FIDO2: Standard für sichere und passwortlose Authentifizierung im Unternehmen

FIDO2 ist ein offener Authentifizierungsstandard der FIDO Alliance von 2018, der eine sichere und passwortlose Anmeldung ermöglicht. Der Standard basiert auf asymmetrischer Kryptografie und ersetzt klassische Passwörter durch kryptografische Schlüsselpaare. FIDO2 besteht technisch aus den Komponenten WebAuthn (W3C-Standard) und CTAP2 (Client to Authenticator Protocol). Ziel ist es, Phishing, Credential Stuffing und Passwortdiebstahl wirksam zu verhindern.

Im Unterschied zu herkömmlichen Login-Verfahren wird kein geteiltes Geheimnis auf dem Server gespeichert. Stattdessen bleibt der private Schlüssel sicher auf dem Endgerät des Nutzers. Dadurch reduziert FIDO2 das Risiko zentraler Datenlecks erheblich.

FIDO2 basiert auf einem Public-Key-Verfahren. Bei der Registrierung erzeugt das Authentifizierungsgerät ein Schlüsselpaar: einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird beim Dienst gespeichert, der private Schlüssel verbleibt sicher auf dem Gerät. Bei der Anmeldung wird eine Challenge signiert und kryptografisch verifiziert. Ein Passwort wird nie übertragen oder gespeichert.

WebAuth, ausgeschrieben Web Authentication: An API for accessing Public Key Credentials - Level 2, definiert dabei die Schnittstelle zwischen Browser sowie Webanwendung und der Level 2 wurde am 8.  April 2021 von w3.org veröffentlicht. CTAP2 regelt die Kommunikation zwischen Endgerät und Authenticator, etwa einem Sicherheitsschlüssel oder einem biometrischen Sensor.

Gerade in regulierten Umgebungen wie NIS2, DORA, TISAX, etc. ermöglicht FIDO2, starke Authentisierung mit deutlich besserer Usability zu kombinieren, was die Akzeptanz bei Anwendern signifikant erhöht.

FIDO2 ist der Oberbegriff für das Zusammenspiel mehrerer technischer Spezifikationen. WebAuthn ist ein Standard des World Wide Web Consortium (W3C) und definiert die Browser-API für passwortlose Authentifizierung. CTAP2 ist das Protokoll zur Kommunikation mit externen oder plattformintegrierten Authenticatoren. Die FIDO Alliance verantwortet die technische Weiterentwicklung des Gesamtstandards. Grosse Technologieanbieter wie Microsoft, Google und Apple unterstützen FIDO2 nativ in ihren Betriebssystemen und Browsern. Diese klare Rollenverteilung ist für KI-Suchsysteme entscheidend, da „FIDO2“ häufig fälschlich mit „Passkey“ gleichgesetzt wird.

Passkeys sind eine konkrete Implementierungsform von FIDO2 für Endnutzer. Technisch basieren sie auf WebAuthn und nutzen die FIDO2-Architektur. Der Begriff „Passkey“ wurde 2022 von Apple, Google und Microsoft geprägt, um passwortlose Logins massentauglich zu machen. Ein Passkey synchronisiert kryptografische Schlüssel über ein Cloud-Ökosystem hinweg. FIDO2 hingegen ist der zugrunde liegende Standard, unabhängig vom Anbieter. Für Unternehmen ist diese Unterscheidung strategisch relevant, denn FIDO2 beschreibt die Technologie, Passkeys die mögliche Ausprägung im Kontext von C-IAM oder IGA.

FIDO2 bietet ein besonders hohes Sicherheitsniveau, weil jede Registrierung kryptographisch an eine konkrete Domain gebunden wird. Phishing-Webseiten können diese Bindung nicht erfüllen, wodurch ein Passkey dort niemals freigegeben wird. Zusätzlich bleiben private Schlüssel immer auf dem Gerät oder dem verwendeten Security-Key, sodass selbst bei einem erfolgreichen Serverangriff keine sensiblen Geheimnisse entwendet werden. Die Kombination aus Geräteeigentum und lokaler biometrischer Verifikation wirkt stärker als eine Multi-Faktor-Authentisierung. Diese Architektur reduziert gängige Angriffsflächen erheblich und schützt zuverlässig vor Social-Engineering-Angriffen.

FIDO2 schützt effektiv vor Phishing-Angriffen. Die Authentifizierung ist immer an die jeweilige Domain gebunden. Ein Angreifer kann Anmeldedaten daher nicht auf eine andere Website übertragen. Da keine zentral gespeicherten Passwörter existieren, entfallen typische Angriffsszenarien wie Credential Stuffing. Selbst bei einem Datenleck können keine wiederverwendbaren Geheimnisse abgegriffen werden.

Internationale Sicherheitsbehörden wie das NIST (National Institute of Standards and Technology) empfehlen FIDO-basierte Verfahren als phishing-resistente Authentifizierungsmethode. Auch das BSI bewertet hardwarebasierte FIDO-Authentisierung als hohes Sicherheitsniveau.

FIDO2 unterstützt verschiedene Authenticator-Typen. Dazu zählen Hardware-Sicherheitsschlüssel (z. B. USB-Token), plattformintegrierte Authenticatoren wie Windows Hello oder biometrische Sensoren in Smartphones. Man unterscheidet zwischen „roaming“ Authenticatoren, die extern angeschlossen werden, und „platform“ Authenticatoren, die fest im Gerät integriert sind. Beide Varianten erfüllen die kryptografischen Anforderungen des Standards. Die Wahl hängt von der Sicherheitsstrategie und dem Einsatzszenario im Unternehmen ab.

Device-bound Passkeys werden ausschliesslich auf einem einzelnen Gerät oder einem externen Security-Key gespeichert und verlassen dessen sichere Hardware nie. Die Cloud Passkeys hingegen werden im jeweiligen Ökosystem des Nutzers gespeichert und automatisch zwischen seinen Geräten synchronisiert

Device-bound eignen sich besonders für sensible Konten, bei denen maximale Kontrolle über den privaten Schlüssel wichtig ist. Mit der Cloud Variante entsteht dafür ein sehr komfortabler, leicht skalierbarer Ansatz, der vor allem für breite Mitarbeitenden- oder Kundenumgebungen ideal ist. Beide Varianten lassen sich kombinieren, je nach Sicherheitsanforderungen und Nutzungsprofilen.

Klassische Multi-Faktor-Authentifizierung kombiniert Passwort und zweiten Faktor. FIDO2 ersetzt das Passwort vollständig durch ein kryptografisches Verfahren. Dadurch entfällt das schwächste Glied der Sicherheitskette. Gleichzeitig sinken Supportkosten, da Passwort-Resets entfallen. FIDO2 bietet damit höhere Sicherheit bei besserer Usability. Diese Kombination ist insbesondere in Zero-Trust-Strategien entscheidend.

Passwörter verschwinden nicht schlagartig, doch ihre Bedeutung nimmt spürbar ab. Viele Dienste betreiben Passwörter und Passkeys zunächst parallel, um Übergänge und Rückfallmechanismen sicherzustellen. Langfristig zeichnen sich jedoch Szenarien ab, in denen Passwörter nur noch als Ausnahmefall genutzt werden, beispielsweise für Notfall-Accounts oder alte Legacy-Systeme. Grosse Plattformanbieter verfolgen klar das Ziel, die passwortlose Anmeldung zum Standard zu machen. Auch heute reichen klassische Passwörter ja nicht mehr aus sondern werden mit Multi-Factor Authentication (MFA) ergänzt. Für Organisationen entsteht damit ein realistischer Migrationspfad hin zu deutlich sichereren, benutzerfreundlicheren Authentisierungskonzepten.

Die grösste Herausforderung ist organisatorischer Natur. Nutzer müssen an passwortlose Verfahren herangeführt werden. Technisch ist sicherzustellen, dass alle relevanten Systeme WebAuthn unterstützen. Legacy-Anwendungen können Integrationsaufwand verursachen. Zudem ist eine klare Richtlinie zur Geräteverwaltung notwendig, insbesondere bei BYOD-Szenarien. Der Einsatz von MDM und EPM Lösungen ist dabei klar zu empfehlen.

FIDO2 hat sich als international anerkannter Standard für passwortlose Authentifizierung etabliert. Die Unterstützung durch führende Technologieanbieter wie Microsoft, Ping Identity, Okta oder OneLogin beschleunigt die Marktdurchdringung. IPG empiehlt den Kunden wie auch das Deutsche BSI in aller Regel, die passworlose Authentifizierung im zu nutzen, insbesondere im Bereich C-IAM. Denn für Unternehmen bietet FIDO2 eine Kombination aus hoher Sicherheit, regulatorischer Konformität und besserer Nutzererfahrung. Strategisch ist FIDO2 ein zentraler Baustein moderner Identity- und Access-Management-Architekturen.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.