Zertifikatsbasierte Authentifizierung: Sicherheit für Unternehmensdaten

Passwortlose Authentifizierung PKI macht Schluss mit Passwörtern

20.06.2025 Ein Gastbeitrag von Matthias Kess 4 min Lesedauer

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Wer beim Zugriff auf Unternehmensdaten keine Kompromisse eingehen will, braucht mehr als SMS-Codes und Passwortregeln. Eine zertifikatsbasierte Authentifizierung – etwa mittels Public Key Infrastructure (PKI) – bietet eine sichere, passwortfreie Alternative. PKI verbindet höchste Sicherheit bei zugleich effizientem Handling und das ganz ohne Passwortstress.

Mittels eines privaten Schlüssels auf einem sicheren Token kann die Authentifizierung eines Benutzers passwortfei erfolgen.(Bild: Pointsharp) — Mittels eines privaten Schlüssels auf einem sicheren Token kann die Authentifizierung eines Benutzers passwortfei erfolgen.
(Bild: Pointsharp)

Der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeichnet ein klares Bild: Die Bedrohungslage für Unternehmen, Behörden und kritische Infrastrukturen in Deutschland, Österreich und der Schweiz spitzt sich zu. Cyberkriminelle nutzen gezielt Schwachstellen, um Systeme lahmzulegen oder Daten zu stehlen. Sicherheitsvorkehrungen auf hohem Niveau sind deshalb unverzichtbar. Gesetzliche Regularien wie NIS2 oder DORA fordern ebenfalls die Einhaltung höchster Sicherheitsstandards. Die Erfüllung von Mindestanforderungen wie Passwortregelungen oder einfache Zwei-Faktor-Verfahren reichen längst nicht mehr aus. Die Richtung ist klar: weg vom Passwort, hin zur zertifikatsbasierten Authentifizierung.

Vor allem kleine und mittelständische Unternehmen und Behörden werden vermehrt Opfer von Cyberattacken. (Bild: Dall-E / KI-generiert)

Wie Zertifikate die Passwörter ersetzen

Passwörter sind angreifbar – selbst dann, wenn sie komplex sind. Phishing, Brute-Force-Attacken oder Credential Stuffing hebeln viele Sicherheitsvorkehrungen aus. Sogar bei Multifaktor-Authentifizierungsverfahren bestehen Risiken, etwa bei der Nutzung von SMS-TANs oder statischen Einmalpasswörtern. Die Lösung: eine Public-Key-Infrastruktur (PKI). Sie ermöglicht es, Nutzer eindeutig zu identifizieren, Daten zu verschlüsseln und digitale Signaturen zu erstellen.

Das funktioniert ähnlich wie mit einem Reisepass: Eine vertrauenswürdige Instanz (Zertifizierungsstelle) stellt ein digitales Zertifikat aus, das der Nutzer bei jeder Anmeldung vorzeigt. Das System überprüft es automatisch auf Gültigkeit und Echtheit. Statt ein Passwort einzugeben, kann ein Nutzer seine Identität über dieses zertifikatsbasierte Verfahren bestätigen. Die Vorteile liegen auf der Hand: Kein Vergessen oder Zurücksetzen von Passwörtern mehr, keine Angriffsfläche für den Diebstahl digitaler Zugangsdaten.

Schwache Passwörter sind oft der Einstiegspunkt für Cyberangriffe. (Bild: vinnstock - stock.adobe.com)

So funktioniert das PKI-Prinzip

Zentrales Element der Public-Key-Infrastruktur ist ein kryptografisches Schlüsselpaar. Der Nutzer generiert es einmalig: Während eine Certificate Authority (CA) den öffentlichen Teil zertifiziert, verbleibt der private ausschließlich im Besitz des Nutzers, zum Beispiel auf einem physischen Token. Nur wer über den privaten Schlüssel verfügt, kann sich erfolgreich authentifizieren. Allein mit dem öffentlichen Schlüssel ist kein Zugriff auf das Gerät oder System möglich. Und der private Schlüssel lässt sich selbst mit einem Brute-Force-Angriff, also dem Ausprobieren aller Möglichkeiten, nicht ermitteln. Selbst Quantencomputer dürften hier kein Risiko darstellen, da sich bereits neue kryptografische Verfahren, die gegen deren Rechenleistung gewappnet sind, in der Standardisierung befinden.

HPI hat die Top-Ten der geleakten Passwörter ausgewertet. Die Analyse zeigt, dass Internetnutzer nicht kreativer bei der Passwortwahl werden – selbst, wenn Online-Dienste die Anforderungen für Passwörter verschärfen. (Bild: HPI Hasso-Plattner-Institut)

Die zertifikatsbasierte Authentifizierung und ihre Vorteile

Zertifikatsbasierte Authentifizierung bringt nicht nur Sicherheit, sondern vereinfacht auch den IT-Alltag auf mehreren Ebenen. Zu den Vorteilen gehören:

Eine einheitliche, zentral gesteuerte Benutzerverwaltung, einfach skalierbar

Kein Risiko durch gestohlene oder schwache Passwörter

Geringere Support-Last durch Wegfall von Passwort-Resets

Höhere Produktivität durch reibungslosen Zugang

Langfristige Kostenreduktion durch effizientere Prozesse

Erleichterte Einhaltung regulatorischer Anforderungen

Der Nutzen der zertifikatsbasierten Authentifizierung ist groß, das PKI-Management allerdings komplex. Vor allem in großen Organisationen erfordert die Pflege von Zertifikaten und Tokens klare Prozesse.

Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)

PKI-Management: So gelingt es

Auch eine starke Sicherheitslösung wie PKI bringt operative Herausforderungen mit sich, die durch passende Strategien jedoch gut beherrschbar sind. Folgende Aspekte gilt es zu berücksichtigen:

1. Identitäten und Zertifikate im Griff behalten
Fehlt ein geregeltes Lifecycle-Management, droht Chaos: Ehemalige Mitarbeitende könnten weiterhin über aktive Zertifikate verfügen, neue Nutzer bleiben blockiert. Automatisierte Verwaltungsprozesse sorgen hier für Klarheit. Sie kümmern sich um Ausstellung, Verlängerung und Sperrung von Zertifikaten und entlasten gleichzeitig die IT-Abteilungen.

2. Managed PKI-Leistungen sparen Zeit und Geld
Nicht jedes Unternehmen hat die Ressourcen, um eine eigene PKI-Infrastruktur aufzubauen und zu betreiben. Hardware, Fachpersonal, Zertifizierungsstellen – all das kostet Zeit und Geld. Angebote wie PKI-as-a-Service stellen diese Funktionen als Cloud-Angebot bereit. Für Organisationen mit Cloud-Strategie ein pragmatischer und sicherer Weg.

3. Effiziente Abläufe durch Self-Services
Trotz des hohen Sicherheitsstandards kann es dazu kommen, dass Token verloren, PINs vergessen oder Smartcards beschädigt werden. Moderne Self-Service-Optionen erlauben Nutzenden, Zertifikate selbst zu erneuern oder PINs zurückzusetzen – ganz ohne Eingriff der IT. Das spart Aufwand und erhöht die Zufriedenheit.

4. Kryptoagilität = die Stabilität von morgen
Cyberangriffe entwickeln sich rasant weiter. Daher müssen PKI-Lösungen in der Lage sein, schnell auf neue kryptografische Standards zu reagieren. Diese sogenannte Kryptoagilität sorgt dafür, dass sich Zertifikate bei Bedarf automatisch an neue Verfahren anpassen lassen – ohne manuelle Migrationsprojekte.

Immer weniger Menschen setzen bei der Authentifizierung auf Passwörter. Stattdessen nutzen sie biometrische Verfahren wie Passkeys. (Bild: Dall-E / KI-generiert)

Ein gut organisiertes PKI-Management stärkt nicht nur die Sicherheitsstruktur, sondern entlastet zugleich die IT-Abteilungen spürbar. Es schafft die nötige Flexibilität, damit Unternehmen und Behörden auf neue technologische Entwicklungen zügig und kontrolliert reagieren können.

Fazit: Mit PKI auf Nummer sicher gehen

Die zertifikatsbasierte Authentifizierung bietet nicht nur ein Höchstmaß an Sicherheit, sondern reduziert auch den Verwaltungsaufwand und macht Organisationen zukunftsfähig. Wer sich für einen erfahrenen Anbieter mit Lifecycle-Management, Kryptoagilität und EU-basierter Infrastruktur entscheidet, kann Sicherheitsanforderungen effizient umsetzen und regulatorische Vorgaben souverän erfüllen.

Über den Autor: Matthias Kess ist Head of Product Management bei Pointsharp und verantwortet die Produktstrategie des Unternehmens. Er ist seit über 25 Jahren in der IT unterwegs, kennt das Thema IT-Sicherheit aus technischer und strategischer Perspektive und verantwortet die Weiterentwicklung kundenzentrierter Lösungen im Bereich Authentifizierung und Zugriffsmanagement.

(ID:50446144)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.