securityIT-Security·8 Min. Lesezeit

Passkeys (FIDO2) in Microsoft Entra ID: phishing-resistente Anmeldung für KMU

Klassische MFA per SMS oder App-Code lässt sich abfangen. Passkeys nicht. Wie Sie passwortlose, phishing-resistente Anmeldung in Microsoft 365 sauber einführen.

person
Christoph Helminger
18. Februar 2026
Passkeys und FIDO2 Anmeldung in Microsoft Entra ID für KMU

Wenn ein Angreifer Ihr Passwort live abfängt und in derselben Sekunde verwendet, hilft ein klassischer zweiter Faktor oft nur begrenzt. Genau das ist das Muster, das wir bei Phishing-Vorfällen der letzten Jahre immer häufiger sehen: Der Mitarbeiter tippt sein Passwort auf einer täuschend echten Login-Seite ein, gibt den per SMS oder Authenticator-App erhaltenen Code weiter, und der Angreifer ist drin. Der zweite Faktor war da, er hat nur nichts genützt.

Das ist kein theoretisches Risiko. Phishing ist 2025/2026 kein plumper Rechtschreibfehler-Newsletter mehr, sondern professionell, skalierbar und zunehmend KI-gestützt. Reverse-Proxy-Toolkits wie Evilginx fangen Passwort und Session-Token in Echtzeit ab. Das Ziel ist fast immer die Identität: das Microsoft-365-Konto, das E-Mail-Postfach, im schlimmsten Fall ein Admin-Account. Genau hier setzen Passkeys an — und in Microsoft Entra ID lassen sie sich für kleine und mittlere Unternehmen pragmatisch einführen.

Was Passkeys (FIDO2) eigentlich sind

Ein Passkey ist eine Zugangsinformation auf Basis der FIDO2-Standards (genauer: WebAuthn und CTAP2). Statt ein Passwort zu übertragen, das auf dem Server gespeichert und unterwegs abgefangen werden kann, arbeitet ein Passkey mit asymmetrischer Kryptografie: Auf dem Gerät liegt ein privater Schlüssel, der das Gerät nie verlässt. Beim Login schickt der Dienst eine zufällige Challenge, der Authenticator signiert sie mit dem privaten Schlüssel, und Entra ID prüft die Signatur mit dem zugehörigen öffentlichen Schlüssel.

Konkret heißt das im Alltag:

  • Kein Passwort, das übertragen wird — und damit nichts, was auf einer Fake-Seite abgegriffen werden kann.
  • Anmeldung per Biometrie oder PIN direkt am Gerät (Fingerabdruck, Gesichtserkennung, Geräte-PIN).
  • Kein Code zum Abtippen oder Weitergeben — der klassische Schwachpunkt von SMS- und OTP-Verfahren fällt komplett weg.

Wichtig ist die Abgrenzung: Ein Passkey ist nicht dasselbe wie eine Push-Benachrichtigung in der Authenticator-App. Auch eine genehmigte Push lässt sich durch MFA-Fatigue oder Echtzeit-Phishing aushebeln. Passkeys können das technisch nicht — und genau das macht den Unterschied.

Warum Passkeys phishing-resistent sind

Der entscheidende Mechanismus heißt Origin-Binding. Ein Passkey ist fest an die Relying Party gebunden, also an die echte Domain des Dienstes (bei Microsoft 365 an login.microsoftonline.com). Der Authenticator gibt seine Signatur ausschließlich an genau diese Gegenstelle heraus. Landet der Mitarbeiter auf einer nachgebauten Phishing-Seite unter einer anderen Domain, verweigert der Authenticator schlicht die Mitarbeit. Es gibt nichts, das der Nutzer aus Versehen weitergeben könnte.

Drei Eigenschaften zusammengenommen ergeben die Phishing-Resistenz:

  • Origin-bound: Secrets gehen nur an die richtige, kryptografisch geprüfte Gegenstelle — nicht an eine optisch identische Kopie.
  • Kein wiederverwendbares Geheimnis: Es gibt kein Passwort und keinen SMS-Code, der gestohlen, gephisht oder per Social Engineering erfragt werden könnte.
  • Starke Kombinierbarkeit: Zusammen mit Conditional Access lässt sich erzwingen, dass bestimmte Ressourcen nur mit phishing-resistenter Authentifizierung erreichbar sind.

Pragmatisch gedacht: Für die meisten KMU liegt der größte Hebel nicht darin, sofort jeden Account umzustellen, sondern darin, zuerst die Admin-Konten und die Microsoft-365-Logins phishing-resistent zu machen. Allein das senkt das Risiko für Business-E-Mail-Compromise — also gekaperte Postfächer, gefälschte Rechnungen, umgeleitete Zahlungen — drastisch.

Wo Passkeys im Mittelstand am meisten bringen

Nicht jeder Account ist gleich kritisch, und ein gleichmäßiger Rollout über alle 40 Mitarbeiter am ersten Tag ist selten sinnvoll. Bei unseren Projekten priorisieren wir typischerweise nach Schadenspotenzial:

  1. Admin-Konten zuerst — Entra-Administratoren, Server-Zugänge, Firewall- und Backup-Konsolen. Ein kompromittiertes Admin-Konto ist der teuerste denkbare Fall.
  2. Microsoft 365 für alle Postfach-Nutzer — E-Mail, Teams, SharePoint. Hier sitzt das BEC-Risiko.
  3. Remote-Zugänge — VPN, RDP-Gateways, externe Portale. Alles, was von außen erreichbar ist.
  4. HR und Finance — überall, wo Rechnungen freigegeben und Zahlungen ausgelöst werden.
  5. Standard-User als Phase 2 — sobald Prozesse und Support eingespielt sind.

Dieser risikobasierte Ansatz hat einen angenehmen Nebeneffekt: Sie sehen schnelle Wirkung an den kritischsten Stellen, ohne dass der Support an Tag eins unter einer Welle von Rückfragen zusammenbricht.

Einführungsplan: vom Pilot zum Rollout

Damit die Umstellung nicht im Chaos endet, läuft sie idealerweise in Wellen. Ein bewährter Ablauf:

  • Ist-Stand aufnehmen: Welche MFA-Methoden sind aktiv? Welche Geräte sind im Einsatz, welche davon verwaltet (Intune)? Welche Conditional-Access-Policies existieren bereits?
  • Pilotgruppe definieren: IT-Abteilung plus einige Key User. Wichtig sind klare Support-Kanäle für die erste Phase — wer hilft, wenn die Registrierung hakt?
  • Authentication Strength konfigurieren: In Entra ID legen Sie über Authentifizierungsstärken fest, dass für bestimmte Ressourcen phishing-resistente Methoden verlangt werden, und koppeln das an Conditional Access.
  • Fallback festlegen: Mindestens ein abgesicherter Notfallzugang (Break-Glass-Account) muss existieren, dokumentiert und getestet sein.
  • Wellenweiser Rollout nach Rollen — begleitet von kurzen Schulungs-Snippets von fünf bis zehn Minuten, die zeigen, wie die Anmeldung künftig abläuft.

Break-Glass nicht vergessen. Sobald Sie strenge Policies erzwingen, brauchen Sie zwingend einen Notfallzugang, der von diesen Policies ausgenommen, dafür aber besonders abgesichert ist (komplexes Passwort plus FIDO2-Security-Key, im Tresor hinterlegt, Anmeldungen überwacht). Wer das vergisst, sperrt sich im Ernstfall selbst aus dem eigenen Tenant aus — das ist kein theoretisches Szenario, sondern passiert in der Praxis regelmäßig.

Brauchen Sie dafür neue Hardware?

Nicht zwingend. Passkeys lassen sich auf mehreren Wegen nutzen, und der passende hängt von Rollen, Geräten und Sicherheitsanforderungen ab:

  • Geräte-gebundene Passkeys über die Microsoft Authenticator App auf dem Smartphone — der niedrigschwelligste Einstieg für die Breite der Belegschaft.
  • Platform-Authenticatoren wie Windows Hello for Business auf verwalteten Notebooks.
  • Hardware-Security-Keys (FIDO2-Sticks wie YubiKey oder Token2) — die robusteste Variante für Admin- und Hochrisiko-Rollen sowie für Break-Glass-Accounts.

Für ein KMU ist eine Mischung üblich: Authenticator-App für die meisten, Hardware-Keys für die wenigen kritischen Konten. Die Kosten für eine Handvoll Security-Keys stehen in keinem Verhältnis zum Schaden eines einzigen erfolgreichen BEC-Angriffs.

Aus der Praxis: ein KMU in der Region

Ein mittelständischer Betrieb aus dem Raum Traunstein/Bad Reichenhall kam nach mehreren Phishing-Vorfällen auf uns zu. Das Bild war typisch: gestiegenes Risiko durch viel Remote-Arbeit, uneinheitliche MFA-Methoden, kein klares Bild davon, wer sich wie anmeldet. Wir haben zuerst die MFA-Landschaft standardisiert und über Conditional Access vereinheitlicht, dann eine Pilotgruppe für Passkeys aufgesetzt, anschließend phishing-resistente Anmeldung für die Admin-Konten erzwungen und das Ganze mit einem kurzen Awareness-Block für die Belegschaft begleitet.

Das Ergebnis war kein Hochglanz-Sicherheitskonzept, sondern etwas Wichtigeres: deutlich reduziertes Login-Risiko an den kritischen Stellen und klar dokumentierte, nachvollziehbare Prozesse für Identität und Zugriff. Genau diese Verbindung aus IT-Security-Beratung und sauberer Umsetzung ist der Punkt, an dem Passkeys vom Buzzword zum echten Schutz werden.

Was Passkeys nicht leisten

Eine ehrliche Einordnung gehört dazu: Passkeys sind ein sehr starker Baustein — aber sie sind ein Baustein, kein Komplettpaket. Sie schützen die Identität. Sie ersetzen nicht das Patch-Management, das Backup-Konzept, den Endpoint-Schutz oder die Mitarbeiter-Awareness. Ein Gerät, das mit veralteter Software und ohne Malware-Schutz im Netz hängt, bleibt eine Schwachstelle, egal wie sicher die Anmeldung ist.

Wir betrachten Identität deshalb immer im Zusammenhang mit der übrigen Infrastruktur. Conditional Access entfaltet seine Wirkung erst dann voll, wenn auch Gerätezustand, Netzwerksegmentierung und Backup stimmen — Themen, die wir im Rahmen von IT-Consulting und Digitalisierung und im Aufbau einer sauberen Netzwerk-Infrastruktur mitdenken. Passkeys sind dann nicht das Ende, sondern der erste, wirkungsvollste Schritt in Richtung eines Zero-Trust-Ansatzes, der für ein KMU bezahlbar und betreibbar bleibt.

Der nächste Schritt

Wenn Sie nicht sicher sind, wie es um Ihre Microsoft-365-Anmeldung steht — welche MFA-Methoden im Einsatz sind, ob Admin-Konten ausreichend geschützt sind, ob es einen getesteten Notfallzugang gibt —, ist ein kompakter Identity- und Phishing-Resilience-Check der sinnvolle Anfang. Wir prüfen den Ist-Stand, identifizieren die kritischsten Lücken und liefern einen umsetzbaren Plan für phishing-resistente Authentifizierung, abgestimmt auf Ihre Rollen, Geräte und Betriebsrealität. Pragmatisch, KMU-tauglich und ohne Berichte, die in der Schublade landen.

PasskeysFIDO2Microsoft Entra IDPhishingMFAMicrosoft 365Conditional AccessZero TrustKMU

Projekt besprechen?

Wir setzen um, was wir hier beschreiben — in Bayern und dem gesamten DACH-Raum.

mailKontakt aufnehmen

Weitere Artikel

NIS2 Umsetzung KMU 2026 Cybersicherheit Risikomanagement Bayern
securityIT-Security·8 Min.

NIS2 Praxisstand Mitte 2026: Das Gesetz ist da — was Sie jetzt konkret tun müssen

Das NIS2-Umsetzungsgesetz ist in Kraft — ohne Übergangsfrist. Status Mitte 2026, Betroffenheit auch als Zulieferer, und eine umsetzbare Reihenfolge für KMU.

9. Juni 2026Weiterlesenarrow_forward
Cyberversicherung KMU Bayern technische Voraussetzungen IT-Security Audit
securityIT-Security·9 Min.

Cyberversicherung für KMU: Was Versicherer 2026 technisch verlangen

Eine Cyberpolice gibt es 2026 nicht mehr ohne technischen Mindeststandard. Wir zeigen aus der Audit-Praxis, was Versicherer wirklich prüfen, wo Leistungen verweigert werden und warum die Police kein Ersatz für IT-Security ist.

9. Juni 2026Weiterlesenarrow_forward
Container-Infrastruktur und Server-Sicherheit im Mittelstand
securityIT-Security·8 Min.

Docker-Sicherheit im Mittelstand: Wie Sie Container produktiv und sicher betreiben

Container landen oft ungeplant in der Produktion - ohne Härtung, ohne Monitoring. Was wir bei KMU-Umgebungen immer wieder sehen und wie Sie nachbessern.

18. Februar 2026Weiterlesenarrow_forward