Kurz vorweg: Passkeys lösen 2026 das Passwort in den meisten Schweizer KMU-Workflows ab. Wichtigste Fakten:
- • Passkeys = FIDO2/WebAuthn – ein kryptographisches Schlüsselpaar pro Dienst. Privater Schlüssel verlässt das Gerät nie.
- • Phishing technisch unmöglich – Domain-Bindung im Browser.
- • Microsoft, Google, Apple, GitHub, AWS, Cloudflare und 1Password unterstützen Passkeys 2026 produktiv.
- • Kosten für 50-Personen-KMU: CHF 0 (Software-Only) bis CHF 15'000 (mit YubiKeys + Beratung).
- • ROI in 12–18 Monaten durch wegfallende Passwort-Resets und 90% weniger erfolgreiche Phishing-Angriffe.
Was sind Passkeys – die Technik in 60 Sekunden
Passkeys basieren auf dem FIDO2-Standard (Fast Identity Online), der aus zwei Komponenten besteht: WebAuthn als Browser-API (W3C-Standard, seit 2019 in allen Browsern) und CTAP als Geräteprotokoll. Bei der Registrierung erzeugt das Gerät – iPhone, Android, Windows-PC, Mac, YubiKey – ein eindeutiges Schlüsselpaar pro Dienst. Der private Schlüssel bleibt geschützt im Secure Enclave, TPM oder Hardware-Token. Der öffentliche Schlüssel landet beim Online-Dienst.
Beim Login schickt der Dienst eine Challenge, das Gerät signiert sie mit dem privaten Schlüssel und der Browser prüft die Domain. Weil kein gemeinsames Geheimnis übertragen wird und die Domain-Bindung Phishing technisch ausschliesst, sind Passkeys 2026 die einzige weit verfügbare Authentifizierung, die NIST SP 800-63B AAL3 erfüllt – die höchste Vertrauensstufe.
Synced vs. Device-bound Passkeys
| Typ | Speicher | Sync | AAL-Level | KMU-Eignung |
|---|---|---|---|---|
| Synced (iCloud Keychain) | iPhone/Mac Secure Enclave | iCloud E2E | AAL2 | Standard für Apple-Flotten |
| Synced (Google Password Manager) | Android/Chromebook | Google Cloud E2E | AAL2 | Standard für Android/Workspace |
| Synced (1Password / Bitwarden) | Passwort-Manager-Vault | Cross-Device E2E | AAL2 | Plattform-übergreifend |
| Device-bound (Windows Hello) | TPM 2.0 | Kein Sync | AAL2/AAL3* | Windows 11-Standard |
| Device-bound (YubiKey 5) | Hardware-Token | Kein Sync | AAL3 | Admin & FINMA-Compliance |
| Device-bound (Token2 Swiss) | Hardware-Token (CH) | Kein Sync | AAL3 | Souveränitäts-Fokus |
Für die meisten KMU ist die Kombination Synced-Passkey (Tagesgeschäft) plus Device-bound-YubiKey (Admin- und Recovery-Konten) die richtige Wahl. Reine Synced-Passkeys sind komfortabel, aber die End-to-End-Verschlüsselung im Cloud-Backup ist nur so sicher wie das jeweilige iCloud-/Google-Konto.
Passkey-Support in den wichtigsten KMU-Plattformen
| Plattform | Passkey-Status 2026 | Phishing-Resistant MFA | Admin-Pflicht |
|---|---|---|---|
| Microsoft Entra ID | GA – Passkey Sign-in für alle Tenants | Conditional Access "Phishing-resistant MFA" | Empfohlen Q3 2026 |
| Google Workspace | GA – als Default für neue Accounts | Context-Aware Access | Standard ab Business Plus |
| Apple Business Manager | GA – Managed Apple ID mit Passkey | ASA & Platform SSO | iOS 17+ / macOS 14+ |
| GitHub Enterprise | GA – Passkey + WebAuthn | SAML SSO mit Passkey | Pflicht für 2FA-Enforcement |
| AWS IAM Identity Center | GA – FIDO2-Token & Passkey | MFA-Policy enforced | Root-Account-Pflicht |
| Cloudflare Zero Trust | GA – WebAuthn für Access | Service-Token mit FIDO2 | Admin-Pflicht |
| Bexio | Pilot – Passkey-Beta | SMS-Fallback (Roadmap) | Q4 2026 GA erwartet |
| 1Password / Bitwarden | GA – Passkey Save & Sync | Master-Vault per Passkey | Empfohlen Q2 2026 |
12-Wochen-Roadmap: KMU passwordless
Woche 1–3: Inventur & Hardware
Alle Konten und Apps inventarisieren. Welche unterstützen FIDO2/Passkey, welche nur OTP, welche gar nichts? YubiKey 5C NFC oder Token2 Switzerland bestellen – pro Admin zwei Tokens (einer als Backup im Tresor).
Woche 4–6: Admin-Konten zuerst
Entra ID Global Admins, Google Super-Admins, AWS Root, GitHub Org-Owner – diese Konten werden zuerst auf Phishing-resistente MFA umgestellt. Break-Glass-Account dokumentieren (zwei YubiKeys, Tresor + Safe an zweitem Standort).
Woche 7–9: Pilotgruppe & Schulung
15–25 Mitarbeitende aus IT, Geschäftsleitung und ein "Power-User"-Team pilotieren Passkey auf Smartphone + Laptop. 30-Minuten-Schulung, FAQ, Helpdesk-Skript. Conditional-Access-Regel "Phishing-resistant MFA" für die Gruppe aktivieren.
Woche 10–12: Roll-out & Passwort-Entzug
Rest der Belegschaft schrittweise umstellen. Nach 4 Wochen erfolgreicher Nutzung Passwort-Login per Conditional Access deaktivieren (Block legacy auth, require Passkey). Helpdesk-Kontingent für Lost-Device-Fälle.
Kosten und ROI für ein 50-Personen-KMU
| Posten | Software-Only | Hybrid (Soft + 10 YubiKeys) | Hardware-Pflicht (alle) |
|---|---|---|---|
| Hardware-Token | CHF 0 | CHF 700 | CHF 5'500 |
| Beratung & Einführung | CHF 6'000 | CHF 9'000 | CHF 12'000 |
| Schulung & Material | CHF 2'000 | CHF 2'500 | CHF 3'500 |
| Lizenzen (zusätzlich) | CHF 0* | CHF 0* | CHF 0* |
| Einmal-Total | CHF 8'000 | CHF 12'200 | CHF 21'000 |
| Laufend pro Jahr | CHF 0 | CHF 500 (Ersatz) | CHF 1'200 (Ersatz) |
* In Microsoft 365 Business Premium, Entra ID P1/P2 und Google Workspace Business Plus ist Passkey-Authentifizierung bereits enthalten. ROI typischerweise 12–18 Monate: Eingesparte Helpdesk-Tickets (durchschnittlich CHF 25 pro Passwort-Reset, 4–6 pro Mitarbeiter*in pro Jahr) plus vermiedene Phishing-Schäden (Median CHF 35'000 laut NCSC-Quartalsbericht 2026 für Schweizer KMU).
Typische Stolpersteine bei der Einführung
- Kein Recovery-Plan: Wer nur einen Passkey hat und das Gerät verliert, ist gesperrt. Pro Konto mindestens zwei Passkeys (Geräte- oder Hardware-Backup), plus dokumentierter Recovery-Prozess.
- Legacy-Apps mit Basic Auth: Alte Mailclients, On-Prem-Anwendungen oder Linienanwendungen mit Passwort-Login bleiben Phishing-Eintrittspunkt. Erst Inventur, dann Modernisierung oder Conditional Access blockieren.
- SMS-Fallback nicht entfernt: Wer Passkey einführt, aber SMS-OTP als Backup lässt, hat weiterhin die Angriffsfläche SIM-Swap. SMS muss als Auth-Faktor deaktiviert werden.
- Synced-Passkeys ohne starke Apple-ID/Google-Konto: Wenn das iCloud-Konto noch mit SMS-MFA geschützt ist, ist der Sync-Passkey nur so gut wie das SMS. Cloud-Konten zuerst absichern.
- Schatten-IT mit eigenen Logins: Mitarbeitende melden sich bei externen Tools (Trello, Notion, Canva) mit Privat-Mail an – die sind nicht im Entra-Conditional-Access. Tool-Liste pflegen, SSO durchsetzen.
- Hardware-Token ohne Asset-Management: YubiKeys gehören wie Schlüssel inventarisiert. Bei Austritt: Konto erst sperren, dann YubiKey zurücknehmen und Seriennummer aus der Whitelist löschen.
- Falsche Reihenfolge: Erst Belegschaft, dann Admins – häufiger Fehler. Admin-Konten sind das primäre Ransomware-Ziel und müssen zuerst phishing-resistent werden.
Passkeys, revDSG, FINMA und NIS2
Das revidierte Datenschutzgesetz fordert "dem Risiko angemessene technische und organisatorische Massnahmen". Phishing-resistente Authentifizierung gilt 2026 als Stand der Technik – wer bei einem Vorfall noch reine Passwort-MFA nutzt, hat im DSFA und im Schadenfall ein Begründungs-Problem.
FINMA-Rundschreiben 2018/3 (Outsourcing) und 2023/1 (Operationelle Risiken) erwähnen explizit starke Authentifizierung. NIS2 (in der Schweiz über das ISG umgesetzt) fordert Multi-Faktor-Authentifizierung für Zugriff auf wesentliche und wichtige Systeme. Passkeys erfüllen alle drei Anforderungen mit einem Schlag.
Für Cyberversicherungen ist Phishing-resistente MFA 2026 zunehmend Voraussetzung für volle Deckung – mehrere Schweizer Versicherer reduzieren die Selbstbeteiligung bei nachweisbarer FIDO2-Einführung um 20–40%.
Fazit: Passkey-Pflicht 2026, nicht 2027
Wer 2026 noch mit Passwort + SMS-OTP arbeitet, baut bewusst eine veraltete Sicherheitsstufe. Microsoft, Google und Apple drücken Passkeys aktiv in den Standard – jede Quartals-Aktualisierung von Entra, Workspace und iOS verschiebt mehr Default-Einstellungen Richtung passwordless.
Schweizer KMU starten am besten mit Admin-Konten, dem M365- oder Workspace-Tenant und einem Pilot von 15–25 Personen. In 12 Wochen ist eine 50-Personen-Firma sauber passwordless – mit messbar weniger Helpdesk-Tickets, weniger erfolgreichen Phishing-Versuchen und einer revDSG-/FINMA-tauglichen Authentifizierung, die auch in fünf Jahren noch Standard ist.
Passkey-Einführung für Ihr KMU
Wir auditieren Ihre Identitäts- und Authentifizierungs-Landschaft, definieren die richtige Passkey-Strategie (Synced, Hardware, Hybrid), liefern YubiKey/Token2 und führen Entra-/Workspace-Roll-out in 12 Wochen durch.
Beratung anfragen