Etliche Enterprise-CISOs versuchen schon seit mehr als einer Dekade, Passwörter hinter sich zu lassen. Weil aber diverse Legacy-Systeme ausschließlich auf Kennwörter ausgelegt sind, stoßen sie dabei immer wieder auf technische Hürden. Das spiegelt auch der aktuelle “ID IQ Report 2026” von RSA (Download gegen Daten) wider, für den der Sicherheitsanbieter weltweit 2.000 Security-Experten befragt hat. Demnach haben 90 Prozent der Befragten Probleme mit Passwordless-Deployments.

“Die meisten Organisationen nutzen Passwordless nicht als primäre Authentifizierungsmethode. Das sind tolle Neuigkeiten für Cyberkriminelle, denn gestohlene Zugangsdaten sind Jahr für Jahr der häufigste Grund für Data Breaches”, kommentieren die Studienautoren.

Passwordless-Probleme

Kriminelle Hacker freuen sich jedoch auch, wenn unterschiedliche Betriebssysteme und spezielle Zugriffsabforderungen dafür sorgen, dass Organisationen mehrere Passwordless-Lösungen ausrollen müssen. Denn “zwischen” diesen Lösungen können neue Sicherheitslücken entstehen. Sicherheitsanalysten und -praktiker gehen davon aus, dass die meisten Unternehmen mit den heute existierenden Passwordless-Optionen 75 bis 85 Prozent ihrer Bedrohungslandschaft abdecken können.

“Es wird schwierig werden, 100 Prozent Abdeckung zu erreichen. Insbesondere in OT-Umgebungen mit eingebetteten Systemen und industriellen Steuerungsystemen. Besonders diffizil wird es auch mit Blick auf IoT, Embedded Linux – und allem, was mit Fertigung zu tun hat”, hält Will Townsend, Chefanalyst bei Moor Insights & Strategy, fest.

Zudem stellt sich die Frage, wie die Fallback-Lösung aussieht, wenn der Passwordless-Mechanismus versagt. Wird dabei auf Passwörter zurückgegriffen, ist das Ganze kontraproduktiv, wie Aaron Painter, CEO beim Identity-Spezialisten Nametag, skizziert: “Wenn in den Registrierungs- und Recovery-Prozessen von Passkeys Passwörter lauern, entsteht ein riskanter blinder Fleck. Woher wissen Sie, wer einen Passkey tatsächlich registriert oder zurücksetzt?”

Indem sie sowohl ein Passwort als auch einen Passkey verwendeten, würden Unternehmen lediglich ihre Angriffsfläche vergrößern, konstatiert der Security-Fachmann. Er ergänzt: “Eine echte Passwordless-Umstellung erfordert eine durchgängige Phishing-Resistenz von Enrollment-, Registrierungs- und Recovery-Prozessen.”

Laut der eingangs zitierten RSA-Studie ist die Komplexität von Enterprise-Umgebungen das potenziell gößte Hindernis für eine Passwordless-Einführung: “Weil die meisten Unternehmen in hybriden Umgebungen arbeiten und unterschiedliche Benutzer sowie Anwendungsfälle unterstützen müssen, ist eine Vielzahl von Formfaktoren nötig, um jedem User eine passwortlose Authentifizierung zu ermöglichen”, schreiben die Studienautoren. Die befragten Sicherheitsentscheider sehen drei wesentliche Herausforderungen bei der Umstellung auf passwortlose Authentifizierungslösungen:

Sicherheitsbedenken (57 Prozent),

Bedenken hinsichtlich der Benutzererfahrung (56 Prozent), sowie

vollständig fehlender Plattform-Support (inklusive Legacy-Anwendungen und Drittanbietersystemen).

Passwordless-Lösungen

Wie so oft, kommt es auch bei der Einführung von Passwordless-Lösungen auf die richtige(n) Strategie(n) an. Oleg Naumenko, CEO beim Identity-Anbieter Hideez, empfiehlt CISOs, bei der Umstellung auf passwortlose Authentifizierung auf die Reihenfolge zu achten. Laut dem Experten beginnen viele Firmen damit, passwortlosen Zugang zu Cloud-Diensten zu implementieren, weil das einfacher ist. Komplexere, risikoreichere Systeme blieben hingegen weiterhin abhängig von Passwörtern. “Ich empfehle in der Regel, diese Reihenfolge umzukehren. Ein Unternehmen, das damit beginnt, privilegierte Benutzer und kritische Systeme zu sichern, kann damit das Risiko erheblich verringern.”

Privilegierte Benutzer wie Administratoren hätten den umfassendsten Zugriff, so Naumenko weiter. Wenn die passwortlose Anmeldung für sie funktioniere, ließe sie sich auch wesentlich einfacher auf den Rest des Unternehmens ausweiten.”Wenn der Rollout mit den einfachsten Integrationen beginnt, nur um mehr Benutzer zu erreichen, wird die Verbesserung nur oberflächlich ausfallen”, hält der Manager fest. Die meisten Cloud-Anwendungen ließen sich problemlos über SAML oder OIDC integrieren, während Legacy- oder benutzerdefinierte Systeme einen anderen Ansatz erforderten: “Die erste Option besteht darin, den Zugriff über eine VPN-Lösung zu beschränken, die durch passwortloses SSO geschützt ist. Die fortgeschrittenere Option wäre, einen Reverse-Proxy-Dienst zu nutzen, der direkten Passwordless-Zugriff ermöglicht”, empfiehlt Naumenko.

Mit Blick auf Legacy-Systeme hat auch Or Finkelstein, Head of Marketing beim Sicherheitsanbieter Secret Double Octopus, einen Tipp für CISOs und Sicherheitsentscheider auf Lager. Diesen hat er bei seiner Kundschaft beobachtet: “Die Technik besteht darin, das Legacy-Passwortfeld zu übernehmen und das vom Benutzer gewählte Passwort durch ein maschinengeneriertes temporäres Token zu ersetzen, das bei jeder Authentifizierung wechselt. Technisch gesehen ist das immer noch ein Passwort, aber kein Mensch wird es jemals sehen oder verwenden – es weist zudem nicht die Schwachstellen eines herkömmlichen Kennworts auf und kann nicht per Phishing abgegriffen werden.”

Erik Avakian, technischer Berater bei der Info-Tech Research Group, vergleicht die Situation um Passwordless-Lösungen mit der, in der sich CISOs schon mit Blick auf die Multi-Faktor-Authentifzierung (MFA) wiederfanden: “MFA bietet eine Reihe von Optionen für Authentifizierungsmechanismen. Einige sind robust, andere schwach. Unternehmen, die darauf nicht achten, gefährden ihre eigene Sicherheit. Es gilt, aus MFA zu lernen und Bequemlichkeit nicht über Schutz zu stellen”, so der Analyst. Seiner Meinung nach ähnelt die der Shift hin zu passwortloser Authentifizierung in vielerlei Hinsicht auch der Umstellung auf ein Zero-Trust-Modell: “Es handelt sich in beiden Fällen um einen mehrjährigen, mehrphasigen Prozess.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.