Neue US-Bundesrichtlinien und beeindruckende Leistungsdaten treiben die Umstellung auf passwortlose Authentifizierung voran. Das Prinzip: Statt eines merkbaren Codes kommt ein kryptografisches Schlüsselpaar zum Einsatz – der private Schlüssel verlässt dabei niemals das Gerät des Nutzers. Diese Technik adressiert die Schwachstelle, die für über 80 Prozent aller Datenschutzverletzungen verantwortlich ist: gestohlene oder schwache Passwörter.
Schneller, sicherer, erfolgreicher
Die Zahlen sprechen eine klare Sprache. Google meldet, dass Anmeldungen mit Passkeys viermal erfolgreicher und 20 Prozent schneller ablaufen als mit herkömmlichen Passwörtern. Mehr als 15 Milliarden Konten unterstützen laut FIDO Alliance bereits die neue Technologie – Tendenz stark steigend.
Sicherheitsexperten raten Unternehmen jedoch zu einer parallelen Einführung: Passwörter und Passkeys sollten zunächst nebeneinander laufen, um einen reibungslosen Übergang zu gewährleisten. Zwar eliminieren Passkeys Phishing und Credential-Stuffing-Angriffe effektiv, doch sie sind kein Allheilmittel. Gestohlene Sitzungen oder Schadsoftware bleiben weiterhin Risikofaktoren. Die größte Herausforderung für Entwickler: die Wiederherstellung des Zugangs, insbesondere bei der Integration in Unternehmens-Single-Sign-On-Umgebungen.
Behörden ziehen die Zügel an
Der regulatorische Druck wächst weltweit. Der US-Standard NIST SP 800-63-4, veröffentlicht 2025, schreibt für sichere Umgebungen zwingend phishing-resistente Authentifizierung vor. Die US-Cybersicherheitsbehörde CISA veröffentlichte am gestrigen Donnerstag einen neuen Leitfaden, der Bundesbehörden bei der Einführung von SASE-Architekturen (Secure Access Service Edge) unterstützen soll.
Auch in Großbritannien wird der Rahmen enger. Seit einer Aktualisierung der Cyber-Essentials-Richtlinie Ende April 2026 ist Multi-Faktor-Authentifizierung (MFA) verpflichtend, sofern verfügbar. Unternehmen, die auf einfache Verbraucher-Tools setzen, könnten bei der zentralen Prüfung und gemeinsamen Tresor-Anforderungen unter diesen strengeren Regeln ins Straucheln geraten.
Über 80% aller Datenschutzverletzungen gehen auf schwache Passwörter zurück – doch die Umstellung auf Passkeys ist komplex. Dieser Report liefert eine 5-Schritt-Checkliste für die Migration, eine Compliance-Übersicht zu NIST SP 800-63-4 und Cyber Essentials sowie einen Leitfaden zur Post-Quanten-Kryptografie. Jetzt kostenlosen Report anfordern
Finanzsektor und Reisebranche als Vorreiter
Besonders dynamisch zeigt sich die Umsetzung in sicherheitskritischen Branchen. Binance veröffentlichte am 12. Juni 2026 spezifische Sicherheitshinweise für seine Nutzer – mit der Empfehlung, den iPhone-Stolen-Device-Schutz zusammen mit Binance-Passkeys zu aktivieren, um digitale Vermögenswerte biometrisch zu sichern.
Im Reisesektor geht Google Wallet neue Wege: Gemeinsam mit der US-Flugsicherheitsbehörde TSA startete der Dienst im Juni 2026 den Touchless ID-Service an 65 US-Flughäfen. Das System vergleicht per Gesichtserkennung mit digitalen Reisepässen und beschleunigt so die Sicherheitskontrollen erheblich.
Der öffentliche Druck auf säumige Unternehmen wächst. Ende Juni ging eine neue Monitoring-Website online, die Firmen identifiziert und benennt, die Passkeys noch immer nicht anbieten. Die Seite macht deutlich: Technische Hürden und Support-Herausforderungen verzögern die flächendeckende Einführung weiterhin.
Die nächste Welle: Post-Quanten-Sicherheit
Die Bedrohung durch Quantencomputer wächst: „Harvest now, decrypt later“-Angriffe sammeln heute verschlüsselte Daten für die spätere Entschlüsselung. Erfahren Sie in diesem Report, wie Sie Ihre Authentifizierungsinfrastruktur post-quanten-sicher machen – inklusive Migrations-Checkliste und Compliance-Übersicht. Post-Quanten-Sicherheitsleitfaden jetzt sichern
Doch die Branche blickt bereits weiter. Die Bedrohung durch Quantencomputer zeichnet sich ab – und mit ihr die Gefahr des „Harvest now, decrypt later“-Angriffs: Verschlüsselte Daten werden heute gesammelt, um sie später mit Quantenrechnern zu knacken. Ein vorgeschlagener US-Exekutivbefehl würde Bundesbehörden verpflichten, bis 2030 auf post-quanten-sichere Schlüsseleinigung und bis 2031 auf entsprechende digitale Signaturen umzustellen.
Die technische Basis wird bereits gelegt. Nach der Finalisierung der Post-Quanten-Kryptografie-Standards durch NIST im August 2024 stieg der Anteil des post-quanten-sicheren TLS-Datenverkehrs von 29 Prozent Anfang 2025 auf 52 Prozent Ende des Jahres. Die Infrastruktur für eine Ära ohne Passwörter – und resistent gegen Quantencomputer – entsteht derzeit vor unseren Augen.
