Verizons DBIR 2024 führt 68 % der Datenpannen auf menschliche Faktoren zurück, wobei gestohlene Zugangsdaten nach wie vor der häufigste initiale Angriffsvektor sind. Single Sign-On sollte diese Angriffsfläche reduzieren — doch passwortbasiertes SSO konzentriert das Risiko: Eine kompromittierte Zugangsdaten genügt, um alle verbundenen Anwendungen offenzulegen.
Passwordless SSO verändert diese Gleichung grundlegend. Durch die Kombination eines Verbundidentitätsanbieters mit FIDO2-Authenticatoren, biometrischen Verfahren oder gerätgebundenen Passkeys entfällt das gemeinsame Geheimnis vollständig. Der Nutzer authentifiziert sich einmalig, kryptografischer Nachweis fließt zu jeder SAML- oder OIDC-Anwendung, und Phishing-Kits haben nichts mehr zu stehlen.
Dieser Leitfaden behandelt die Architektur, das Compliance-Mapping (NIS2, DORA, DSGVO), einen Anbietervergleich sowie ein Deployment-Playbook für IT-Entscheider, die einen Rollout 2026 planen — einschließlich gemeinsamer Workstations, Legacy-Apps und Account-Recovery.
Was ist Passwordless SSO und warum ist es jetzt relevant
Single Sign-On vs. Passwordless SSO: Der Unterschied im Überblick
Traditionelles SSO bündelt die Authentifizierung hinter einer zentralen Zugangsdaten und föderiert die Sitzung über SAML- oder OIDC-Assertions. Wird das initiale Passwort kompromittiert, erbt der Angreifer das gesamte Anwendungsportfolio. Passwordless SSO ersetzt diese Zugangsdaten durch einen kryptografischen Schlüssel, der an ein Gerät oder einen Hardware-Authenticator gebunden ist. Der Identity Provider validiert eine signierte Challenge — niemals ein gemeinsames Geheimnis — bevor er die gewohnten Verbundtoken ausstellt.
Warum 80 % der Datenpannen immer noch auf Passwörter zurückzuführen sind
Verizons DBIR führt konstant über 80 % aller Einbrüche auf gestohlene, wiederverwendete oder gephishte Zugangsdaten zurück. Passwortbasiertes SSO konzentriert dieses Risiko, anstatt es zu beseitigen. Die Eliminierung der Zugangsdaten auf IdP-Ebene — durch FIDO2-Keys oder Passkeys — schließt den Phishing-Vektor für alle nachgelagerten Apps.
Wie Passwordless SSO funktioniert: Der Authentifizierungsablauf
Vom Desktop-Login zum Zugriff auf nachgelagerte Anwendungen
Ein Mitarbeiter tippt einen Hideez Key an seine Workstation. Der lokale Client validiert die kryptografische Challenge, entsperrt die Windows-Sitzung und übermittelt die Identität des Nutzers an den IdP. Jede SAML- oder OIDC-Anfrage einer nachgelagerten App wird daraufhin mit einem signierten Token beantwortet — ohne Passwortabfrage. Der biometrische oder Hardware-Faktor verbleibt auf dem Gerät; nur Assertions werden übertragen.
SAML, OIDC und WebAuthn: Welches Protokoll wofür zuständig ist
WebAuthn regelt den Austausch zwischen Nutzer und Authenticator: Der Browser verifiziert die FIDO2-Zugangsdaten gegenüber der Relying Party. SAML überträgt die authentifizierte Identität über signierte XML-Assertions an Legacy-Enterprise-Apps, während OIDC moderne Cloud- und Mobile-Workloads über JSON Web Tokens abwickelt. Der IdP orchestriert alle drei und übersetzt ein einzelnes passwortloses Authentifizierungsereignis in Verbundzugriff über das gesamte Portfolio.
Passkeys, FIDO2 und WebAuthn: Begriffsklärung
Käufer verwechseln häufig drei Begriffe, die Anbieter synonym verwenden. Jeder beschreibt eine eigene Schicht desselben Stacks.
Die Beziehungsstruktur: FIDO2 = WebAuthn + CTAP
FIDO2 ist der übergeordnete Standard, der WebAuthn (die W3C-API für Browser) und CTAP2 (das Client-to-Authenticator Protocol, das einem externen Gerät wie einem Hardware-Key die Kommunikation mit dem Client ermöglicht) kombiniert. Passkeys sind eine UX-Schicht auf Basis von FIDO2-Zugangsdaten, die discoverable Credentials geräteübergreifend portabel machen.
Synchronisierte Passkeys, gerätgebundene Passkeys und Hardware-Keys: Wann was einsetzen
Synchronisierte Passkeys (iCloud Keychain, Google Password Manager) eignen sich für Consumer-Apps und BYOD. Gerätgebundene Passkeys passen zu Unternehmens-Laptops mit TPM-Attestierung. Hardware-Keys wie der Hideez Key bleiben die stärkste Option für regulierte Branchen, gemeinsam genutzte Workstations und jede Umgebung, die eine prüfbare, phishing-resistente Authentifizierung unabhängig vom Mobilgerät des Nutzers erfordert.
Authenticator-Vergleich: Biometrie, Mobile Push und FIDO2-Hardware-Keys
Jede Methode bringt Abwägungen in Bezug auf Sicherheitsniveau, Nutzererfahrung und Betriebskosten mit sich, die erst im Scale-Betrieb sichtbar werden.
Scorecard: Phishing-Resistenz, Prüfbarkeit und Portabilität
| Kriterium | Plattform-Biometrie | Mobile Push | FIDO2-Hardware-Key |
|---|---|---|---|
| Phishing-Resistenz | Hoch | Mittel | Maximum |
| Audit-Trail | Gerätlokal | App-abhängig | Zentralisiert über IdP |
| Portabilität über Endpunkte | Niedrig | Mittel | Hoch |
| Offline-Nutzung | Ja | Nein | Ja |
| Eignung für gemeinsame Workstations | Schlecht | Schlecht | Hervorragend |
Mobile Push bleibt anfällig für MFA-Fatigue-Angriffe, die von der CISA dokumentiert wurden. Hardware-Keys, die an WebAuthn-Challenges gebunden sind, neutralisieren diese Angriffskategorie.
3-Jahres-TCO pro Authenticator-Typ
Die biometrische Registrierung erscheint kostenlos, verbirgt jedoch versteckte Kosten für die Hardware-Erneuerung. Mobile Push erfordert MDM-Lizenzierung von rund 6 USD pro Nutzer/Monat. Ein FIDO2-Key, auf 36 Monate amortisiert, fällt auf unter 1,50 USD pro Nutzer/Monat — Ersatz-Key inklusive.
Regulatorische Compliance: NIS2, DORA, DSGVO, HIPAA, PCI-DSS
Compliance-Teams beschaffen Authentifizierungslösungen, weil Regulatoren phishing-resistente MFA, signierte Audit-Trails und nachweisbares Credential-Lifecycle-Management fordern. Passwordless SSO erfüllt diese Anforderungen in Kombination mit FIDO2-Hardware-Faktoren — einschließlich der Pflichten, die Finanzdienstleister unter DORA und PCI-DSS treffen.
Compliance-Mapping-Tabelle: Welche Kontrolle welche Anforderung abdeckt
| Funktion | NIS2 Art. 21 | DORA | DSGVO Art. 32 | HIPAA §164.312 | PCI-DSS 4.0 |
|---|---|---|---|---|---|
| Phishing-resistente MFA | ✓ | ✓ | ✓ | ✓ | Anf. 8.4 |
| Credential-Eliminierung | ✓ | ✓ | ✓ | ✓ | Anf. 8.3 |
| Signierte Audit-Logs | ✓ | ✓ | ✓ | ✓ | Anf. 10 |
| Sitzungswiderruf | ✓ | ✓ | — | ✓ | Anf. 8.2 |
EU-spezifische Anforderungen: NIS2 Artikel 21, DORA und ANSSI-Leitlinien
NIS2 Artikel 21(2)(j) verpflichtet wesentliche Einrichtungen zur MFA oder kontinuierlichen Authentifizierung. Die ANSSI-Empfehlungen zur Multi-Faktor-Authentifizierung nennen FIDO2-Keys ausdrücklich als bevorzugte Methode. DORA Artikel 9 erstreckt identische Pflichten auf Finanzunternehmen und ihre IKT-Drittdienstleister.
Passwordless SSO mit Okta, Entra ID, AD FS und PingFederate integrieren
Ihr bestehender Identity Provider bleibt bestehen. Hideez bindet sich als externer Authenticator in die Föderationsschicht ein — nicht als Ersatz-IdP.
Föderationsmuster: Claims Provider Trust, SAML-Delegation und OIDC-Bridging
Drei Muster decken 95 % aller Deployments ab. Mit Okta registriert sich Hideez als Identity Provider über Inbound-SAML; Okta behält die Policy-Orchestrierung. Mit Entra ID delegieren External Authentication Methods (EAM) oder Claims Provider Trust die FIDO2-Ceremony an Hideez, während Entra den finalen Token ausstellt. AD FS nutzt Claims Provider Trust über WS-Federation; PingFederate akzeptiert OIDC-Bridging über einen IdP-Adapter.
Kein Rip-and-Replace: IAM-Investitionen schützen
Ihr SAML-App-Katalog, Ihre Conditional-Access-Policies und Provisioning-Workflows bleiben erhalten. Hideez sitzt dem IdP vorgelagert und übernimmt die Authentifizierungs-Ceremony mit Hardware-Keys oder Passkeys. Keine Migration von Nutzerattributen, keine Re-Föderierung nachgelagerter Apps.
Legacy-Apps, gemeinsame Workstations und Frontline-Mitarbeiter absichern
Thick Clients, RDP und Mainframes über Reverse Proxies und RADIUS anbinden
Cloud-natives Passwordless SSO endet an der SAML-Grenze. Thick Clients, RDP-Gateways und AS/400-Terminals sprechen weder OIDC noch WebAuthn. Hideez schließt diese Lücke durch einen RADIUS-Proxy für VPNs und Netzwerkgeräte, Credential-Injection für Legacy-Windows-Apps und Reverse-Proxy-Publishing für interne Web-Tools ohne moderne Föderierung. Ihr IAM-Architekt ordnet jede App dem richtigen Shim zu, bevor der Rollout beginnt.
Tap-to-Login für Gesundheitswesen, Fertigung und Einzelhandels-Kiosks
Biometrie versagt, wenn Krankenschwestern Handschuhe tragen, Fabrikbediener ein Terminal schichtweise teilen oder Einzelhandelspersonal stündlich an einer Kasse wechselt. Ein portabler Hardware-Key, der an einen NFC-Reader gehalten wird, meldet den Nutzer in unter zwei Sekunden an und beim Entfernen wieder ab. Derselbe Hideez Key funktioniert offline, auf Windows-10-LTSC-Kiosks und in BYOD-beschränkten Bereichen, in denen Mobile-Authenticatoren verboten sind. Hideez bietet dedizierte Loesungen fuer Gesundheitswesen und klinische Umgebungen sowie Fertigung und Produktionsstaetten.
Account-Recovery und Fallback-Strategie
Die Frage, was passiert, wenn ein Nutzer seinen Key verliert, scheitert mehr Passwordless-SSO-Projekte als jede technische Einschraenkung. Ein glaubwuerdiger Recovery-Plan muss dem Risikoprofil des Nutzers entsprechen.
Recovery-Muster nach Nutzerrolle: Fuehrungskraft, Frontline, Auftragnehmer
Fuehrungskraefte benoetigen vorab registrierte Backup-Hardware-Keys in versiegelten Umschlaegen mit administrativ bezeugter Recovery. Frontline-Mitarbeiter profitieren von vorgesetzten-ausgestellten temporaeren Zugangsdaten, die fuer eine einzelne Schicht gelten und an die geteilte-Workstation-Policy gebunden sind. Auftragnehmer sollten sich auf zeitlich begrenzte Neuregistrierung ueber den IdP stuetzen, mit Vorgesetztenbestaetigung und automatischem Ablauf nach dem Auftrag.
Backup-Keys, Bypass-Codes und Self-Service-Neuregistrierung
Stellen Sie bei der Einarbeitung einen zweiten FIDO2-Key fuer jedes privilegierte Konto aus. Bypass-Codes bleiben fuer Break-Glass-Szenarien akzeptabel, wenn sie protokolliert und alle 90 Tage rotiert werden. Self-Service-Neuregistrierung erfordert Identity Proofing ueber ein verifiziertes Geraet oder eine Video-Verifizierung, bevor ein neuer Authenticator gebunden wird.
Die wahren Kosten von Passwordless SSO: TCO und ROI im Detail
Anbieter-Preisseiten spiegeln selten wider, was ein Projekt ueber drei Jahre tatsaechlich verbraucht. Das reale Budget verteilt sich auf vier Posten.
Versteckte Kostentreiber: Lizenzierung, Hardware, Deployment, Change Management
IdP-Lizenzierung skaliert pro Nutzer und Premium-Funktion (Conditional Access, Risikosignale). Hardware-Authenticatoren kosten zwischen 25 und 60 USD pro Key, verdoppelt bei einem Backup. Deployment-Stunden umfassen IdP-Foederierung, App-Onboarding, Verzeichnissynchronisation und Policy-Authoring. Change Management, Schulung, Dokumentation und Helpdesk-Einarbeitung entsprechen typischerweise 15 % der Gesamtprojektkosten.
Ein transparentes ROI-Modell fuer 100, 500 und 5.000 Nutzer
| Nutzer | 3-Jahres-TCO | Helpdesk-Einsparungen | Risikominderung bei Datenpannen |
|---|---|---|---|
| 100 | 18.000 USD | 22.000 USD | 40.000 USD |
| 500 | 72.000 USD | 110.000 USD | 200.000 USD |
| 5.000 | 540.000 USD | 1,1 Mio. USD | 2 Mio. USD |
Anbietervergleich: Hideez, Beyond Identity, Duo, Okta FastPass und Entra
Die Wahl eines Passwordless-SSO-Anbieters haengt von drei Variablen ab: Authenticator-Portfolio, IdP-Foederierungstiefe und On-Premises-Unterstuetzung. Hideez unterscheidet sich dadurch, dass FIDO2-Hardware-Keys als primaere Zugangsdaten und nicht als Fallback behandelt werden.
Direkte Matrix: Authenticatoren, IdP-Kompatibilitaet, On-Prem-Unterstuetzung, Preisgestaltung
Hideez unterstuetzt Hardware-Keys, Biometrie, Mobile Push und Passkey-Methoden, foederiert mit Okta, Entra und AD FS ueber SAML und OIDC und laeuft vollstaendig On-Premises. Konkurrenzloesungen konzentrieren sich auf Cloud-only-Deployments und Plattform-Authenticatoren, mit begrenzter Tap-to-Login-Abdeckung fuer geteilte Endpunkte.
Auswahlkriterien fuer KMU, Mid-Market und regulierte Unternehmen
KMU-Kaeufer sollten Preistransparenz und Deployment innerhalb von 30 Tagen priorisieren. Mid-Market-Organisationen benoetigen IdP-Flexibilitaet und Legacy-App-Bridging. Regulierte Unternehmen erfordern FIDO2-Zertifizierung, On-Prem-Control-Planes und Audit-Grade-Logging zur Erfuellung von NIS2- und DORA-Mandaten.
Deployment-Playbook: Vom Pilot zum vollstaendigen Rollout in 30/60/90 Tagen
Phase 1 und 2: Pilotgruppe, Policy-Haertung und Authenticator-Verteilung
Starten Sie mit einem Pilot von 15 bis 25 Nutzern, der ein IT-Team und eine Geschaeftseinheit umfasst. In den Tagen 1 bis 30 verbinden Sie Ihren IdP (Okta, Entra ID, AD FS oder PingFederate), definieren eine passwortlose Authentifizierungs-Policy und liefern FIDO2-Hardware-Keys an Pilotnutzer aus. Die Tage 31 bis 60 konzentrieren sich auf die Haertung: Erzwingen Sie phishing-resistente MFA fuer kritische Apps, konfigurieren Sie Session-Laufzeiten und validieren Sie die Audit-Log-Einspeisung in Ihr SIEM.
Phase 3: Enterprise-Rollout, Change Management und Pre-Deployment-Checkliste
Die Tage 61 bis 90 erweitern die Abdeckung auf alle Mitarbeiter, einschliesslich gemeinsamer Workstations und Legacy-Apps, die ueber RADIUS oder Reverse Proxy verbunden sind. Vor dem Rollout pruefen Sie:
- Backup-Authenticator fuer jeden Nutzer ausgestellt
- Helpdesk-Recovery-Verfahren dokumentiert
- Legacy-App-Inventar SAML oder Password-Vaulting zugeordnet
- Kommunikationsplan und kurzes Schulungsvideo verteilt
Bereit, credential-basierte Risiken aus Ihrem Anwendungsportfolio zu eliminieren? Demo buchen und sehen Sie, wie Hideez sich in Stunden in Ihren bestehenden IdP integriert, oder Partnerprogramm erkunden, um Passwordless SSO fuer Ihre Kunden bereitzustellen.
Haeufig gestellte Fragen zu Passwordless SSO
Wie integriert sich Passwordless SSO mit Okta oder Microsoft Entra ID?
Hideez verbindet sich ueber SAML 2.0 oder OIDC-Foederierung mit Ihrem bestehenden Identity Provider. Der IdP delegiert die Authentifizierung an den Hideez Authentication Service, der die FIDO2-Assertion vom Key oder Passkey des Nutzers validiert und dann einen signierten Token zurueckgibt. Eine Verzeichnismigration ist nicht erforderlich.
Was kostet Passwordless SSO fuer ein mittelstaendisches Unternehmen?
Fuer eine Organisation mit 200 Mitarbeitern sind 15 bis 35 USD pro Nutzer und Jahr fuer die Software-Schicht zu erwarten, zuzueglich einmaliger Hardware-Kosten von 40 bis 70 USD pro Security Key. Helpdesk-Einsparungen bei Passwortzuruecksetzungen gleichen typischerweise 60 % dieser Ausgaben innerhalb von 12 Monaten aus.
Was passiert, wenn ein Nutzer seinen Hardware-Key oder sein Telefon verliert?
Jeder Nutzer wird mit einem Backup-Authenticator registriert. Wenn beide verloren gehen, stellt der Helpdesk nach Identity Proofing eine zeitlich begrenzte Recovery-Zugangsdaten aus, und der verlorene Key wird sofort aus der Admin-Konsole widerrufen.