FIDO2 in der Praxis:Compliance und Kontrolle neu gedacht
13. Juni 2025
FIDO2 (Fast IDentity Online 2) setzt mehr denn je auf technische Unumgänglichkeit – durch zwei Komponenten. Ein privater Schlüssel eines Nutzers verbleibt ausschließlich auf dessen Endgerät. Der FIDO2-Key dagegen ist sicher gespeichert und kann unter keinen Umständen exportiert werden.
Die klassische Passwortpolitik verlässt sich auf menschliche Mitwirkung: Mitarbeiter sollen regelmäßig Passwörter ändern, komplexe Regeln befolgen und idealerweise keine Zugangsdaten mehrfach verwenden.
Doch in einer Zeit, in der Cyber-Angriffe auf das eigene Unternehmen zunehmend wahrscheinlich werden, verkörpert der Mensch häufig die größte Schwachstelle. Auch die Kombination mit Einmalcodes oder App-basierten Logins, die scheinbar die Sicherheit erhöht, bleibt am Ende anfällig für Phishing, Session Hijacking oder einfache Bedienfehler.
FIDO2 kehrt diese Strategie um und setzt mehr denn je auf technische Unumgänglichkeit – durch zwei Komponenten. Ein privater Schlüssel eines Nutzers verbleibt ausschließlich auf dessen Endgerät, etwa einem Smartphone, Laptop oder einem dedizierten FIDO2-Token. In einem sogenannten Secure Element bzw. Trusted Platform Module (TPM) ist der FIDO2-Key sicher gespeichert und kann unter keinen Umständen exportiert werden – selbst dann nicht, wenn ein Angreifer physischen Zugriff auf das Gerät hat.
Ein öffentlicher Schlüssel wird beim jeweiligen Identity Provider registriert und dient dort zur Verifikation. Diese Art der Authentifizierung ermöglicht den sicheren Einsatz eines einzigen FIDO2-Keys bei mehreren Identity Providern, ohne dass sicherheitskritische Informationen geteilt werden.
Die Authentifizierung erfolgt also ohne Passwort, ohne übertragene Geheimnisse und ohne Angriffspunkte für klassische Credential-Angriffe. Für die IT entfällt damit ein erheblicher Teil des administrativen Aufwands. Ebenso reduzieren sich typische, klassische Probleme wie das Vergessen von Passwörtern oder die Rücksetzung und die zentrale Passwortspeicherung.
Compliance durch Klarheit
Aus regulatorischer Sicht ist FIDO2 gleichfalls ein Gewinn. In Zeiten von NIS2, ISO 27001 oder BSI-Grundschutz genügt es nicht mehr, Sicherheitsmaßnahmen zu dokumentieren. Sie müssen nachvollziehbar, wirksam und revisionssicher sein. Klassische Passwortstrategien geraten hier schnell an ihre Grenzen: Sie sind schwer zu kontrollieren, verursachen hohen internen Aufwand und bieten darüber hinaus keine Garantie gegen Missbrauch.
FIDO2 hingegen ermöglicht es, Compliance-Anforderungen auf technischem Weg zu erfüllen. Die kryptografische Architektur schützt sensible Daten bereits im Authentifizierungsvorgang, der nicht mehr auf der Übermittlung geheimer Informationen basiert. Damit erfüllen Verantwortliche Datenschutzauflagen wie auch Anforderungen an Integrität und Vertraulichkeit – ganz ohne zusätzliche Belastung der IT-Abteilung. Unternehmen, die formal nicht reguliert sind, sich aber für mehr Sicherheit starkmachen, profitieren ebenso von Vorteilen: Gerade die nachweisbare Reduktion von Sicherheitslücken, der geringere Wartungsaufwand und eine klare Architektur für die Identitätsverwaltung ziehen ein reduziertes Risiko und minimierte Kosten nach sich.
Vom Rollout zur Steuerbarkeit
Ein erfolgreicher FIDO2-Rollout ist mehr als die Verteilung von Schlüsseln oder das Aktivieren neuer Authentifizierungsmethoden. Die IT muss den vollständigen Lebenszyklus der Credentials mitdenken – von der Erstregistrierung über die tägliche Nutzung bis hin zur Deaktivierung oder Erneuerung. Besonders in heterogenen Umgebungen gilt es, Kompatibilitäten mit vorhandenen Identity Providern, Authentifizierungsdiensten und Betriebssystemen zu prüfen.
Darüber hinaus muss die Verwaltung der Authenticator geregelt sein: Welche Geräte dürfen registriert werden? Wie lässt sich Missbrauch durch unautorisierte Registrierung verhindern? Diese Fragen sind essenziell, denn sie berühren Governance, Rollenmodelle und nicht zuletzt die IT-Compliance.
Ein oft unterschätzter Punkt sind dabei die Themen Recovery und Business Continuity: Was passiert, wenn ein Passkey-Gerät verloren oder ein Hardware-Key beschädigt wird? Organisationen müssen hier frühzeitig Backup-Szenarien definieren – etwa durch die Vergabe von Ersatz-Authenticator, Notfallkonten mit eingeschränktem Zugriff oder ein administriertes Wiederherstellungsverfahren. Der Standard erlaubt technisch verschiedene Ansätze. Es liegt an den Firmen, diese in Governance und IT-Serviceprozesse zu überführen, um im Ernstfall nicht in Workarounds zurückzufallen.
Alle Optionen durchdenken
Die Entscheidung zwischen Passkeys und physischen Sicherheitsschlüsseln gewinnt ebenso an Bedeutung: Passkeys bieten eine hohe Nutzerfreundlichkeit, erfordern jedoch ein präzises Geräte- und Synchronisationskonzept. Die IT muss steuern können, auf welchen Endgeräten Passkeys erstellt und genutzt werden dürfen – insbesondere in BYOD-Szenarien (kurz für Bring Your Own Device) oder bei geräteübergreifendem Arbeiten. Ohne eine passende Mobilgeräteverwaltung (MDM, Mobile Device Management) oder klare Richtlinien steigt das Risiko der unkontrollierten Verbreitung und der Verlust des zentralen Überblicks.
Sind alle Fragen geklärt, ist die Integration in bestehende Audit-Prozesse an der Reihe. FIDO2 liefert zwar technische Sicherheit, doch um diese formell nachweisen zu können, braucht es eine Protokollierng der Authentifizierungsereignisse sowie Mechanismen zur Verknüpfung von User-ID, Schlüssel-ID und Geräteidentität. Hierfür bietet der Standard Möglichkeiten – vorausgesetzt, die Architektur wird konsequent durchdacht.
Passwortlos, aber nicht orientierungslos
FIDO2 sollten Organisationen nicht als isolierte Maßnahme verstehen. Der Standard ist viel eher als strategische Entscheidung auf Infrastrukturebene zu fassen. Wer auf ihn setzt, entlastet seine IT, erhöht die Sicherheit, erfüllt regulatorische Anforderungen und verbessert zugleich die Nutzerakzeptanz. Sicherheit entsteht somit nicht durch Vertrauen, sondern durch technische Unumgänglichkeit – nachvollziehbar, skalierbar, revisionsfähig.
Für IT-Verantwortliche bietet FIDO2 zudem die Chance, das oft überfrachtete Thema Authentifizierung neu zu denken – nicht als Einschränkung, vielmehr als Voraussetzung für produktives und sicheres Arbeiten.
Mashhoud Ghadrdan Idlou ist Cloud & Application Consulting bei q.beyond und Marc Müller, Fachvertrieb Cloud bei q.beyond.
