Wo Sicherheit auf Einfachheit trifft

Die kennwortlose Authentifizierung definiert die Identitätsprüfung neu. Anstatt sich auf ein Kennwort zu verlassen, authentifizieren sich Benutzer mit kryptografischen Schlüsseln, biometrischen Daten oder einem vertrauenswürdigen Gerät, das mit der Website oder App verbunden ist, bei der sie sich registriert haben. Das Ergebnis ist eine höhere Sicherheit und eine schnellere, einfachere Anmeldung, was für Unternehmen, die Daten schützen, Betrug reduzieren und moderne Customer Journeys bieten wollen, unerlässlich ist.

Herkömmliche Kennwörter verursachen Reibungsverluste und Risiken: Sie werden vergessen, wiederverwendet, sind anfällig für Phishing und verursachen hohe Supportkosten. In einer Mobile-First-Welt, in der die Aufmerksamkeitsspanne kurz ist, kann ein einziger fehlgeschlagener Anmeldeversuch dazu führen, dass ein Kauf abgebrochen wird. CIAM-Plattformen (Customer Identity and Access Management, Kundenidentitäts- und Zugriffsverwaltung) lösen dieses Problem, indem sie die kennwortlose Anmeldung über alle Kanäle hinweg koordinieren, Anmeldedaten an Geräte binden, Datenschutz und Einwilligungen durchsetzen und Analysen zur Optimierung jeder Interaktion bereitstellen.

Kurz gesagt, die kennwortlose Authentifizierung vereint Sicherheit mit Benutzerfreundlichkeit. Und CIAM sorgt dafür, dass sie praktisch zu implementieren, zu verwalten und zu evaluieren ist.

Probleme bei herkömmlichen Kennwörtern

Kennwörter sind seit Jahrzehnten der Standardsicherheitsmechanismus, aber in der heutigen digitalen Landschaft stoßen sie immer stärker an ihre Grenzen. Von zunehmenden Cyberangriffen bis hin zur schlechten Benutzererfahrung – die Einschränkungen von Kennwörtern stellen Unternehmen und Kunden gleichermaßen vor mehrere große Herausforderungen. Hier sind die wichtigsten Probleme:

1. Sicherheitsrisiken sind das Kernproblem bei Kennwörtern. Weil Benutzer häufig dieselben Anmeldedaten für verschiedene Services verwenden, kann eine einzige Sicherheitsverletzung zu einer Kettenreaktion von Credential-Stuffing-Angriffen an anderen Stellen führen. Phishing-Kits und Man-in-the-Middle-Angriffe ahmen Anmeldeseiten nach und verleiten Benutzer dazu, sowohl Kennwörter als auch Codes preiszugeben, wodurch statische Sicherheitsinformationen zu Einstiegspunkten für die Übernahme von Konten werden. Selbst strenge Kennwortrichtlinien stoßen hier an Grenzen, da gemeinsame Geheimnisse (Shared Secrets) per Definition gemeinsam genutzt werden können.
2. Die Betriebskosten sind eine weitere Belastung. Das Zurücksetzen von Kennwörtern macht einen großen Teil der Helpdesk-Tickets aus. Jede Interaktion kostet Personalzeit, verzögert den Zugriff und erhöht die Gesamtkosten für den Support. Für viele Unternehmen sind die versteckten Kosten von Kennwörtern ein Produktivitätshemmnis und eine verpasste Chance für wertschöpfendere Tätigkeiten.
3. Letztendlich leidet darunter auch die Benutzererfahrung. Komplexe Regeln (Länge, Symbole, Änderungen) und häufige Zurücksetzung frustrieren die Kunden. Auf Mobilgeräten ist die Eingabe langer Kennwörter umständlich – insbesondere beim Bezahlen oder Anmelden für Streamingdienste –, sodass die Abbruchrate steigt. Da digitale Unternehmen in puncto Benutzerfreundlichkeit miteinander im Wettbewerb stehen, ist eine Kennwortabfrage häufig der Moment, in dem ein Kunde den Abbruch erwägt.

Diese Probleme verdeutlichen, warum Unternehmen ihre Authentifizierungsstrategien überdenken. Angesichts zunehmender Bedrohungen und steigender Komfortansprüche der Kunden bietet die kennwortlose Authentifizierung einen Weg zu mehr Sicherheit und einer besseren Benutzererfahrung.

Arten der kennwortlosen Authentifizierung

Die kennwortlose Authentifizierung ist keine einzelne Technologie, sondern eine Reihe sich ergänzender Methoden, die Unternehmen je nach Risiko, Kanal und Kundenpräferenz kombinieren können. Jede der folgenden Methoden hat ihre eigenen Vorteile und Besonderheiten:

Passkeys (FIDO2-Authentifizierung/WebAuthn)
Passkeys verwenden kryptografische Schlüsselpaare, die auf dem Gerät eines Benutzers gespeichert werden. Der private Schlüssel bleibt immer auf dem Gerät, und die Anmeldung erfolgt über biometrische Daten oder eine lokale PIN. Passkeys sind Phishing-resistent und werden von modernen Plattformen größtenteils unterstützt.

Biometrie
Fingerabdruck- und Gesichtserkennung überprüfen die Identität lokal auf dem Gerät. Templates bleiben auf dem Gerät gespeichert, wodurch die Privatsphäre gewährleistet ist und gleichzeitig eine schnelle, intuitive Benutzererfahrung geboten wird.

Magic Links
Ein einmaliger Link, der per E-Mail oder SMS versendet wird, ermöglicht es dem Benutzer, sich ohne Kennwort anzumelden. Diese Methode ist einfach, eignet sich jedoch aufgrund ihrer Abhängigkeit von der E-Mail-Sicherheit am besten für Szenarien mit geringem Risiko.

Einmalkennwörter (One-Time Passwords, OTP)
Numerische Codes, die per SMS, E-Mail oder Authentifizierungs-Apps übermittelt werden, ersetzen statische Kennwörter. App-basierte OTPs bieten eine höhere Sicherheit als eine SMS oder E-Mail.

Push-Benachrichtigungen
Eine mobile App sendet eine Genehmigungsanfrage, über die der Benutzer die Anmeldung bestätigen kann. Zu den erweiterten Implementierungen gehören ein Nummernabgleich und Geolokalisierungsprüfungen, um Missbrauch zu verhindern.

Gerätebasierte Authentifizierung
Ein registriertes Gerät fungiert als primärer Faktor, oft in Kombination mit einer biometrischen Überprüfung. Diese Methode ist in Unternehmensumgebungen üblich, in denen Geräte als vertrauenswürdig eingestuft wurden.

Zusammen bieten diese Methoden Unternehmen die Flexibilität, Sicherheit, Komfort und Benutzerfreundlichkeit in Einklang zu bringen. Dadurch lässt sich die kennwortlose Authentifizierung auf die unterschiedlichsten Anforderungen und Risikoprofile zuschneiden.

Die Vorteile der Umstellung auf kennwortlose Verfahren

Die Vorteile der kennwortlosen Authentifizierung liegen nicht nur in der Sicherheit, sondern gehen darüber hinaus. Hier sind einige Gründe, warum Unternehmen zunehmend auf diese Authentifizierungsmethode umsteigen:

Sicherheit
Die kennwortlose Anmeldung macht Shared Secrets überflüssig – und damit genau das, was Angreifer durch Phishing, Brute-Force-Angriffe oder Credential Stuffing auszuspähen versuchen. Die Public-Key-Kryptografie stellt sicher, dass private Schlüssel immer auf den Geräten verbleiben, und die Ursprungsbindung verhindert, dass Angreifer Anmeldedaten auf ähnlich aussehenden Domains abgreifen können. Das Ergebnis: seltenere erfolgreiche Phishing-Versuche, weniger Diebstahl von Zugangsdaten und eine geringere Angriffsfläche für Kontoübernahmen.

Benutzererfahrung
Durch den Wegfall des Kennwortfelds reduzieren Unternehmen Reibungsverluste in den Momenten, in denen es darauf ankommt: beim ersten Besuch, beim Bezahlvorgang und bei der erneuten Anmeldung. Ein Passkey oder biometrisches Entsperren ist schneller als das Eintippen, seltenere Resets bedeuten weniger Kundenabwanderungen, und konsistente Erfahrungen auf Mobilgeräten und Desktops führen zu höheren Konversionsraten und wiederholten Interaktionen.

Compliance
Eine starke Authentifizierung ist eine häufig wiederkehrende Anforderung in Datenschutzbestimmungen und Sicherheitsrahmenwerken. Kennwortlose Anmeldemethoden unterstützen regionale Vorschriften (wie Einwilligungserfassung, Datenminimierung und überprüfbare Protokolle). Zudem erleichtern sie die kanalübergreifende Durchsetzung risikobasierter Richtlinien mittels CIAM.

Einführungstrends und Branchenfaktoren
Mobile-First-Nutzung, Plattformunterstützung für Passkeys und Zero-Trust-Initiativen in Unternehmen lassen die kennwortlose Anmeldung zum Standard werden. Kunden erwarten zunehmend biometrische und gerätebasierte Anmeldungen, und Unternehmen verzeichnen messbare Einsparungen bei Supportkosten und Betrugsfällen.

So funktioniert die kennwortlose Authentifizierung

Die Implementierungen variieren zwar, aber der Ablauf folgt diesem gemeinsamen Muster:

1. Registrierung (Erstellung von Anmeldedaten)
   Der Service fordert das Gerät auf, ein öffentliches/privates Schlüsselpaar (Passkey) zu erstellen oder einen Faktor (biometrisches Merkmal, Push-Benachrichtigung, OTP) zu registrieren. Die CIAM-Plattform zeichnet den öffentlichen Schlüssel, die Gerätebindung oder die Metadaten des Übertragungskanals auf und verknüpft diese mit dem Kundenprofil.
2. Authentifizierung (Challenge-Response)
   Bei der Anmeldung sendet der Service eine kryptografische Challenge. Das Gerät signiert die Challenge mit dem privaten Schlüssel (oder validiert ein biometrisches Merkmal oder akzeptiert eine Push-Benachrichtigung bzw. ein OTP). Die CIAM-Plattform überprüft die Antwort, bewertet Risikosignale (Gerätezustand, IP-Reputation, Geschwindigkeit) und bestätigt den Kunden.
3. Token-Ausstellung und Sitzung
   Nach erfolgreicher Verifizierung stellt CIAM OIDC-/OAuth-Token für die Anwendung aus. Richtlinien legen Sitzungsdauer, Step-up-Auslöser und von der App erhaltene Ansprüche fest (z. B. Kunden-ID oder Einwilligungsumfang).

Die Endbenutzererfahrung variiert ebenfalls je nach Methode:

• Passkeys: Der Benutzer sieht die betriebssystemeigene Eingabeaufforderung (FaceID/TouchID) und schließt die Anmeldung mit einer einzigen Handlung ab.

• Magic Link: Der Benutzer klickt auf einen Link im Posteingang, und der Browser kehrt zur Website zurück, nun authentifiziert.

• Push: Der Benutzer bestätigt eine Aufforderung in einer vertrauenswürdigen App, und die Website schließt die Anmeldung sofort ab.

• OTP: Der Benutzer gibt einen kurzen Code ein, der von CIAM überprüft wird.

Grundlagen der Architektur

Die kennwortlose Authentifizierung basiert auf einer einfachen Idee: Benutzer weisen ihre Identität über ein vertrauenswürdiges Gerät oder sichere Anmeldeinformationen anstelle eines Kennworts nach. Das Gerät des Benutzers verfügt über einen einzigartigen, sicheren Schlüssel oder eine Verifizierungsmethode – wie einen Passkey, biometrische Daten oder einen Einmalcode –, sodass sich der Benutzer nichts mehr merken muss. Wenn der Benutzer versucht, sich anzumelden, leitet die Anwendung die Anfrage an einen Identitätsanbieter (CIAM) weiter, der überprüft, ob das Gerät und die Anmeldeinformationen mit den für diesen Benutzer registrierten Daten übereinstimmen. Ist die Verifizierung erfolgreich, wird der Benutzer angemeldet – ohne dass ein Kennwort erforderlich ist.

Hinter den Kulissen verbindet diese Architektur drei Elemente miteinander:

1. Benutzergerät und Authentifikator: Speichert den privaten Schlüssel, überprüft biometrische Daten oder empfängt Push-/OTP-Nachrichten.
2. Identitätsanbieter (CIAM): Validiert die Authentifizierung, bewertet Risiken, setzt Einwilligungen und regionale Richtlinien durch und stellt Token aus.
3. Anwendung: Verwendet Identitäts-Token, wendet Autorisierungen an und schließt die Geschäftstransaktion ab (Browsing, Kauf, Konto verwalten).

Diese Architektur trennt die verschiedenen Aspekte voneinander und ermöglicht so Skalierbarkeit und Konsistenz. CIAM fungiert als Koordinator, standardisiert die Anmeldung über alle Kanäle hinweg, verwaltet Einwilligungen und stellt Analysen bereit, um Reibungsverluste zu reduzieren und Missbrauch zu verhindern.

Wichtige Überlegungen zur Umsetzung

Die Einführung der kennwortlosen Authentifizierung erfordert Planung. Hier sind einige Schritte, mit denen Sie den Prozess vereinfachen können:

Skalierbarkeit und Abdeckung analysieren
Beginnen Sie mit der Zuordnung von Kundensegmenten, Geräten und Kanälen. Stellen Sie die Passkey-Unterstützung in allen gängigen Browsern und mobilen Plattformen sicher und integrieren Sie Roaming-Keys oder App-basierte OTPs für Sonderfälle. Für globale Zielgruppen sollten Sie die Lokalisierung und Barrierefreiheit in Eingabeaufforderungen (z. B. biometrische UI-Anleitungen) überprüfen.

Sicherheitsstandards und Best Practices implementieren
Verwenden Sie FIDO2-Authentifizierung/WebAuthn für Szenarien mit hohen Sicherheitsanforderungen und passen Sie Wiederherstellungs- und Step-up-Abläufe an Ihr Risikomodell an. Arbeiten Sie gegebenenfalls mit Ursprungsbindung, Challenge-Freshness und Geräteattestierung. Begrenzen Sie OTP- und Push-Faktoren und ergänzen Sie einen Nummernabgleich, um unbeabsichtigte Genehmigungen zu verhindern.

Balance zwischen Komfort und Sicherheit anstreben
Risikobasierter Ansatz: Verwenden Sie standardmäßig Passkeys für normales Verhalten und erhöhen Sie die Sicherheit bei Risikosignalen (neues Gerät, ungewöhnlicher Standort, risikoreiche Aktion) durch einen zusätzlichen Faktor. Stellen Sie klare, kurze Texte bereit, sodass Kunden verstehen, warum eine Überprüfung stattfindet und wie sie diese schnell abschließen können.

Rollout-Strategie skalieren
Testen Sie die kennwortlose Anmeldung zunächst an besonders wichtigen Vorgängen (Kasse, Kontozugriff) oder besonders gefährdeten Personengruppen (Administratoren, VIPs). Messen Sie die Erfolgsquote bei der Anmeldung, die Abbruchrate, die Zeit bis zur Authentifizierung und die Zahl der Support-Tickets. Iterieren Sie UI-Kopien und Fallback-Optionen und weiten Sie das Verfahren dann auf eine breitere Zielgruppe aus.

Wiederherstellung und Lebenszyklus berücksichtigen
Planen Sie für den Fall eines Geräteverlusts oder ‑austauschs. Halten Sie Kunden an, mehrere Authentifikatoren zu registrieren (z. B. Telefon + Laptop + Roaming-Schlüssel). Bei sensiblen Konten kombinieren Sie eine robuste Identitätsprüfung mit temporären Zugangspässen, die ablaufen und eine erneute Bindung eines neuen Passkeys erfordern.

Bewältigung der Herausforderungen der kennwortlosen Authentifizierung

Selbst die vielversprechendsten Innovationen sind nicht frei von Hindernissen. Die kennwortlose Authentifizierung bildet da keine Ausnahme. Zu den häufigsten Herausforderungen gehören:

• Geräteverlust oder ‑ersatz: Die Wiederherstellungsprozesse müssen sicher und dennoch einfach sein und die Benutzer dabei unterstützen, neue Geräte zu binden, ohne Schwachstellen zu schaffen.

• Uneinheitliche Geräteunterstützung: Nicht alle Benutzer verfügen über Hardware, die Biometrie oder Passkeys unterstützt. Gestaffelte Optionen gewährleisten Teilhabe, ohne auf Kennwörter zurückgreifen zu müssen.

• Benutzergewohnheiten: Kunden, die an Kennwörter gewöhnt sind, könnten zurückhaltend sein. Ein übersichtliches UI-Design und kontextbezogene Hilfe schaffen Vertrauen.

• Altsysteme: Ältere Anwendungen entsprechen möglicherweise nicht den modernen Standards. Föderations- oder inkrementelle Migrationsstrategien können diese Lücke schließen.

• Datenschutz und Compliance: Auch wenn biometrische Daten auf dem Gerät verbleiben, müssen Unternehmen klare Richtlinien ausgeben und die Zustimmung einholen.

• Umsetzungsaufwand: Erfolgreiche Implementierungen erfordern die Zusammenarbeit von Sicherheits-, Produkt-, UX- und Supportteams.

Die Wahl des richtigen Partners

Die Auswahl einer Lösung ist eine strategische Entscheidung. Achten Sie auf folgende Punkte:

• Unterstützung für mehrere kennwortlose Methoden, darunter Passkeys und Biometrie

• Integration von Multi-Faktor-Authentifizierung (MFA), Single Sign-On (SSO) und Identitätsplattformen

• Analysen zur Überwachung des Authentifizierungserfolgs und zur Aufdeckung von Betrug

• Entwicklerfreundliche APIs und Software Development Kits (SDKs) für eine schnelle Implementierung

• Integriertes Einwilligungs- und Datenschutzmanagement zur Erfüllung gesetzlicher Anforderungen

Die Zukunft der kennwortlosen Authentifizierung

Die kennwortlose Authentifizierung entwickelt sich rasant weiter. Passkeys und FIDO2-Authentifizierungsstandards werden zur Norm und von den wichtigsten Plattformen unterstützt. Dezentrale Identitätsmodelle versprechen mehr Kontrolle für die Benutzer und eine bessere Übertragbarkeit von Anmeldeinformationen. Die adaptive Authentifizierung ist auf dem Vormarsch. Sie nutzt risikobasierte Signale, um die Sicherheit dynamisch anzupassen, ohne unnötige Reibungsverluste zu verursachen.

Unternehmen, die diese Trends aufgreifen, sind besser in der Lage, sichere, benutzerorientierte Erfahrungen zu bieten und die Compliance in einer zunehmend komplexen digitalen Landschaft aufrechtzuerhalten.

FAQs