Wenn ein Angreifer dein Passwort "live" abfängt und sofort nutzt, helfen viele "klassische" MFA-Methoden nur begrenzt.
Phishing ist 2025/2026 nicht mehr nur "plumpe" E-Mail – es ist professionell, skalierbar und oft KI-gestützt. Ziel ist meist Identität: E-Mail, Microsoft 365, Admin-Konten.
Passkeys (FIDO2) sind phishing-resistent, weil sie origin-bound Public-Key-Kryptografie nutzen. In Microsoft Entra ID kannst du damit die Angriffsfläche drastisch reduzieren – wenn du es sauber einführst.
Das erwartet Sie in diesem Artikel:
- Was Passkeys sind (und was nicht)
- Warum Passkeys phishing-resistent sind
- Wo Passkeys in KMU am meisten bringen
- Einführungsplan (Pilot → Rollout)
- HELITS Best Practices: Zero Trust light
Was sind Passkeys (FIDO2) – kurz erklärt
- •Passkeys ersetzen Passwörter durch Public-Key-Kryptografie
- •Anmeldung per Biometrie oder PIN am Gerät
- •Kein "Code" zum Abfangen oder Weitergeben
Warum Passkeys phishing-resistent sind
- •Origin-bound: Der Authenticator gibt Secrets nur an die richtige Gegenstelle
- •Keine wiederverwendbaren Passwörter/SMS-Codes
- •Starke Kombination mit Conditional Access (Zero Trust)
Pragmatisch gedacht
Für KMU ist der größte Hebel: Admin-Konten und M365-Logins phishing-resistent machen. Das senkt das Risiko für Business-E-Mail-Compromise massiv.
Wo Passkeys in KMU am meisten bringen
- •Admin-Konten (M365/Entra, Server, Firewall)
- •E-Mail/Teams/SharePoint (Microsoft 365)
- •Remote-Zugänge (VPN, RDP-Gateways, Portale)
- •HR/Finance (Rechnungen, Zahlungsprozesse)
- •Standard-User als Phase 2
Einführungsplan: Pilot → Rollout
- •Ist-Stand: MFA-Methoden, Geräte, Entra-Policies
- •Pilotgruppe (IT + Key User), klare Support-Kanäle
- •Conditional Access / Authentication Strength (phishing-resistant)
- •Fallback definieren (Break-Glass Accounts, Recovery)
- •Rollout nach Rollen + Schulungs-Snippets (5–10 Min.)
Break-Glass nicht vergessen
Bei allen starken Policies brauchst du mindestens einen abgesicherten Notfallzugang (Break-Glass), dokumentiert und getestet.
📋 HELITS-Praxisbeispiel: Phishing-resistente Anmeldung für Microsoft 365
Kunde:
KMU (Region Traunstein / Bad Reichenhall)
Herausforderung:
Mehrere Phishing-Vorfälle, erhöhtes Risiko bei Remote-Arbeit und fehlende Standardisierung der MFA-Methoden.
Lösung:
HELITS standardisierte MFA/Conditional Access, definierte eine Pilotgruppe für Passkeys (FIDO2), setzte Richtlinien für Admin-Konten durch und ergänzte ein kurzes Awareness-Programm.
Ergebnis:
Deutlich weniger Login-Risiko und klare, dokumentierte Prozesse für Identität und Zugriff.
Fazit
Passkeys (FIDO2) sind einer der stärksten Schritte gegen Remote-Phishing. Besonders für Admin- und Microsoft-365-Logins lohnt sich die Einführung. Entscheidend ist ein sauberer Rollout mit Policies, Pilot und Fallback.
Die wichtigsten Erkenntnisse:
- Passkeys sind phishing-resistent durch Public-Key-Kryptografie und Origin-Binding.
- Start bei Admin/M365 – dort ist der Hebel am größten.
- Conditional Access + Authentication Strength machen es kontrollierbar.
- Rollout in Wellen + Break-Glass + kurze Schulung.
Häufig gestellte Fragen
Sind Passkeys wirklich sicherer als MFA per SMS?
Brauchen wir dafür neue Hardware?
Was passiert, wenn ein Mitarbeiter sein Handy verliert?
Kann ich Passkeys nur für Admins erzwingen?
Ersetzt das alle Security-Maßnahmen?
Identity & Phishing-Resilience Check
Wir prüfen Ihre Microsoft 365/Entra Anmeldung (MFA, CA, Admin-Accounts) und liefern einen umsetzbaren Plan für phishing-resistente Authentifizierung.
Check anfragen
