MFA-Pflicht & der Umstieg auf Passkeys: Best Practices

Multi-Faktor-Authentifizierung (MFA) hat sich entscheidend gewandelt: von einem Sicherheitsfeature für proaktive User hin zu einer unumgänglichen, verpflichtenden Realität für Unternehmen weltweit. Diese Transformation ist keine freie Entscheidung, sondern eine Notwendigkeit, angetrieben von unerbittlichen Cyberangriffen auf Zugangsdaten und wachsendem regulatorischem Druck. Branchen von Finanzdienstleistungen bis zum öffentlichen Sektor arbeiten mittlerweile unter Rahmenbedingungen, die MFA zur Grundvoraussetzung für Compliance machen. Diese neue Ära, in der MFA erzwungen statt nur angeboten wird, bringt eine Reihe komplexer Herausforderungen mit sich, die weit über die anfängliche technische Implementierung hinausgehen.

Wenn jeder User MFA nutzen muss, tauchen neue kritische Fragen auf, die jedes Unternehmen beantworten muss. Dieser Artikel wird diese Herausforderungen detailliert untersuchen und einen klaren Weg nach vorne aufzeigen. Wir werden folgende Punkte behandeln:

1. Was sind die versteckten Betriebskosten und die Tücken für die User Experience bei der großflächigen Durchsetzung von MFA?

2. Wenn sie die Wahl haben, welche MFA-Methoden nutzen User tatsächlich und welche Sicherheitsrisiken entstehen dadurch?

3. Wie wird die Kontowiederherstellung zur größten Herausforderung in einer Umgebung mit MFA-Pflicht und welche Kompromisse müssen bei der Lösung eingegangen werden?

4. Warum sind Passkeys die strategische Lösung für genau die Probleme, die durch die MFA-Pflicht entstehen, und nicht nur eine weitere Option?

5. Wie sieht ein praktischer, schrittweiser Plan für den erfolgreichen Übergang von einer verpflichtenden herkömmlichen MFA zur überlegenen Sicherheit und User Experience von Passkeys aus?

Diese Analyse liefert einen klaren, umsetzbaren Plan für einen erfolgreichen Übergang von der Ein-Faktor-Authentifizierung zur verpflichtenden MFA (und schließlich zu verpflichtenden Passkeys).

Bevor wir die Herausforderungen der Durchsetzung untersuchen, ist es wichtig, ein klares Verständnis der Authentifizierungslandschaft zu schaffen und zu verstehen, warum eine Pflicht diese fundamental verändert. Die Terminologie selbst kann verwirrend sein, aber die Unterscheidungen sind für jede Sicherheits- oder Produktstrategie entscheidend.

Die Entwicklung der Authentifizierung ist eine direkte Reaktion auf die inhärente Schwäche ihrer einfachsten Form.

• Ein-Faktor-Authentifizierung (SFA): Die bekannte Kombination aus Benutzername und Passwort. Sie basiert auf einem einzigen „Wissens“-Faktor, etwas, das der User weiß. Ihre Anfälligkeit für Phishing, Credential Stuffing und Brute-Force-Angriffe ist der Hauptgrund für die Entwicklung stärkerer Methoden.

• Zwei-Schritt-Verifizierung (2SV): Oft fälschlicherweise mit MFA gleichgesetzt, ist 2SV ein eigenständiger und schwächerer Prozess. Es erfordert zwei Verifizierungsschritte, die jedoch zwei Faktoren aus derselben Kategorie nutzen können. Ein gängiges Beispiel ist ein Passwort gefolgt von einer Sicherheitsfrage – beides sind „Wissens“-Faktoren. Obwohl besser als SFA, erfüllt es nicht die Kriterien für echte Multi-Faktor-Sicherheit.

• Multi-Faktor-Authentifizierung (MFA): Der Goldstandard in der Sicherheit. MFA erfordert die Verifizierung durch mindestens zwei verschiedene Kategorien von Authentifizierungsfaktoren. Die drei Hauptkategorien sind:

  • Wissen: Etwas, das der User weiß (z. B. ein Passwort, eine PIN).

  • Besitz: Etwas, das der User hat (z. B. ein Mobiltelefon, das einen Code empfängt, ein Hardware-Security-Key).

  • Inhärenz: Etwas, das der User ist (z. B. ein Fingerabdruck, Gesichtserkennung).

Der Übergang von optionaler zu obligatorischer MFA ist ein Paradigmenwechsel. Ein optionales System ermöglicht eine schrittweise Einführung durch die sicherheitsbewusstesten User, was die wahren Reibungspunkte verdeckt. Eine Pflicht zwingt die gesamte User-Basis – vom technisch versierten bis zum technisch weniger affinen User – gleichzeitig auf das neue System und deckt so jeden Fehler in der User Experience und der Support-Struktur auf.

Dieser Wandel wurde durch regulatorische Katalysatoren beschleunigt, allen voran die zweite Zahlungsdiensterichtlinie (PSD2) in Europa und deren Anforderung der Starken Kundenauthentifizierung (SCA). Diese Regulierung hat die europäische Zahlungslandschaft grundlegend verändert, indem sie MFA für die meisten Online-Transaktionen vorschrieb. Indem PSD2 Finanzinstitute zur Einführung offener APIs und stärkerer Sicherheit zwang, liefert es eine massive, reale Fallstudie zur erzwungenen Authentifizierung.

Das Hauptziel von SCA war die Reduzierung von Betrug durch die Forderung nach zwei unabhängigen Authentifizierungsfaktoren für elektronische Zahlungen. Die anfängliche Einführung führte jedoch zu erheblichen Reibungsverlusten, wobei einige europäische Händler fast 40 % der Transaktionen aufgrund von Verwirrung bei den Usern und Kaufabbrüchen verloren. Mit der Zeit passte sich das Ökosystem an, und ein Bericht der Europäischen Zentralbank vom August 2024 bestätigte, dass SCA-authentifizierte Transaktionen nun deutlich niedrigere Betrugsraten aufweisen. Dies zeigt den langfristigen Sicherheitsvorteil, unterstreicht aber auch die entscheidende Notwendigkeit, Sicherheit und User Experience in Einklang zu bringen.

Obwohl solche Vorschriften anfangs Reibung erzeugen, schaffen sie auch ein Umfeld der unfreiwilligen Massenschulung. Wenn Millionen von Usern von ihren Banken gezwungen werden, eine Transaktion mit einem Fingerabdruck oder einem Code zu bestätigen, werden sie mit dem Konzept eines zweiten Faktors vertraut. Diese durch Regulierung vorangetriebene Normalisierung ebnet paradoxerweise den Weg für andere Organisationen. Das Gespräch kann sich von „Was ist MFA und warum brauche ich das?“ zu „Hier ist unsere neue, einfachere Methode für den Sicherheitsschritt, den Sie bereits kennen“ entwickeln. Dies schafft die perfekte Grundlage für die Einführung einer überlegenen Erfahrung wie Passkeys.

Wenn Sie mehr über die Einzelheiten dieser Vorschriften und ihre Beziehung zu Passkeys lesen möchten, können Sie diese Ressourcen erkunden:

• Analysis of PSD2 & SCA Requirements

• What SCA Requirements Mean for Passkeys

• PSD2 Passkeys: Phishing-Resistant PSD2-Compliant MFA

• SD3 / PSR Implications for Passkeys

• Delegated Authentication & Passkeys under PSD3 / PSR

Die Durchsetzung von MFA für eine gesamte User-Basis bringt eine Vielzahl praktischer Herausforderungen mit sich, die bei der anfänglichen Planung oft unterschätzt werden. Diese Probleme wirken sich auf die User Experience, die Sicherheitslage und die Betriebskosten aus.

Wenn die Registrierung obligatorisch ist, ist eine schlechte User Experience nicht mehr nur ein Ärgernis, sondern wird zu einem direkten Hindernis für den Geschäftsbetrieb. Unternehmen wählen typischerweise zwischen zwei Strategien: erzwungene Registrierung, die die Einrichtung von MFA beim nächsten Login erfordert, oder progressive Registrierung, die die User im Laufe der Zeit dazu auffordert. Während die erzwungene Registrierung die Compliance schneller erreicht, birgt sie das Risiko einer höheren User-Frustration und Abbruchrate, wenn der Prozess nicht reibungslos ist. Der Erfolg hängt von der Einhaltung von UX-Best-Practices ab, wie z. B. dem Angebot mehrerer Authentifizierungsmethoden, der Bereitstellung kristallklarer Anweisungen und der Gewährleistung der Zugänglichkeit für alle User, zum Beispiel durch die Bereitstellung eines textbasierten geheimen Schlüssels neben einem QR-Code für Authenticator-Apps.

Sobald MFA für ein Konto aktiviert ist, bedeutet der Verlust eines zweiten Faktors, komplett ausgesperrt zu sein. In einer Welt mit MFA-Pflicht ist dies kein Einzelfall für einige wenige sicherheitsbewusste User, sondern wird zu einer weit verbreiteten, kritischen Herausforderung für die gesamte User-Basis und die Support-Teams. Das macht die Kontowiederherstellung zur größten Herausforderung überhaupt.

Die finanziellen Risiken sind hoch: Ein einziger vom Helpdesk durchgeführter Passwort- oder MFA-Reset kann ein Unternehmen durchschnittlich 70 $ kosten. Für eine Organisation mit Hunderttausenden von Usern kann selbst ein kleiner Prozentsatz, der eine Wiederherstellung benötigt, zu Betriebskosten in Millionenhöhe und Produktivitätsverlusten führen.

Unternehmen stehen vor einem schwierigen Kompromiss zwischen Sicherheit, Kosten und Komfort:

• Helpdesk-geführte Wiederherstellung: Ein Support-Mitarbeiter kann die Identität des Users per Videoanruf oder auf andere Weise überprüfen. Dies ist ein sicherer, von Menschen verifizierter Prozess, aber er ist unerschwinglich teuer und langsam zu skalieren, was ihn für die meisten Unternehmen untragbar macht.

• E-Mail/SMS-basierte Wiederherstellung: Dies ist die gebräuchlichste Methode aufgrund ihrer niedrigen Kosten und der Vertrautheit der User. Sie ist jedoch auch eine kritische Sicherheitslücke. Wenn ein Angreifer bereits das E-Mail-Konto eines Users kompromittiert hat – ein häufiger Vorläufer für andere Angriffe –, kann er den Wiederherstellungscode leicht abfangen und die MFA vollständig umgehen. Diese Methode macht die Sicherheitsvorteile, die die Pflicht eigentlich bieten sollte, zunichte.

• Vorab registrierte Backup-Codes: User erhalten bei der Registrierung einen Satz von einmalig verwendbaren Backup-Codes. Obwohl sicherer als die E-Mail-Wiederherstellung, erhöht dieser Ansatz den Aufwand bei der Ersteinrichtung. Darüber hinaus versäumen es User häufig, diese Codes sicher aufzubewahren oder verlieren sie, was sie letztendlich wieder vor das gleiche Aussperrproblem stellt.

• Selfie-ID-Verifizierung: Diese hochsichere Methode erfordert, dass der User ein Live-Selfie und ein Foto eines von einer Regierung ausgestellten Ausweises (wie Führerschein oder Reisepass) macht. KI-gestützte Systeme gleichen dann das Gesicht mit dem Ausweis ab, um die Identität zu bestätigen. Obwohl dies im Bankwesen und bei Finanzdienstleistungen, wo die Identität beim Onboarding verifiziert wird, üblich ist, wirft es bei einigen Usern Datenschutzbedenken auf und erfordert, dass sie ihren physischen Ausweis zur Hand haben.

• Digitale Nachweise & Wallets: Eine aufkommende, zukunftsweisende Option ist die Verwendung von verifizierbaren digitalen Nachweisen, die in einer digitalen Wallet gespeichert sind. Ein User könnte einen Nachweis von einem vertrauenswürdigen Aussteller (wie einer Regierung oder einer Bank) vorlegen, um seine Identität zu beweisen, ohne einen dienstspezifischen Wiederherstellungsprozess durchlaufen zu müssen. Diese Methode befindet sich noch in einem frühen Stadium, deutet aber auf eine Zukunft mit portablerer und nutzerkontrollierter Identitätsverifizierung hin.

Ein häufiger und kritischer Fehlerpunkt in jedem MFA-System ist der Gerätelebenszyklus. Wenn ein User ein neues Smartphone bekommt, ist die Kontinuität seiner Authentifizierungsmethode von größter Bedeutung.

• SMS: Diese Methode ist relativ portabel, da eine Telefonnummer über eine neue SIM-Karte auf ein neues Gerät übertragen werden kann. Genau dieser Prozess ist jedoch der Angriffsvektor, der bei SIM-Swapping-Angriffen ausgenutzt wird, bei denen ein Betrüger einen Mobilfunkanbieter davon überzeugt, die Nummer des Opfers auf eine von ihm kontrollierte SIM-Karte zu portieren.

• Authenticator-Apps (TOTP): Dies ist eine Hauptquelle für Nutzerfrustration. Sofern der User nicht proaktiv eine Cloud-Backup-Funktion in seiner Authenticator-App aktiviert hat (eine Funktion, die nicht universell ist und nicht immer genutzt wird), gehen die geheimen Schlüssel, die die Codes generieren, mit dem alten Gerät verloren. Dies zwingt den User zu einem vollständigen und oft schmerzhaften Kontowiederherstellungsprozess für jeden einzelnen Dienst, den er gesichert hatte.

• Push-Benachrichtigungen: Ähnlich wie bei TOTP-Apps ist die Push-basierte MFA an eine bestimmte App-Installation auf einem registrierten Gerät gebunden. Ein neues Smartphone erfordert eine neue Registrierung, was die gleichen Wiederherstellungsherausforderungen auslöst.

Wenn ein Unternehmen MFA vorschreibt und eine Auswahl an Methoden anbietet, entsteht ein vorhersehbares Muster: Über 95 % der User neigen zu dem, was am vertrautesten ist und als am einfachsten empfunden wird, nämlich SMS-basierte Einmalpasswörter (OTPs). Dieses Verhalten schafft ein Paradoxon. Ein CISO kann MFA vorschreiben, um die Sicherheit zu verbessern. Wenn jedoch viele User weiterhin auf eine phishing-anfällige Methode wie SMS setzen, kann das Unternehmen zwar 100 % Compliance erreichen, ohne seine Abwehrmaßnahmen gegen ausgeklügelte Angriffe wesentlich zu verbessern. In Erkenntnis dessen haben Plattformen wie Microsoft eine „systembevorzugte MFA“ eingeführt, die User aktiv zu sichereren Optionen wie Authenticator-Apps anstelle von SMS oder Sprachanrufen drängt. Dies unterstreicht eine entscheidende Lektion: Es reicht nicht aus, MFA einfach nur vorzuschreiben. Die Art der MFA ist von entscheidender Bedeutung, und Unternehmen müssen die User aktiv von schwächeren, phishing-anfälligen Faktoren wegleiten.

Die Entscheidung, MFA vorzuschreiben, hat direkte und messbare Auswirkungen auf die operativen Ressourcen. Sie löst unweigerlich eine Welle von Helpdesk-Tickets aus, die sich auf Registrierungsprobleme, verlorene Authenticators und Wiederherstellungsanfragen beziehen. Gartner-Untersuchungen zeigen, dass bereits 30-50 % aller IT-Support-Anrufe auf passwortbezogene Probleme zurückzuführen sind; eine verpflichtende MFA, insbesondere in Verbindung mit umständlichen Wiederherstellungsprozessen, verschärft diese Belastung erheblich. Dies führt zu direkten Kosten, die CTOs und Projektmanager einkalkulieren müssen. Darüber hinaus wird der Helpdesk selbst zu einem Hauptziel für Social-Engineering-Angriffe, bei denen Angreifer frustrierte, ausgesperrte User imitieren, um Support-Mitarbeiter dazu zu bringen, MFA-Faktoren in ihrem Namen zurückzusetzen.

Die Untersuchung von groß angelegten, realen Implementierungen von verpflichtender MFA liefert unschätzbare Lehren darüber, was funktioniert und was erhebliche Reibung erzeugt. Anstatt uns auf bestimmte Unternehmen zu konzentrieren, können wir diese Erfahrungen in mehrere universelle Wahrheiten zusammenfassen.

• Anfängliche Reibung ist unvermeidlich, aber beherrschbar: Die europäische SCA-Einführung hat gezeigt, dass die Erzwingung einer großen Verhaltensänderung bei den Usern, selbst aus Sicherheitsgründen, anfangs die Conversion Rates beeinträchtigen wird. Sie hat aber auch gezeigt, dass diese negativen Effekte durch verfeinerte Prozesse und die Gewöhnung der User im Laufe der Zeit abgemildert werden können. Der Schlüssel liegt darin, diese Reibung vorauszusehen und von Anfang an den bestmöglichen, nutzerfreundlichsten Ablauf zu gestalten.

• Die Wahlmöglichkeit für User ist ein zweischneidiges Schwert: Wenn User Optionen haben, wählen sie konsequent den Weg des geringsten Widerstands, was oft bedeutet, vertraute, aber weniger sichere MFA-Methoden wie SMS zu wählen. Dies führt zu einem Zustand des „Compliance-Theaters“, bei dem das Unternehmen zwar den Buchstaben der Vorschrift erfüllt, aber nicht deren Geist, und somit anfällig für Phishing bleibt. Eine erfolgreiche Strategie muss die User aktiv zu stärkeren, Phishing-resistenten Optionen führen.

• Die Wiederherstellung wird zur Achillesferse: In einer Welt mit MFA-Pflicht verwandelt sich die Kontowiederherstellung von einem Randfall in eine primäre operative Belastung und eine kritische Sicherheitslücke. Sich auf E-Mail oder SMS für die Wiederherstellung zu verlassen, untergräbt das gesamte Sicherheitsmodell, während eine vom Helpdesk geführte Wiederherstellung finanziell nicht tragbar ist. Ein robuster, sicherer und nutzerfreundlicher Wiederherstellungsprozess ist kein nachträglicher Gedanke; er ist eine Kernanforderung für jede erfolgreiche Einführung.

• Phasenweise Rollouts reduzieren das Risiko drastisch: Der Versuch eines „Big-Bang“-Rollouts für eine gesamte User-Basis ist eine hochriskante Strategie. Ein umsichtigerer Ansatz, der sich in großen Unternehmensimplementierungen bewährt hat, besteht darin, das neue System zunächst mit kleineren, unkritischen User-Gruppen zu testen. Dies ermöglicht es dem Projektteam, Fehler zu identifizieren und zu beheben, die User Experience zu verfeinern und Feedback in einer kontrollierten Umgebung zu sammeln, bevor ein vollständiger Rollout erfolgt.

• Eine zentrale Identitätsplattform ist ein starker Wegbereiter: Unternehmen mit einer bereits existierenden, zentralen Identitäts- und Zugriffsmanagement- (IAM) oder Single-Sign-On-Plattform (SSO) sind für einen reibungslosen Rollout weitaus besser positioniert. Ein zentrales Identitätssystem ermöglicht die schnelle und konsistente Anwendung neuer Authentifizierungsrichtlinien über Hunderte oder Tausende von Anwendungen hinweg, was die Komplexität und die Kosten des Projekts erheblich reduziert.

Passkeys, die auf dem WebAuthn-Standard der FIDO Alliance basieren, sind nicht nur eine schrittweise Verbesserung gegenüber herkömmlicher MFA. Ihre zugrunde liegende Architektur, die auf Public-Key-Kryptographie basiert, ist speziell dafür entwickelt worden, die schmerzhaftesten und hartnäckigsten Probleme zu lösen, die durch die MFA-Pflicht entstehen.

• Die Lösung für den Wiederherstellungs-Albtraum: Die größte Herausforderung der verpflichtenden MFA ist die Kontowiederherstellung. Passkeys gehen dieses Problem direkt an. Ein Passkey ist ein kryptographischer Berechtigungsnachweis, der über das Ökosystem des Plattformanbieters (wie Apples iCloud Keychain oder den Google Password Manager) über die Geräte eines Users synchronisiert werden kann. Wenn ein User sein Smartphone verliert, ist der Passkey immer noch auf seinem Laptop oder Tablet verfügbar. Dies reduziert die Häufigkeit von Aussperrungen drastisch und verringert die Abhängigkeit von unsicheren Wiederherstellungskanälen wie E-Mail oder kostspieligen Helpdesk-Eingriffen.

• Die Lösung für das Problem des Gerätelebenszyklus: Da Passkeys synchronisiert werden, verwandelt sich die Erfahrung, ein neues Gerät zu bekommen, von einem Punkt hoher Reibung in einen nahtlosen Übergang. Wenn sich ein User auf einem neuen Smartphone bei seinem Google- oder Apple-Konto anmeldet, werden seine Passkeys automatisch wiederhergestellt und sind sofort einsatzbereit. Dies eliminiert den schmerzhaften, App-für-App-Neuregistrierungsprozess, der bei traditionellen, gerätegebundenen Authenticator-Apps erforderlich ist.

• Die Lösung für das Paradoxon der Nutzerpräferenz: Passkeys lösen den klassischen Kompromiss zwischen Sicherheit und Komfort. Die sicherste verfügbare Authentifizierungsmethode, die Phishing-resistente Public-Key-Kryptographie, ist auch die schnellste und einfachste für den User. Eine einzige biometrische Geste oder eine Geräte-PIN ist alles, was erforderlich ist. Es gibt keinen Anreiz für einen User, eine schwächere, weniger sichere Option zu wählen, da die stärkste Option auch die bequemste ist.

• Die Lösung für die Phishing-Anfälligkeit: Passkeys sind von Natur aus Phishing-resistent. Das bei der Registrierung erstellte kryptographische Schlüsselpaar ist an den spezifischen Ursprung der Website oder App (z. B. corbado.com) gebunden. Ein User kann nicht dazu verleitet werden, seinen Passkey auf einer nachgeahmten Phishing-Seite (z. B. corbado.scam.com) zu verwenden, da der Browser und das Betriebssystem die Nichtübereinstimmung des Ursprungs erkennen und die Authentifizierung verweigern. Dies bietet eine grundlegende Sicherheitsgarantie, die keine Methode, die auf geteilten Geheimnissen (wie Passwörtern oder OTPs) basiert, bieten kann.

• Die Lösung für MFA-Fatigue: Eine einzige, einfache User-Aktion, wie ein Face-ID-Scan oder eine Fingerabdruckberührung, beweist gleichzeitig den Besitz des kryptographischen Schlüssels auf dem Gerät („etwas, das man hat“) und die Inhärenz über die Biometrie („etwas, das man ist“). Für den User fühlt sich dies wie ein einziger, müheloser Schritt an, erfüllt aber kryptographisch die Anforderung der Multi-Faktor-Authentifizierung. Dies ermöglicht es Unternehmen, strenge Compliance-Standards zu erfüllen, ohne die zusätzlichen Schritte und die kognitive Belastung, die mit herkömmlicher MFA verbunden sind, hinzuzufügen.

Der Übergang von herkömmlicher MFA zu einer Passkey-First-Strategie erfordert einen durchdachten, mehrstufigen Ansatz, der Technologie, User Experience und Geschäftsziele berücksichtigt.

Bevor Sie Passkeys zur Pflicht machen können, müssen Sie die technischen Kapazitäten Ihrer User-Basis verstehen, um sie zu nutzen. Dies ist ein entscheidender erster Schritt, um die Machbarkeit und den Zeitplan eines Rollouts abzuschätzen.

• Analysieren Sie Ihre Gerätelandschaft: Nutzen Sie vorhandene Web-Analyse-Tools, um Daten über die von Ihren Usern bevorzugten Betriebssysteme (iOS, Android, Windows-Versionen) und Browser zu sammeln.

• Setzen Sie ein Passkey-Readiness-Tool ein: Für präzisere Daten kann ein leichtes, datenschutzfreundliches Tool wie der Corbado Passkeys Analyzer in Ihre Website oder App integriert werden. Es liefert Echtzeit-Analysen über den Prozentsatz Ihrer User, deren Geräte Plattform-Authenticators (wie Face ID, Touch ID und Windows Hello) und wichtige UX-Verbesserungen wie Conditional UI unterstützen, die das automatische Ausfüllen von Passkeys ermöglicht. Diese Daten sind unerlässlich, um ein realistisches Einführungsmodell zu erstellen.

Der Übergang zu Passkeys wird schrittweise und nicht sofort erfolgen. Eine erfolgreiche Strategie erfordert ein hybrides System, das Passkeys als primäre, bevorzugte Methode fördert und gleichzeitig einen sicheren Fallback für User auf inkompatiblen Geräten oder für diejenigen bietet, die sich noch nicht registriert haben.

• Wählen Sie ein Integrationsmuster:

  • Identifier-First: Der User gibt seine E-Mail-Adresse oder seinen Benutzernamen ein. Das System prüft dann, ob für diesen Identifier ein Passkey registriert ist, und leitet gegebenenfalls den Passkey-Login-Flow ein. Falls nicht, fällt es nahtlos auf ein Passwort oder eine andere sichere Methode zurück. Dieser Ansatz bietet die beste User Experience und führt typischerweise zu höheren Akzeptanzraten.

  • Dedizierter Passkey-Button: Ein „Mit einem Passkey anmelden“-Button wird neben dem traditionellen Anmeldeformular platziert. Dies ist einfacher zu implementieren, legt aber die Verantwortung auf den User, die neue Methode auszuwählen, was zu einer geringeren Nutzung führen kann.

• Stellen Sie sicher, dass Fallbacks sicher sind: Ihr Fallback-Mechanismus darf Ihre Sicherheitsziele nicht untergraben. Vermeiden Sie den Rückgriff auf unsichere Methoden wie SMS-OTPs. Eine stärkere Alternative ist die Verwendung eines zeitlich begrenzten Einmal-Codes oder Magic Links, der an die verifizierte E-Mail-Adresse des Users gesendet wird und als Besitzfaktor für eine bestimmte Sitzung dient.

Effektive Kommunikation ist für einen reibungslosen Rollout von größter Bedeutung. Das Ziel ist es, Passkeys nicht als eine weitere Sicherheitsmühsal darzustellen, sondern als ein signifikantes Upgrade für die User Experience.

• Vorteilsorientierte Kommunikation: Verwenden Sie eine klare, einfache Sprache, die sich auf die Vorteile für die User konzentriert: „Schneller und sicherer anmelden“, „Vergessen Sie vergessene Passwörter“ und „Ihr Fingerabdruck ist jetzt Ihr Schlüssel“. Verwenden Sie konsequent das offizielle FIDO-Passkey-Symbol, um Wiedererkennungswert zu schaffen.

• Phasenweise Rollout-Strategie:

  1. Beginnen Sie mit der „Pull“-Einführung: Bieten Sie die Erstellung von Passkeys zunächst als Option auf der Kontoeinstellungsseite des Users an. Dies ermöglicht es Early Adoptern und technisch versierten Usern, sich dafür zu entscheiden, ohne den Ablauf für alle anderen zu stören.

  2. Gehen Sie zur „Push“-Einführung über: Sobald das System stabil ist, beginnen Sie, die User proaktiv aufzufordern, einen Passkey zu erstellen, unmittelbar nachdem sie sich erfolgreich mit ihrem alten Passwort angemeldet haben. Dies fängt die User ein, wenn sie sich bereits in einer „Authentifizierungs-Denkweise“ befinden.

  3. Integrieren Sie es in das Onboarding: Machen Sie schließlich die Erstellung von Passkeys zu einer primären, empfohlenen Option für alle neuen User-Anmeldungen.

Ein datengesteuerter Ansatz ist unerlässlich, um die Investition in Passkeys zu validieren und die Erfahrung kontinuierlich zu optimieren. Alle Teams sollten die für ihre Rollen relevanten Metriken verfolgen.

• Adoptions- & Engagement-Metriken:

  • Passkey-Erstellungsrate: Der Prozentsatz der berechtigten User, die einen Passkey erstellen.

  • Passkey-Nutzungsrate: Der Prozentsatz der gesamten Logins, die mit einem Passkey durchgeführt werden.

  • Time-to-First Key Action: Wie schnell neue User nach der Einführung von Passkeys eine kritische Aktion ausführen.

• Geschäfts- & Betriebsmetriken:

  • Reduzierung der Passwort-Reset-Tickets: Ein direktes Maß für reduzierte Helpdesk-Kosten.

  • Reduzierung der SMS-OTP-Kosten: Greifbare Kosteneinsparungen durch die Eliminierung eines veralteten Faktors.

  • Login-Erfolgsrate: Vergleich der Erfolgsrate von Passkey-Logins mit Passwort/MFA-Logins.

  • Rückgang der Kontoübernahme-Vorfälle: Das ultimative Maß für die Sicherheitseffektivität.

Die folgenden Tabellen bieten eine prägnante Zusammenfassung, die Authentifizierungsmethoden vergleicht und Passkey-Lösungen direkt den häufigsten geschäftlichen Problemen zuordnet.

Wie Passkeys Lösungen für die Probleme der MFA-Pflicht bieten

Die Ära der verpflichtenden Multi-Faktor-Authentifizierung ist gekommen, um zu bleiben. Obwohl aus der kritischen Notwendigkeit geboren, sich gegen Angriffe auf Zugangsdaten zu verteidigen, haben diese Vorschriften unbeabsichtigt eine neue Landschaft von Herausforderungen geschaffen.

Wir haben gesehen, dass die Durchsetzung von MFA erhebliche operative Belastungen mit sich bringt, von den direkten Kosten für SMS-Gebühren bis hin zum Anstieg der Helpdesk-Tickets von Usern, die mit der Registrierung und Gerätewechseln zu kämpfen haben. Wir haben gelernt, dass User, wenn sie die Wahl haben, zu vertrauten, aber Phishing-anfälligen Methoden wie SMS neigen, was auf dem Papier zwar Compliance erreicht, das Unternehmen aber realen Angriffen aussetzt. Am wichtigsten ist, dass wir festgestellt haben, dass in einer Welt mit MFA-Pflicht die Kontowiederherstellung zum größten Schwachpunkt wird – eine Quelle immenser Nutzerfrustration und ein klaffendes Sicherheitsloch, wenn sie unsachgemäß gehandhabt wird.

Herkömmliche MFA-Methoden können diese Probleme nicht lösen. Aber Passkeys können es. Wir haben gezeigt, dass Passkeys die definitive Antwort sind und die miteinander verbundenen Probleme von Wiederherstellung, Nutzeraufwand und Sicherheit direkt lösen. Ihre synchronisierte Natur eliminiert die meisten Aussperrszenarien, ihre biometrische Benutzerfreundlichkeit beseitigt den Anreiz, schwächere Optionen zu wählen, und ihr kryptographisches Design macht sie immun gegen Phishing. Schließlich haben wir einen klaren, vierstufigen Plan dargelegt, von der Prüfung der Bereitschaft bis zur Erfolgsmessung, der jeder Organisation einen praktischen Weg für diesen strategischen Übergang bietet.

Diesen Wandel nur als lästige Compliance-Aufgabe zu betrachten, bedeutet, die strategische Chance zu verpassen, die er bietet. Die Pioniere der Starken Kundenauthentifizierung im europäischen Bankwesen haben trotz anfänglicher Schwierigkeiten letztendlich die Nutzererwartungen für eine ganze Branche geprägt. Heute haben die Pioniere der Passkeys die gleiche Chance. Indem sie diesen Übergang annehmen, können Unternehmen eine Sicherheitsvorschrift von einer belastenden Verpflichtung in einen starken und dauerhaften Wettbewerbsvorteil verwandeln. Die Zeit, Ihren Übergang von der Pflicht zur Dynamik zu planen, ist jetzt.