users lounge

Der Podcast für mehr IT-Sicherheit

#67 Passkeys

Weg von Passwörtern, hin zu mehr Sicherheit

24.04.2026 55 min

Zusammenfassung & Show Notes

Wir sprechen über die Zukunft der Authentifizierung und den Einsatz von Passkeys als Alternative zu klassischen Passwörtern. Wir besprechen typische Sicherheitsrisiken und erklären, warum Passkeys einen entscheidenden Fortschritt in Richtung phishing-resistenter Authentifizierung darstellen.

Wir sprechen über die Zukunft der Authentifizierung und den Einsatz von Passkeys als Alternative zu klassischen Passwörtern. Wir beleuchten die Schwächen herkömmlicher Passwort- und MFA-Verfahren, zeigen typische Sicherheitsrisiken auf und erklären, warum Passkeys einen entscheidenden Fortschritt in Richtung phishing-resistenter Authentifizierung darstellen. Dabei gehen wir auf technische Hintergründe, Einsatzmöglichkeiten sowie Vor- und Nachteile von Hardware- und Softwarelösungen ein. Abschließend geben wir praxisnahe Empfehlungen für den Einstieg, den sicheren Einsatz im Unternehmen und die strategische Weiterentwicklung hin zu passwortlosen Identitätskonzepten.

Soundbites
  • Passkeys brauchen kein Merken mehr
  • Hardware-Passkeys sind robust und sicher
  • Passkeys sind phishing-resistent
Ressourcen

Transkript

Michael, immer wieder was Neues.
Michael
00:01:00
René, grüße dich, lass uns anfangen, wir machen einen Podcast.
René
00:01:05
Moin, Michael.
Michael
00:01:06
Moin, René, grüße dich.
René
00:01:08
Schön, dass wir uns heute wieder hören. Ist ja jetzt ein paar Tage wieder her. Urlaubszeit ist, glaube ich, jetzt bei dir so ziemlich auch vorbei. Ich bin auch jetzt seit über einer Woche wieder da.
Michael
00:01:24
Nennen wir es Urlaubszeit, was der Grund war, warum wir mal kurz ausgesetzt haben.
René
00:01:30
Naja, ausgesetzt haben wir ja nicht richtig, aber wir haben uns in der Zeit halt nicht gehört, von daher. Ja, aber heute, wir haben jetzt die letzten Male, oder wir haben gesagt, wir wollen jetzt ein bisschen weiter organisatorisch von oben drauf gucken, haben aber dann jetzt die letzten Male gemerkt, es ist schon echt zu organisatorisch geworden jetzt. Wir wollen ja auch immer noch im technischen Bereich bleiben. Dementsprechend, wir werden das jetzt immer so ein bisschen wechselweise machen, mal organisatorisch, mal technisch, immer so, wie es einigermaßen zusammenpasst, aber das halt für beide Seiten immer noch spannend bleibt. Und dementsprechend haben wir uns für heute dann auch ein Thema ausgesucht, beziehungsweise, Michael, das war sogar dein Vorschlag. Hau raus.
Michael
00:02:15
Ja, das war mein Vorschlag, weil ich gerne auch noch was lernen möchte und wir hier mal wieder mehr in den Dialog reingehen können und ein bisschen mehr Spaß haben, also noch mehr Spaß wie sonst, aber die Themen ein bisschen leichter machen. Ich habe gesagt, lass uns mal über Passkeys reden, weil Passkeys finde ich so, die einen hypen es, die anderen nutzen es gar nicht, der Dritte weiß überhaupt nicht, worum es geht und von daher war jetzt so mein Ding mal so ein bisschen, lass mal über Passkeys reden. Das war so mein Wunsch für heute.
René
00:02:42
Macht auch absolut Sinn, also ich meine, wir haben ja jetzt die letzte Zeit immer wieder über MFA gesprochen und das ist jetzt der nächste Schritt. Das soll es ein bisschen leichter machen, kommen wir gleich noch weiter zu, aber es ist ja einfach so, also stellen wir uns mal vor, also das kennen wir alle, wenn du irgendeine Plattform hast, ja okay, Passwort vergessen, Passwort zurücksetzen, dann im schlechtesten Fall, wenn du kein gutes Passwort im Kopf hast, Passwort zu kurz oder zu einfach oder wie auch immer, dann nutzt du einen Passwortmanager, speicherst das da rein, der sagt dir sofort, ach, das Passwort hast du aber schon mal benutzt, dann hast du es schon mehrfach verwendet, ja und ist halt so, also das sind ja Situationen, die kommen ja denke ich schon vor.
Michael
00:03:29
Ja, wobei wohl denen, die schon einen Passwortmanager haben, also das ist ja auch glaube ich das, was jetzt die ganze Zeit schon von uns öfters gesagt worden ist, nutzt Passwortmanager, macht das auch im privaten Umfeld, macht Passwortmanager, egal ob es der jetzt bei Google ist oder der über Apple oder der in irgendeiner Freeware-Version, Open Source verfügbar ist, macht, egal was, macht was, nutzt die Dinger und habt es nicht im Kopf, weil das wird nicht auf Dauer funktionieren, ja.
René
00:03:58
Absolut, ja zumal wir predigen ja immer von starken Kennwörtern und wenn ein Passwortmanager ist, hat völlig egal, wie lange das Kennwort ist, Copy-Paste ist immer das Gleiche.
Michael
00:04:10
Ja, genau so sieht es dann nicht aus.
René
00:04:13
Ja und ich sage mal so, diese starken Kennwörter, gerade wenn wir jetzt von Unternehmen sprechen, dann ist auch oftmals das Problem, dass wenn es jetzt lange Kennwörter sind und jetzt noch kein vernünftiger Passwortmanager im Einsatz ist, dann ist es ja unpraktikabel. Dann kriegt man die Benutzer schlecht zu, dass sie das auch wirklich umsetzen möchten, kann ich dann auch nachvollziehen, klar, man muss die Voraussetzungen dafür schaffen, aber jetzt mal unabhängig davon, ist es halt so mit dem Passkey, das ist quasi so die Hoffnung, dass man dann auch einfach gar kein Kennwort mehr braucht. Dafür ist ja der Passkey da, da kommen wir gleich noch genauer zu, aber man muss sich eigentlich nichts mehr merken. Der Login wird direkt durchgeführt, man muss nichts zurücksetzen, bla bla bla.
Michael
00:05:01
Ja, das ist dann der große Vorteil an der Sache, wobei es ist halt wesentlich alltagstauglicher, weil du schon gesagt hast, du musst dir halt einfach nichts mehr merken. Also für alle die, die noch keinen Passwortmanager haben, wir kommen gleich auf zwei Möglichkeiten, wie man das mit Passkeys am besten machen kann, einmal softwaremäßig, einmal hardwaremäßig, aber es ist halt einfach wesentlich eleganter und es ist die schlangere Variante und auf jeden Fall zu bevorzugen, mit einem Hardwarekey als Lösung, wenn für die Part 2 Passwortmanager Verweigerer, dass die dann halt noch eine Option haben, womit sie einigermaßen, oder nicht nur einigermaßen, sondern wo sie sehr vernünftig entsprechend ihre Passkeys mit benutzen können und eben Zugriff haben auf das System. Und es ist halt in der Benutzung wesentlich einfacher, weil die Webseite und der Passkey, die verheiraten sich, es wird erkannt, dass du auf der passenden Webseite bist, gehen wir nachher noch im Detail drauf, du gibst das eben mal kurz rein und dann bist du durch mit der ganzen Nummer und es ist halt wesentlich komfortabler in der Nutzung und das ist halt das, was man nutzen sollte und state of the art ist, um eben schnellen einfach Zugang auf Systeme zu kriegen.
René
00:06:12
Ja, genau. Ja, bevor wir da jetzt noch genauer drauf eingehen, was ein Passkey ist, dann lass uns doch mal einmal erst eine Rolle rückwärts machen. Wo ist eigentlich das Problem bei Passwörtern? Grundsätzlich Passwörter ist denke ich klar, kennt jeder, sollten sicher sein, aber ich hatte eingangs schon gesagt, da gibt es ja natürlich die ein oder andere Hürde, mehrfach vergeben. Man weiß auch, wie sowas läuft, wenn man viele Kennwörter nachher haben soll, auch in Unternehmen, wenn da diese Passwortwechsel anstehen, da hatten wir auch schon mal drüber gesprochen, dann heißt es heute users lounge 1, in drei Monaten heißt es users lounge 2 und so zieht es sich durch oder eine Jahreszahl mit einem Quartal davor oder wie auch immer und das ist schon mal erstmal so das Problem. Und Kennwörter werden meist serverseitig gespeichert, das heißt grundsätzlich ja, sie sind zwar gesichert, also geherrscht, also leicht kryptisch verschlüsselt, aber sie sind ja trotzdem angreifbar. Wenn wir jetzt mal einfach nur durch gewisse Szenarien durchgehen, da haben wir auch schon tausend Mal drüber gesprochen, Phishing, dann gibt es Datenleaks, Brute Force, da gibt es ganz ganz viele Angriffsmethoden, die dann eben trotzdem dadurch, dass es nur ein Kennwort ist in Anführungsstrichen, trotzdem erfolgreich sein können.
Michael
00:07:36
Genau und auf der organisatorischen Seite hast du halt eben, wie schon mehrfach, du hast halt die gleichen Passwörter, die du mehrfach vernutzt, du machst dir es einfach, wie du eben schon gesagt hast, die Jahreszahl hinten drauf oder sonst irgendwas, überlegst dir irgendwelche einfachen Dinge, gab es jetzt wieder irgendwo einen Bericht bei heise.de oder was die 100 meistverwendesten Passwörter und auch wieder so ein tolles Ding, dann kannst du dann schmunzeln, das ist die allgemeinen Admin-Passwörter von irgendwelchen Zugängen, also die Admin-Passwörter auf Fritzboxen oder auf sonstige Accounts mit Admin und Pass1234, diese Klassiker drinnen. Es sind immer noch, auch heute noch, ich merke, Passwörter, ich merke es immer wieder und höre es immer noch, Leitung unternehmen. Michel bietet sich in Rage. Das, nee, nee, aber es ist halt einfach, das ist halt ein Trigger-Thema, wenn du halt in ein Unternehmen in die Beratung reinkommst und du gesagt wirst, ja für Passwörter haben wir eine Excel-Liste oder du gesagt kriegst ja die Passwörter stehen im OneNote oder was ich jetzt auch hatte, ja als Passwortmanager nutzen wir unser ERP-System, weil wir haben zum Beispiel den Zugang, wir haben ja Amazon als Lieferant angelegt und wir haben halt in dem Lieferanten auch gleich das Passwort drinstehen, damit die Mitarbeiter natürlich da bestellen können. Stark, das habe ich auch noch nicht gehört. Das ist geil, oder? Das soll jetzt bitte kein Tipp sein, aber du weißt, was ich, oder ihr wisst alle, was ich meine. Und selbst wenn du Passwortrichtlinien hast und legst das fest, das frustet halt auch. Also das hast du auch dann, die Mitarbeiter, die müssen dazu angehalten werden und die Natur findet ihren Weg. Und wenn die Passwörter halt über eine Richtlinie sehr komplex gestaltet werden, dann hast du wieder eher die Gefahr auf Post-its, Excel oder sonst irgendwelche Themen. Also Passwort an sich ist halt ein super sensibles Thema, ein super wichtiges Thema, halt aber auch, je nachdem, wie es Unternehmen machen, relativ komplex. Und da schiebt halt eben so ein Passkey-System am Ende noch mit einem Hardware-Passkey rein, weil es halt super hilft, genau die Probleme, die wir gerade aufgezeigt haben, zu umgehen.
René
00:09:45
Wir müssen ja dazwischen eigentlich noch einen Schritt sehen. Also wir haben ja jetzt gerade nicht nur über Passwort gesprochen, sondern da kommt ja noch der MFA dazu, also die Multifaktor-Authentifizierung. Dann hast du meinetwegen noch einen Anruf, du hast nochmal eine SMS oder glücklicherweise dann hoffentlich schon ein Code einfach in der Authenticator-App. Aber am Ende des Tages ist das noch ein Schritt, wo ich etwas eintragen muss. Und das ist etwas, das dann ja auch nochmal störend im Alltag wird. Und wie du gerade sagst, ist dann klar, der Passkey, der nimmt all das, also der braucht das alles nicht. Und das ist halt, glaube ich, ein Riesenvorteil oder der größte Vorteil mit. Und er ist sicher, da kommen wir ja auch gleich zu. Also dementsprechend, das hat schon viele, viele, ja, viele, viele Vorteile. Ich meine, ganz viele Sachen, du hast ja auch schon mal gesagt, wenn man technisch etwas nicht lösen kann, dann löst man es organisatorisch. Aber ich sage mal, bei Passwörtern, ja, noch mehr Regeln, noch mehr keine Ahnung was, es löst das Problem halt nicht.
Michael
00:10:51
Hier sei nochmal ganz kurz, nur dass wir nochmal ganz kurz über diese ganzen Sachen gesprochen haben. Klassisch sprechen wir immer so von drei Authentifizierungsfaktoren. Das ist einmal das Wissen, das ist dein Passwort, was du hast. Ja, das ist einmal dein Besitz. Nehmen wir mal so ein Smartphone, Authenticator-App, YubiKey etc. pp. Und es ist das, was du bist. Also ein Fingerabdruck, FaceID, Windows Hello, die Mac-Entschlüsselung eben per TouchID etc. pp. Also über diese drei Faktoren kannst du authentifizieren. Und zwei davon zu nutzen, wäre eine relativ coole Sache. Also immer zwei davon zu haben, das ist so das Mittel der Wahl und sich nie auf eines alleine zu verlassen. Das nur nochmal ganz kurz mit reingeworfen, dass man da nochmal ein Verständnis für hat. Ich glaube, das macht Sinn für den weiteren Verlauf.
René
00:11:40
Ja, und wenn wir jetzt allein auf die Sicherheit gehen, natürlich ist ein zweiter Faktor sicherer als nur einen zu haben. Aber auch das ist angreifbar. Das muss man ja einfach sagen. Also wenn ich jetzt auf eine Fishing-Seite gehe und da wird mein Kennwort abgefragt und ich trage es ein und ich werde dann nach dem zweiten Faktor gefragt und trage auch den ein, haben wir wenig gewonnen. Also klar ist das ein großer Schritt, der zweite Faktor, aber es ist noch nicht zu Ende gedacht.
Michael
00:12:11
Genau, aber da ist auch fairerweise gesagt, dass diese zweiten Faktoren in der Regel, je nachdem, wenn du für eine Auto-Identificator-App hast, alternieren diese alle 30 Sekunden. Das heißt, du musst schnell sein an dieser Stelle. Aber gerade so den zweiten Faktor per SMS. Ja, super. Wie schnell kannst du da eben einen Injection haben und kannst da abgegriffen werden? Die Rufnummer kann geändert werden, dass es in eine andere Rufnummer geleitet wird, etc. Also das ist alles nicht wirklich eine coole Nummer. Wesentlich sicherer wie gar nichts zu haben an dieser Stelle. Also nutzt bitte auch zwei Faktor. Aber es ist halt eben, je nachdem, welchen zweiten Faktor du einsetzt, immer noch ein mögliches Restrisiko auf genau das Thema.
René
00:12:56
Genau. So, wenn wir jetzt mal rübergehen zum Passkey. Was ist eigentlich ein Passkey? Also ein Passkey ist eigentlich dafür da, dass wir erstmal kein Kennwort mehr brauchen. Das haben wir ja gerade schon festgestellt. Und es gibt zwei unterschiedliche Arten von Passkeys. Und zwar einmal, es ist ein Private Key. Das heißt, ich habe es bei mir gespeichert. Also nur auf mich bezogen. Oder ich habe ein Public Key. Public heißt aber nicht schön ins Internet, so wie man es von einer Public Cloud kennt. Sondern es ist Public in dem Sinne, dass es in meinem Netzwerk ist. Das heißt, es liegt auf einem Server und es wird dann geteilt an die Benutzer, die sich eben in diesem Netzwerk befinden. Das sind die zwei Arten, die wir haben. Klar, wir kommen gleich auch noch mal darauf zurück, wie wir diese vielleicht noch sünden können oder was man damit machen kann. Aber das sind erstmal die zwei grundsätzlichen Arten, die wir haben. Es ist so, wenn wir jetzt, Google ist ein gutes Beispiel. Google hat sehr früh damit angefangen, mit Passkeys zu arbeiten. Das heißt, man geht auf die Seite und Google hat dann irgendwann angefangen, willst du nicht ein Passkey anlegen? Das heißt, wenn man das macht, bei der Registrierung, es wird erstmal ein Schlüsselpaar angelegt. Das ist ähnlich wie bei einer E-Mail Verschlüsselung oder ähnliches. Das heißt, du hast auf der einen Seite den Server-Schlüssel, also quasi da, wo du dich anmelden möchtest und du hast deinen privaten Schlüssel. Und die beiden, die verstehen sich miteinander. Das ist das, was dabei registriert wird. Und dann ist es immer, wenn man sich anmelden möchte, der Server sendet die Anfrage. Hey, möchtest du dich authentifizieren? Und das Gerät am Ende, mit dem ich mich anmelden möchte, sendet es zurück, diesen Private Key. Dann ist diese Anmeldung abgeschlossen. Das ist so der Sinn dahinter. Vorteil, so wie du gerade schon gesagt hast, ist ganz klar, dass wir nicht die Situation haben, dass wir jetzt auf irgendeine Seite von einem Angreifer gehen, weil der Link dahinter ja ein falscher ist. Das heißt, wenn wir jetzt auf die richtige Seite gehen, der Passkey schiebt sofort durch, wenn angemeldet, alles ist gut. Falsche Seite, es werden ganz normal die Anmeldedaten abgefragt. Allein daran kann ich erkennen, okay, es ist jetzt gerade Phishing und mein Gerät kommt gar nicht erst in die Situation, sich anmelden zu wollen. Also ich kann es nicht mal überlisten, weil ich meinen eigenen Private Key, also ich könnte ihn nicht mal fehlerhaft eintragen, wenn ich wollte, weil ich meinen eigenen Private Key nicht kenne.
Michael
00:15:34
Und das ist halt das super Tolle an der Sache, dass halt diese Synchronisation beziehungsweise der Abgleich Webseite, Passkey, Synchronisation der Keys und damit Zugriff ein super Schutz ist vor eben nennensmal Fake-Webseiten und irgendwelchen Fake-Webcans oder Phishing-Webseiten, die versuchen dir irgendwas abzukrasen. Sondern an der Stelle merkst du eben ganz genau, wie du gerade gesagt hast, Achtung, ich habe ein Passkey für die Seite, ich komme aber vermeintlich auf diese Seite, die will auch jetzt einmal von mir wieder Benutzername und Passwort haben, da kann was nicht stimmen. Und kann das da kontrollieren und kann das da machen. Und das ist halt alleine schon mal ein super Indikator und noch mal eine Hürde obendrauf, wo du sagen kannst, je mehr hey, das erhöht mir die Sicherheit im täglichen Leben oder im täglichen Arbeiten.
René
00:16:27
Und so wie ich gerade gesagt habe, ich habe gerade ja gesagt, selbst wenn du wolltest, kannst du den Private Key nicht eintragen. Nehmen wir mal an, du hast deinen Private Key, aber doch keine Ahnung, hast ihn entschlüsselt und möchtest ihn dann irgendwie an diese Website übertragen. Ja, der Serverschlüssel passt aber ja auch nicht. Das heißt, der Angreifer muss ja auch den Serverschlüssel von dem eigentlichen Anbieter haben. Und der ist ja auch einmalig, nur für meine Anmeldung. Also das sind so ganz viele Dinge, die da zusammenspielen, die echt die Sicherheit da krass erhöhen. Ja, das funktioniert. Michael, ich wollte dich nicht unterbrechen, sorry.
Michael
00:17:06
Nein, nein, nein. Ich wollte gerade eh überleiten und wollte mal kurz, dass wir noch mal in die zwei Arten dieser Passkeys reingehen, dass wir noch mal ganz kurz drüber reden. Wir hatten das in der Einführung ganz kurz, dass wir darüber gesprochen haben, dass es am Ende ja zwei Methoden gibt. Einer präferiert die eine, einer präferiert die andere und alles hat Vor- und Nachteile. Deine war so ganz klassisch, dass du gesagt hast, mach mal YubiKey. Also wenn man YubiKey oder es gibt auch andere Keys, am Ende sind es kleine USB-Sticks, auf denen die Credentials gespeichert sind, die man entweder noch mal mit einer Sensor-Touch-ID-Fläche oder mit irgendwas anderem hat. Aber das ist eben ein Hardware, nennen wir es mal Token, den du halt in den Computer reinsteckst und über genau dieses Gerät und über diesen Key identifizierst du dich und hast deinen Pass-Key. Richtig. Oder NFC, da gibt es auch viele verschiedene.
René
00:17:59
Das ist so, grundsätzlich ist es eine Frage der Herangehensweise oder auch der eigenen Überzeugung. Es ist halt so, entweder mache ich es wirklich über eine Hardware, dann klar ist das Ganze auch an meine Hardware gebunden oder ich mache es halt softwaremäßig. Wenn ich es als Software mache, dann habe ich den Vorteil, dass ich es synchronisieren kann und so weiter und so fort. Das Synchronisieren, da scheiden sich die Geister dran, das muss man halt einfach sagen. Der Hardware-Key, klar, der ist einmalig, den habe ich halt.
Michael
00:18:37
Genau, das ist ganz kurz, dass wir nochmal alle abholen und einmal zurück. Also du hast einmal die Möglichkeit, das über die Hardware zu machen mit einem USB-Stick, sorry, wenn ich Sticks sage, aber mit einem USB- Gerät. Und zum anderen hast du die Möglichkeit, bleiben wir einfach mal bei den Googles und Apples dieser Welt, hast du die Möglichkeit, diese Passkeys in den dafür vorgesehenen Geräten Password-Manager entsprechend zu speichern. Nicht der große Vorteil, der Unterschied ist, einen Hardware-Key hast du einmalig in der Hand, machst du das über die Software, werden diese Software Passkeys über entsprechende Clouds, Google Drive, iCloud, etc., PP, über die Endgeräte synchronisiert und verschlüsselt abgespeichert. Der große Unterschied, ich vermeide Vorteile, merkst du es? Beides hat Vor- und Nachteile. Das eine ist halt, wenn der UB-Key als Hardware kaputt ist, hast du halt Arbeit, du musst überall auf Wiederherstellen drücken, musst das neue Ding machen und musst den neuen Key anlernen. Bei den anderen Möglichkeiten hast du halt die Sache, wenn ein Endgerät kaputt geht, hast du es noch auf dem anderen und solange du Zugriff auf die Cloud hast, hast du auch Zugriff auf deine Passkeys. Das obliegt jetzt jedem selbst, was für ihn das Ideale ist und welches Sicherheitsempfinden er braucht. Ich persönlich nutze beides. Ich habe einen UB-Key und ich kann aus meiner Warte sagen, ich habe das Ding jetzt bestimmt, wann haben wir die eingeführt bei mir? 2019, 2020. Das war relativ früh. Ich habe einen Schlüsselbund, der macht alles mit, was auch ein Autoschlüssel oder ein Haustürschlüssel mitmacht. Der liegt mal nass, der wird mal geschmissen, der wird mal hier, der wird mal da, also der lebt. Es ist noch nichts passiert, er ist immer noch der Erste, er ist immer noch nicht kaputt. Ich habe damals aus Vorsichtsmaßnahmen einen zweiten geholt und habe alles auf zwei rübergelinkt, dass ich sowohl als auch machen kann, dass ich ein Backup habe für meinen Passwortmanager. Ich habe den zweiten noch nie gebraucht. Ich kann sagen, man kann die funktionieren. Man muss jetzt keine Angst haben, die Dinger sind robust und das ist nichts, was schiefgehen kann. Ich glaube, die größte Gefahr, die du hast, ist, dass du den hardwaremäßig vorne so verbiegst, weil es vorne ein USB-C-Anschluss ist, dass der vorne irgendwo eine Delle oder was reinkriegt, dass er nicht mehr sauber im Rechner reinpasst. Aber das wäre ja mit einem geringen Aufwand wieder gerade zu biegen. Aber dass die wirklich hardwaremäßig cracken und kaputt gehen, sehe ich selten. Hast du schon mal was gesehen in der Richtung? Nein.
René
00:21:22
Also wir haben davon viele im Einsatz, also jetzt nicht nur bei uns, sondern auch in der Kundschaft. Nein, tatsächlich nicht. Ich sehe aber auch nicht das größte Problem oder die größte Gefahr bei Fido-Keys, so möchte ich es mal jetzt allgemein ausdrücken, da will ich jetzt, also die größte Gefahr ist, glaube ich, eher der Diebstahl, als dass es wirklich kaputt geht. Weil normalerweise die halten schon einiges aus, die sind auch so gebaut, dass sie funktionieren. Von daher, da sehe ich jetzt auch kein Problem. Aber verloren oder Verlust ist dann doch das größere Risiko. Und wenn eine Passkey auf der Hardware drauf ist, ja, das ist ganz klar das Risiko an der Stelle. Oder er funktioniert wirklich nicht und ich habe keine Alternative. So wie du gerade gesagt hast, du hast den Zweiten angelegt, ja, das hast du für MFA gemacht, das hast du aber nicht für Passkey gemacht, weil das geht nicht.
Michael
00:22:13
Ja, genau.
René
00:22:14
Ja, aber das ist ja auch wieder so ein Ding, man kann es halt nicht, also ein Passkey kannst du nicht auf zwei verschiedenen Fido-Keys ablegen, das funktioniert nicht. Das sind halt die Nachteile dabei. Der Vorteil ist andersrum, wenn man es so sehen möchte, ich habe es halt wirklich auf dieser Hardware und kann halt per NFC, kann per USB-Anschluss oder sonst irgendwas, kann es nur darüber auslesen. Das heißt, es liegt nicht in der Cloud. Weil der Nachteil zum Beispiel softwareseitig ist ganz klar, nehmen wir mal jetzt Apple oder Google, ich lege meine Sachen da ab und jemand erhält Zugriff auf meinen Account, in welcher Form er das auch immer macht, dann sind natürlich meine Passkeys auch mit verloren. Das sind so die zwei großen Unterschiede. Da muss man sich entscheiden, ich meine klar, die Flexibilität, gerade wenn es gesynkt ist, egal welcher Form, ob auf meinem Server, sodass ich im Netzwerk sein muss, oder eben über Software halt, also Software in Anführungsstrichen quasi in die Cloud rein, spielt da ja keine Rolle, aber da ist man deutlich flexibler, das ist so, aber es ist immer schwierig, dass wir so oft sprechen, Sicherheit von vorne bis hinten durchdenken und trotzdem noch so komfortabel wie möglich halten, deswegen, also da muss man sich entscheiden. Grundsätzlich ist der Passkey aber sicherlich eine gute Sache, um das mal einfach zu halten.
Michael
00:23:41
Und auch nochmal, vielleicht eine Lanze für einen Fido zu brechen, den hast du halt super schnell, also der steckt halt im Rechner und hast du halt super schnell, je nachdem, entweder mit einem Touch oder mit was auch immer, hast du den aktiviert, das ist halt einfach komfortabel. Das muss man sich jetzt nicht aufwendig oder sonst irgendwas vorstellen, das ist halt eine super einfache und sichere Möglichkeit zu arbeiten.
René
00:24:07
Ja, ist so, aber Fido Keys, okay, das Thema machen wir jetzt mal zu, ist eine Variante, wie gesagt, aber das ist jetzt nicht das, worüber wir heute großartig sprechen wollen. Das muss, wie gesagt, jeder für sich selbst entscheiden, was richtig oder was jetzt die bessere Variante ist. An sich sagen wir ja nur, oder da sind wir uns glaube ich einig, dass Passkeys auf jeden Fall eigentlich eine gute Sache sind. So, wenn wir jetzt mal die Unterschiede zu den klassischen Verfahren nochmal nehmen, also warum Fido Keys oder warum, Passkeys, ja, Passwörter, ist klar, hatten wir eingangs gesagt, ist ziemlich einfach, das ist eine Kombination aus zwei Dingen, Anmeldedaten, also sprich einmal aus dem Benutzernamen und aus dem Kennwort. So, das war es. Kann halt sehr einfach gestohlen werden, beziehungsweise, ja, da gibt es ja auch Software für, die es halt quasi durchrechnet, bis sie dann irgendwann ein Kennwort hat. Ja, über die Dauer können wir diskutieren, ob das alles sinnvoll ist, aber wir wissen auch, wie oft ändern Benutzer Kennwörter, wenn sie nicht müssen. Auch das kann so ein Thema sein. Witzigerweise, da auch nur ganz kurz eine Anekdote, ich habe letztes Mal gehört von einem Kunden, der hat es geschafft, ich weiß nicht, wie das geht, habe ich noch nie gehört, in seinem Microsoft Tenant eine Richtlinie zu erstellen, die sagt, dein Kennwort darf nicht länger als drei Zeichen sein. Erkläre mir, wie das geht, also ich habe noch nie gesehen, dass Microsoft diese Richtlinien so zulässt. Aber ja, das haben die als Richtlinie erlassen. Also da sieht man schon, wie einfach das sein kann. Hat das in der Praxis funktioniert? Ja. Das wurde dann jetzt auch mal direkt geändert. Als das rauskam, haben wir es mal direkt geändert. Echt, warum denn? Drei reicht doch. Ein Buchstabe, eine Zahl und ein Sonderzeichen. Nein, nein, das musste nicht. Also da wurde auch nicht unterschieden. Es war egal, was für drei. So kompliziert wollten wir es ja nicht. Nein, gut. Wurde auf jeden Fall direkt geändert.
Michael
00:26:16
Aber deswegen, also das ist halt genau das. War jetzt nicht die Firma IBM, weil das wäre ein tolles Passwort gewesen.
René
00:26:23
Nein, nein. Okay. Das wäre es, ja. HP, ne? Dann schon nur noch zwei.
Michael
00:26:32
Ja. Oh Mann, ey. Du hast halt, wenn du Passwort mit MFA kombinierst, bist du schon wesentlich besser. Das ist halt wirklich schon gut. Aber es ist halt immer noch, wie wir es eben oben gesagt haben, es ist immer noch fischbar. Also das kannst du halt immer noch irgendwo, hast halt die Restrisiken, dass du dann Fishing hast und dass es eben abgegriffen wird, je nachdem, welchen zweiten Faktor du hast. Wenn du es eingibst, die Zeit, bis er alterniert und den neuen MFA-Code rauswirft oder benutzt, ist halt noch nicht die höchste Stufe, die du halt erreichen kannst, um auf der sicheren Seite zu sein. Da hast du halt immer noch ein höheres Restrisiko. Richtig.
René
00:27:16
Und bevor jetzt alle Zuhörer sagen, ach, was ein Blödsinn, das passiert uns doch nicht. Doch, das passiert sehr, sehr vielen noch. Also ich habe es auch nicht gedacht, MFA, für mich war auch immer irgendwie klar, ja okay, guck auf den Link und dann melde dich da vernünftig an mit einem Branding und was weiß ich, dann sieht man das ja schon. Nein, das passiert doch noch sehr häufig. Also ihr glaubt nicht, wie dreist Angreifer sind. Also es ist wirklich schlimm geworden. Also ob das jetzt eine Mail hinterher ist von irgendeinem angeblichen Support oder von einem Kollegen oder ob es tatsächlich sofort der Anruf ist. Das heißt, sie kriegen mit, trägt der Benutzer gerade seine Daten ein und dann ruft jemand im Namen von Microsoft dort an und sagt, ey, wir müssen mal kurz was ändern. Gib mir mal eben deinen MFA und dann geben wir es raus. Das passiert tatsächlich.
Michael
00:28:11
Und was man vielleicht auch mal sagen muss, ich würde jetzt mal behaupten, dass ein Teil oder ein Großteil derjenigen, die hier zuhören, relativ technikaffin sind und vielleicht auch im Unternehmen IT supporten. Das ist aber nicht die Masse an Personen, die mit IT arbeitet. Und das sind auch nicht die, die im Tagesgeschäft sensitiv auf der Sache sind. Also wenn ich hier von Passwortmanagern rede, den irgendwie mit drei Faktoren zu habe und sonst irgendwelchen anderen Sachen und 35-stelligen Passwörtern im zweiten Fach, das Leben sieht anders aus. Und wenn Mitarbeiter, die da wenig affin sind oder da kein Fokusthema drauf haben, die einfach arbeiten, die im Tagesgeschäft vielleicht unter Stress sind, dann sind das genau die Themen, die du beschrieben hast. Weil die Sensitivität eben logischerweise, nicht böse, aber die Sensitivität eben an der Stelle nicht da ist, weil es halt eben da nicht das Fokusthema ist. Und dann hast du genau das, was du sagst, dann ist es halt einfach. Dann wird eine Handynummer geändert, dann wird was eingegeben, dann wird am Telefon vielleicht noch irgendwas. Das ist klassisch, der Mensch wieder und der Mensch vielleicht unter Stress, Zeitdruck, Lustlosigkeit, whatever und Scheiße passiert. Sorry, wenn ich das so sage. Das sind genau die Themen, wo Angriffe eben durchkommen. Wenn wir hier drüber reden, sage ich auch, es wird wohl nicht, weil das und das machen wir ja, aber wir sind sensibilisiert und sind sehr sensitiv mit dem Thema unterwegs.
René
00:29:38
Ja, ich habe es vielleicht gerade ein bisschen unglücklich ausgedrückt. Also damit meine ich natürlich jetzt nicht die Hörer, weil ich glaube, wie Michael schon sagt, dass ihr schon sehr sensibel und affin dafür seid, aber jemand, der es eben nicht ist, und das kann jeder im Unternehmen sein, da ist es dann und es kommt vor. Also es wäre jetzt gelogen, wenn wir jetzt alle davon sprechen, MFA ist rausgekommen und seitdem haben wir, ich sage mal, gen Null Angriffe. Stimmt nicht.
Michael
00:30:09
Wir hätten weniger, wenn mehr MFA und oder sogar Parskis nutzen würden. Und das ist ja wieder, wir sind wieder beim Parsko-Thema und bei meinem Trigger-Thema. Es müsste einfach nur viel mehr verbreitet werden. Es müsste viel mehr getan werden. Es ist so günstig, hier die Sicherheit so zu erhöhen. Was kosten Fido-Key? 25 Euro Stück, 20 Euro Stück, irgend sowas. Aber die günstigen, ja. Lassen 40 kosten, lassen 50 kosten, aber es ist eine einmalige Anschaffung. Da ist kein Abo-Modell drauf. Der Fido kostet nicht monatlich, den kaufst du einmal, das ist total verrückt. Und du kriegst dermaßen mit solchen Themen die Security hochgeschraubt im Unternehmen. Und du kriegst halt auch die Mitarbeiter, drück mich jetzt vorsichtig aus, die Mitarbeiter, die wenig sensitiv sind für das Thema, mit abgeholt und mit gegriffen, indem du sagst, hier ist jetzt was. Hier ist ein Passwortmanager, hier ist ein Fido-Stick, hier ist irgendwas. Das ist jetzt im Unternehmen zu nutzen, weil anders, da geht es nicht mehr. Ja, Zugriff Microsoft-Kondo. Eben nicht, sondern Microsoft kauft lediglich per Guideline über Parskeys und dann wird es automatisch sicherer im Unternehmen.
René
00:31:26
Jetzt haben wir uns nochmal über MFA ausgelassen. MFA ist trotzdem eine gute Sache. Und dann der nächste Schritt, wie wir schon eingangs gesagt haben. Parskeys sind halt wirklich Phishing-resistent. Da kann das nicht passieren, was bei MFA so passiert, weil sie halt wirklich an die Domain gebunden sind, weil sie halt wirklich eine komplett kryptografische Signatur haben. Das heißt, dass sie wirklich durch diesen Austauschserver mit meinem Public, also mein Private Key mit dem Public Key, dass die sich gegenseitig abgleichen und so. Da kann halt nichts passieren an der Stelle. Wie gesagt, es sei denn, mein Fido-Key kommt abhanden, jemand findet den oder an der anderen Stelle jemand bekommt Zugriff auf meinen Passwortmanager oder ich sage mal, auf meine Apple-ID oder was weiß ich, wo meine Passwörter drin liegen. Und der Parskey auch. Da kann es passieren. Passwortmanager, das hatten wir aber auch schon ganz oft gesagt, das sind genau die, die extrem gute Kennwörter brauchen, damit man da nicht die Sorge haben muss. Oder der Apple-Account oder Google-Account oder was auch immer. Das ist ganz wichtig.
Michael
00:32:40
Wir reden heute ein bisschen über Fidos, aber das ist vielleicht auch eine ganz wichtige Kiste. Wenn du schon im täglichen Leben nicht mit Parskeys arbeiten willst oder mit Fidos arbeiten willst, sicher damit wenigstens den Zugang zu deinem Passwortmanager oder zu deinem Apple-Account oder zu deinen wichtigen Accounts ab. Also wenn du das nicht überall haben willst und fang wenigstens mal mit den wichtigen Themen an und entsichere das damit und dann guck, wie die Usability ist und mach weiter damit, aber wenigstens das mach zu. Sicher auf gar keinen Fall den Passwortmanager mit drei Zeichen.
René
00:33:16
Das ist so. Dann würde man wieder an der falschen Stelle aufpassen oder eben nicht aufpassen. Ich denke, es ist klar, wenn man im Haus die Zimmer abschließt, dass man an der Außentür quasi das größte Schloss hat. Ich denke, versteht sich von selbst. Ja, Michael. Dann kommen wir ja genau wieder auf das Thema, das hatten wir aber gerade auch, dieses Sicherheit und Usability. Genau, die Nutzung hinten raus und wie komfortabel das Ganze ist.
Michael
00:33:56
Ich glaube, da haben wir gerade drüber gesprochen. Für jeden, der noch Fragen dazu hat, gerne melden. Dann können wir es gerne noch mal im Detail erörtern, aber ich denke, das ist klar. Ich denke, es ist rausgekommen jetzt im Gespräch, dass wir ein Freund der Sache sind, dass es eine einfache Usability ist, dass es die Sicherheit nach oben schmeißt. Mit so einem Passkey vereinst du das halt quasi. Wir reden immer vom User Interface und von Sicherheit in den Passwort Manager und dem ganzen Kram. Mit so einem Passkey hast du halt beides. Du schiebst die Sicherheit und die Usability zeitgleich super nach oben. Das hilft dir halt im Unternehmen.
René
00:34:37
So Situationen wie Passwort zurücksetzen und so kommen auch nicht mehr zustande. Das muss man ja auch einfach sagen. Das sind ja auch manchmal so Dinge. Auch das fällt komplett weg. Es gibt auch keine Möglichkeit, dass wir dann irgendwo in so einem Datenleck mal drin sind. Auch das. Lass doch meine Benutzerdaten kennen, ist mir egal. Mein Passkey ist meiner und den hat keiner. Und was halt auch ein Ding ist, dass wir kein Passwort speichern. Es gibt keine Möglichkeit irgendwie, dass wir das auch versehentlich nach außen geben. Es ist einfach das, was es ist. Das ist halt auf jeden Fall eine sehr gute Sache. Von daher sollte man das auf jeden Fall anstreben. Michael, wenn wir jetzt mal einfach, das hatten wir ja gerade schon mal gesagt, wenn wir jetzt so auf die Herausforderung eingehen, ich meine klar, es ist geräteabhängig. Je nachdem, was man natürlich macht. Es ist auf jeden Fall geräteabhängig, weil ich muss ja mit meiner Apple ID zum Beispiel angemeldet sein, damit mein Passwort Manager da wieder greift, damit er den Passkey auch auslösen kann. Keine Frage. Die Benutzerverwaltung, ja klar, versteht sich denke ich auch von selbst. Gerade wenn man irgendwie geteilte Passkeys nutzt. Und Onboarding, Offboarding, ich meine klar, das ist auch etwas, vorher hast du jedem gesagt, hier Benutzername, Kennwort, kennt jeder. Jetzt müsste man mal einmal dann nochmal darauf hinweisen, ey, wir arbeiten mit Passkeys, so und so. Ich denke, das ist nicht das Problem. Und beim Offboarding dann nachher hinten raus zu sagen, ey, wir müssen jetzt mal diesen Account sperren, damit das Gerät nicht nachher einfach weitergenutzt wird und dann auch sich anmelden kann.
Michael
00:36:19
Also, das ist definitiv ein Mindset-Thema auch in Unternehmen, mit welchem Passwort, nennen wir es mal, welche Passwort Strategie mache ich? Mache ich Passkeys first zum Beispiel und sage, wo immer Passkeys möglich sind, sind die zu benutzen. Nur da, wo es keine gibt, nehme ich noch Benutzername, Passwort. Das regle ich ganz klar im Unternehmen und da muss ich die Mitarbeiter abholen. Das muss ich für mein Unternehmen feststellen. Ich persönlich merke, dass ich Passkeys in letzter Zeit in meinem Umfeld und in meinem Zugang immer mehr Angeboten kriege. Egal ob es bei Amazon, bei Google, bei Microsoft etc. PP ist, ich kriege es halt überall als Option angeboten und jeder Dienst fragt freundlich, ob wir denn nicht lieber per Passkeys miteinander kommunizieren möchten. Also, nach dem Motto, es ist ein Exot und die Verbreitung ist noch nicht weit, das Thema ist glaube ich durch. Das hätten wir vor 2-3 Jahren sagen können. Aber das funktioniert und es ist da, es darf gerne genutzt werden.
René
00:37:24
Ja, ich weiß, wir haben das erste Mal, auch wir von ServeCom haben vor, ich weiß gar nicht, vor 3, 4, 5 Jahren mal darüber berichtet haben. Oder haben mal darüber Posts rausgejagt und so. Da war so das Feedback gar nicht da. So dieses ja, da gibt es wieder was. Aber jetzt ist es halt da, also das merkt man schon und es ist auch immer weiter verbreitet, also auch in der Nutzung. Von daher, das ist schon gut so. Was man immer sehen muss, wie du gerade gesagt hast, das ist auch so ein organisatorisches Ding in der Firma, ja, oder im Unternehmen. Man muss halt einfach immer sehen, Passkeys sind halt wirklich nicht einfach nur Technik, so wie man das immer sonst so versteht. Alles, was irgendwie technisch so ein bisschen angehaucht ist, so die Kernwörter und sowas, wird schnell als Technik abgetan, aber nein, es ist eine Veränderung des Prozesses an sich. Das macht schon einen Unterschied. In der Realität ist es aktuell definitiv so, dass die großen Anbieter jetzt natürlich Passkeys unterstützen, hast du ja gerade gesagt, Microsoft, Google, Apple und da gibt es jetzt mittlerweile genug. Es gibt natürlich auch noch welche, die es eben noch nicht machen, hast du gerade auch schon gesagt. Dann die Alternative natürlich, das höchstmöglichste wählen, MFA und im schlechtesten Fall eben nur Benutzernamen, Kennwort, wobei ich da gar nicht mehr drüber stolper, dass es nur das gibt. Also eigentlich überall, MFA sollte schon möglich sein.
Michael
00:38:59
Lass uns kurz einen Ausschweifel in die Informationssicherheit machen. Wenn ich einen neuen Software-as-a-Service-Dienst mir anschaue und der beim Login weder Passkey noch MFA anbietet, würde ich mir sehr stark überlegen, ob ich mit diesem Dienst überhaupt anfangen möchte zu arbeiten im Jahr 2026. Also was heute noch, wenn ich in die Auswahl von irgendwelchen Systemen gehe und ich heute noch weder das finde, also weder MFA noch Passkey finde, soll ich mir ernsthaft Gedanken machen, ob das ein System ist, den ich meinen Daten anvertraue Noch lustiger war es, ich habe da vor drei, vier Monaten ein System in der Auswahl gehabt für einen Kunden. Da war die maximale Passwortlänge auf 15 beschränkt. Also die haben nicht nur nicht nur, dass sie weder MFA noch Passkeys angeboten haben, sondern sie haben halt auch die maximale Passwortlänge noch mit 15 definiert. Aber 15 ist mehr als 3. 15 ist mehr als 3, richtig. BSI ist immer noch bei 8. Wenn ich den ganzen Bildern bei LinkedIn glaube, sind 15-stellige Passworte in 1,8 Millionen Jahren zu hacken. Ich kann diese Bilder bald nicht mehr sehen. Und ja, nein. Trotzdem, nein. Einfach nein. Das gibt, glaube ich, ein ganz gutes Bild vom Provider beziehungsweise vom Anbieter, wenn die da keinen Fokus drauf legen und es ist so einfach, das vernünftig einzurichten und zu machen und da die Login-Credentials entsprechend zu setzen. Nein, nein. Ist ein schöner Indikator, nein. Zurück zum Thema, danke. Immer noch mal so ein bisschen IT-Sec-Werbeblock einschieben.
René
00:40:52
Ja, unterschreibe ich aber genauso, wie du es gesagt hast. Also wenn diese Sachen eben nicht gegeben sind, dann sollte man sich da wirklich überlegen, ob es der richtige Partner ist. Ja. Ja, Praxisdinge. Ich denke, Legacy-Systeme sind immer ein Thema. Dann Schulungsbedarf und Mischbetrieb. Also klar, wenn wir jetzt... Brauche ich eigentlich nicht weiter darauf eingehen. Ich denke, das versteht sich von selbst. Von daher, ja, Übergangsphase würde ich auf jeden Fall so empfehlen, dass man beides noch hat. Man wird nicht lange brauchen, um sich daran zu gewöhnen und da einfach dabei zu sein und dann mit dem Pass-Key ganz normal zu arbeiten. Aber dann kann man nachher Passwort quasi entfernen. So als zweite Methode. Aber man sollte es übergangsmäßig erstmal haben, um sich ein bisschen daran zu gewöhnen. Wobei, wahrscheinlich wird da keine Gewöhnungsphase groß da sein.
Michael
00:41:45
Aber wenn man sich noch unsicher ist. Genau. Also was man machen muss, und ich glaube, das ist auch so die Lernphase, die du bei Passwortmanagern angefangen hast, mit Passwortmanagern nutzen noch bei Jahren hattest, du verlässt dich halt jetzt wieder auf dem System. Du hast früher, ganz früher, hast du dein vierstelliges Passwort im Kopf gehabt. Das war einfach. Das war auch überall gleich. Da warst du relativ safe. Da konnte nichts passieren. Das hast du eingepläut im Kopf gehabt. Dann bist du auf den Passwortmanager gegangen und hast schon im Idealfall keine Kontrolle mehr, welche Passwörter du eigentlich einsetzt. Du setzt den Schieberegler irgendwie auf 30, 35. Hast du nicht gesehen? Entsprechend komplex, wobei Länge Komplexität widerschlägt, aber hast irgendwie 35 Stellen da drin. Dir ist vollkommen egal, wie das Passwort läutet, bedeutet, sondern der Passwortmanager generiert. Du machst Speichern, machst Copy-Paste, fertig. Das heißt, du musstest im Kopf so das Mindset loslassen, dass du gesagt hast, ich hab's nicht mehr im Kopf, aber ich vertraue meinem Passwortmanager, dass ich das Passwort da stehen habe und zur Not kann ich es im Klartext auslesen. Und Passkey ist die nächste Stufe. Die nächste Stufe ist, nachdem du den Anker hattest, theoretisch kann ich es im Passwortmanager im Klartext auslesen, ist die nächste Stufe, ich verlasse mich so auf meinen Passkey, dass der funktioniert und dass der Passkey so gespeichert ist. Ich krieg ihn auch im Notfall nicht gelesen, aber ich weiß, es funktioniert. Das heißt, du musst für den Kopf machst du wieder eine Stufe noch obendrauf und du musst dir sicher sein und das kann man sich sicher sein, die Technik funktioniert. Der Passkey wird dich nicht aus deinem System aussperren, er wird dir helfen und es ist was, was dauerhaft implementiert ist und was geht. Und das ist halt einfach nur so ein Kopfding, den nächsten Sprung zu haben. Für all die, die ein Passwort manager haben, ist der Sprung kleiner. Für alle die, die das Passwort noch im Kopf haben und jetzt auf einmal auf das rüberspringen wollen, es ist halt eben ein Mindset-Thema. Dann fängt man, um sich da ein bisschen angstfrei zu nehmen und ein Bauchgefühl zu kriegen, dass es geht, dann fange ich halt wegen mir bei ein, zwei Konten an, die für mich in meinem Mindset erstmal nicht so lebenswichtig sind, wo ich einfach sagen kann, komm, wenn es da wirklich mal brasselt, dann mache ich mir halt in aller Ruhe Gedanken, wie ich das zurücksetzen kann, Support, rücksetzen, was auch immer und dann mache ich es nicht gleich bei meinen wichtigsten Themen, wo ich jeden Tag dran arbeite, um einfach Vertrauen in die Technik zu kriegen. Und dann hast du sehr schnell das Vertrauen in die Technik und dann hast du das auch überzeugt und merkst, wie gut das geht und dann wirst du automatisch immer mehr in das System reinbringen.
René
00:44:33
Genau so ist es. Also, wenn wir das jetzt nehmen, du hast ja gerade gesagt, auch das ist ja so ein Mindset-Thema, wenn wir jetzt einfach mal gucken, Risiken und Grenzen. Das ist ja genau das gleiche eigentlich. Man muss sich natürlich Gedanken machen, was passiert eigentlich, wenn ich mein Gerät verliere, hatten wir gerade ja schon drüber gesprochen, aber das sind ja immer so Gedanken, die kommen ja dann. Dann, wie backupe ich das eigentlich, das Ganze? Auch da, es ist nichts zu backuppen, wir haben ja quasi, also vielleicht haben wir eine zweite Methode noch zur Anmeldung, sollten wir aber irgendwann abschaffen, aber grundsätzlich, ich habe einen Fido-Key, da ist es drauf, oder ich habe das Ganze als gesynkte Version, okay, dann ist auch kein Backup an der Stelle so notwendig. Und Abhängigkeit von Plattformen, aber das ist, denke ich, heutzutage, tut mir leid, ich weiß, das siehst du vielleicht ein bisschen anders, aber ich bin mittlerweile der Meinung, diese Abhängigkeit immer wieder in den Vordergrund zu stellen, ist mittlerweile überholt, weil wir einfach immer, also die allerwenigsten haben wirklich nur noch Hardware bei sich und setzen auch nur auf Software bei sich im Haus. Wir sind immer irgendwie in Anführungsstrichen abhängig, deswegen würde ich das nicht immer so als Riesenthema nach vorne stellen.
Michael
00:45:56
Ich auch nicht, es ist halt in der Bubble aktuell, nennen wir es mal, das ist der Zeitgeist. Wenn ich überlege, wir machen das fast jetzt auch, vielleicht machen wir einfach mal so eine Smalltalk-Runde in der nächsten users lounge.
René
00:46:10
Du wolltest jetzt auf den politischen Hintergrund gehen.
Michael
00:46:12
Auf einmal so ein aktuell nochmal über die Tendenz zu Cloud und On-Prem, dem aktuell ist. Meine Meinung ist, einem verkaufst du deine Seele. Es ist halt einfach so, du kriegst das. Die Wahl hast du nicht. Ja doch, du hast die Wahl, wem, aber nicht die Wahl, ob oder ob nicht.
René
00:46:32
Am Ende des Tages, und da müssen wir ja auch mal ehrlich zu uns selbst sein, ich meine, du hast jetzt eine Software. Ob ich jetzt in die Cloud gehe, oder ob ich mir einen Server dahinstelle mit einem Betriebssystem. Das Betriebssystem kann macOS sein, es kann Windows Server sein, es kann Linux sein. Bin ich nicht auch irgendwie abhängig von denen? Wenn die ein Update ausspucken sollten und das System bricht zusammen, habe ich auch nichts mehr. Ich bin abhängig von denen.
Michael
00:46:58
Ich sage halt, dass jedes Rechenzentrum garantiert bessere technische und organisatorische Maßnahmen hat, wie meine Nass im Keller, die ich über einen VPN mit der Fritzbox aufmache. Lass uns das nicht vertiefen. Wir können es gerne mal in die nächste Folge ein Smalltalk-Thema nehmen, dass wir einfach mal grundsätzlich über sowas reden und mal so Gedanken austauschen. Ja, lass uns das da mit reinnehmen mal.
René
00:47:25
Mir ging es nur darum, das sind die Gedanken, die da sind, aber das sind dann an der Stelle nicht die richtigen Gedanken. Oder das zumindest nicht. Ja, und Michael, organisatorisch ist das ganz klar ein Thema.
Michael
00:47:43
Du musst dir halt einfach die Gedanken darüber machen, wie wir es eben gesagt haben. Genau.
René
00:47:49
Ja, wenn wir jetzt mal über die Zukunft der Authentifizierung sprechen, das können wir auch ganz leicht runterbrechen. Wenn wir jetzt die letzten Episoden einfach mal zurückblicken. Wir haben zum Beispiel über Zero Trust gesprochen. Zero Trust ist ja an dieser Stelle ist es eigentlich genau das gleiche. Ich vertraue niemandem. Der Key liegt bei mir und beim Anbieter. Also wirklich nur zwischen diesen beiden Parteien und nirgendwo sonst. Es ist genau das, dass wir in Zukunft ohne Passwörter arbeiten, das ist realistisch, definitiv, glaube ich auch. Aber es ist halt wirklich dann immer nur im Austausch direkt mit dem Anbieter. Ich mit dem Anbieter oder mein Netzwerk, mein Unternehmen mit dem Anbieter. Aber mehr als das auch nicht. Und vorher haben wir ja immer über wir sprechen heute über Identitäten. Identitäten werden immer mehr das Thema. Und damals war es eher so, also dadurch, dass ich ja nur Benutzernamen und Kennwort hatte, das war ja nicht wirklich an die Identität gekoppelt. Ich konnte die Sachen weitergeben, dann konnte der Nächste was mitmachen. Das geht jetzt nicht mehr. Also da verändert sich die Authentifizierung definitiv.
Michael
00:49:09
Ja. Ich wollte gerade reiposaunen an dem Moment, wo ich mir das NFC unter die Haut spritzen lassen kann, bin ich der Erste, der sich das machen lässt. Aber Spaß beiseite, das kannst du ja theoretisch auch schon machen. Aber dann hast du halt wieder beide Faktoren, gehen wir mal wieder ins hast du halt beide Faktoren wieder an einer Stelle, die miteinander verdrennbar ist. Nämlich einmal deine Bio-Betriebssachen wie Iris, Aug, etc. Und das andere ist der NFC irgendwo im Halsgelenk drin. Also in der Faust oder im Unterarm drin. Die Frage ist, ob du das wieder willst, weil dann hängst du auch wieder an irgendeiner Stelle. Ich brauch's nicht. Ich find's halt schon mal passwortlos mit einem vernünftigen Hardware- oder Softwarelösung ist halt das bequeme. Und das ist das, was definitiv kommen wird und was wir brauchen, dass wir eine Authentifizierung haben. Wie du gesagt hast, die auf die Identität geht und einfach durchsynchronisiert, beziehungsweise mir die Wege durchöffnet. Das normal Benutzernamen und Passwort eingeben wird auf Dauer nicht Bestand haben.
René
00:50:13
Weißt du ein Beispiel dafür? Das hatte ich eingangs schon mal gesagt. E-Mail-Signatur. Digitale E-Mail-Signatur. Wenn wir das einfach mal als Maßstab nehmen, ist schon seit Ewigkeiten Standard. Da ist es auch nicht so, dass wir ein Key austauschen, wirklich jedes Mal von Hand. Sondern das passiert einfach. Das ist eine Sicherheit, die ist da. Die funktioniert auch. Und da müssen wir uns keinen Kopf drum machen. Genauso wird das mit dem Passwort auch sein. Wir werden uns irgendwann keine Gedanken mehr groß um Kennwörter machen müssen, sondern die Sicherheit dahinter, die passiert einfach. Das ist einfach da. Das ist glaube ich das ganz große Ding, was extrem interessant ist.
Michael
00:50:55
Auf jeden Fall. Sehr gut. Ich glaube, da sind wir einmal grob durch Passkeys durch. Haben mal wieder Passwortmanager angerissen. Entschuldigung. Ganz, ganz kurz sind nur ganz kurz abgekliffen in Cloud-Systeme und Abhängigkeiten. Wir haben diesmal nicht über Microsoft 365 gesprochen. Das ist auch schon mal eine gute Leistung. Stimmt, das ist ein Schritt nach vorne. Überhaupt kein Bashing gemacht an dieser Stelle. Nein, René, ich glaube, wir haben in den ganzen Dingen schon Handlungsempfehlungen gesprochen, immer mal so Sachen gehabt. Hast du noch so ein Top-Five an Sachen, die das Ganze jetzt so die letzte knappe Stunde zusammenfasst und den Hörern nochmal so ein Kipp mit machst auf jeden Fall und greif mal?
René
00:51:50
Ja, also ich würde grundsätzlich sagen, beschäftigt euch jetzt mal damit. Also für die, die es noch nicht getan haben, bereitet dann mal die Prozesse vor. So hatten wir ja gerade gesagt, das Onboarding und so was. Dass man das auch alles schon mal mit berücksichtigt. Dann MFA erst mal sauber umsetzen. Das, was man jetzt schon, also das wirklich mindestens überall MFA ist, das glaube ich auch extrem wichtig. Dann Passkeys schon mal testen, mit einer gewissen Gruppe. Dass man seine Erfahrungen zumindest schon mal damit sammeln kann. Und dann ist es halt wirklich diese Identitätsrichtlinien mal erstellen. Also dass man wirklich sagt, okay, unsere Authentifizierung begrenzt sich wirklich auf Identitäten. Dass man da wirklich sagt, okay, Passwörter können nicht mehr weitergegeben werden. Das ist auch eine Sicherheitsstrategie, die man damit etwas ändert. Aber es gehört aus meiner Sicht ganz klar dazu. Und wenn wir dann, Michael, ich glaube, wenn wir das dann ganz einfach runterbrechen, Passwörter werden verschwinden.
Michael
00:53:00
Ja, kurz oder lang. Was mir gerade noch so in den Sinn gekommen ist, wie du gesagt hast, mit Passwörtern nicht weitergeben, wenn ihr an einem Konzept seid und macht euch mit Fidos Gedanken, regel den Umgang mit den Fidos. Wenn die permanent im Computer eingesteckt bleiben oder wenn die wieder unter die, du lachst schon, unter die Tischmatte gelegt werden oder wenn die einfach im Unternehmenbild durch die Gegend gewürfelt werden, ihr müsst dann natürlich den Umgang mit den Fidos regeln. An irgendeiner Stelle muss immer was geregelt werden. Das muss immer die Verantwortlichen klar sein.
René
00:53:37
Ja, absolut. Ja, das bringt natürlich nichts.
Michael
00:53:40
Dann kannst du auch weiter Post-its benutzen. Wir haben die Post-its digitalisiert, wir haben jetzt Fidos eingeführt. Ich glaube, wir lassen damit. Das würde ich jetzt als Schlusswort nehmen und würde sagen, in diesem Sinne, René, vielen lieben Dank für die Zeit. An alle, die zugehört haben, vielen lieben Dank fürs Zuhören. Wir hören und sehen uns wieder in zwei Wochen. Bis dahin eine tolle Zeit. Ich sage schon mal Grüße aus Wetzlar. Macht's gut und hier sind die letzten Worte. Tschüss. Ja, besten Dank auch von mir in die Runde.
René
00:54:17
Ich sage das Gleiche wie immer. Vielen Dank, Michael, bevor ich es vergesse. Aber ich sage das Gleiche wie immer. Hört uns auf einem Plattformen. Empfehlt uns. Lasst mal ein Like da, Kommentare da. Alles, was so dazugehört. Wir sind auf jeden Fall überall zu hören. Ihr könnt uns auch sehen auf den Plattformen. Von daher, ja. Und ansonsten hören wir uns auf jeden Fall in 14 Tagen wieder. Bis dahin. Danke. Tschüss.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts