{"id":6364,"date":"2025-12-31T04:00:00","date_gmt":"2025-12-31T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6364"},"modified":"2025-12-31T04:00:00","modified_gmt":"2025-12-31T04:00:00","slug":"daran-scheitert-passwordless","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6364","title":{"rendered":"Daran scheitert Passwordless"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?quality=50&strip=all 8256w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Passwortlose Authentifizierung im Unternehmen einzuf\u00fchren, ist nur auf dem Papier einfach.\n

Roman Samborskyi | shutterstock.com<\/p>\n<\/div>\n

Etliche Enterprise-CISOs versuchen schon seit mehr als einer Dekade, Passw\u00f6rter hinter sich zu lassen<\/a>. Weil aber diverse Legacy-Systeme ausschlie\u00dflich auf Kennw\u00f6rter ausgelegt sind, sto\u00dfen sie dabei immer wieder auf technische H\u00fcrden. Das spiegelt auch der aktuelle \u201cID IQ Report 2026<\/a>\u201d von RSA (Download gegen Daten) wider, f\u00fcr den der Sicherheitsanbieter weltweit 2.000 Security-Experten befragt hat. Demnach haben 90 Prozent der Befragten Probleme mit Passwordless-Deployments.<\/p>\n

\u201cDie meisten Organisationen nutzen Passwordless nicht als prim\u00e4re Authentifizierungsmethode. Das sind tolle Neuigkeiten f\u00fcr Cyberkriminelle, denn gestohlene Zugangsdaten sind Jahr f\u00fcr Jahr der h\u00e4ufigste Grund f\u00fcr Data Breaches\u201d, kommentieren die Studienautoren.<\/p>\n

Passwordless-Probleme<\/h1>\n

Kriminelle Hacker freuen sich jedoch auch, wenn unterschiedliche Betriebssysteme und spezielle Zugriffsabforderungen daf\u00fcr sorgen, dass Organisationen mehrere Passwordless-L\u00f6sungen ausrollen m\u00fcssen. Denn \u201czwischen\u201d diesen L\u00f6sungen k\u00f6nnen neue Sicherheitsl\u00fccken entstehen. Sicherheitsanalysten und -praktiker gehen davon aus, dass die meisten Unternehmen mit den heute existierenden Passwordless-Optionen 75 bis 85 Prozent ihrer Bedrohungslandschaft abdecken k\u00f6nnen.<\/p>\n

\u201cEs wird schwierig werden, 100 Prozent Abdeckung zu erreichen. Insbesondere in OT-Umgebungen mit eingebetteten Systemen und industriellen Steuerungsystemen. Besonders diffizil wird es auch mit Blick auf IoT, Embedded Linux \u2013 und allem, was mit Fertigung zu tun hat\u201d, h\u00e4lt Will Townsend<\/a>, Chefanalyst bei Moor Insights & Strategy, fest.<\/p>\n

Zudem stellt sich die Frage, wie die Fallback-L\u00f6sung aussieht, wenn der Passwordless-Mechanismus versagt. Wird dabei auf Passw\u00f6rter zur\u00fcckgegriffen, ist das Ganze kontraproduktiv, wie Aaron Painter<\/a>, CEO beim Identity-Spezialisten Nametag, skizziert: \u201cWenn in den Registrierungs- und Recovery-Prozessen von Passkeys<\/a> Passw\u00f6rter lauern, entsteht ein riskanter blinder Fleck. Woher wissen Sie, wer einen Passkey tats\u00e4chlich registriert oder zur\u00fccksetzt?\u201d<\/p>\n

Indem sie sowohl ein Passwort als auch einen Passkey verwendeten, w\u00fcrden Unternehmen lediglich ihre Angriffsfl\u00e4che vergr\u00f6\u00dfern, konstatiert der Security-Fachmann. Er erg\u00e4nzt: \u201cEine echte Passwordless-Umstellung erfordert eine durchg\u00e4ngige Phishing-Resistenz<\/a> von Enrollment-, Registrierungs- und Recovery-Prozessen.\u201d<\/p>\n

Laut der eingangs zitierten RSA-Studie ist die Komplexit\u00e4t von Enterprise-Umgebungen das potenziell g\u00f6\u00dfte Hindernis f\u00fcr eine Passwordless-Einf\u00fchrung: \u201cWeil die meisten Unternehmen in hybriden Umgebungen arbeiten und unterschiedliche Benutzer sowie Anwendungsf\u00e4lle unterst\u00fctzen m\u00fcssen, ist eine Vielzahl von Formfaktoren n\u00f6tig, um jedem User eine passwortlose Authentifizierung zu erm\u00f6glichen\u201d, schreiben die Studienautoren. Die befragten Sicherheitsentscheider sehen drei wesentliche Herausforderungen bei der Umstellung auf passwortlose Authentifizierungsl\u00f6sungen:<\/p>\n

Sicherheitsbedenken (57 Prozent),<\/p>\n

Bedenken hinsichtlich der Benutzererfahrung (56 Prozent), sowie<\/p>\n

vollst\u00e4ndig fehlender Plattform-Support (inklusive Legacy-Anwendungen und Drittanbietersystemen).<\/p>\n

Passwordless-L\u00f6sungen<\/h1>\n

Wie so oft, kommt es auch bei der Einf\u00fchrung von Passwordless-L\u00f6sungen auf die richtige(n) Strategie(n) an. Oleg Naumenko<\/a>, CEO beim Identity-Anbieter Hideez, empfiehlt CISOs, bei der Umstellung auf passwortlose Authentifizierung auf die Reihenfolge zu achten. Laut dem Experten beginnen viele Firmen damit, passwortlosen Zugang zu Cloud-Diensten zu implementieren, weil das einfacher ist. Komplexere, risikoreichere Systeme blieben hingegen weiterhin abh\u00e4ngig von Passw\u00f6rtern. \u201cIch empfehle in der Regel, diese Reihenfolge umzukehren. Ein Unternehmen, das damit beginnt, privilegierte Benutzer und kritische Systeme zu sichern, kann damit das Risiko erheblich verringern.\u201d<\/p>\n

Privilegierte Benutzer wie Administratoren h\u00e4tten den umfassendsten Zugriff, so Naumenko weiter. Wenn die passwortlose Anmeldung f\u00fcr sie funktioniere, lie\u00dfe sie sich auch wesentlich einfacher auf den Rest des Unternehmens ausweiten.\u201dWenn der Rollout mit den einfachsten Integrationen beginnt, nur um mehr Benutzer zu erreichen, wird die Verbesserung nur oberfl\u00e4chlich ausfallen\u201d, h\u00e4lt der Manager fest. Die meisten Cloud-Anwendungen lie\u00dfen sich problemlos \u00fcber SAML<\/a> oder OIDC<\/a> integrieren, w\u00e4hrend Legacy- oder benutzerdefinierte Systeme einen anderen Ansatz erforderten: \u201cDie erste Option besteht darin, den Zugriff \u00fcber eine VPN-L\u00f6sung zu beschr\u00e4nken, die durch passwortloses SSO<\/a> gesch\u00fctzt ist. Die fortgeschrittenere Option w\u00e4re, einen Reverse-Proxy-Dienst zu nutzen, der direkten Passwordless-Zugriff erm\u00f6glicht\u201d, empfiehlt Naumenko.<\/p>\n

Mit Blick auf Legacy-Systeme hat auch Or Finkelstein<\/a>, Head of Marketing beim Sicherheitsanbieter Secret Double Octopus, einen Tipp f\u00fcr CISOs und Sicherheitsentscheider auf Lager. Diesen hat er bei seiner Kundschaft beobachtet: \u201cDie Technik besteht darin, das Legacy-Passwortfeld zu \u00fcbernehmen und das vom Benutzer gew\u00e4hlte Passwort durch ein maschinengeneriertes tempor\u00e4res Token zu ersetzen, das bei jeder Authentifizierung wechselt. Technisch gesehen ist das immer noch ein Passwort, aber kein Mensch wird es jemals sehen oder verwenden \u2013 es weist zudem nicht die Schwachstellen eines herk\u00f6mmlichen Kennworts auf und kann nicht per Phishing abgegriffen werden.\u201d<\/p>\n

Erik Avakian<\/a>, technischer Berater bei der Info-Tech Research Group, vergleicht die Situation um Passwordless-L\u00f6sungen mit der, in der sich CISOs schon mit Blick auf die Multi-Faktor-Authentifzierung (MFA) wiederfanden: \u201cMFA bietet eine Reihe von Optionen f\u00fcr Authentifizierungsmechanismen. Einige sind robust, andere schwach. Unternehmen, die darauf nicht achten, gef\u00e4hrden ihre eigene Sicherheit.\u00a0Es gilt, aus MFA zu lernen<\/a> und Bequemlichkeit nicht \u00fcber Schutz zu stellen\u201d, so der Analyst. Seiner Meinung nach \u00e4hnelt die der Shift hin zu passwortloser Authentifizierung in vielerlei Hinsicht auch der Umstellung auf ein Zero-Trust-Modell: \u201cEs handelt sich in beiden F\u00e4llen um einen mehrj\u00e4hrigen, mehrphasigen Prozess.\u201d (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?quality=50&strip=all 8256w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/Roman-Samborskyi_shutterstock_2425433469_16z9.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Passwortlose Authentifizierung im Unternehmen einzuf\u00fchren, ist nur auf dem Papier einfach. Roman Samborskyi | shutterstock.com Etliche Enterprise-CISOs versuchen schon seit mehr als einer Dekade, Passw\u00f6rter hinter sich […]<\/p>\n","protected":false},"author":0,"featured_media":6365,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6364","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6364"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6364"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6364\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6365"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6364"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}