Auf den Punkt: Die Sicherheitsgewinne durch Passkeys in der zentralen IT werden durch unkontrollierte Schatten-IT mit schwachen Passwörtern aufgehoben, was CISOs vor organisatorische Herausforderungen stellt.
Während Unternehmen ihre Kernsysteme auf passwortlose Passkeys umstellen, nutzen dezentrale Cloud-Dienste der Fachabteilungen weiterhin klassische Passwörter und schaffen damit erhebliche Sicherheitslücken. Angreifer zielten gezielt auf diese ungeschützten Nebenpfade ab.
Moderne Unternehmen implementieren Passkeys in ihren Hauptsystemen — dem zentralen E-Mail-Programm, der Personalsoftware und anderen Kernanwendungen. Das Verfahren funktioniert dabei nach einem Prinzip des direkten, digitalen Handschlags zwischen Gerät und Server: Der Server sendet eine Authentisierungsanfrage, die der Nutzer durch Fingerabdruck oder Gesichtserkennung auf seinem Smartphone oder Laptop freigeben kann. Dabei wird kein Passwort übertragen, was Angriffsansätze wie Phishing oder Datenbankdiebstähle eliminiert.
Diese zentrale Schutzarchitektur zerfällt jedoch an den Organisationsgrenzen. Fachabteilungen abonnieren eigenständig Cloud-Services wie Grafikwerkzeuge, Datenanalyseplattformen oder Social-Media-Management-Systeme, um Prozesse zu beschleunigen oder Beschaffungswege zu umgehen. Die meisten dieser dezentralen Anwendungen unterstützen Passkey-Authentisierung technisch nicht und erzwingen die Erstellung klassischer Passwörter. Mitarbeiter verwenden dabei ihre geschäftliche E-Mail-Adresse kombiniert mit eigenständig gewählten, oft schwachen Passwörtern. Der Verizon Global Security Report dokumentiert regelmäßig, dass genau diese Kombination aus Unternehmensidentität und schwachem Passwort das primäre Einfallstor für Angreifer darstellt.
Ein weiteres logistisches Problem entsteht durch gemeinsam genutzte Konten in Fachabteilungen. Viele Teams teilen sich den Zugang zu Plattformen etwa für Social-Media-Verwaltung oder Projektboards. Passkeys sind jedoch personengebunden und untrennbar mit einem einzelnen Gerät oder Cloud-Konto verknüpft. Das einfache Teilen zwischen fünf Teamkollegen ist mit reinen Passkeys organisatorisch kaum zu bewältigen, weshalb Fachabteilungen auf klassische Passwörter für solche Gruppenkonten ausweichen.
Für das IT-Management und das Information-Security-Team entstehen daraus neue Governance-Anforderungen: Die Sicherheitsgewinne durch Passkey-Migration verlieren an Wert, wenn der Angriffsperimeter in die unkontrollierte Schatten-IT verschoben wird. CISOs müssen folglich Kontrollmechanismen etablieren — etwa durch Softwarebeschaffungspolitiken, Genehmigungsworkflows oder Risikoakzeptanzprozesse — um sowohl zentrale Standards als auch akzeptable Sicherheitsniveaus in dezentralen Systemen zu gewährleisten.
Quelle: www.it-daily.net · Erschienen 13. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.