaft grundlegend umgestaltet hat, indem sie MFA für die meisten Online-Transaktionen vorschreibt. Indem Finanzinstitute gezwungen wurden, offene APIs und stärkere Sicherheitsvorkehrungen einzuführen, bietet die PSD2 eine riesige, reale Fallstudie für erzwungene Authentifizierung.
Das Hauptziel von SCA war die Reduzierung von Betrug, indem zwei unabhängige Authentifizierungsfaktoren für elektronische Zahlungen verlangt wurden. Die anfängliche Einführung sorgte jedoch für erhebliche Reibungsverluste, und einige europäische Händler verloren fast 40 % der Transaktionen aufgrund von Verwirrung der Nutzer und Kaufabbrüchen. Im Laufe der Zeit passte sich das Ökosystem an, und ein Bericht der Europäischen Zentralbank vom August 2024 bestätigte, dass durch SCA authentifizierte Transaktionen nun deutlich niedrigere Betrugsraten aufweisen. Dies belegt den langfristigen Sicherheitsgewinn, unterstreicht aber auch die absolute Notwendigkeit, Sicherheit und Nutzererfahrung in Einklang zu bringen.
Ähnliche regulatorische Dynamiken entwickeln sich weltweit. In Australien operiert der Finanzsektor unter dem CPS 234-Rahmenwerk der Australian Prudential Regulation Authority, das Sicherheitsstandards für Finanzinstitute festlegt. Nach einer Welle von Credential-Stuffing-Angriffen Anfang 2025 schrieb die APRA an alle Vorstände von Pensionsfonds und erwartete ausdrücklich, dass diese MFA oder gleichwertige Schutzmaßnahmen für risikoreiche Aktivitäten implementieren. Die Aufsichtsbehörde wies darauf hin, dass etwa 20 % der Cybervorfälle im australischen Finanzsektor Credential-Stuffing-Angriffe waren, was MFA zu einer entscheidenden Kontrollmaßnahme macht. Unabhängig davon steht der australische Telekommunikationssektor unter der MFA-Pflicht für alle risikoreichen Kundentransaktionen gemäß der Customer Identity Authentication Determination von 2022 der Australian Communications and Media Authority. Diese Regelung verpflichtet Mobilfunkanbieter nach aufsehenerregenden Fällen von SIM-Swapping-Betrug dazu, MFA für SIM-Swaps, Passwort-Resets und das Hinzufügen von Diensten zu verwenden.
Während diese Vorgaben anfangs Reibung erzeugen, schaffen sie auch ein Umfeld der unfreiwilligen Massenaufklärung. Wenn Millionen von Nutzern von ihren Banken gezwungen werden, eine Transaktion mit einem Fingerabdruck oder einem Code freizugeben, machen sie sich mit dem Konzept eines zweiten Faktors vertraut. Diese durch Regulierung vorangetriebene Normalisierung ebnet paradoxerweise den Weg für andere Unternehmen. Die Diskussion kann sich von „Was ist MFA und warum brauche ich das?“ hin zu „Hier ist unser neuer, einfacherer Weg für den Sicherheitsschritt, den Sie bereits kennen“ entwickeln. Dies schafft die perfekte Grundlage für die Einführung einer besseren Erfahrung wie Passkeys.
Wenn Sie mehr über die Besonderheiten dieser Vorschriften und ihre Beziehung zu Passkeys erfahren möchten, können Sie diese Ressourcen erkunden:
Was SCA-Anforderungen für Passkeys bedeuten
Implikationen von SD3 / PSR für Passkeys
Delegierte Authentifizierung & Passkeys unter PSD3 / PSR
Während regulatorische Rahmenbedingungen die proaktive MFA-Einführung vorantreiben, lösen Sicherheitsvorfälle oft die dringendsten und sichtbarsten Verpflichtungen aus. Wenn ein Unternehmen einen Datendiebstahl erleidet, wird der Weg zur obligatorischen MFA nicht mehr zu einer Frage der Compliance-Planung, sondern zu einer sofortigen Krisenreaktion.
Der australische Pensionssektor erlebte dies im März 2025 auf drastische Weise. In einer ausgeklügelten Credential-Stuffing-Kampagne nutzten Cyberkriminelle gestohlene Kombinationen aus Benutzernamen und Passwörtern aus externen Datenlecks, um systematisch Konten von Pensionsfonds anzugreifen. Berichten von Reuters und ABC News zufolge bestätigte AustralianSuper, der größte Fonds des Landes mit über 3 Millionen Mitgliedern, dass Angreifer auf bis zu 600 Mitgliedskonten zugegriffen und erfolgreich 500.000 AUD von den Guthaben vierer Mitglieder abgehoben hatten, bevor der Angriff entdeckt wurde. Der Vorfall breitete sich über mehrere Fonds aus: Rest Super entdeckte verdächtige Aktivitäten auf rund 20.000 Konten, und Insignia Financial meldete Angriffsversuche auf rund 100 Konten.
Der Angriffsvektor war klassisches Credential Stuffing: automatisierte Login-Versuche unter Verwendung von Zugangsdaten, die aus nicht zusammenhängenden Datenschutzverletzungen gesammelt wurden. Von ABC News interviewte Sicherheitsexperten bezeichneten den Angriff als „wenig ausgeklügelt“ und stellten fest, dass sein Erfolg ausschließlich auf das Fehlen von MFA zurückzuführen war. Im starken Kontrast dazu meldete HostPlus, ein weiterer großer Fonds, keine finanziellen Verluste durch dieselbe Kampagne – ausdrücklich, weil das Unternehmen bereits MFA für Mitgliedskonten implementiert hatte. Dieser Vergleich aus der realen Welt lieferte den unmissverständlichen Beweis für den Schutzwert von MFA.
Vor dem Vorfall hatten Kunden von AustralianSuper ausdrücklich um MFA als Sicherheitsoption gebeten, wurden jedoch darüber informiert, dass sie nicht verfügbar sei. Nach dem Vorfall sperrte der Fonds umgehend die betroffenen Konten und beschleunigte die MFA-Bereitstellung. Das anschließende Schreiben der APRA an alle Vorstände von Pensionsfonds machte die Erwartungshaltung der Aufsichtsbehörde deutlich: Die Implementierung von MFA war nun eine dringende Pflicht und keine Überlegung für die Zukunft mehr.
Post-Breach-Pflichten entstehen auch durch Phishing-Kampagnen, die Zugangsdaten von Organisationen kompromittieren. Im März 2020 erlitt Service NSW, ein Serviceportal der Regierung eines Bundesstaates, einen Phishing-Angriff, bei dem 736 GB an Daten offengelegt wurden, wodurch die persönlichen Informationen von etwa 103.000 Kunden kompromittiert wurden. Die Ermittler identifizierten das Fehlen von MFA bei E-Mail-Konten der Mitarbeiter als einen wesentlichen Faktor für die Schwere des Vorfalls. Als Reaktion darauf implementierte Service NSW MFA in allen externen E-Mail-Systemen und hatte sie bis August 2021 auf 95 % der extern zugänglichen Systeme aktiviert, unterstützt durch Sicherheitsinvestitionen in Höhe von 5 Millionen AUD. Nach dem separaten Datenleck beim Telekommunikationsanbieter Optus im Jahr 2022 weitete Service NSW seine Bemühungen weiter aus, führte ein Pilotprojekt durch und machte MFA für alle Inhaber eines MyServiceNSW-Kontos bis 2026 zur Pflicht.
Diese Vorfälle veranschaulichen ein kritisches Muster: Vorfälle erzeugen politischen und operativen Druck, der die schrittweisen Planungszyklen, die für proaktive Compliance typisch sind, umgeht. Die Frage verlagert sich von „Sollten wir MFA vorschreiben?“ hin zu „Wie schnell können wir sie bereitstellen?“. Dieser verkürzte Zeitplan verschärft oft die später in diesem Artikel besprochenen operativen Herausforderungen und Probleme bei der Nutzererfahrung, was die Wahl der MFA-Methode und die Gestaltung des Rollouts umso entscheidender macht.
Die flächendeckende Durchsetzung von MFA über die gesamte Nutzerbasis hinweg offenbart eine Vielzahl praktischer Herausforderungen, die bei der anfänglichen Planung oft unterschätzt werden. Diese Probleme wirken sich auf die Nutzererfahrung, den Sicherheitsstatus und die operativen Kosten aus.
Wenn die Registrierung verpflichtend ist, ist eine schlechte Nutzererfahrung nicht länger nur ein Ärgernis; sie wird zu einem direkten Hindernis für den Geschäftsbetrieb. Unternehmen wählen typischerweise zwischen zwei Strategien: erzwungene Registrierung (Forced Enrollment), bei der das MFA-Setup beim nächsten Login erforderlich ist, oder progressive Registrierung (Progressive Enrollment), bei der Nutzer im Laufe der Zeit dazu aufgefordert werden. Die erzwungene Registrierung erreicht Compliance zwar schneller, birgt jedoch das Risiko höherer Frustration und Absprungraten bei Nutzern, wenn der Prozess nicht reibungslos verläuft. Der Erfolg hängt von der Einhaltung von UX-Best-Practices ab, wie dem Anbieten mehrerer Authentifizierungsmethoden, klaren Anweisungen und der Sicherstellung der Barrierefreiheit für alle Nutzer, beispielsweise durch die Bereitstellung eines textbasierten geheimen Schlüssels neben einem QR-Code für Authenticator-Apps.
Sobald MFA für ein Konto aktiv ist, bedeutet der Verlust eines zweiten Faktors eine komplette Sperrung. In einer Welt mit MFA-Pflicht ist dies kein isolierter Vorfall für einige wenige sicherheitsbewusste Nutzer; es wird zu einer weit verbreiteten, kritischen Herausforderung für die gesamte Nutzerbasis und die Support-Teams, die sie betreuen. Dies macht die Account-Wiederherstellung (Account Recovery) zur größten einzelnen Herausforderung.
Die finanziellen Einsätze sind hoch: Ein einzelner Helpdesk-gestützter Passwort- oder MFA-Reset kann ein Unternehmen durchschnittlich 70 US-Dollar kosten. Für ein Unternehmen mit Hunderttausenden von Nutzern kann selbst ein kleiner Prozentsatz, der eine Wiederherstellung benötigt, Millionen von Dollar an operativen Kosten und Produktivitätsverlusten bedeuten.
Organisationen stehen vor einem schwierigen Kompromiss zwischen Sicherheit, Kosten und Komfort:
Helpdesk-gestützte Wiederherstellung: Ein Support-Mitarbeiter kann die Identität des Nutzers über einen Videoanruf oder auf andere Weise verifizieren. Dies ist ein sicherer, menschlich verifizierter Prozess, der jedoch unerschwinglich teuer und schwer skalierbar ist, was ihn für die meisten Unternehmen untragbar macht.
E-Mail/SMS-basierte Wiederherstellung: Dies ist die häufigste Methode aufgrund ihrer geringen Kosten und der Vertrautheit für die Nutzer. Sie stellt jedoch auch eine kritische Sicherheitslücke dar. Wenn ein Angreifer bereits das E-Mail-Konto eines Nutzers kompromittiert hat – ein häufiger Vorbote für weitere Angriffe –, kann er den Wiederherstellungscode leicht abfangen und die MFA komplett umgehen. Diese Methode macht die Sicherheitsvorteile, die die Pflicht bieten sollte, de facto zunichte.
Vorab registrierte Backup-Codes: Nutzer erhalten während der Registrierung einen Satz Einweg-Backup-Codes. Diese Methode ist zwar sicherer als die E-Mail-Wiederherstellung, bringt jedoch Reibung in die anfängliche Einrichtung. Darüber hinaus speichern Nutzer diese Codes oft nicht sicher ab oder verlieren sie, was sie letztendlich wieder vor das gleiche Problem der Kontosperrung stellt.
Selfie-ID-Verifizierung: Diese Methode mit hohem Vertrauensniveau (High Assurance) erfordert, dass der Nutzer ein Live-Selfie und ein Foto eines amtlichen Ausweises (wie eines Führerscheins oder Reisepasses) aufnimmt. KI-gestützte Systeme gleichen dann das Gesicht mit dem Ausweis ab, um die Identität zu bestätigen. Zwar in den Bereichen Bankwesen und Finanzdienstleistungen üblich, in denen die Identität bereits beim Onboarding überprüft wird, wirft sie für einige Nutzer jedoch Datenschutzbedenken auf und erfordert, dass sie ihren physischen Ausweis zur Hand haben.
Digitale Zugangsdaten & Wallets: Eine aufstrebende, zukunftsweisende Option besteht darin, überprüfbare digitale Zugangsdaten zu verwenden, die in einem digitalen Wallet (Brieftasche) gespeichert sind. Ein Nutzer könnte einen Nachweis eines vertrauenswürdigen Ausstellers (wie einer Regierung oder Bank) vorlegen, um seine Identität zu beweisen, ohne den Recovery-Prozess des spezifischen Dienstes durchlaufen zu müssen. Diese Methode steckt noch in den Kinderschuhen, deutet aber auf eine Zukunft hin, in der die Identitätsüberprüfung portabler und vom Nutzer kontrolliert wird.
Ein häufiger und kritischer Fehlerpunkt in jedem MFA-System ist der Geräte-Lebenszyklus. Wenn ein Nutzer ein neues Smartphone erhält, ist die Kontinuität seiner Authentifizierungsmethode von größter Bedeutung.
SMS: Diese Methode ist relativ portabel, da eine Telefonnummer über eine neue SIM-Karte auf ein neues Gerät übertragen werden kann. Genau dieser Prozess ist jedoch der Angriffsvektor, der bei SIM-Swapping-Angriffen ausgenutzt wird, bei denen ein Betrüger einen Mobilfunkanbieter davon überzeugt, die Nummer des Opfers auf eine von ihm kontrollierte SIM-Karte zu portieren.
Authenticator-Apps (TOTP): Dies ist eine große Quelle für Reibungsverluste bei Nutzern. Wenn der Nutzer nicht proaktiv eine Cloud-Backup-Funktion in seiner Authenticator-App aktiviert hat (eine Funktion, die nicht überall vorhanden ist und nicht immer genutzt wird), gehen die geheimen Schlüssel, die die Codes generieren, mit dem alten Gerät verloren. Dies zwingt den Nutzer in einen vollständigen und oft mühsamen Prozess der Account-Wiederherstellung für jeden einzelnen Dienst, den er gesichert hatte.
Push-Benachrichtigungen: Ähnlich wie TOTP-Apps ist Push-basierte MFA an eine bestimmte App-Installation auf einem registrierten Gerät gebunden. Ein neues Telefon erfordert eine neue Registrierung, was dieselben Herausforderungen bei der Wiederherstellung auslöst.
Wenn ein Unternehmen MFA vorschreibt und verschiedene Methoden zur Auswahl anbietet, zeigt sich ein vorhersehbares Muster: Über 95 % der Nutzer entscheiden sich für das, was ihnen am vertrautesten und scheinbar am einfachsten ist, was oft SMS-basierte Einmalpasswörter (OTPs) sind. Dieses Verhalten erzeugt ein Paradoxon. Ein CISO kann MFA vorschreiben, um die Sicherheit zu verbessern. Wenn jedoch viele Nutzer weiterhin auf eine angreifbare Methode wie SMS vertrauen, kann das Unternehmen eine 100%ige Compliance erreichen, ohne seine Abwehrmechanismen gegen raffinierte Angriffe wesentlich zu verbessern.
Die Angriffe auf australische Pensionsfonds im März 2025 lieferten dafür drastische Beweise aus der realen Welt. Bei diesem Vorfall war das Fehlen jeglicher MFA die entscheidende Schwachstelle. Die weiter gefasste Lektion geht jedoch über die binäre Entscheidung „MFA oder keine MFA“ hinaus auf die Qualität der eingesetzten MFA. Unternehmen, die SMS-basierte MFA als einzige oder primäre Option anbieten, bleiben anfällig für Phishing, Social Engineering und SIM-Swapping-Angriffe. Die Angreifer im australischen Fall nutzten schwache Zugangsdaten aus; wären diese Konten nur durch SMS-OTPs „geschützt“ gewesen, hätten Angreifer, die Zugriff auf kompromittierte E-Mail-Konten haben, möglicherweise Passwort-Reset-Prozesse abfangen und SIM-Swaps veranlassen können, um auch diesen Faktor zu umgehen.
Plattformen wie Microsoft haben dies erkannt und eine „systembevorzugte MFA“ eingeführt, die Nutzer aktiv zu sichereren Optionen wie Authenticator-Apps anstelle von SMS oder Sprachanrufen drängt. Dies unterstreicht eine wichtige Lektion: Die bloße Vorgabe von MFA reicht nicht aus. Die Art der MFA ist von großer Bedeutung, und Organisationen müssen Nutzer aktiv von schwächeren, angreifbaren Faktoren wegleiten.
Die Entscheidung, MFA vorzuschreiben, hat direkte und messbare Auswirkungen auf die operativen Ressourcen. Sie löst unweigerlich einen Anstieg der Helpdesk-Tickets im Zusammenhang mit Registrierungsproblemen, verlorenen Authenticatoren und Wiederherstellungsanfragen aus. Untersuchungen von Gartner zeigen, dass 30 bis 50 % aller IT-Support-Anrufe bereits wegen Passwortproblemen getätigt werden; eine vorgeschriebene MFA, insbesondere in Kombination mit umständlichen Recovery-Prozessen, verschärft diese Belastung erheblich. Dies führt zu direkten Kosten, die CTOs und Projektmanager einplanen müssen. Darüber hinaus wird der Helpdesk selbst zu einem Hauptziel für Social-Engineering-Angriffe, bei denen sich Angreifer als frustrierte, ausgesperrte Nutzer ausgeben, um Support-Mitarbeiter dazu zu verleiten, MFA-Faktoren in ihrem Namen zurückzusetzen.
Die Untersuchung groß angelegter, realer Implementierungen von obligatorischer MFA liefert unschätzbare Lektionen darüber, was funktioniert und was erhebliche Reibungen verursacht. Durch die Analyse von Erfahrungen aus proaktiven regulatorischen Rollouts wie PSD2 in Europa sowie aus reaktiven Vorgaben nach Sicherheitsvorfällen im australischen Finanzsektor können wir einige universelle Wahrheiten destillieren.
Anfängliche Reibung ist unvermeidlich, aber handhabbar: Der europäische SCA-Rollout hat gezeigt, dass die Erzwingung einer großen Verhaltensänderung der Nutzer – selbst wenn es der Sicherheit dient – anfangs den Konversionsraten schadet. Es zeigte sich aber auch, dass sich diese negativen Effekte im Laufe der Zeit durch verfeinerte Prozesse und die Gewöhnung der Nutzer abmildern lassen. Der Schlüssel liegt darin, diese Reibung zu antizipieren und von vornherein einen möglichst reibungslosen, nutzerfreundlichen Ablauf zu gestalten.
Nutzerwahl ist ein zweischneidiges Schwert: Wenn Nutzer die Wahl haben, entscheiden sie sich konsequent für den Weg des geringsten Widerstands, was oft die Wahl vertrauter, aber weniger sicherer MFA-Methoden wie SMS bedeutet. Dies führt zu einem Zustand des „Compliance-Theaters“, in dem die Organisation den Wortlaut der Vorgabe erfüllt, nicht aber ihren Sinn, und weiterhin anfällig für Phishing bleibt. Die australischen Pensionsfonds-Angriffe im März 2025 zeigten dieses Prinzip in umgekehrter Richtung: Unternehmen ohne MFA erlitten erhebliche Verluste, während solche mit einer grundlegenden MFA-Implementierung (wie HostPlus) finanziellen Diebstahl verhindern konnten. Die Lektion reicht jedoch weiter: Schwache, rein auf SMS basierende MFA-Implementierungen bleiben anfällig für entschlossene Angreifer, die SIM-Swaps und Social Engineering ausnutzen können. Eine erfolgreiche Strategie muss Nutzer aktiv in Richtung stärkerer, Phishing-resistenter Optionen lenken.
Die Wiederherstellung wird zur Achillesferse: In einer Welt mit MFA-Pflicht wird die Account-Wiederherstellung von einem Randfall (Edge Case) zu einer wesentlichen operativen Belastung und einer kritischen Sicherheitslücke. Sich bei der Wiederherstellung auf E-Mail oder SMS zu verlassen, untergräbt das gesamte Sicherheitsmodell, während eine Helpdesk-gestützte Wiederherstellung finanziell nicht tragbar ist. Ein robuster, sicherer und nutzerfreundlicher Recovery-Prozess ist kein nachträglicher Gedanke, sondern eine Kernanforderung für eine erfolgreiche Verpflichtung.
Pflichten nach Sicherheitsvorfällen verkürzen Zeitpläne und erhöhen das Risiko: Wenn Vorgaben durch einen Sicherheitsvorfall und nicht durch eine geplante Compliance-Initiative ausgelöst werden, verkürzt sich der Zeitplan für die Umsetzung dramatisch. Der australische Pensionssektor ging innerhalb von Wochen nach dem Vorfall von „Kunden bitten um MFA“ zu „Regulierungsbehörden erwarten sofortige Bereitstellung“ über. Dieser beschleunigte Zeitplan lässt weniger Raum für Nutzertests, phasenweise Rollouts und iterative Verfeinerungen, was die Wahl der Technologie und das UX-Design umso wichtiger macht. Unternehmen, die MFA proaktiv implementieren, bevor es zu einem Vorfall kommt, haben den Luxus einer sorgfältigen Planung; diejenigen, die nach einem Vorfall reagieren müssen, haben diesen nicht.
Phasenweise Rollouts reduzieren das Risiko drastisch: Der Versuch eines „Big Bang“-Rollouts für eine gesamte Nutzerbasis ist eine risikoreiche Strategie. Ein klügerer Ansatz, der sich bei großen Enterprise-Implementierungen bewährt hat, besteht darin, das neue System zunächst bei kleineren, unkritischen Nutzergruppen zu testen. Dies ermöglicht es dem Projektteam, Bugs zu identifizieren und zu beheben, die Nutzererfahrung zu verfeinern und Feedback in einer kontrollierten Umgebung zu sammeln, bevor der flächendeckende Rollout erfolgt.
Eine zentrale Identitätsplattform ist ein starker Wegbereiter: Unternehmen, die bereits über eine zentrale Identity and Access Management- (IAM) oder Single Sign-On (SSO)-Plattform verfügen, sind für einen reibungslosen Rollout weitaus besser positioniert. Ein zentrales Identitätssystem ermöglicht die schnelle und konsistente Anwendung neuer Authentifizierungsrichtlinien über Hunderte oder Tausende von Anwendungen hinweg, was die Komplexität und die Kosten des Projekts erheblich reduziert.
Abonnieren Sie unseren Passkeys Substack für aktuelle News.
Passkeys, die auf dem WebAuthn-Standard der FIDO-Allianz basieren, sind nicht nur eine schrittweise Verbesserung gegenüber Legacy-MFA. Ihre zugrunde liegende Architektur, die auf asymmetrischer Kryptografie (Public-Key) basiert, wurde speziell entwickelt, um die schmerzhaftesten und hartnäckigsten Probleme zu lösen, die durch MFA-Pflichten entstehen.
Lösung des Wiederherstellungs-Albtraums: Die größte Herausforderung der MFA-Pflicht ist die Account-Wiederherstellung. Passkeys gehen dies direkt an. Ein Passkey ist ein kryptografischer Nachweis, der über das Plattform-Ökosystem des Nutzers (wie den iCloud-Schlüsselbund von Apple oder den Google Passwortmanager) über dessen Geräte hinweg synchronisiert werden kann. Wenn ein Nutzer sein Telefon verliert, ist der Passkey weiterhin auf seinem Laptop oder Tablet verfügbar. Dies reduziert die Häufigkeit von Kontosperrungen drastisch und verringert die Abhängigkeit von unsicheren Wiederherstellungskanälen wie E-Mail oder kostspieligen Helpdesk-Interventionen.
Lösung des Geräte-Lebenszyklus-Problems: Da Passkeys synchronisiert werden, wandelt sich die Erfahrung beim Erhalt eines neuen Geräts von einem Prozess mit hoher Reibung zu einem nahtlosen Übergang. Meldet sich ein Nutzer auf einem neuen Telefon in seinem Google- oder Apple-Konto an, werden seine Passkeys automatisch wiederhergestellt und sind sofort einsatzbereit. Dadurch entfällt der mühsame App-für-App-Registrierungsprozess, der bei herkömmlichen gerätegebundenen Authenticator-Apps erforderlich ist.
Lösung des Paradoxons der Nutzerpräferenz: Passkeys lösen den klassischen Kompromiss zwischen Sicherheit und Bequemlichkeit. Die sicherste verfügbare Authentifizierungsmethode, Phishing-resistente Public-Key-Kryptografie, ist gleichzeitig auch die schnellste und einfachste für den Nutzer. Eine einzige biometrische Geste oder eine Geräte-PIN genügt. Es gibt für einen Nutzer keinen Anreiz, eine schwächere, weniger sichere Option zu wählen, da die stärkste Option gleichzeitig die bequemste ist.
Lösung der Phishing-Schwachstelle: Passkeys sind vom Design her Phishing-resistent. Das kryptografische Schlüsselpaar, das bei der Registrierung erstellt wird, ist an die spezifische Herkunft (Origin) der Website oder App gebunden (z. B. corbado.com). Ein Nutzer kann nicht dazu verleitet werden, seinen Passkey auf einer täuschend ähnlich aussehenden Phishing-Seite (z. B. corbado.scam.com) zu verwenden, da der Browser und das Betriebssystem die Abweichung beim Origin erkennen und die Authentifizierung verweigern. Dies bietet eine grundlegende Sicherheitsgarantie, die keine Methode, die auf gemeinsamen Geheimnissen basiert (wie Passwörter oder OTPs), bieten kann.
Lösung von MFA-Müdigkeit (MFA Fatigue): Eine einzige, einfache Nutzeraktion, wie ein Face-ID-Scan oder eine Berührung des Fingerabdrucksensors, beweist gleichzeitig den Besitz des kryptografischen Schlüssels auf dem Gerät („etwas, das man besitzt“) und Inhärenz durch Biometrie („etwas, das man ist“). Dies fühlt sich für den Nutzer wie ein einziger, müheloser Schritt an, erfüllt aber kryptografisch die Anforderung an eine Multi-Faktor-Authentifizierung. So können Unternehmen strenge Compliance-Standards einhalten, ohne die zusätzlichen Schritte und die kognitive Belastung, die mit Legacy-MFA verbunden sind, in Kauf nehmen zu müssen.
Der Übergang von Legacy-MFA zu einer Passkey-First-Strategie erfordert einen durchdachten, mehrstufigen Ansatz, der Technologie, Nutzererfahrung und Geschäftsziele berücksichtigt.
Bevor Sie Passkeys vorschreiben können, müssen Sie die technischen Möglichkeiten Ihrer Nutzerbasis zur Übernahme verstehen. Dies ist ein entscheidender erster Schritt, um die Machbarkeit und den Zeitplan eines Rollouts einzuschätzen.
Analysieren Sie Ihre Gerätelandschaft: Nutzen Sie bestehende Webanalyse-Tools, um Daten zu den bevorzugten Betriebssystemen (iOS, Android, Windows-Versionen) und Browsern Ihrer Nutzer zu sammeln.
Nutzen Sie ein Passkey Readiness-Tool: Für präzisere Daten liefert eine ressourcenschonende Datenquelle wie State of Passkeys Erkenntnisse über den Prozentsatz der Nutzer, deren Geräte Plattform-Authenticatoren (wie Face ID, Touch ID und Windows Hello) und wichtige UX-Verbesserungen wie Conditional UI (die Autofill für Passkeys ermöglicht) unterstützen. Diese Daten sind essenziell für den Aufbau eines realistischen Adoptionsmodells.
Der Übergang zu Passkeys erfolgt schrittweise, nicht schlagartig. Eine erfolgreiche Strategie erfordert ein hybrides System, das Passkeys als primäre, bevorzugte Methode bewirbt, gleichzeitig aber einen sicheren Fallback für Nutzer mit inkompatiblen Geräten oder für diejenigen bietet, die sich noch nicht registriert haben.
Wählen Sie ein Integrationsmuster:
Identifier-First: Der Nutzer gibt seine E-Mail-Adresse oder seinen Benutzernamen ein. Das System prüft dann, ob für diesen Identifier ein Passkey registriert ist, und startet gegebenenfalls den Passkey-Login-Vorgang. Wenn nicht, erfolgt ein nahtloses Fallback auf ein Passwort oder eine andere sichere Methode. Dieser Ansatz bietet die beste Nutzererfahrung und führt typischerweise zu höheren Adoptionsraten.
Spezieller Passkey-Button: Ein Button „Mit einem Passkey anmelden“ wird neben dem herkömmlichen Login-Formular platziert. Dies ist einfacher zu implementieren, überlässt aber dem Nutzer die Entscheidung, die neue Methode zu wählen, was zu geringerer Nutzung führen kann.
Stellen Sie sicher, dass Fallbacks sicher sind: Ihr Fallback-Mechanismus darf Ihre Sicherheitsziele nicht untergraben. Vermeiden Sie Fallbacks auf unsichere Methoden wie SMS-OTPs. Eine stärkere Alternative ist die Verwendung eines zeitkritischen Einmalcodes oder eines Magic Links, der an die verifizierte E-Mail-Adresse des Nutzers gesendet wird und als Besitzfaktor für eine bestimmte Sitzung dient.
Effektive Kommunikation ist das A und O für einen reibungslosen Rollout. Das Ziel ist es, Passkeys nicht als weiteres Sicherheitshindernis, sondern als deutliches Upgrade der Nutzererfahrung darzustellen.
Nutzenorientiertes Messaging: Verwenden Sie eine klare, einfache Sprache, die den Nutzen für den Nutzer hervorhebt: „Melden Sie sich schneller und sicherer an“, „Verabschieden Sie sich von vergessenen Passwörtern“ und „Ihr Fingerabdruck ist jetzt Ihr Schlüssel“. Verwenden Sie durchgängig das offizielle FIDO-Passkey-Icon, um den Wiedererkennungswert zu steigern.
Phasenweise Rollout-Strategie:
Beginnen Sie mit „Pull“-Adoption: Bieten Sie die Passkey-Erstellung zunächst als Option innerhalb der Kontoeinstellungen des Nutzers an. Dies ermöglicht Early Adoptern und technisch versierten Nutzern das Opt-in, ohne den Ablauf für alle anderen zu stören.
Gehen Sie zur „Push“-Adoption über: Sobald das System stabil läuft, beginnen Sie damit, Nutzer unmittelbar nach einer erfolgreichen Anmeldung mit ihrem alten Passwort proaktiv zur Erstellung eines Passkeys aufzufordern. Damit holen Sie die Nutzer in einem Moment ab, in dem sie sich ohnehin im „Authentifizierungsmodus“ befinden.
Integrieren Sie es ins Onboarding: Machen Sie schließlich die Passkey-Erstellung zur primären, empfohlenen Option bei der Registrierung aller neuen Nutzer.
Ein datengesteuerter Ansatz ist unerlässlich, um die Investition in Passkeys zu validieren und das Erlebnis kontinuierlich zu optimieren. Alle Teams sollten Metriken verfolgen, die für ihre Rollen relevant sind.
Metriken zu Adoption & Engagement:
Passkey-Erstellungsrate: Der Prozentsatz der infrage kommenden Nutzer, die einen Passkey erstellen.
Passkey-Nutzungsrate: Der Prozentsatz aller Logins, die mit einem Passkey durchgeführt werden.
Time-to-First Key Action: Wie schnell neue Nutzer nach der Übernahme von Passkeys eine entscheidende Aktion ausführen.
Geschäfts- & operative Metriken:
Rückgang der Passwort-Reset-Tickets: Ein direktes Maß für reduzierte Helpdesk-Kosten.
Rückgang der SMS-OTP-Kosten: Greifbare Kosteneinsparungen durch die Eliminierung eines Legacy-Faktors.
Login-Erfolgsquote: Vergleich der Erfolgsquote von Passkey-Logins mit Passwort-/MFA-Logins.
Rückgang von Account Takeover-Vorfällen: Das ultimative Maß für die Sicherheitseffektivität.
Die folgenden Tabellen bieten eine präzise Zusammenfassung, vergleichen Authentifizierungsmethoden und ordnen Passkey-Lösungen direkt den typischen Business-Problemen (Pain Points) zu.
| Methode | Phishing-Resistenz | Reibung beim Nutzer (Login) | Komplexität der Wiederherstellung | Geräteportabilität | Operative Kosten (Helpdesk/SMS) |
|---|---|---|---|---|---|
| Nur Passwort (SFA) | Sehr gering: Äußerst anfällig für Phishing und Credential Stuffing. | Mittel: Anfällig für vergessene Passwörter, die Resets erfordern. | Mittel: Verlässt sich auf unsichere E-Mail-Wiederherstellung. | Hoch: Portabel, aber die Risiken sind es auch. | Hoch: Haupttreiber für Helpdesk-Anrufe. |
| Vorgeschriebenes SMS-OTP | Gering: Anfällig für Phishing, Social Engineering und SIM-Swapping-Angriffe. | Hoch: Erfordert das Warten auf einen Code und dessen Eingabe. | Mittel: Abhängig vom Zugang zur Telefonnummer. | Hoch: Nummer ist portabel, das SIM-Swap-Risiko aber auch. | Sehr hoch: SMS-Gebühren plus Support-Tickets für Sperrungen. |
| Vorgeschriebene TOTP-App | Mittel: Schützt vor Remote-Passwortangriffen, nicht jedoch vor Echtzeit-Phishing. | Hoch: Erfordert das Öffnen einer separaten App und die Eingabe eines Codes. | Sehr hoch: Geräteverlust bedeutet oft Sperrung und komplexe Wiederherstellung. | Gering: Schlüssel sind an das Gerät gebunden, sofern nicht manuell ein Backup erstellt wurde. | Hoch: Getrieben durch verlorene Geräte und Recovery-Tickets. |
| Vorgeschriebene Push-Benachrichtigungen | Gering: Äußerst anfällig für MFA-Müdigkeit (MFA Fatigue) und Push-Bombing-Angriffe. | Gering: Ein einfaches Tippen zum Bestätigen, kann aber störend sein. | Sehr hoch: An ein spezifisches Gerät gebunden; Geräteverlust erfordert einen vollständigen, komplexen Recovery-Prozess. | Gering: Schlüssel sind an die App-Installation gebunden und werden nicht automatisch auf ein neues Gerät übertragen. | Hoch: Erzeugt Support-Tickets durch Geräteverlust und MFA-Fatigue-Angriffe. |
| Vorgeschriebene Passkeys | Sehr hoch: Von Natur aus Phishing-resistent durch Origin-Binding. | Sehr gering: Einzige, schnelle biometrische Geste oder PIN. | Gering: Über den Plattformanbieter auf den Geräten des Nutzers synchronisiert. | Sehr hoch: Durch Cloud-Synchronisierung nahtlos auf neuen Geräten verfügbar. | Sehr gering: Reduziert Sperrungen drastisch und eliminiert SMS-Kosten. |
Wie Passkeys Lösungen für die Pain Points der MFA-Pflicht bieten
| Persona | Größter Pain Point bei der MFA-Pflicht | Wie Passkeys die Lösung bieten |
|---|---|---|
| Product Manager | Hohe Reibungsverluste bei Login- und Recovery-Prozessen schaden der UX, reduzieren das Engagement und senken die Konversionsraten. | Passkeys bieten einen biometrischen One-Tap-Login, der deutlich schneller ist als Passwörter. Da sie Kontosperrungen praktisch ausschließen, beseitigen sie eine Hauptursache für Frustration und Churn. |
| CTO / Head of Engineering | Die hohen operativen Kosten für Helpdesk-Tickets wegen Passwort- und MFA-Resets, gepaart mit wiederkehrenden Kosten für SMS-OTPs, belasten Budgets und IT-Ressourcen. | Die Synchronisierung von Passkeys über Geräte hinweg reduziert Sperrszenarien, die Support-Tickets generieren, drastisch. Der Verzicht auf SMS-OTPs bringt direkte, messbare Kosteneinsparungen. |
| CISO / Security Professional | Werden Nutzer zur Registrierung gezwungen, wählen sie oft die schwächste, am stärksten Phishing-anfällige MFA-Methode (wie SMS), was den angestrebten Sicherheitsgewinn der Verpflichtung zunichte macht. | Passkeys sind von Natur aus Phishing-resistent. Sie heben das Sicherheitsniveau für alle Nutzer an, indem die sicherste Option gleichzeitig die bequemste wird, wodurch der Nutzer die Entscheidung nicht mehr selbst treffen muss. |
| Project Manager | Die Unvorhersehbarkeit eines „Big Bang“-Rollouts, gepaart mit der Abneigung der Nutzer gegenüber Veränderungen, erschwert das Management von Projektzeitplänen und Ressourcenzuweisungen. | Ein phasenweiser Rollout von Passkeys (beginnend in den Einstellungen, gefolgt von einer Aufforderung nach dem Login), kombiniert mit einer klaren, nutzenorientierten Nutzerkommunikation, macht die Übernahme reibungsloser und vorhersehbarer und senkt das Projektrisiko. |
Die Ära der vorgeschriebenen Multi-Faktor-Authentifizierung ist gekommen, um zu bleiben. Aus der dringenden Notwendigkeit heraus geboren, sich gegen angriffe auf Zugangsdaten zu verteidigen, haben diese Pflichten versehentlich eine neue Landschaft von Herausforderungen geschaffen.
Wir haben gesehen, dass die Durchsetzung von MFA erhebliche operative Belastungen mit sich bringt, von den direkten Kosten der SMS-Gebühren bis hin zum Anstieg der Helpdesk-Tickets von Nutzern, die mit der Registrierung und Gerätewechseln kämpfen. Wir haben gelernt, dass Nutzer sich bei freier Wahl für vertraute, aber angreifbare Methoden wie SMS entscheiden, wodurch zwar auf dem Papier Compliance erreicht wird, die Organisation aber anfällig für reale Angriffe bleibt. Am wichtigsten ist jedoch die Erkenntnis, dass in einer Welt der Verpflichtungen die Account-Wiederherstellung (Account Recovery) zur größten Schwachstelle (Single Point of Failure) wird – eine Quelle immenser Frustration für Nutzer und ein riesiges Sicherheitsloch, wenn sie nicht ordnungsgemäß gehandhabt wird.
Legacy-MFA-Methoden können diese Probleme nicht lösen. Passkeys aber sehr wohl. Wir haben gezeigt, dass Passkeys die endgültige Antwort sind und die miteinander verbundenen Probleme von Wiederherstellung, Reibungsverlusten und Sicherheit direkt lösen. Ihre synchrone Natur eliminiert die meisten Sperrszenarien, ihre biometrische Benutzerfreundlichkeit beseitigt den Anreiz, schwächere Optionen zu wählen, und ihr kryptografisches Design macht sie immun gegen Phishing. Abschließend haben wir einen klaren Plan in vier Schritten skizziert, der von der Prüfung der Bereitschaft bis zur Erfolgsmessung reicht und Unternehmen einen praktischen Weg für diesen strategischen Übergang bietet.
Diesen Wandel nur als Compliance-Kopfschmerz zu betrachten, hieße, die damit verbundene strategische Chance zu verpassen. Die Pioniere der Starken Kundenauthentifizierung im europäischen Bankwesen haben trotz anfänglicher Schwierigkeiten letztlich die Erwartungen der Nutzer einer ganzen Branche geprägt. Heute haben die Pioniere der Passkeys dieselbe Chance. Indem sie diesen Übergang annehmen, können Unternehmen eine Sicherheitsverpflichtung von einer lästigen Pflicht in einen starken, dauerhaften Wettbewerbsvorteil verwandeln. Die Zeit, Ihren Weg vom Mandat zum Momentum zu planen, ist jetzt.
Corbado ist die Authentication Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →
Die vorgeschriebene MFA macht die Account-Wiederherstellung (Account Recovery) zur größten operativen Herausforderung, für die es vier Hauptoptionen gibt: Helpdesk-Verifizierung (sicher, aber teuer), E-Mail- oder SMS-Wiederherstellung (günstig, aber angreifbar, wenn E-Mail-Konten kompromittiert sind), vorab registrierte Backup-Codes (gehen oft bei Nutzern verloren) und Selfie-ID-Verifizierung, die ein amtliches Ausweisdokument erfordert. Jede Option ist ein Kompromiss zwischen Sicherheit, Kosten und Skalierbarkeit.
SMS-OTPs sind anfällig für Echtzeit-Phishing, SIM-Swapping und die Umgehung der Wiederherstellung über ein kompromittiertes E-Mail-Konto. Selbst bei 100 % MFA-Abdeckung bedeutet die Abhängigkeit von SMS, dass ein Unternehmen den Wortlaut einer Vorgabe erfüllt, aber nicht deren Sinn. Die Einführung der „systembevorzugten MFA“ durch Microsoft trägt diesem Problem Rechnung, indem Nutzer aktiv dazu gedrängt werden, Authenticator-Apps anstelle von SMS zu verwenden.
Im März 2025 nutzten Angreifer gestohlene Zugangsdaten, um auf bis zu 600 Konten von AustralianSuper zuzugreifen, und buchten 500.000 AUD von den Guthaben vierer Mitglieder ab. HostPlus, das bereits MFA implementiert hatte, meldete bei derselben Kampagne null finanzielle Verluste. Die APRA schrieb daraufhin an alle Vorstände von Pensionsfonds und erklärte die MFA-Implementierung zu einer dringenden regulatorischen Pflicht und nicht länger zu einer Überlegung für die Zukunft.
Passkeys synchronisieren sich über Plattform-Ökosysteme wie den iCloud-Schlüsselbund von Apple und den Google Passwortmanager und werden auf einem neuen Gerät automatisch wiederhergestellt, ohne dass sie für jeden Dienst neu registriert werden müssen. TOTP-Authenticator-Apps verlieren alle geheimen Schlüssel, wenn ein Gerät ausgetauscht wird, es sei denn, ein Cloud-Backup wurde zuvor manuell aktiviert. Das macht den Gerätewechsel unter einer MFA-Pflicht zu einer Hauptursache für Helpdesk-Tickets und Kontosperrungen.
Ein dreiphasiger Einführungsansatz reduziert das Risiko des Rollouts. Bieten Sie zunächst die Erstellung von Passkeys als Opt-in in den Kontoeinstellungen an, um Early Adopter zu gewinnen, ohne bestehende Abläufe zu stören. Zweitens fordern Sie die Nutzer auf, unmittelbar nach einer erfolgreichen Passwort-Anmeldung einen Passkey zu erstellen, wenn sie sich ohnehin im Authentifizierungsmodus befinden. Drittens machen Sie die Passkey-Erstellung zur primären Empfehlung beim Onboarding neuer Nutzer.
Ähnliche Artikel
Inhaltsverzeichnis