Zum Inhalt springen
Zurück zu Tutorials
identity passkeys mfa enterprise-security

Enterprise Passkeys und Phishing-resistente MFA ausrollen

Fortgeschritten · 55 minutes · 12 Min. Lesezeit · Byte Smith ·

Bevor du beginnst

  • Eine Enterprise-IdP- oder SSO-Plattform wie Microsoft Entra ID, Okta, Ping, Google Workspace oder ein aehnlicher Identity-Stack
  • Administrativer Zugriff auf MFA- oder Authentifizierungsmethoden-Richtlinien
  • Eine Pilotgruppe von Workforce-Benutzern und mindestens ein Help-Desk-Kontakt
  • Ein aktuelles Geraete- und Browser-Inventar fuer verwaltete und nicht verwaltete Endpunkte
  • Ein grundlegender Support-Prozess fuer Kontowiederherstellung und Zugriffserneuerung

Was du lernen wirst

  • Entscheiden, wo Passkeys in Ihre Workforce-Identity-Strategie passen
  • Geraete-, Browser- und Recovery-Bereitschaft vor dem Rollout auditieren
  • Ein stufenweises Registrierungs- und Durchsetzungsmodell entwerfen
  • Passkeys und Security Keys als Phishing-resistente MFA-Optionen bereitstellen
  • Eine unterstuetzbare Benutzererfahrung fuer Registrierung, Recovery und geraetuebergreifende Anmeldung aufbauen
  • Adoption messen und erweitern, ohne schwache Fallbacks fuer immer beizubehalten
1
2
3
4
5
6
7
8
9
Auf dieser Seite

Identity-Angriffe draengen Organisationen immer weiter ueber den Punkt hinaus, an dem “eine weitere MFA-Abfrage hinzufuegen” ausreicht. Passwort-Wiederverwendung, Phishing-Kits, Adversary-in-the-Middle-Angriffe und MFA-Fatigue haben aeltere Login-Muster viel schwieriger konsistent verteidigbar gemacht. Deshalb bewegen sich mehr Teams in Richtung Phishing-resistenter MFA, insbesondere Passkeys und Security Keys, fuer Workforce-Anmeldungen.

Passkeys sind jetzt realistisch fuer Enterprise-Rollouts, weil das Oekosystem nicht mehr experimentell ist. Grosse Identitaetsplattformen unterstuetzen stufenweise Aktivierung, Policy-Targeting und Recovery-Kontrollen, und Workforce-Deployments finden bereits im grossen Massstab statt. Das bedeutet nicht, dass Sie fuer jeden Mitarbeiter auf einmal einen Schalter umlegen sollten. Es bedeutet, dass Sie Passkeys endlich als Identitaetsprogramm behandeln koennen, nicht als Laborprojekt.

In diesem Tutorial bauen Sie einen praktischen Rollout-Plan fuer Enterprise Passkeys und Phishing-resistente MFA. Das Endergebnis ist nicht nur “Passkeys aktiviert.” Es ist ein stufenweises Deployment-Modell mit einer Pilotgruppe, Backup-Methoden, Help-Desk-Leitfaden, Metriken und einem klaren Pfad von fruehzeitiger Adoption zu breiterer Durchsetzung. Fuer breiteren Kontext zu Passkey-Strategie und UX-Ueberlegungen, siehe Enterprise Passkeys Rollout: What Actually Works.

Hinweis

Getestet mit: Microsoft Entra ID, Google Workspace und Okta Admin-Konsolen Stand Maerz 2026. Entra geraetegebundene Passkeys sind GA; Entra synchronisierte Passkeys sind in der Vorschau. Die Feature-Verfuegbarkeit bei Anbietern kann sich aendern — pruefen Sie die aktuellen Release-Notes Ihres IdP, bevor Sie beginnen.

Schritt 1: Entscheiden, wo Passkeys passen

Bevor Sie Policies beruehren, entscheiden Sie, welches Problem Sie loesen. Einige Organisationen wollen zuerst schwache MFA fuer Hochrisikobenutzer ersetzen. Andere wollen Passwort-Resets und Login-Reibung fuer die breitere Belegschaft reduzieren. Das sind beides gueltige Ziele, aber sie fuehren zu unterschiedlichen Rollout-Reihenfolgen.

Workforce von Kunden-Nutzung trennen

Dieses Tutorial handelt von Workforce-Identitaet, nicht von Kunden-Anmeldung. Das Enterprise-Rollout-Modell ist anders, weil Sie bereits haben:

  • einen IdP oder eine SSO-Plattform
  • Geraeteverwaltung und Browser-Standards
  • privilegierte Benutzer und Admin-Rollen
  • Help-Desk- und Recovery-Prozesse
  • interne App-Abhaengigkeiten und Legacy-Edge-Cases

Das bedeutet, Sie koennen einen staerkeren, strukturierteren Rollout entwerfen als die meisten kundenorientierten Passkey-Deployments.

Waehlen, mit welchen Benutzern man beginnt

Eine gute erste Regel ist, dort zu beginnen, wo der Sicherheitsvorteil hoch und das operationelle Modell handhabbar ist. In der Praxis sind die besten ersten Gruppen oft:

  • IT- und Identitaetsadministratoren
  • Fuehrungskraefte und deren Assistenten
  • Benutzer mit Zugriff auf sensibles IP oder regulierte Daten
  • Mitglieder des Sicherheitsteams
  • Vielreisende oder haeufig angegriffene Benutzer

Waehlen, welche Apps zuerst einbezogen werden

Beginnen Sie nicht mit jeder App in Ihrem Bestand. Beginnen Sie mit den Anmeldeerfahrungen, die bereits ueber Ihren Haupt-IdP vermittelt werden. Priorisieren Sie Apps, die:

  • bereits ueber SSO foederiert sind
  • haeufig genutzt werden
  • geschaeftskritisch sind
  • von modernen Browsern und Geraete-Flows unterstuetzt werden
  • nicht von bruechigen Legacy-Authentifizierungs-Workarounds abhaengen

Rollout-Ziel aufschreiben

Erstellen Sie ein einseitiges Scope-Dokument, bevor Sie weitermachen.

File: passkey-rollout-scope.yaml

program_name: workforce-passkeys-phase-1
goal: reduce exposure to phishing and weak MFA for privileged and high-risk users
target_users:
  - identity-admins
  - security-team
  - executives
included_apps:
  - idp-portal
  - email
  - vpn-or-zta-portal
  - cloud-admin-console
excluded_for_phase_1:
  - shared-kiosk-workflows
  - legacy-rdp-gateway
  - non-federated-on-prem-apps
success_definition:
  - 90_percent_of_pilot_users_enrolled
  - less_than_5_percent_login_failure_increase
  - help_desk_recovery_process_verified
Tipp

Der staerkste erste Rollout ist normalerweise nicht “alle.” Es sind “die Leute, die am wahrscheinlichsten angegriffen werden, auf den Apps, die Ihr IdP bereits gut kontrolliert.”

Sie sollten nun eine definierte erste Zielgruppe, App-Scope und Erfolgsziel fuer den Rollout haben.

Schritt 2: Ihre Umgebung auditieren

Die haeufigsten Passkey-Rollout-Fehler sind nicht kryptographisch. Sie sind operationell. Ein Team aktiviert Passkeys, bevor es Browser-Verhalten, nicht verwaltete Geraete-Muster, Recovery-Bereitschaft oder wie viele Leute sich noch von geteilten oder atypischen Endpunkten anmelden, geprueft hat.

Geraetekompatibilitaet auditieren

Beginnen Sie mit den Geraeten, die Ihre Benutzer tatsaechlich verwenden, nicht was Ihr Standard sagt, dass sie verwenden. Inventarisieren Sie mindestens diese Kategorien:

  • verwaltete Windows-Geraete
  • verwaltete macOS-Geraete
  • iPhone und iPad
  • Android-Geraete
  • geteilte oder Frontline-Geraete
  • Auftragnehmer- oder BYOD-Endpunkte

Fuer jede Kategorie dokumentieren Sie:

  • ob das Geraet verwaltet oder nicht verwaltet ist
  • ob ein Plattform-Authenticator akzeptabel ist
  • ob Roaming-Security-Keys benoetigt werden
  • ob geraetegebundene oder synchronisierte Passkeys erlaubt sind
  • ob Bildschirmsperre und lokaler Kontoschutz erzwungen werden

Ein einfaches Audit-Blatt reicht aus:

File: device-passkey-audit.csv

device_type,managed,primary_browser,platform_authenticator_ok,security_key_required,notes
windows-11-laptop,yes,edge,yes,no,standard office workforce
macbook,yes,chrome,yes,no,developer group
iphone,yes,safari,yes,no,executive mobile access
android-phone,yes,chrome,yes,no,field staff mobile access
shared-frontline-ipad,shared,safari,no,yes,avoid personal synced passkeys on shared devices
contractor-laptop,no,chrome,case-by-case,yes,restrict unmanaged platform usage

Recovery- und Help-Desk-Bereitschaft auditieren

Starten Sie Phishing-resistente MFA nicht ohne Recovery-Plan. Ihr Help Desk braucht eine dokumentierte Antwort auf alle diese:

  • Benutzer hat Telefon verloren
  • Benutzer hat Laptop ersetzt
  • Benutzer kann Geraete-Biometrie nicht verwenden
  • Benutzer hat einen Passkey registriert und kein Backup
  • Fuehrungskraft auf internationalem Reisen kann normales Recovery nicht abschliessen
  • Admin-Konto hat seinen primaeren Faktor verloren

Definieren Sie mindestens:

  • wer die Identitaet verifizieren kann
  • welche Recovery-Nachweise erlaubt sind
  • ob ein temporaerer Zugangspass oder aehnlicher Bootstrap-Credential verfuegbar ist
  • wann ein Security Key als Recovery-Methode ausgegeben wird
  • wie schnell der Help Desk reagieren muss
Warnung

Wenn Ihr Recovery-Pfad “der Help Desk wird es herausfinden” ist, ist Ihr Rollout nicht bereit. Recovery ist Teil des Authentifizierungsdesigns, kein Nachgedanke.

Sie sollten nun ein Umgebungsinventar haben, das Ihnen sagt, wo Passkeys sauber passen, wo Security Keys besser sind und wo Recovery vor dem Rollout Arbeit braucht.

Schritt 3: Das Rollout-Modell entwerfen

Wandeln Sie nun das Audit in einen tatsaechlichen Deployment-Plan um. Das Ziel ist ein Rollout-Modell, das klein beginnt, das Support-Team unterrichtet und Ihnen saubere Metriken gibt, bevor Sie die Durchsetzung erweitern.

Eine Pilotgruppe auswaehlen

Ein starker Pilot ist klein genug, um eng unterstuetzt zu werden, und breit genug, um echte Probleme aufzudecken. Ein guter Pilot umfasst normalerweise:

  • Identitaets- oder Sicherheitsteam-Mitglieder
  • einige Admins
  • einige Fuehrungskraefte oder Assistenten
  • einige normale Buero-Benutzer
  • mindestens einen Vielreisenden
  • einen Help-Desk-Mitarbeiter oder Support-Lead

Zielen Sie auf eine Pilotgroesse, bei der Sie Leute direkt kontaktieren koennen. Fuer die meisten Organisationen reichen 25 bis 100 Benutzer fuer Phase eins.

Den Registrierungsflow gestalten

Ihre Erstregistrierung sollte einfach und konsistent sein:

  1. Benutzer erhaelt eine Ankuendigung und einen Zeitplan.
  2. Benutzer meldet sich mit der aktuellen genehmigten Methode an.
  3. Benutzer wird aufgefordert, einen Passkey hinzuzufuegen.
  4. Benutzer wird angeleitet, eine Backup-Methode hinzuzufuegen.
  5. Benutzer validiert die Anmeldung mit dem neuen Faktor.
  6. Benutzer erhaelt einen kurzen Recovery-Leitfaden.

Die Backup-Methoden-Strategie festlegen

Verwechseln Sie Backup-Methoden nicht mit schwachen langfristigen Fallbacks. Die Backup-Strategie sollte bewusst sein.

Typische Optionen umfassen:

  • einen zweiten Passkey auf einem anderen Geraet
  • einen Hardware-Security-Key
  • einen temporaeren Zugangspass oder aequivalente Bootstrap-Methode
  • einen streng kontrollierten Break-Glass-Recovery-Pfad

Policy-Durchsetzung stufenweise gestalten

Ein Rollout funktioniert normalerweise am besten in vier Stufen:

  1. Optionale Registrierung fuer Pilotbenutzer
  2. Registrierung erforderlich, Nutzung ermutigt
  3. Phishing-resistente MFA erforderlich fuer gezielte Apps oder Gruppen
  4. Passwortabhaengigkeit schrittweise reduzieren

File: policy-stages.yaml

stage_1:
  name: optional-pilot
  actions:
    - enable_passkey_registration
    - no_forced_use
stage_2:
  name: required-enrollment
  actions:
    - require_enrollment_for_pilot_group
    - require_backup_method
stage_3:
  name: phishing-resistant-required
  actions:
    - enforce_for_admin_apps
    - enforce_for_privileged_groups
stage_4:
  name: broader-workforce
  actions:
    - expand_group_scope
    - reduce_weak_fallbacks
Hinweis

Das beste Rollout-Modell ist stufenweise. Sie wollen aus optionaler Registrierung lernen, bevor Sie Passkeys zum Standard-Pfad fuer mehr Benutzer machen.

Sie sollten nun ein Pilotdesign, einen Registrierungspfad, ein Backup-Modell und einen phasenweisen Policy-Plan haben.

Schritt 4: Phishing-resistente MFA aktivieren

Dies ist der Policy-Schritt. Der Punkt ist nicht nur “Passkeys einschalten.” Es geht darum, Benutzer in Richtung Phishing-resistenter Methoden und weg von schwacheren Fallbacks zu bewegen, besonders fuer privilegierten Zugriff.

Passkeys und Security Keys einschalten

Auf Programmebene behandeln Sie Passkeys und Security Keys als Teil derselben Phishing-resistenten Strategie, nicht als konkurrierende Projekte. Viele Organisationen verwenden beides:

  • Passkeys fuer Bequemlichkeit und breitere Adoption
  • Security Keys fuer hoehere Sicherheit, geteilte Geraete-Edge-Cases und privilegiertes Recovery

Unterschiedliche Anforderungen fuer Hochrisikobenutzer erstellen

Ihre privilegierten oder Hochrisikobenutzer sollten normalerweise strengere Anforderungen als die allgemeine Belegschaft haben.

File: auth-strengths.yaml

standard_workforce:
  allowed_methods:
    - passkey
    - security_key
  discouraged_methods:
    - push_notification
    - sms
privileged_users:
  required_methods:
    - passkey
    - security_key
  blocked_methods:
    - sms
    - voice_call
    - push_notification
break_glass_accounts:
  separate_controls: true
  offline_storage_required: true
  no_daily_use: true

Schwache Fallback-Methoden nicht permanent werden lassen

Einer der groessten Rollout-Fehler ist, schwache Fallback-Methoden auf unbestimmte Zeit aktiviert zu lassen “fuer den Fall.” Das fuehrt normalerweise dazu, dass Benutzer die staerkere Methode umgehen, wann immer sie auf Reibung stossen.

Planen Sie von vornherein eine zeitlich begrenzte Fallback-Policy:

File: fallback-policy.md

# Fallback Policy

- SMS is allowed only during phase 1 and phase 2 for pilot exceptions
- Push approvals are not accepted for privileged users after phase 2
- Temporary access credentials expire the same day they are issued
- Password-only recovery is not allowed for privileged accounts
Warnung

Ein starker Passkey-Rollout kann trotzdem scheitern, wenn der echte taegliche Pfad SMS, Push oder ein anderer schwacherer Fallback bleibt. Benutzer folgen dem einfachsten Pfad, den Sie offen lassen.

Sie sollten nun die Sicherheits-Policy-Seite des Rollouts definiert haben: Passkeys aktiviert, Security Keys verfuegbar und staerkere Anforderungen fuer hoehere Risikobenutzer und Apps.

Schritt 5: Die Benutzererfahrung aufbauen

Identitaets-Rollouts gelingen oder scheitern an der Benutzererfahrung. Wenn die Registrierung verwirrend ist, die geraetuebergreifende Anmeldung mysterios ist oder das Recovery bei Geraeteverlust beaengstigend ist, wird die Adoption stagnieren, selbst wenn Ihre Policy technisch korrekt ist.

Erstregistrierungsanweisungen gestalten

Ihre Registrierungsnachricht sollte drei Dinge klar erklaeren:

  • warum diese Aenderung stattfindet
  • was der Benutzer tun muss
  • was zu tun ist, wenn etwas schief geht

Eine einfache Support-Nachricht ist besser als ein langes Sicherheitsmemo.

File: employee-announcement.txt

Starting next week, your sign-in experience will begin moving to passkeys for stronger, phishing-resistant authentication.

What you need to do:
1. Sign in to the company portal when prompted
2. Add a passkey on your primary work device
3. Add a backup method before you finish
4. Test a new sign-in once enrollment is complete

If you lose your device or need help, contact the help desk at help@example.com before attempting repeated sign-ins.

Geraetuebergreifende Nutzung erklaeren

Viele Benutzer werden einen Passkey auf einem Geraet erstellen und sich dann woanders anmelden. Erklaeren Sie das klar im Voraus.

Recovery bei Geraeteverlust vorhersagbar machen

Benutzer brauchen nicht jedes Recovery-Detail, aber sie brauchen Zuversicht. Ihre benutzerorientierte Recovery-Anleitung sollte beantworten:

  • was tun, wenn das Telefon verloren geht
  • ob ein Backup-Key funktioniert
  • wie man den Support kontaktiert
  • was man nicht tun sollte, wie die Registrierung auf einem geteilten Geraet ohne Genehmigung

File: lost-device-guide.md

# Lost Device Guide

If you lose access to your primary device:

1. Try your approved backup passkey or security key
2. If you cannot access a backup method, contact the help desk immediately
3. Do not enroll a new passkey on a shared or borrowed device unless support tells you to
4. After recovery, remove lost-device credentials from your account
Tipp

Die Benutzererfahrung sollte immer eine Backup-Methode und eine Recovery-Nachricht beinhalten. Diese beiden Details bewirken mehr fuer das Vertrauen als lange technische Erklaerungen.

Sie sollten nun benutzerseitige Registrierungs-, geraetuebergreifende und Recovery-Kommunikation fuer den Piloteinsatz bereit haben.

Schritt 6: Adoption ueberwachen

Sobald der Pilot startet, ist Ihre Aufgabe, schnell zu lernen und vorsichtig zu erweitern. Das bedeutet, Sie brauchen operationelle Metriken, nicht nur einen binaeren “aktiviert”-Zustand.

Registrierungsrate verfolgen

Ihre erste Metrik ist einfach: Wie viele der Zielbenutzer haben tatsaechlich einen Passkey und eine Backup-Methode registriert?

Verfolgen Sie mindestens:

  • Pilotbenutzer im Ziel
  • registrierte Benutzer
  • Benutzer mit Backup-Methode
  • Benutzer, die begonnen, aber nicht abgeschlossen haben

Login-Erfolgsrate verfolgen

Registrierung reicht nicht. Beobachten Sie, ob erfolgreiche Anmeldungen stabil bleiben oder sich verbessern.

Help-Desk-Volumen verfolgen

Ein temporaerer Anstieg des Support-Volumens ist normal. Ein anhaltender Spike deutet normalerweise auf einen Rollout-Fehler hin.

Fallback-Nutzung verfolgen

Das ist die Metrik, die viele Teams ignorieren. Wenn der Rollout auf dem Papier erfolgreich aussieht, aber Benutzer staendig auf schwachere Methoden zurueckfallen, ist Ihre Risikoreduktion kleiner als sie erscheint.

Verwenden Sie ein einfaches Schwellenwertmodell:

File: adoption-thresholds.yaml

go_to_next_stage_when:
  enrollment_rate: ">= 85%"
  backup_method_rate: ">= 75%"
  login_success_rate: "no worse than baseline by more than 2%"
  weak_fallback_usage: "< 10%"
  unresolved_helpdesk_spike: "false"
Info

“Adoption” ist nicht nur Registrierung. Gute Adoption bedeutet, Benutzer sind tatsaechlich mit der staerkeren Methode erfolgreich und umgehen sie nicht durch alte Fallbacks.

Sie sollten nun wissen, was waehrend des Piloten zu messen ist und welche Signale Ihnen sagen, dass der Rollout gesund ist.

Schritt 7: Sicher erweitern

Sobald der Pilot stabil ist, erweitern Sie nach Risiko und Support-Bereitschaft, nicht nach Ungeduld.

Als Naechstes zu privilegierten Benutzern bewegen

Wenn sie nicht alle im Piloten waren, sollten privilegierte Benutzer Ihre naechste Welle sein:

  • Cloud-Admins
  • Service-Owner
  • Sicherheitsoperationen
  • Finanzgenehmiger
  • HR-Administratoren

Fuer diese Benutzer verlangen Sie Phishing-resistente Methoden, statt sie nur anzubieten.

Auf die breitere Belegschaft erweitern

Nach privilegierten Benutzern erweitern Sie auf die breitere Belegschaft nach Abteilung, Region oder Geraetetyp.

Passwortabhaengigkeit schrittweise reduzieren

Versuchen Sie nicht, Passwoerter aus jedem Workflow am ersten Tag zu entfernen. Aber machen Sie einen expliziten Plan, die Abhaengigkeit schrittweise zu reduzieren.

Haeufige Einrichtungsprobleme

Kein Recovery-Plan

Symptome: Benutzer registrieren einen Passkey und nichts anderes; Geraeteverlust-Anrufe werden dringende Eskalationen.

Loesung: Backup-Methode waehrend der Registrierung verlangen; Identitaetsverifizierung und Recovery-Schritte dokumentieren.

Schlechte Kommunikation

Symptome: Benutzer verstehen nicht, ob sie Telefon, Laptop oder Security Key verwenden sollen; Adoption stagniert nach dem ersten Prompt.

Loesung: Kurze, klarsprachige Registrierungsleitfaeden senden; Backup und Recovery in derselben Nachricht erklaeren.

Geteilte oder Admin-Geraete-Workflows ignorieren

Symptome: Geteilte Workstations erzeugen inkonsistentes Anmeldeverhalten; Benutzer erstellen Credentials auf dem falschen Geraet.

Loesung: Geteilte-Geraete-Workflows frueh identifizieren; Security Keys fuer diese Szenarien bevorzugen.

Schwache Fallback-Methoden zu lange behalten

Symptome: Passkeys sind “aktiviert”, aber tatsaechliche Anmeldungen verwenden weiterhin SMS oder Push.

Loesung: Daten und Bedingungen fuer die Fallback-Entfernung festlegen; schwache Methoden zuerst fuer privilegierte Benutzer entfernen.

Zusammenfassung

Ein guter Enterprise-Passkey-Rollout ist nicht nur ein Technologiewechsel. Es ist ein Identitaetsprogramm mit Scope, Pilotbenutzern, Recovery-Design, Support-Kommunikation, Durchsetzungsstufen und Adoptionsmetriken. Gut gemacht, gibt es Ihnen staerkeren Phishing-Schutz und eine sauberere Benutzererfahrung gleichzeitig.

“Gute” Adoption sieht normalerweise so aus: hohe Registrierung in der Zielgruppe, stabile Login-Erfolgsraten, begrenzte Help-Desk-Stoerung, sinnvolle Nutzung von Passkeys oder Security Keys bei echten Anmeldungen und stetig sinkende Fallback-Nutzung. Das ist der Punkt, an dem Passkeys aufhoeren, ein Pilot zu sein, und Teil Ihres normalen Workforce-Identity-Standards werden.

Machen Sie Passkeys zum Standard, wenn Ihre Pilot- und fruehen Expansionsgruppen zuverlaessig registrieren, sicher recovern und sich ohne Rueckgriff auf schwachere Methoden authentifizieren koennen. Der Zeitpunkt wird je nach Umgebung unterschiedlich sein, aber das Muster ist dasselbe: mit den richtigen Benutzern beginnen, das Recovery-Modell stark halten und Passwortabhaengigkeit absichtlich reduzieren statt zufaellig.