Microsoft hat im April 2025 das größte Sicherheitsupdate seit Jahren angekündigt: „passwordless by default” für alle neuen Microsoft-Konten und neue Microsoft-365-Tenants. Was zunächst nur den Consumer-Bereich betraf, wird im Mai/Juni 2026 schrittweise auf bestehende Business-Premium-Tenants ausgerollt. Wer 2026 noch mit klassischen Passwörtern arbeitet, ist plötzlich der Außenseiter — und ein wachsendes Sicherheitsrisiko.
Wir betreuen als IT-Dienstleister in Hamburg seit 2024 die Passkey-Migration für mittelständische Unternehmen. Dieser Artikel ist der Praxis-Fahrplan: Was Passkeys wirklich sind, welche Hardware sich rechnet, wie der Migration-Plan in fünf Schritten aussieht und wo die typischen Stolpersteine liegen.
Passkeys sind FIDO2/WebAuthn-Schlüsselpaare, die klassische Passwörter komplett ersetzen. Microsoft schaltet seit April 2025 alle neuen Tenants „passwordless by default" — im Mai/Juni 2026 wird dies Default auch für bestehende Business-Tenants. Hamburger Mittelständler migrieren typisch in 5 Schritten: Status-Audit, Conditional-Access-Policy, Pilot, Rollout, Passwort-Lockdown. Hardware-Optionen: Microsoft Authenticator (kostenlos), YubiKey 5 NFC (rund 55 €), Windows Hello for Business (TPM-basiert).
Inhalt in Kürze
- Microsoft macht Ernst: Seit April 2025 alle neuen Tenants passwordless. Mai/Juni 2026 schrittweise Ausweitung auf bestehende Business-Premium-Kunden.
- Hardware-Optionen 2026: YubiKey 5 NFC (55 €), Token2 (12–25 €), Microsoft Authenticator (kostenlos), Windows Hello for Business (TPM-basiert).
- 5-Schritt-Migration: Status-Audit, Conditional-Access-Policy, Pilot mit 5–10 Personen, Rollout, Passwort-Lockdown.
- Phishing-Resistenz: Passkeys prüfen den Domain-Namen kryptographisch — gefälschte Login-Seiten funktionieren nicht mehr.
- Lizenz: Windows Hello for Business braucht Microsoft 365 Business Premium (22 €/User/Monat) oder Entra ID P1 als Add-on.
Was Passkeys wirklich sind — und warum sie Passwörter ersetzen
Klassische Passwörter haben ein fundamentales Designproblem: Sie sind ein „Shared Secret”. Sie geben Ihre Zeichenkette ein, die Website prüft sie gegen den gespeicherten Hash. Funktioniert seit 1961, ist aber 2026 nicht mehr sicher genug. Probleme:
- Phishing: Mit gefälschten Login-Seiten lassen sich Passwörter abgreifen. Bitkom misst 2025 rund 56 % aller erfolgreichen KMU-Cyberangriffe als Phishing-getrieben.
- Wiederverwendung: Mitarbeiter nutzen dasselbe Passwort für 5 bis 15 Dienste. Ein Datenleck bei einem Anbieter kompromittiert alle anderen.
- Brute-Force: Mit modernen GPU-Clustern fallen 8-stellige Passwörter binnen Sekunden. Selbst 12-stellige Komplexpasswörter sind nicht mehr unangreifbar.
- Speicherung: Versendete Passwörter müssen serverseitig irgendwo verarbeitet werden — Hashing-Algorithmen wie bcrypt sind sicher, aber nicht jeder Anbieter implementiert sie korrekt.
Passkeys lösen das mit asymmetrischer Kryptographie. Statt einem Shared Secret arbeitet das Verfahren mit einem Schlüsselpaar:
- Bei der Registrierung erzeugt Ihr Gerät (Smartphone, Hardware-Token, Laptop-TPM) ein kryptographisches Schlüsselpaar. Der private Schlüssel bleibt auf dem Gerät, der öffentliche Schlüssel geht an Microsoft.
- Beim Login sendet Microsoft eine zufällige Challenge an Ihr Gerät. Das Gerät signiert die Challenge mit dem privaten Schlüssel und schickt die Signatur zurück.
- Microsoft prüft die Signatur mit dem öffentlichen Schlüssel — passt sie, sind Sie eingeloggt. Das Passwort wird nie übertragen, kann also auch nicht abgegriffen werden.
- Phishing-Schutz entsteht dadurch, dass Ihr Gerät die Domain prüft. Eine Phishing-Seite mit anderer URL bekommt vom Gerät keine gültige Signatur — der Angriff scheitert kryptographisch.
Vor der Passkey-Migration im November 2025 hatten die Anwälte einen Phishing-Vorfall pro Quartal mit knapper Schadensvermeidung durch MFA-Rückfrage. Sechs Monate nach dem Passkey-Rollout: null Phishing-bezogene Sicherheitsvorfälle. Mitarbeiter loggen sich mit Face ID auf dem iPhone ein, die alten Passwörter sind deaktiviert. Die Geschäftsführerin hat den Rollout als „den wichtigsten IT-Schritt der letzten fünf Jahre" beschrieben.
Microsoft „passwordless by default” — was im Mai/Juni 2026 passiert
Microsoft hat den passwortfreien Standard in mehreren Phasen ausgerollt. Der Microsoft Tech Community Blog zu Authentifizierung dokumentiert den vollen Verlauf:
| Datum | Meilenstein |
|---|---|
| April 2025 | Alle neuen Consumer-Microsoft-Accounts ohne Passwort |
| Juli 2025 | Microsoft 365 Personal/Family standardmäßig passwortfrei |
| November 2025 | Alle neuen Business-Tenants ohne Passwort-Default |
| April 2026 | Bestehende Business-Standard-Tenants bekommen Passkey-Aufforderung |
| Mai/Juni 2026 | Schrittweise Aktivierung „passwordless by default” für Business Premium |
| Q3 2026 | Voraussichtlich vollständiger Roll-out für alle E3/E5-Tenants |
„Passwordless by default” bedeutet nicht „Passwort verboten”. Bestehende Passwörter bleiben gültig, neue Konten werden aber primär mit Passkey-Methoden eingerichtet. Nutzer werden aktiv aufgefordert, eine Passkey-Methode (Authenticator, Hardware-Token, Windows Hello) hinzuzufügen. Der vollständige Passwort-Lockdown ist optional konfigurierbar.
Hardware-Optionen 2026 — was rechnet sich für Hamburger KMU?
Es gibt drei etablierte Wege zu Passkeys. Jeder hat seine Stärken:
Option 1: Microsoft Authenticator auf iOS/Android (kostenlos)
Die offizielle Microsoft Authenticator App speichert Passkeys ab Version 6.8 (seit November 2024). Vorteile:
- Kostenlos, immer dabei (Smartphone), einfache Einrichtung.
- Funktioniert mit Face ID/Touch ID/PIN auf iPhone und Android.
- Cross-Device-Login per QR-Code: Sie scannen am Desktop einen QR-Code, bestätigen am Smartphone — sind eingeloggt.
- Cloud-Sync zwischen iOS-Geräten (iCloud Keychain) und Android-Geräten (Google Password Manager) — Sie verlieren den Zugriff nicht beim Geräte-Tausch.
Nachteile:
- Smartphone wird Single Point of Failure — Akku leer, Display kaputt, gestohlen heißt: kein Login.
- Cross-Device-Login per QR-Code braucht Bluetooth-Proximity — funktioniert nicht in Bunker-Räumen oder bei stark eingeschränkten Geräten.
- Bring-Your-Own-Device-Themen: Mitarbeiter-Smartphone als Firmen-Login-Anker erzeugt Compliance-Fragen.
Unsere Empfehlung: Authenticator ist der richtige Weg für die Mehrheit der Mitarbeiter (rund 70–80 %). Kostenlos, sicher, alltagstauglich.
Option 2: Hardware-Token (FIDO2)
| Token | Preis | Schnittstelle | Anwendung |
|---|---|---|---|
| YubiKey 5 NFC | ~55 € | USB-A + NFC | Standard für KMU |
| YubiKey 5C NFC | ~65 € | USB-C + NFC | moderne Laptops |
| YubiKey 5 Nano | ~50 € | USB-A (klein) | dauerhaft eingesteckt |
| YubiKey Bio | ~95 € | USB-A + Fingerabdruck | Höchste Sicherheit |
| Token2 i2-PIN+ | ~25 € | USB-A + NFC | Budget-Alternative |
| Token2 Release 2 | ~12 € | USB-A | Massen-Rollouts |
Die FIDO Alliance zertifiziert alle gängigen Hardware-Token nach demselben Standard — funktional sind YubiKey und Token2 austauschbar. Yubico hat in Hamburg einen größeren Footprint im Enterprise-Bereich, Token2 punktet bei Budget-Projekten.
Vorteile:
- Höchste Sicherheit (Schlüssel verlässt das Token nie).
- Geräte-unabhängig — funktioniert an jedem USB-Port.
- Kein Single Point of Failure auf dem Smartphone.
Nachteile:
- Kosten von 12 bis 95 € pro Stück, plus Logistik (Ersatz-Token).
- Mitarbeiter müssen physisch achtsam sein — verlorener Token bedeutet Sperrung und Neuausgabe.
- Backup-Token sinnvoll (zweiter Token pro Person), erhöht Kosten.
Unsere Empfehlung: YubiKey 5 NFC für Geschäftsführung, IT-Admins, Außendienst, Mitarbeiter mit Zugriff auf sensible Daten (Mandantenakten, Personalakten, Finanzdaten). Plus einen Backup-Token pro Person — in der Schublade im Büro, nicht in der Hosentasche.
Option 3: Windows Hello for Business (TPM-basiert)
Windows Hello for Business nutzt den TPM-2.0-Chip (Trusted Platform Module) im Laptop oder PC, um Passkeys gerätegebunden zu speichern. Anmeldung erfolgt mit Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
Vorteile:
- Keine zusätzliche Hardware-Anschaffung (TPM ist in modernen Laptops Standard seit 2020).
- Integriert in Windows 10/11 — keine extra App.
- Zentral verwaltbar über Intune und Conditional Access.
- Funktioniert ohne Smartphone — wichtig in regulierten Umgebungen.
Nachteile:
- Gerätegebunden — bei Gerätewechsel muss Hello neu eingerichtet werden.
- Funktioniert nicht auf macOS, iOS, Android, Linux.
- Voraussetzung: TPM 2.0, Windows 10 Pro/Enterprise oder Windows 11, Microsoft 365 Business Premium oder Entra ID P1.
Unsere Empfehlung: Windows Hello for Business als zusätzliche Methode, nicht als alleinige. In Kombination mit Authenticator und/oder YubiKey funktioniert Hello sehr gut. Für reine Windows-Umgebungen ist Hello die schnellste Anmeldemethode (Face-Erkennung in unter einer Sekunde).
Der Migration-Plan in fünf Schritten
Aus 18 Monaten Praxis-Rollouts haben wir den Migration-Plan in fünf klare Schritte standardisiert. Für ein 30-Mitarbeiter-Unternehmen in Hamburg dauert das typisch 4 bis 6 Wochen.
Schritt 1: Status-Audit (Woche 1)
Bestandsaufnahme der aktuellen Authentifizierungs-Landschaft:
- Welche MFA-Methoden sind aktiv? Microsoft Authenticator? SMS? Telefonanruf? E-Mail-Codes?
- Wer hat MFA, wer nicht? Lückenanalyse über alle Konten.
- Welche Conditional-Access-Policies existieren? Bedingte Zugriffsregeln, Trusted Locations, Risk-based Sign-In.
- Welche Lizenz-Stufe? Business Standard (kein Hello for Business), Business Premium (Hello möglich), E3/E5.
- Welche Endgeräte? Windows-Version, macOS-Anteil, iOS-/Android-Mix.
- Welche Legacy-Systeme? Anwaltssoftware, DATEV, Branchenlösungen — die nicht modern authentifizieren können.
Ergebnis: Status-Report und Empfehlung zur Methoden-Mischung pro Mitarbeitergruppe.
Schritt 2: Conditional-Access-Policy-Design (Woche 2)
Conditional Access ist das Steuerungs-Werkzeug für passwortfreien Login. Wir definieren typisch drei bis fünf Policies:
| Policy-Name | Trigger | Anforderung |
|---|---|---|
| Admin-Login | Rolle: Global Administrator | Passkey + Hardware-Token zwingend |
| Sensitive Apps | Zugriff auf Personalakten/Mandantenakten | Passkey + Compliant Device |
| Standard-Apps | alle anderen Apps | Passkey (eine Methode) |
| Außendienst | nicht-vertraute Standorte | Passkey + zusätzliche Bestätigung |
| Legacy-Apps | IMAP/POP3-Zugriff | komplett blockiert |
Wichtig: Policies werden zunächst im Report-only-Modus aktiviert. So sieht man vier Wochen lang, was passieren würde, ohne Mitarbeiter auszusperren.
Schritt 3: Pilot mit 5–10 Mitarbeitern (Woche 3)
Auswahl der Pilot-Gruppe nach Kriterien:
- Technikaffin, aber nicht ausschließlich IT-Team — auch normale Anwender testen.
- Repräsentativ für die Rollen im Unternehmen (GF, Sachbearbeitung, Vertrieb, Buchhaltung).
- Tolerant für kleine Reibungen — die ersten Tage sind nie ganz reibungslos.
Im Pilot:
- Authenticator-App installieren und Passkey einrichten.
- Geschäftsführung und IT-Admins erhalten zusätzlich YubiKey 5 NFC.
- Windows Hello for Business auf neuen Geräten aktivieren.
- Conditional-Access-Policies für Pilot-Gruppe scharfschalten.
Ziel: Vier Wochen reibungslos passwortfrei arbeiten. Alle Stolpersteine dokumentieren, FAQ für Mitarbeiter erstellen.
Schritt 4: Phasenweiser Rollout (Woche 4–6)
Roll-out in drei Wellen:
- Welle 1 — Administration und Geschäftsführung: Höchstes Sicherheitsbedürfnis, höchste Risikoexposition. YubiKey + Authenticator + Hello.
- Welle 2 — Sachbearbeitung und Sales: Standard-Mitarbeiter mit Microsoft-365-Vollzugriff. Authenticator als Primärmethode, Hello als Sekundärmethode.
- Welle 3 — Sonderrollen und externe Mitarbeiter: Werkstudenten, Freelancer, Außendienst. Authenticator-only.
Pro Welle:
- 30-Minuten-Live-Schulung (oder Mini-Video).
- Self-Service-Einrichtung über Anleitung.
- IT-Hotline für die ersten zwei Wochen erhöht besetzt.
Schritt 5: Passwort-Lockdown (Woche 8–12, optional)
Nach 8 bis 12 Wochen erfolgreichem Passkey-Betrieb empfehlen wir den vollständigen Passwort-Lockdown. Konkret:
- Conditional Access blockiert Passwort-basierte Logins.
- Microsoft Authenticator wird einzige akzeptierte primäre Methode (plus YubiKey für definierte Rollen).
- Passwort-Reset-Funktionen werden auf Help-Desk-only umgestellt — kein Self-Service über Sicherheits-Fragen mehr.
- Service-Accounts (für Drucker, Backup-Software, Monitoring) werden auf Workload Identities oder Managed Identities umgestellt.
Microsoft macht „passwordless by default", erzwingt aber nicht den Passwort-Lockdown. Wir empfehlen den Lockdown erst nach 8–12 Wochen reibungslosem Passkey-Betrieb. Vorher müssen alle Legacy-Themen geklärt sein, sonst sperren Sie aus Versehen wichtige Workflows aus.
Wir haben die Passkey-Migration in den letzten 12 Monaten bei 17 Hamburger Unternehmen gemacht. Was mich überrascht: Die Akzeptanz bei den Mitarbeitern ist erstaunlich hoch. Nach zwei Wochen wollen die meisten ihr altes Passwort nicht mehr — Face ID auf dem iPhone ist einfach bequemer als ein 14-Zeichen-Komplexpasswort tippen. Die Frage „Warum haben wir das nicht früher gemacht?" kommt fast immer.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Typische Stolpersteine — und wie wir sie umgehen
In jedem Passkey-Rollout begegnen uns dieselben fünf Themen:
- Legacy-Anwendungen mit IMAP/POP3: Outlook auf alten iPads, Drittsoftware mit altem Outlook-Konnektor, Branchenlösungen ohne Modern-Auth-Unterstützung. Lösung: Liste der Legacy-Verbindungen erstellen, schrittweise auf OAuth 2.0 umstellen oder App-Passwörter mit klarem Auslauf-Datum.
- Mitarbeiter ohne Smartphone: 5–10 % der Mitarbeiter haben kein dienstliches oder privates Smartphone, das sie für Authenticator nutzen wollen. Lösung: YubiKey 5 NFC zur Verfügung stellen. Kein Mitarbeiter darf wegen fehlender Hardware ausgeschlossen werden.
- Externe Beratung/Outsourcing-Partner: Steuerberater, Wirtschaftsprüfer, externe Buchhaltung — brauchen ggf. eingeschränkten Zugriff. Lösung: Guest-Accounts in Entra ID mit eigenen Passkey-Anforderungen.
- BYOD-Diskussion: Mitarbeiter wollen nicht ihr privates Smartphone für Firmen-Login nutzen. Lösung: Klare BYOD-Policy mit Datenschutzhinweisen oder dienstliches Smartphone für betroffene Rollen.
- Service-Accounts: Konten für Drucker, Backup-Software, Monitoring-Tools, RPA-Bots. Diese können keine Passkey nutzen. Lösung: Umstellung auf Managed Identities (Microsoft Graph), Service Principals oder Workload Identities. Komplexer, aber sicherer als Passwörter.
DSGVO, NIS-2 und Cyber-Versicherung — Passkeys als Compliance-Hebel
Passkeys sind nicht nur Sicherheits-Update, sondern auch Compliance-Booster:
- DSGVO Art. 32: „Stand der Technik” bei Authentifizierung. Passkeys gelten 2026 als Stand der Technik — klassische Passwörter zunehmend nicht mehr.
- NIS-2: Multi-Faktor-Authentifizierung ist Pflicht. Passkeys sind die stärkste MFA-Form, erfüllen die NIS-2-Anforderung deutlich besser als SMS-MFA.
- Cyber-Versicherer: Hiscox, Allianz, HDI verlangen MFA überall. Mit Passkeys erfüllen Sie das in der höchstwertigen Form.
Für mehr Hintergrund zu den Compliance-Aspekten: NIS2 Beratung Hamburg und MFA & Passwort-Sicherheit für Unternehmen 2026.
Kosten-Beispiel: 30-Mitarbeiter-Unternehmen in Hamburg-Eppendorf
Ein typisches Hamburger KMU mit 30 Mitarbeitern, das aktuell Business Standard nutzt, kann die folgende Kalkulation als Orientierung nehmen:
| Posten | Einmalig | Jährlich |
|---|---|---|
| Hardware: 5 YubiKey 5 NFC + 5 Backup-Token | 550 € | – |
| Lizenz-Upgrade Business Standard → Premium (30 × 8,40 €) | – | 3.024 € |
| Beratung und Rollout (hagel IT, Festpreis 30 MA) | 5.800 € | – |
| Mitarbeiter-Schulungen (2 × 90 Min, 3 Wellen) | im Festpreis enthalten | – |
| Gesamt | 6.350 € | 3.024 € |
Im Vergleich: Ein einziger Phishing-Vorfall kostet im deutschen Mittelstand laut Bitkom durchschnittlich 220.000 € (Lösegeld, Betriebsausfall, Forensik, Reputation). Die Passkey-Migration ist eine Größenordnung kleiner als das vermiedene Risiko.
Wir hatten zwei Phishing-Fast-Vorfälle im letzten Jahr — zum Glück durch unsere alte SMS-MFA gerettet. Nach der Passkey-Migration im März 2026 ist das Thema einfach weg. Mitarbeiter loggen sich mit Face ID ein, Schluss mit Passwort-Notizzetteln, Schluss mit Reset-Tickets. Hat zwei Monate Vorbereitung gekostet, dafür ist es heute eine andere Welt.
Lead-Magnet: SECURED Cybersicherheits-Leitfaden
Vergleich: Passkeys vs. klassische MFA-Methoden
| Methode | Phishing-Resistent | Aufwand für Nutzer | Kosten pro Person | Verbreitung 2026 |
|---|---|---|---|---|
| Passwort allein | nein | niedrig | 0 € | sinkt rapide |
| SMS-MFA | nein (SIM-Swap) | mittel | 0 € | rückläufig |
| Microsoft Authenticator (Push) | bedingt | mittel | 0 € | stabil |
| Microsoft Authenticator (Passkey) | ja | niedrig | 0 € | steigt stark |
| YubiKey FIDO2 | ja | sehr niedrig | 55–65 € | wächst |
| Windows Hello for Business | ja | sehr niedrig | TPM (in Hardware) | wächst |
Die BSI-Empfehlung zur Multi-Faktor-Authentifizierung bezeichnet seit 2024 SMS-basierte MFA als „nicht mehr Stand der Technik”. Hardware-Token und Authenticator-Passkeys gelten als Goldstandard.
Ihr nächster Schritt — kostenloses 15-Minuten-Erstgespräch
Sie wollen wissen, wie die Passkey-Migration für Ihr Hamburger Unternehmen aussieht und was sie kostet? In 15 Minuten klären wir:
- Welche Microsoft-365-Lizenzen Sie aktuell nutzen — und was Sie für passwordless brauchen.
- Welche Mitarbeitergruppen welche Methode bekommen (Authenticator vs. YubiKey vs. Hello).
- Wie der Migration-Plan für Ihre Unternehmensgröße konkret aussieht.
- Was der Festpreis-Rollout in Wochen und Euro bedeutet.
Kein Vertriebsdruck, keine Vorab-Recherche nötig. Wir sind seit 18 Jahren IT-Systemhaus in Hamburg und haben den Weg in Dutzenden Mandanten gegangen. Die kontinuierliche Betreuung läuft typischerweise über unsere Managed-IT-Services mit integriertem Identity-Management.
Passkey-Migration für Ihr Hamburger Unternehmen?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Termin buchen →Weiterführende Quellen
- Microsoft Learn — Passwordless authentication options
- FIDO Alliance — Passkeys.dev
- BSI — Zwei-Faktor-Authentisierung
- Microsoft Tech Community — Identity Blog
- BSI-Lagebericht 2025
Verwandte Artikel auf unserem Blog: Das MFA-Level-Up — warum SMS-Codes 2026 fahrlässig sind, So schützt Multi-Faktor-Authentifizierung Ihr Business, Können Passwort-Manager gehackt werden?, Homeoffice sicher gestalten mit Zero Trust.
