48 Prozent aller Online-Käufe scheitern am vergessenen Passwort. Passkeys versprechen das Ende dieser Misere – und 2026 könnte das Jahr sein, in dem Passwörter endgültig sterben. Oder zumindest ins Hospiz einziehen.
Montagmorgen, 8:12 Uhr. Eine Controllerin in München will sich in das neue Projektmanagement-Tool einloggen. Das Passwort? Irgendwas mit Großbuchstabe, Sonderzeichen, mindestens zwölf Stellen. Sie probiert drei Varianten. Alle falsch. Der vierte Versuch sperrt den Account. Der IT-Helpdesk ist bis 9 Uhr nicht besetzt. Die Controllerin starrt auf den Bildschirm. Der Bildschirm starrt zurück.
Szenen wie diese kosten Unternehmen jedes Jahr Milliarden. Nicht durch spektakuläre Hackerangriffe, nicht durch raffinierte Social-Engineering-Attacken – sondern durch das banale Versagen eines Systems, das 1961 am MIT erfunden wurde und seitdem erstaunlich wenig dazugelernt hat. Das Passwort.
Plot Twist: Es gibt einen Nachfolger. Und der funktioniert tatsächlich.
Passkeys basieren auf dem FIDO2-Standard, einer Technologie, die asymmetrische Kryptographie nutzt. Klingt kompliziert. Ist es auch – im Hintergrund. Für Sie als Nutzende sieht es so aus: Sie entsperren Ihr Gerät per Fingerabdruck, Gesichtsscan oder PIN. Fertig. Kein Passwort. Kein Passwort-Manager. Kein panisches Scrollen durch die Notizen-App, wo Sie dieses eine Passwort aufgeschrieben haben. (Haben Sie. Ich weiß es.)
Der technische Ablauf dahinter: Bei der Registrierung erzeugt Ihr Gerät ein kryptographisches Schlüsselpaar. Der private Schlüssel bleibt auf dem Gerät. Der öffentliche geht an den Server. Bei jedem Login signiert Ihr Gerät eine Challenge mit dem privaten Schlüssel. Der Server prüft die Signatur mit dem öffentlichen. Zu keinem Zeitpunkt verlässt ein Geheimnis Ihr Gerät. Das Pikante daran: Selbst wenn jemand den Server hackt, bekommt er nur öffentliche Schlüssel. Wertlos wie ein Schlüssel ohne Schloss.
Die Zahlen sprechen eine deutliche Sprache. Laut dem State of Customer Identity Report 2025 nutzen 87 Prozent aller Organisationen noch klassische Passwort-Authentifizierung. Aber nur zwei Prozent – zwei! – glauben, dass Passwörter eine gute Balance zwischen Sicherheit und Nutzererfahrung bieten. Das ist, als würde eine ganze Branche sagen: „Wir wissen, dass das Dach leckt. Wir stellen trotzdem Eimer auf.“
82 Prozent der Unternehmen erlitten 2025 messbare wirtschaftliche Schäden durch Authentifizierungsprobleme. Nicht „gefühlt irgendwie schlecht“, sondern hart messbar. 52 Prozent kämpften mit explodierenden Support-Kosten. 37 Prozent mussten Engineering-Roadmaps verschieben, weil das Entwicklungsteam stattdessen Passwort-Probleme flicken musste. 30 Prozent verloren Nutzende beim Onboarding, weil der Prozess zu kompliziert war.
Und dann die Konversionsraten. Fast die Hälfte aller Online-Einkäufe wurde 2025 abgebrochen, weil jemand das Passwort vergessen hatte. Achtundvierzig Prozent. Das sind nicht nur verlorene Verkäufe – das sind Marketing-Budgets, die direkt in den Papierkorb wandern. Sicherheitsrisiken im Netz haben eben nicht nur eine technische, sondern auch eine knallharte wirtschaftliche Dimension.
Die prognostizierten Verluste durch Account-Übernahmen: 17 Milliarden Dollar allein 2025. Spoiler: Die Zahl wird 2026 nicht sinken.
Amazon macht 39,9 Prozent des gesamten Passkey-Traffics aus. Gelesen? Nicht 3,9. Nicht 9,9. Knapp vierzig Prozent. Gefolgt von eBay, Home Depot und Target. E-Commerce dominiert die Passkey-Adoption, und der Grund ist so simpel wie einleuchtend: Weniger Reibung beim Checkout bedeutet mehr Umsatz. Passkey-Authentifizierungen haben sich innerhalb eines Jahres verdoppelt und liegen bei 1,3 Millionen pro Monat. 40 Prozent aller Nutzenden speichern mindestens einen Passkey.
Aber es bleibt nicht beim Online-Shopping. HubSpot hat Passkeys eingeführt und verzeichnet seitdem eine um 25 Prozent höhere Login-Erfolgsrate. Die Login-Zeit? Viermal schneller als mit Passwort und Zwei-Faktor-Authentifizierung kombiniert. Okta – einer der großen Identity-Provider – unterstützt Passkeys seit 2025. In der Finanzbranche preschen Coinbase, Binance und Kraken vor. Die Krypto-Börse Gemini ging im Mai 2025 einen radikalen Schritt: Passkeys sind dort Pflicht. Das Ergebnis? Ein Anstieg der Authentifizierungen um 269 Prozent.
Wir bei digital-magazin.de beobachten diesen Wandel seit Monaten. Besonders beeindruckend: JPMorgan Chase, die größte Bank der USA, hat Passkeys im Dezember 2025 für ihr Web-Banking eingeführt. Bis Februar 2026 hatten 34 Millionen Kundinnen und Kunden umgestellt – eine Adoptionsrate von 40 Prozent in fünf Monaten. Bei einer Bank. Einer Bank! Wenn sogar Banken sich trauen, gibt es für den Rest keine Ausrede mehr.
Lassen Sie mich das mal nebeneinanderlegen. Schonungslos.
| Kriterium | Passwort | Passkey |
| Phishing-resistent | Nein | Ja – der private Schlüssel verlässt nie das Gerät |
| Wiederverwendbar | Ja (und genau das ist das Problem) | Nein – pro Dienst ein eigenes Schlüsselpaar |
| Login-Erfolgsrate | 76,4 % | 99,4 % auf Mobilgeräten |
| Brute-Force-Angriff möglich | Ja | Kryptographisch ausgeschlossen |
| Credential Stuffing | Hauptangriffsmethode | Nicht anwendbar |
| Nutzererlebnis | „Passwort vergessen?“ ist der meistgeklickte Link | Finger auflegen. Fertig. |
Die Erfolgsrate auf Mobilgeräten ist der eigentliche Knaller. 99,4 Prozent beim ersten Versuch – verglichen mit 76,4 Prozent bei Passwörtern. Und 99,6 Prozent schaffen es innerhalb von zwei Versuchen. Bei Passwörtern geben 14,2 Prozent nach dem ersten fehlgeschlagenen Versuch komplett auf. Diese Menschen kaufen dann woanders. Oder gar nicht.
Brute-Force-Angriffe auf einfache Webanwendungen haben sich laut dem Verizon Data Breach Investigations Report von 20 Prozent in 2024 auf 60 Prozent in 2025 verdreifacht. 2,8 Milliarden kompromittierte Passwörter wurden in einem einzigen Jahr veröffentlicht. Nur drei Prozent davon erfüllten überhaupt grundlegende Komplexitätsanforderungen. Das Passwort war „Passwort123″. Oder „Sommer2025!“. Oder der Name des Hundes. Man kann sich nicht ausdenken, was die Realität liefert.
Hier wird es interessant. Laut der FIDO Alliance kennen 75 Prozent aller Verbrauchenden weltweit mittlerweile Passkeys. Das Bewusstsein ist da. Aber nur 28 Prozent aktivieren sie, wenn sie die Möglichkeit haben. Das ist die berühmte Lücke zwischen Wissen und Handeln. Oder, weniger freundlich formuliert: die Trägheitsfalle.
Woran liegt das? Drei Gründe:
Erstens: Gewohnheit. Menschen tippen seit dreißig Jahren Passwörter ein. Das sitzt. Im Muskelgedächtnis, in der Routine, in der Illusion, dass man „sein System“ hat. (Hat man nicht. 52 Prozent verwenden dasselbe Passwort für mehrere Dienste.)
Zweitens: Verwirrung. Die Begriffe „Passkey“, „FIDO2″, „WebAuthn“, „Biometrie“ werden wild durcheinander geworfen. Viele Menschen denken, Passkeys seien dasselbe wie Fingerabdruck-Unlock am Smartphone. Sind sie nicht. Der Fingerabdruck ist nur der Türöffner zum lokalen Schlüssel. Der eigentliche Sicherheitsmechanismus ist die Kryptographie dahinter.
Drittens: Verfügbarkeit. Noch bieten längst nicht alle Dienste Passkeys an. Und wenn doch, versteckt sich die Option oft in den Tiefen der Kontoeinstellungen, irgendwo zwischen „Newsletter abbestellen“ und „Account löschen“. Nicht gerade einladend.
Wer sich für die Schnittstelle zwischen KI-gestützter Authentifizierung und klassischen Sicherheitskonzepten interessiert, merkt schnell: Die technische Seite ist gelöst. Das Problem sitzt vor dem Bildschirm. Und in den Chefetagen, die Budgets freigeben müssen.
Die häufigste Sorge bei Passkeys: „Was, wenn ich mein Gerät verliere?“ Berechtigte Frage. Und eine, die ich in jedem Vortrag zum Thema höre – meistens mit leicht panischem Unterton, als ob das gesamte digitale Leben an einem einzigen Stück Glas hängt. Was, ehrlich gesagt, bei vielen Menschen auch der Fall ist.
Die Antwort hat sich allerdings in den letzten zwei Jahren massiv verbessert.
Apple synchronisiert Passkeys über den iCloud-Schlüsselbund. Google über den Google Password Manager. Microsoft über Windows Hello. Heißt: Ihr Passkey lebt nicht nur auf einem Gerät, sondern wird verschlüsselt in der Cloud gespeichert und auf alle Ihre Geräte verteilt. Neues iPhone? Passkeys sind schon da. Neuer Laptop? Ebenso.
Seit 2025 gibt es zusätzlich den Import und Export von Passkeys zwischen verschiedenen Anbietern. Das war lange ein Kritikpunkt – die Angst vor dem Vendor-Lock-in. Apple-Passkeys nur bei Apple, Google nur bei Google. Diese Mauer bröckelt. Der FIDO Alliance Credential Exchange Protocol macht den plattformübergreifenden Transfer möglich.
Plot Twist: Die vermeintliche Schwachstelle – „Aber meine Daten liegen dann in der Cloud!“ – ist in Wahrheit sicherer als der Status quo. Die Alternative ist nämlich: Ein Post-it am Monitor. Oder eine Excel-Tabelle namens „Passwörter_FINAL_v3.xlsx“ auf dem Desktop. Wir bei digital-magazin.de haben da schon einiges gesehen.
Ich höre sie schon, die Einwände. Gesammelt aus Gesprächen, Konferenzen und IT-Foren. Hier die Greatest Hits:
„Unsere Legacy-Systeme unterstützen das nicht.“ Stimmt oft. Aber Passkeys lassen sich parallel einführen. Niemand verlangt, dass Sie morgen alle Passwörter abschaffen. Der Übergang kann schrittweise laufen – erst für neue Accounts, dann für bestehende. Gemini hat es vorgemacht: Passkey-Pflicht für alle. Hat funktioniert. Die Welt hat sich weitergedreht.
„Unsere Mitarbeitenden sind dafür nicht bereit.“ Haben Ihre Mitarbeitenden ein Smartphone mit Fingerabdrucksensor? Dann sind sie bereit. Die Login-Erfolgsrate von 99,4 Prozent sagt alles. Passkeys sind nicht komplizierter als das Entsperren des Telefons. Sie sind das Entsperren des Telefons.
„Das kostet zu viel.“ Die durchschnittlichen Kosten eines Datenleaks lagen 2025 bei 4,88 Millionen Dollar. Ein Passkey-Rollout kostet einen Bruchteil davon. Und Sie sparen bei jedem Support-Ticket, das nie geschrieben wird, weil niemand mehr sein Passwort zurücksetzen muss. Sicherheit und Digitalisierung schließen sich nicht aus – sie bedingen einander.
„Regulatorische Bedenken.“ Verständlich. Aber die Richtung ist klar: Die DSGVO fordert angemessene technische Schutzmaßnahmen. Passkeys erfüllen diese Anforderung besser als jedes Passwort-System. Die EU-Agentur für Cybersicherheit (ENISA) empfiehlt FIDO2-basierte Authentifizierung explizit. Wer auf Passwörter besteht, hat bald das größere Compliance-Problem.
Hier wird es richtig unangenehm. Denn während wir in Unternehmen noch debattieren, ob sich der Umstieg lohnt, und Budgetanträge in der dritten Schleife hängen, rüstet die Gegenseite auf. Und die wartet nicht auf Ihre Freigabe.
Phishing-Mails, die vor drei Jahren noch an Rechtschreibfehlern und seltsamen Absenderadressen erkennbar waren, sind 2026 nahezu perfekt. KI-Sprachmodelle generieren makellose E-Mails in jeder Sprache, jedem Tonfall, jedem Unternehmens-CI. Sie analysieren LinkedIn-Profile, um personalisierte Nachrichten zu verfassen. „Hallo Frau Müller, bezugnehmend auf Ihre Keynote letzte Woche in Stuttgart – hier die versprochenen Unterlagen.“ Alles fake. Alles überzeugend.
Die Erfolgsquote von KI-gestütztem Spear-Phishing ist laut aktuellen Studien um den Faktor drei bis fünf höher als bei herkömmlichem Phishing. Und das Ziel ist fast immer dasselbe: Zugangsdaten. Passwörter.
Dazu kommen Voice-Phishing-Anrufe, bei denen KI-generierte Stimmen Vorgesetzte imitieren und Mitarbeitende unter Druck setzen, „mal eben“ ihre Zugangsdaten zu bestätigen. Oder QR-Code-Phishing – sogenanntes Quishing – bei dem manipulierte Codes auf Fake-Login-Seiten führen. Die Kreativität der Angreifenden ist grenzenlos. Ihre Verteidigung sollte es auch sein.
Passkeys machen diese gesamte Angriffskategorie wirkungslos. Nicht „weniger gefährlich“. Nicht „etwas besser geschützt“. Wirkungslos. Weil es kein Passwort gibt, das man eingeben könnte. Weil der Passkey an die Domain gebunden ist – eine Phishing-Seite, die sich als Ihre Bank ausgibt, kann den Passkey nicht auslösen. Das Gerät erkennt: falsche Domain. Keine Signatur. Ende.
Der Clou: Auch Echtzeit-Phishing-Proxys, die bisher Zwei-Faktor-Codes abfangen konnten, scheitern an Passkeys. Die kryptographische Bindung an die Originaldomäne lässt sich nicht umleiten. Das ist kein Zusatzschloss an einer morschen Tür. Das ist eine komplett neue Tür.
Genug Theorie. Hier ist, was Sie konkret tun können. Heute. In fünf Minuten.
Auf dem iPhone (iOS 16+):
Auf Android (ab Android 9):
Am Desktop (Windows/macOS):
Überraschung: Es ist wirklich so einfach. Keine App-Installation. Kein Hardware-Token. Keine zehnstellige Zeichenkette, die Sie sich merken müssen. Wenn Sie ein Smartphone haben, das jünger ist als 2019, können Sie Passkeys nutzen.
Die Liste wächst rasant. Stand Februar 2026 bieten unter anderem diese Dienste Passkey-Support:
Eine laufend aktualisierte Übersicht bietet passkeys.io – dort sehen Sie auf einen Blick, welche Plattformen mitmachen. Das Team von digital-magazin.de empfiehlt: Fangen Sie mit den Diensten an, die Sie täglich nutzen. E-Mail. Banking. Shopping. Drei Passkeys pro Woche, und in einem Monat sind Sie bei den wichtigsten Konten durch.
Für IT-Verantwortliche ist die Einführung von Passkeys mehr als ein Login-Update. Es ist ein strategisches Projekt. Aber kein unlösbares.
Phase 1: Bestandsaufnahme (Woche 1-2). Welche Systeme nutzen Ihre Mitarbeitenden? Welche unterstützen bereits FIDO2? Wo sind die größten Schmerzpunkte – also die meisten Passwort-Reset-Tickets? Fangen Sie dort an.
Phase 2: Pilotgruppe (Woche 3-6). Starten Sie mit einer kleinen Gruppe. IT-affine Mitarbeitende, die als Multiplikatorinnen und Multiplikatoren wirken können. Messen Sie Login-Zeiten, Erfolgsraten, Support-Anfragen. Die Daten werden für sich sprechen.
Phase 3: Ausrollung (Monat 2-4). Schrittweise Erweiterung auf alle Abteilungen. Passkeys als bevorzugte Option anbieten, Passwörter als Fallback behalten. Keine Zwangsumstellung – das erzeugt Widerstand. Stattdessen: Die bessere Erfahrung verkauft sich selbst.
Phase 4: Passwort-Sunset (Monat 6-12). Der schönste Teil. Wenn die Adoptionsrate hoch genug ist – erfahrungsgemäß ab 70 Prozent – können Sie Passwörter schrittweise abschalten. Erst für unkritische Systeme, dann für sensiblere Bereiche. Wer sich dafür interessiert, wie KI-gestützte ERP-Systeme bereits moderne Authentifizierung integrieren, findet dort weitere Anhaltspunkte.
Ehrlich gesagt: Passkeys sind kein Allheilmittel. Wer das behauptet, verkauft Ihnen etwas.
Passkeys schützen nicht vor Malware, die bereits auf Ihrem Gerät läuft. Wenn ein Trojaner Ihren Bildschirm mitfilmt, ist es egal, ob Sie sich per Passkey oder Passwort anmelden – der Angreifende sieht, was Sie sehen. Passkeys schützen nicht vor Social Engineering, das auf menschliche Schwächen zielt, statt auf technische. Und Passkeys lösen nicht das Problem schlecht konfigurierter Serversysteme oder fehlender Software-Updates.
Aber – und das ist der entscheidende Punkt – sie eliminieren die mit Abstand größte Angriffsfläche: gestohlene, erratene und wiederverwendete Zugangsdaten. Credential Abuse ist seit Jahren der Angriffsvektor Nummer eins. Nicht auf Platz zwei. Nicht „einer von vielen“. Nummer eins. Passkeys trocknen diesen Angriffsvektor komplett aus.
Das ist so, als würde man Einbrüche nicht komplett verhindern können, aber dafür sorgen, dass alle Haustüren der Stadt vernünftige Schlösser bekommen. Kein Allheilmittel. Aber ein gewaltiger Fortschritt. Und wenn Sie bedenken, dass 80 Prozent aller Datenschutzverletzungen auf kompromittierte Zugangsdaten zurückgehen – dann ist „gewaltig“ fast noch untertrieben.
Erstens: Richten Sie heute einen Passkey ein. Nur einen. Bei Google, bei Amazon, bei Microsoft – egal. Machen Sie die Erfahrung. Sie werden sich fragen, warum Sie das nicht schon vor zwei Jahren gemacht haben.
Zweitens: Wenn Sie IT-Verantwortliche oder Geschäftsführende sind – setzen Sie Passkeys auf die Agenda für Q2 2026. Nicht als vages „irgendwann mal“, sondern mit konkretem Zeitplan, Budget und einem verantwortlichen Teammitglied. Die Standards für digitale Privatsphäre entwickeln sich weiter, und Passkeys sind ein zentraler Baustein.
Drittens: Reden Sie darüber. Im Team, in der Familie, beim Mittagessen. Nicht als Vortrag – als Empfehlung. „Hey, hast du schon mal Passkeys ausprobiert? Dauert zwei Minuten, und du brauchst nie wieder ein Passwort zurückzusetzen.“ Das ist kein IT-Gespräch. Das ist ein Geschenk.
Das Passwort hat sechzig Jahre lang überlebt. Nicht, weil es gut war – sondern weil es nichts Besseres gab. Jetzt gibt es etwas Besseres. Und es funktioniert. Nicht irgendwann. Jetzt.
Die Frage ist nicht, ob Passwörter verschwinden. Die Frage ist, ob Sie zu den Ersten gehören, die umsteigen – oder zu denen, die in drei Jahren noch „Passwort vergessen?“ klicken.
Spoiler: Sie wissen, was die richtige Antwort ist. Und Ihr Passwort „Sommer2025!“ weiß es auch.
