Während Passkeys sich immer stärker in sicherheitskritischen Bereichen wie dem Zahlungsverkehr durchsetzen, kommt biometrischen Verfahren in der Unternehmenssicherheit eine zunehmend größere Bedeutung zu. Dieser Wandel könnte zu neuen Richtlinien und einem stärkeren Fokus auf die Standardisierung von passwortlosen Technologien führen.
Im Jahr 2025 werden passwortlose Technologien bei Behörden, Unternehmen und Verbrauchern weiter an Bedeutung gewinnen, glaubt Andrew Shikiar, CEO der FIDO Alliance.
(Bild: jamdesign - stock.adobe.com)
In nur zwei Jahren haben sich Passkeys von einer neuen Idee zu einer immer beliebteren Anmeldemethode entwickelt. Schon 2024 sind 57 Prozent aller Verbraucher mit der passwortlosen Technologie vertraut. Diese Vertrautheit führt oft auch zu einer verstärkten Nutzung. Inzwischen verwenden so schon Hunderte Millionen von Nutzern die Passkey-Technologie bei großen Unternehmen wie Amazon, Apple, eBay, Google, Microsoft, Shopify, TikTok und Uber.
Es wird erwartet, dass Passkeys bis Ende 2025 auf jeder vierten der weltweit führenden 1.000 Webseiten als Authentifizierungsoption verfügbar sein werden. Mit ihrer einfachen Nutzung und höheren Sicherheit werden sie zu einer echten Alternative zu Passwörtern – und verändern die Art und Weise, sich online anzumelden.
Synced und Device-Bound Passkeys kommen je nach Anwendungsfall zum Einsatz
Generell lässt sich zwischen synchronisierten (synced) und gerätegebundenen (device-bound) Passkeys unterscheiden. Synchronisierte Passkeys können Nutzer sicher in einem Anmeldedatenmanager wie Apple Passwords, Google Passwortmanager oder 1Passwort in der Cloud speichern und damit über verschiedene Geräte hinweg nutzen. Gerätegebundene Passkeys, auch als Single-Device-Passkeys bezeichnet, werden dagegen auf einem externen Hardware-Gerät gespeichert – einem sogenannten Sicherheitsschlüssel. Um sich mit einem gerätegebundenen Passkey bei einem Online-Dienst anzumelden, muss der Nutzer den Sicherheitsschlüssel mit dem jeweiligen Gerät verbinden, beispielsweise durch Einstecken oder Antippen.
Beide Varianten haben ihre Stärken: Synchronisierte Passkeys bieten Benutzern den Vorteil, ihre Anmeldedaten über mehrere Geräte hinweg zu nutzen. Dies verbessert die Benutzerfreundlichkeit und erleichtert die Wiederherstellung von Konten, wenn ein Gerät verloren geht oder gestohlen wird. Gerätegebundene Passkeys hingegen verbleiben ausschließlich auf einem Gerät und bieten dadurch ein höheres Maß an Sicherheit, was sie besonders für Anwendungen mit hohen Sicherheitsanforderungen geeignet macht. Ob die Wahl auf einen synchronisierten oder gerätegebundenen Passkey fällt, wird auch 2025 weiterhin von den individuellen Anforderungen und Sicherheitsbedürfnissen der jeweiligen Anwendung abhängen.
Passkeys erhöhen die Sicherheit im Zahlungsverkehr
Ein Anwendungsbereich, der im Jahr 2025 an Bedeutung gewinnen wird, ist das Zahlungs-Ökosystem. Sowohl Visa als auch Mastercard kündigten 2024 entsprechende Dienste an, die 2025 für E-Commerce-Transaktionen in großem Umfang genutzt werden dürften. Passkeys eignen sich hervorragend für eine Authentifizierung im Zahlungsverkehr über Drittanbieter: Sie machen es Händlern schnell ersichtlich, ob eine Zahlung autorisiert und ein Benutzer legitimiert ist. Zugleich sind sie im Rahmen der 3D-Secure (3DS)-Protokolle der EMVCO anerkannt, was Sicherheitsprozesse vereinfacht.
Für den Handel bedeutet dies weniger abgebrochene Einkaufsvorgänge, weniger falsche Ablehnungen und weniger Betrugsvorfälle. Für die kartenausgebenden Banken sorgt es für mehr Sicherheit und stärkt das Vertrauen der Verbraucher. Damit werden Passkeys zu einer zuverlässigeren, kostengünstigeren und sichereren Alternative für die Zahlungsauthentifizierung – ganz im Gegensatz zur Anmeldung durch ein einmaliges Passwort per SMS (SMS-OTP). Hier wurde in Indien beispielsweise ein 300-prozentiger Anstieg an Betrugsfällen festgestellt.
Durch die Verwendung der Passkeys ist zu erwarten, dass der Bedarf an zusätzlichen Authentifizierungsmethoden und die Abhängigkeit von herkömmlichen Sicherheitsverfahren abnehmen wird. Das wird den Weg für einen nahtlosen und zuverlässigen Zahlungsfluss ebnen und bis zum Jahresende dafür sorgen, dass Passkeys sich im Zahlungsverkehr als bevorzugte Lösung durchsetzen.
Deepfakes sorgen für einen Biometrie-Boom in der Unternehmenssicherheit
Die zunehmende Verbreitung von Deepfakes stellt eine erhebliche Bedrohung für die Online-Identitätsprüfung dar und erhöht den Fokus auf robuste biometrische Verfahren. In einem Bericht der Europäischen Agentur für Cybersicherheit (ENISA) stellten Forscher fest, dass Deepfake-Angriffe immer häufiger werden und immer schwerer abzuwehren sind. Laut einer Studie der FIDO Alliance sind Internetnutzer außerdem zunehmend besorgt über die Möglichkeit, dass ihre Identität online durch Deepfakes manipuliert wird. Zugleich wurde der Biometrie-Ansatz schon das zweite Jahr in Folge als die sicherste und bequemste Authentifizierungsmethode eingestuft.
Auf Unternehmensseite ist nach den aufsehenerregenden Angriffen auf Arup und KnowBe4 davon auszugehen, dass sich immer mehr Unternehmen mit biometrischen Verfahren vor synthetischem Identitätsbetrug schützen werden. Gerade bei grundlegenden Nutzerprozessen wie beispielsweise der Einrichtung und der Wiederherstellung von Konten, ob auf Kunden- oder Mitarbeiterseite, werden diese eine wichtige Rolle spielen, um die Sicherheit der eigenen Organisation zu erhöhen.
Dank moderner Technologien und einer Branchenzertifizierung, die die Leistung und die biometrische Genauigkeit von Tools überprüft, werden Unternehmen biometrische Daten immer mehr und mit größerem Vertrauen in ihre Sicherheits- und Verifizierungslösungen integrieren können. Auf diese Weise werden sie den wachsenden Herausforderungen durch Deepfakes effektiv begegnen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Identity Wallets nehmen an Fahrt auf und treiben die Entwicklung europäischer Standards voran
Um Identitäten im Internet noch weiter zu schützen, wird 2025 auch das Konzept der Digital Identity Wallets und überprüfbaren Ausweise zur Realität. Der EU kommt dabei eine Vorreiterrolle zu: Die Europäische Digitale Identität (EUDI) soll bis 2026 allen 448 Millionen Bürgern zur Verfügung stehen. Mit der steigenden Nachfrage nach sicheren, übertragbaren digitalen Identitäten wird es auch erste Schritte in Richtung eines notwendigen Zusammenschlusses verschiedener Standardisierungsbestrebungen geben. Denn wenn Identity Wallets künftig allgemein zugänglich und zuverlässig sein sollen, spielt die Erarbeitung von Standards eine wesentliche Rolle. Diese internationale Dynamik wird dazu führen, dass immer mehr globale Akteure in Betracht ziehen, digitale Identity Wallets in Betriebssysteme und Verbraucherdienste zu integrieren.
Apropos Standardisierung: Die meisten der heutigen Richtlinien wurden in einer Zeit entwickelt, in der die Authentifizierung hauptsächlich darauf abzielte, die Schwächen von Passwörtern zu kompensieren. Der Fokus lag vor allem auf der Sicherung durch zusätzliche Authentifizierungsebenen – Stichwort: Zwei-Faktor-Authentifizierung. Passkeys hingegen stellen mit einem primären Authentifizierungsnachweis, der sicher vor Phishing ist, ein völlig neues Paradigma dar.
Es ist daher von zentraler Bedeutung, dass die Regulierungsbehörden alte Richtlinien überarbeiten. Den Anfang hat hier, zum Beispiel, bereits die US-amerikanische Bundesbehörde NIST mit der Aktualisierung ihrer Richtlinien zur digitalen Identität gemacht. Dort werden nun ausdrücklich synchronisierte Nachweise als Erfüllung der AAL2-Anforderungen aufgeführt. Auch die brasilianische Zentralbank fordert jetzt FIDO2-Server von ihren Open-Finance-Akteuren. In Zukunft werden weitere Institutionen und Behörden anderer Länder mit aktualisierten Vorschriften für den Zahlungsverkehr, kritische Infrastrukturen und digitale Identitätsdienste folgen.
Im Jahr 2025 werden passwortlose Technologien bei Behörden, Unternehmen und Verbrauchern weiter an Bedeutung gewinnen. Diese Entwicklung wird nicht nur durch die Schwächen herkömmlicher Passwörter und die steigende Bedrohung durch Cyberangriffe vorangetrieben, sondern auch durch das wachsende Sicherheitsbewusstsein und das zunehmende Wissen der Verbraucher über alternative Authentifizierungsmethoden. Neue Standards und Richtlinien legen dabei die Grundsteine für eine passwortlose Zukunft – eine Zukunft, in der Benutzer sicher, bequem und ohne die bekannten Schwachstellen von Passwörtern auf ihre Online-Konten zugreifen können.
Über den Autor: Andrew Shikiar ist CEO der FIDO Alliance, einem führenden Branchenverband im Bereich Authentifizierungstechnologien. Die gemeinnützige Organisation zielt darauf ab, die weltweite Abhängigkeit von Passwörtern zu beenden, indem sie offene Standards für eine einfachere und stärkere Benutzerauthentifizierung entwickelt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/43/a743330b2d327b2b40cb5e030714fe8f/0119835422v1.jpeg "Passkeys sind eine MFA-Methode von vielen. Ja, die Phishing-Resistenz ist fantastisch, aber - können sich die Nutzer auch auf einem ihrer Remote Desktops damit anmelden? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e8/37/e837bbe3277bc46feaa22b7fce2e1d47/0121993969v2.jpeg "Entrust verzeichnet in seinem diesjährigen Identity Fraud Report einen massiven Anstieg von KI-gestützten Deepfake-Angriffen. (Bild: JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/ec/a9ecfbc90f2fdd25735bd272e5b6d72b/0121486173v1.jpeg "Immer weniger Menschen setzen bei der Authentifizierung auf Passwörter. Stattdessen nutzen sie biometrische Verfahren wie Passkeys. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/f3/d3f3141f83933d5fb72e57804a9da26d/0122174150v2.jpeg "Je länger das Passwort, desto sicherer. Nicht jeder Nutzer folgt diesem Grundsatz. (Bild: Wanisa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/72/69/7269d6030ca13ba6c8d50670db2a6728/0126359392v2.jpeg "Passkeys sind eine sichere Alternative, um den Schutz vor Phishing-Angriffen zu erhöhen. (Bild: Dall-E / KI-generiert)")