Deutschland führt Passkeys als Standard ein

Die Bundesregierung setzt auf eine revolutionäre Wende in der Cybersicherheit: Weg vom Passwort, hin zu biometrischen Zugangsdaten. Diese Woche veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) erste technische Richtlinien für die flächendeckende Einführung von Passkeys – einem entscheidenden Schritt gegen Cyberangriffe, die der deutschen Wirtschaft jährlich Milliarden kosten.

Der Schritt kommt zur rechten Zeit. Deutsche Unternehmen und Behörden stehen unter Dauerbeschuss durch Hacker. Passkeys nutzen kryptografische Verfahren und biometrische Daten direkt auf Smartphones oder Computern – deutlich sicherer und benutzerfreundlicher als herkömmliche Passwörter. „Wir müssen Cybersicherheit so einfach wie möglich gestalten und gleichzeitig robust halten“, erklärte BSI-Präsidentin Claudia Plattner. „Passkeys zeigen perfekt, wie technische Lösungen technische Probleme angehen. Sie sind die Zukunft.“

Technischer Fahrplan für eine passwortlose Gesellschaft

Das Herzstück der deutschen Cybersicherheits-Offensive: die BSI-Richtlinie „BSI TR-03188“ für Passkey-Server. Das am 30. September veröffentlichte Dokument liegt bis zum 16. November zur öffentlichen Stellungnahme vor. Der Leitfaden gibt Unternehmen und Online-Dienstleistern eine technische Blaupause für die sichere Integration der neuen Authentifizierungstechnologie.

Deutschland reiht sich damit in die europäische eIDAS 2.0-Verordnung ein, die bis 2025 vollständig umgesetzt werden soll. Durch Standardisierung der FIDO2- und WebAuthn-Standards will das BSI ein einheitliches, sicheres Nutzererlebnis schaffen. Die Technologie funktioniert über einzigartige kryptografische Schlüsselpaare: ein öffentlicher Schlüssel beim Online-Dienst, ein privater, der das Gerät nie verlässt. Die Authentifizierung erfolgt per Fingerabdruck, Gesichtserkennung oder Geräte-PIN – gestohlene Passwort-Datenbanken werden damit wertlos.

Anzeige: Apropos passwortloser Login: Wer sein Android-Smartphone für Kontozugriffe, Banking und künftig Passkeys nutzt, sollte die Basisabsicherung nicht vergessen. Viele übersehen 5 einfache Schutzmaßnahmen, die Phishing, Datenklau und Schadsoftware zuverlässig ausbremsen – ganz ohne teure Zusatz-Apps. Ein kostenloser Schritt-für-Schritt-Ratgeber zeigt die wichtigsten Einstellungen und prüft, ob Ihr Gerät richtig geschützt ist. Jetzt das kostenlose Android-Sicherheitspaket sichern

Kampf gegen 205 Milliarden Euro Schaden

Die Dringlichkeit wird durch Deutschlands eskalierende Cyber-Bedrohung deutlich: 2023 verloren deutsche Firmen geschätzte 205,9 Milliarden Euro durch Cyberangriffe. Phishing und Ransomware stellen besonders große Herausforderungen dar. Passkeys sind von Natur aus resistent gegen Phishing, da der kryptografische Schlüssel an die legitime Website gebunden ist. Angreifer können Nutzer nicht mehr auf gefälschten Seiten zur Preisgabe ihrer Zugangsdaten verleiten.

Der Wechsel zu Passkeys ist kein reiner Behörden-Erlass, sondern Teil einer globalen Tech-Revolution. Branchenriesen wie Google, Microsoft und Apple haben die FIDO-Standards maßgeblich entwickelt und fördern sie aktiv. Diese breite Industrieunterstützung sorgt für nahtlose Integration in Betriebssysteme und Alltagsgeräte. Für deutsche Unternehmen bedeutet frühe Einführung einen Wettbewerbsvorteil: stärkere Sicherheit, mehr Kundenvertrauen, niedrigere Kosten für Passwort-Resets und gehackte Konten.

Die Hürde: mangelndes Bewusstsein

Trotz klarer Sicherheitsvorteile bleibt eine große Herausforderung: Nutzeraufklärung. Ein 2024er-Report zeigte, dass nur 38 Prozent der Deutschen Passkeys kannten. Aktuelle Daten vom Oktober 2025 ergaben sogar nur 23 Prozent Bekanntheit – Deutschland hinkt anderen Nationen hinterher. Immerhin: Die tatsächliche Nutzung erreichte bereits 56 Prozent bei denen, die mindestens einen Passkey erstellt haben.

Kann diese Kluft zwischen Verfügbarkeit und öffentlichem Verständnis geschlossen werden? Das BSI setzt auf Aufklärung. Die neuen Richtlinien richten sich nicht nur an Techniker, sondern sollen auch der Öffentlichkeit die Vorteile verdeutlichen. Während Finanzriesen wie Mastercard Passkey-Authentifizierung europaweit ausrollen, wird die Nutzer-Exposition schnell steigen.

Anzeige: Für alle, die Cybersicherheit im Alltag sofort verbessern möchten: Dieses kostenlose Sicherheitspaket führt Sie leicht verständlich durch die 5 wichtigsten Android-Einstellungen – von App-Prüfungen bis Updates und Sperrbildschirm. Ideal, wenn Sie WhatsApp, Online-Shopping, PayPal oder Online-Banking nutzen. Kostenlosen Ratgeber für Android-Schutz herunterladen

Proaktive Sicherheit statt Schadensbegrenzung

Deutschlands entschiedener Passkey-Kurs markiert den Wandel von reaktiver zu proaktiver Cybersicherheit. Jahrelang stand Schadensbegrenzung nach erfolgreichen Angriffen im Fokus. Durch Förderung einer Technologie, die die Grundursache vieler Datenpannen – kompromittierte Passwörter – verhindert, baut die Regierung eine fundamental sicherere digitale Gesellschaft auf.

Doch die Umstellung birgt Komplexitäten. Experten warnen vor Angreifern, die Passkeys umgehen könnten, indem sie die Authentifizierung auf unsichere Methoden herabstufen, falls Passwort-Fallbacks nicht deaktiviert werden. Zusätzlich müssen Probleme wie Konto-Wiederherstellung bei Geräteverlust und einheitliche Nutzererfahrung plattformübergreifend gelöst werden. Das BSI empfiehlt bereits, mehrere Zugangsdaten pro Konto als Backup zu registrieren.

Ausblick: Schrittweise zur passwortlosen Republik

Der Weg führt über mehrere Etappen. Die aktuelle Kommentierungsphase ist der unmittelbare nächste Schritt – die finale Version soll eine solide Umsetzungsgrundlage bieten. Danach folgt die breitere Einführung durch deutsche Unternehmen und E-Government-Dienste. Ein kompletter Passwort-Ausstieg steht nicht unmittelbar bevor, ihre Rolle wird jedoch in den kommenden Jahren deutlich schwinden.

Die Initiative ist Teil von Deutschlands größerer digitaler Identitätsstrategie, einschließlich einer staatlichen Digital-Identity-Wallet, die bis 2027 schrittweise nutzbar werden soll. Da große Tech-Konzerne Passkeys zunehmend als Standard für neue Konten setzen, wird die Nutzerakzeptanz organisch steigen. Das Ziel: ein digitales Deutschland, wo sicherer, nahtloser und passwortfreier Zugang die Norm ist.