Passwortlose E-Mail-Authentifizierung 2026: Was Sie über Passkeys, OAuth 2.0 und das Ende der Basis-Authentifizierung wissen müssen

Große E-Mail-Anbieter haben die traditionelle Passwortauthentifizierung abgeschafft, was zu weitreichenden Störungen bei Millionen von Nutzern geführt hat. Gmail und Microsoft haben die Abschaltung der Basis-Authentifizierung abgeschlossen, wodurch unzählige E-Mail-Clients, Drucker und Geschäftssysteme über Nacht nicht mehr funktionierten. Dieser Leitfaden erklärt, warum diese Änderungen erfolgten und bietet Lösungen, um die E-Mail-Funktionalität wiederherzustellen.

Veröffentlicht am
Zuletzt aktualisiert am
11 min read
Christin Baumgarten

Leiterin Operations

Oliver Jackson
Prüfer

E-Mail-Marketing-Spezialist

Jose Lopez
Tester

Leiter für Growth Engineering

Verfasst von Christin Baumgarten Leiterin Operations

Christin Baumgarten ist Operations Managerin bei Mailbird, wo sie die Produktentwicklung vorantreibt und die Kommunikation für diesen führenden E-Mail-Client leitet. Mit über einem Jahrzehnt bei Mailbird — vom Marketing-Praktikum bis zur Operations Managerin — verfügt sie über tiefgehende Expertise in E-Mail-Technologie und Produktivität. Christins Erfahrung in der Gestaltung von Produktstrategien und der Nutzerbindung unterstreicht ihre Autorität im Bereich der Kommunikationstechnologie.

Geprüft von Oliver Jackson E-Mail-Marketing-Spezialist

Oliver ist ein erfahrener E-Mail-Marketing-Spezialist mit über zehn Jahren Erfahrung. Sein strategischer und kreativer Ansatz bei E-Mail-Kampagnen hat in verschiedenen Branchen zu erheblichem Wachstum und Engagement geführt. Als Vordenker auf seinem Gebiet ist Oliver für seine aufschlussreichen Webinare und Gastbeiträge bekannt, in denen er sein Fachwissen teilt. Seine einzigartige Kombination aus Können, Kreativität und Verständnis für Zielgruppen macht ihn zu einer herausragenden Persönlichkeit im Bereich E-Mail-Marketing.

Getestet von Jose Lopez Leiter für Growth Engineering

José López ist Webberater und Entwickler mit über 25 Jahren Erfahrung in diesem Bereich. Er ist ein Full-Stack-Entwickler, der sich auf die Leitung von Teams, das Management von Abläufen und die Entwicklung komplexer Cloud-Architekturen spezialisiert hat. Mit Fachkenntnissen in Projektmanagement, HTML, CSS, JS, PHP und SQL genießt José es, andere Entwickler zu betreuen und ihnen beizubringen, wie man Webanwendungen aufbaut und skaliert.

Passwortlose E-Mail-Authentifizierung 2026: Was Sie über Passkeys, OAuth 2.0 und das Ende der Basis-Authentifizierung wissen müssen
Passwortlose E-Mail-Authentifizierung 2026: Was Sie über Passkeys, OAuth 2.0 und das Ende der Basis-Authentifizierung wissen müssen

Wenn Sie sich kürzlich ausgesperrt fanden, keinen Zugriff mehr auf Ihren E-Mail-Client hatten, keine Nachrichten von Ihrem Drucker senden konnten oder von plötzlich auftretenden Authentifizierungsfehlern verwirrt waren, sind Sie nicht allein. Die Landschaft der E-Mail-Authentifizierung erlebt ihre disruptivste Transformation seit Jahrzehnten, und Millionen von Nutzern weltweit erleben die Folgen, ohne zu verstehen, warum ihre zuvor zuverlässigen E-Mail-Systeme plötzlich nicht mehr funktionieren.

Der Wandel weg von der traditionellen passwortbasierten E-Mail-Authentifizierung ist nicht nur ein kleines technisches Update – es ist ein grundlegender Sicherheitsumbruch, der jeden betrifft, von einzelnen Gmail-Nutzern bis hin zu Unternehmen, die kritische Geschäftssysteme betreiben. Laut aktuellen Branchenanalysen zu Veränderungen in der E-Mail-Authentifizierung hat die koordinierte Abschaffung der Basis-Authentifizierung durch Google und Microsoft sofortige Kompatibilitätsprobleme für zahlreiche Geräte, Anwendungen und Dienste verursacht, die von der E-Mail-Infrastruktur abhängig sind.

Dieser umfassende Leitfaden behandelt die E-Mail-Authentifizierungsprobleme, mit denen Sie gerade konfrontiert sind, erklärt, warum diese Änderungen stattfinden, und bietet praktische Lösungen, um Ihre E-Mail-Funktionalität wiederherzustellen und Sie auf die bereits hier vorhandene passwortlose Zukunft vorzubereiten.

Warum Ihre E-Mail plötzlich nicht mehr funktioniert: Das Ende der Basis-Authentifizierung

Warum Ihre E-Mail plötzlich nicht mehr funktioniert: Das Ende der Basis-Authentifizierung
Warum Ihre E-Mail plötzlich nicht mehr funktioniert: Das Ende der Basis-Authentifizierung

Die unmittelbarste Ursache für Frustration bei E-Mail-Nutzern im Jahr 2026 ist die koordinierte Abschaltung der Basis-Authentifizierung bei den weltweit größten E-Mail-Anbietern. Dies ist kein schrittweiser Ausstieg mit langen Übergangsfristen – es ist eine sofortige Abschaltung, die Millionen von E-Mail-Clients und Geräten über Nacht unbrauchbar machte.

Google schloss die Eliminierung der Basis-Authentifizierung für Gmail am 14. März 2025 ab, laut der Dokumentation zur Umstellung der Gmail-Desktop-Oberfläche. An diesem Datum hörten alle E-Mail-Clients, mobilen Anwendungen, Drucker, Scanner oder automatisierten Systeme, die keine OAuth 2.0-Unterstützung implementiert hatten, schlichtweg auf zu funktionieren. Es gab keine Warnung, keine temporäre Lösung – Gmail-Konten wurden über nicht konforme Anwendungen vollständig unzugänglich.

Microsoft folgte einem ähnlichen Verlauf und begann am 1. März 2026 mit dem Ausstieg aus der SMTP AUTH Basis-Authentifizierung. Während Microsoft ursprünglich eine vollständige Durchsetzung bis zum 30. April 2026 plante, verlängerten sie diesen Zeitplan aufgrund überwältigenden Kundenfeedbacks. Der überarbeitete Microsoft-Ablaufplan hält die Basis-Authentifizierung nun bis Dezember 2026 funktionsfähig, deaktiviert sie standardmäßig für bestehende Mandanten Ende Dezember 2026 und macht sie für neue Mandanten nach diesem Datum standardmäßig nicht verfügbar, mit der endgültigen Entfernung, die in der zweiten Hälfte 2027 angekündigt werden soll.

Was Basis-Authentifizierung tatsächlich bedeutet (und warum sie verschwindet)

Die Basis-Authentifizierung erlaubte es E-Mail-Clients, Ihr Passwort direkt zu speichern und bei jeder Anfrage an Mailserver zu übermitteln. Obwohl dieser Ansatz einfach war und jahrzehntelang zuverlässig funktionierte, ist er nach modernen Standards fundamental unsicher. Ihr Passwort wurde über unzählige Systeme und Geräte übertragen und schuf so viele Angriffspunkte, an denen es abgefangen, gestohlen oder kompromittiert werden konnte.

Die Sicherheitslücken sind gravierend:

  • Passwort-Exposition über Systeme hinweg: Jeder E-Mail-Client, Drucker und jede Anwendung, die auf Ihr Konto zugriff, speicherte Ihr tatsächliches Passwort und vervielfachte so die Angriffsfläche exponentiell
  • Kein Ablaufmechanismus: Sobald ein Gerät Ihr Passwort besaß, behielt es unbeschränkten Zugang, bis Sie das Passwort manuell änderten
  • Verwundbarkeit gegenüber Credential-Stuffing: Aus einem Datenleck gestohlene Passwörter konnten gegen E-Mail-Konten getestet werden, da die meisten Nutzer Passwörter mehrfach verwenden
  • Keine granulare Zugriffskontrolle: Die Basis-Authentifizierung gewährte All-oder-Nichts-Zugriff – es war nicht möglich einzuschränken, was eine Anwendung mit Ihrem Konto tun konnte, sobald sie Ihr Passwort besaß

Diese Sicherheitsbedenken sind nicht theoretisch. Laut aktuellen Forschungen zur passwortlosen Authentifizierung nutzen 87 % der Organisationen trotz der bekannten Schwachstellen weiterhin passwortbasierte Authentifizierung für kundenorientierte Anwendungen, wobei nur 2 % der Meinung sind, dass Passwörter Sicherheit und Benutzerfreundlichkeit effektiv vereinen.

OAuth 2.0: Die sofortige Lösung zur Wiederherstellung Ihres E-Mail-Zugangs

OAuth 2.0: Die sofortige Lösung zur Wiederherstellung Ihres E-Mail-Zugangs
OAuth 2.0: Die sofortige Lösung zur Wiederherstellung Ihres E-Mail-Zugangs

Wenn Ihr E-Mail-Client nach den Änderungen von Google oder Microsoft bei der Authentifizierung nicht mehr funktioniert, ist die sofortige Lösung der Umstieg auf eine E-Mail-Anwendung, die OAuth 2.0 unterstützt. Dieses moderne Authentifizierungsprotokoll behebt die Sicherheitslücken der Basis-Authentifizierung und verbessert dabei sogar Ihre Nutzererfahrung.

Wie OAuth 2.0 tatsächlich funktioniert (ohne technisches Fachchinesisch)

Anstatt Ihrem E-Mail-Client Ihr Passwort zu geben, setzt OAuth 2.0 einen ausgeklügelteren Ansatz um. Wenn Sie ein E-Mail-Konto verbinden, leitet Ihr E-Mail-Client Sie auf die sichere Anmeldeseite Ihres E-Mail-Anbieters weiter – oft öffnet sich ein Browserfenster. Sie authentifizieren sich direkt bei Google, Microsoft oder Yahoo über deren sicheren Portal, wo Sie Ihr Passwort eingeben oder eine biometrische Authentifizierung wie Fingerabdruck- oder Gesichtserkennung nutzen können.

Nachdem Sie sich erfolgreich authentifiziert haben, stellt Ihr E-Mail-Anbieter Ihrem E-Mail-Client ein zeitlich begrenztes Zugriffstoken aus. Dieses Token gewährt spezifische, begrenzte Berechtigungen zum Zugriff auf Ihr Postfach, ohne jemals Ihr Passwort offenzulegen. Der E-Mail-Client verwendet dieses Token zum Abrufen und Senden von Nachrichten, sieht oder speichert Ihr tatsächliches Passwort jedoch nie.

Die Sicherheitsvorteile sind erheblich, wie in der umfassenden Analyse der E-Mail-Authentifizierungs-Krise dokumentiert:

  • Ihr Passwort verlässt niemals das Authentifizierungsportal des E-Mail-Anbieters, wodurch das Risiko entfällt, dass E-Mail-Clients Zugangsdaten preisgeben
  • Token laufen automatisch ab, typischerweise innerhalb einer Stunde, was einen unbefristeten unautorisierten Zugriff verhindert, falls ein Token kompromittiert wird
  • Kompromittierte Token können sofort widerrufen werden, ohne dass Sie Ihr Passwort für alle Dienste ändern müssen
  • Granulare Berechtigungen erlauben es Ihnen, genau zu steuern, auf was ein E-Mail-Client zugreifen darf, und begrenzen so potenzielle Schäden durch kompromittierte Anwendungen

E-Mail-Clients, die OAuth 2.0 unterstützen (und welche nicht)

Der Übergang bei der Authentifizierung hat eine klare Trennung zwischen E-Mail-Clients geschaffen, die OAuth 2.0 schnell implementiert haben, und solchen, die zögerten oder nicht angepasst haben. Mailbird hat eine automatische OAuth 2.0-Erkennung für große E-Mail-Anbieter implementiert, sodass Nutzer von Gmail-, Microsoft 365- oder Yahoo-Mail-Konten nahtlose Authentifizierung ohne manuelle Konfiguration erleben.

Laut der Dokumentation zur OAuth 2.0-Implementierung von Mailbird werden Sie, wenn Sie Ihre E-Mail-Adresse eingeben und auf Weiter klicken, automatisch zum sicheren Authentifizierungsportal des entsprechenden Anbieters weitergeleitet. Dort schließen Sie den Authentifizierungsprozess ab – der Passkey-Authentifizierung beinhalten kann, sofern Sie diese auf Ihrem Konto aktiviert haben – und kehren mit gültigen Zugriffstokens zu Mailbird zurück, ohne technische Details verstehen zu müssen.

Dieser automatische Erkennungsansatz steht in starkem Gegensatz zu E-Mail-Clients, die von Nutzern verlangen, OAuth manuell als Authentifizierungsmethode auszuwählen, oder die verwirrende Anweisungen zu modernen Authentifizierungsanforderungen geben, was oft zu Konfigurationsfehlern und Authentifizierungsproblemen führt, die Nutzer daran hindern, auf ihre E-Mails zuzugreifen.

Was tun, wenn Sie noch ältere E-Mail-Software verwenden

Organisationen, die ältere Versionen von Business Central, Microsoft NAV oder anderen Branchensoftwarelösungen betreiben, die nur Basis-Authentifizierung unterstützen, stehen vor einer besonders schwierigen Lage. Diese Altsysteme können nicht auf OAuth 2.0 upgraden, da die Software diese Funktion nicht bietet, können jedoch nach dem Ablauf der Supportfristen nicht mehr die Basis-Authentifizierung verwenden.

Die Auswirkungen auf Business Central- und NAV-Installationen zeigen das Ausmaß dieser Störung. Organisationen müssen entweder ihre Altdatensoftware auf moderne Authentifizierungsfunktionen aktualisieren, Middleware-Lösungen implementieren, die zwischen Basis-Authentifizierung und OAuth 2.0 übersetzen, oder vollständig neue Systeme einführen – was erhebliche Investitionen und betriebliche Umstellungen erfordert.

Passkeys: Die nächste Evolution jenseits von Passwörtern

Passkeys: Die nächste Evolution jenseits von Passwörtern
Passkeys: Die nächste Evolution jenseits von Passwörtern

Während OAuth 2.0 die akute Authentifizierungskrise löst, stellen Passkeys die Zukunft der E-Mail-Authentifizierung dar, die bereits 2026 ankommt. Wenn Sie von Passkeys gehört haben, aber nicht genau wissen, was sie sind oder warum sie wichtig sind, erleben Sie den aktuellsten Stand der bedeutendsten Transformation bei der Authentifizierung seit der Erfindung von Passwörtern.

Was Passkeys tatsächlich sind (und warum sie besser als Passwörter sind)

Passkeys eliminieren Passwörter vollständig, indem sie kryptografische Schlüssel verwenden, die ausschließlich auf Ihren Geräten gespeichert werden. Laut Googles Anleitung zur Passkey-Implementierung erzeugen Sie bei der Erstellung eines Passkeys für Ihr Gmail-Konto ein einzigartiges kryptografisches Schlüsselpaar: Einen privaten Schlüssel, der ausschließlich auf Ihrem Gerät verbleibt, und einen öffentlichen Schlüssel, den Google speichert.

Bei der Authentifizierung entsperren Sie den Passkey einfach mit Ihrem Fingerabdruck, der Gesichtserkennung oder der Geräte-PIN. Ihr Gerät verwendet diese biometrischen Daten, um den privaten Schlüssel zu entsperren und eine kryptografische Signatur zu erstellen, die nachweist, dass Sie den Passkey besitzen – ganz ohne den Schlüssel selbst preiszugeben oder dass Sie sich ein Passwort merken müssen.

Die Verbesserung der Benutzererfahrung ist enorm. Microsoft-Forschung zur passwortlosen Authentifizierung zeigt, dass Passkeys eine Erfolgsrate beim Login von 98 % ermöglichen im Vergleich zu nur 32 % bei herkömmlicher passwortbasierter Authentifizierung, während gleichzeitig die Anmeldezeit auf 7 Sekunden reduziert wird im Vergleich zu über 30 Sekunden bei Passwort- und traditioneller Multi-Faktor-Authentifizierung.

Warum Passkeys grundlegend phishing-resistent sind

Der überzeugendste Sicherheitsvorteil von Passkeys ist, dass sie kryptografisch unmöglich zu phishen sind. Jeder Passkey ist an die spezifische Domain gebunden, auf der er erstellt wurde. Ein für Google.com erstellter Passkey kann daher nicht auf einer Phishing-Seite verwendet werden, die Google imitiert, egal wie überzeugend die gefälschte Seite aussieht.

Laut technischer Analyse des FIDO2-Phishingschutzes wird der Domainname während der Authentifizierung Teil des kryptografischen Materials. Dies erzeugt eine kryptografische Garantie, die weder durch Social Engineering noch durch Nutzerverwirrung umgangen werden kann – der Passkey funktioniert schlichtweg nicht auf der falschen Domain, selbst wenn ein Angreifer die legitime Webseite perfekt nachgebildet hat.

Dieser Schutz geht über traditionelles Phishing hinaus und verteidigt gegen ausgeklügelte Angriffe:

  • Man-in-the-Middle-Angriffe schlagen fehl, weil der Passkey die exakte Domain überprüft, nicht nur das visuelle Erscheinungsbild einer Webseite
  • Credential Stuffing wird unmöglich, da keine Passwörter gestohlen und bei verschiedenen Diensten wiederverwendet werden können
  • Social Engineering kann keine Passkeys extrahieren, weil der private Schlüssel Ihr Gerät nie verlässt und einem Angreifer nicht "erzählt" werden kann
  • Deepfake- und KI-generierte Angriffe stoßen auf zusätzliche Hürden durch Lebenderkennung und verhaltensbasierte Biometrie, die die echte Anwesenheit des Nutzers verifizieren

Wie Passkeys mit Ihrem E-Mail-Client funktionieren

Es ist wichtig zu verstehen, dass Desktop-E-Mail-Clients wie Mailbird Passkeys nicht direkt speichern. Passkeys bleiben auf Ihrem Gerät im Credential Manager Ihres Betriebssystems gespeichert – iCloud Schlüsselbund bei Apple-Geräten, Google Password Manager bei Android-Geräten oder Windows Hello bei Windows-Systemen.

Laut umfassender Anleitung zur Passkey-Authentifizierung bei E-Mail-Logins können Sie bei der Anmeldung bei Ihrem E-Mail-Anbieter über einen OAuth 2.0-Flow in Mailbird die Passkey-Authentifizierung verwenden, wenn Sie diese in Ihrem Gmail- oder Microsoft-Konto aktiviert haben. Der Credential Manager des Betriebssystems übernimmt das Entsperren und die Authentifizierung der Passkeys, während der E-Mail-Client Zugriffstoken erhält, die zeitlich begrenzten Zugriff auf Ihr Postfach gewähren.

Diese Architektur gewährleistet Sicherheit, indem sie sicherstellt, dass Passkeys Ihr Gerät niemals verlassen und für E-Mail-Clients oder andere Anwendungen nie zugänglich sind. Aus Ihrer Sicht bedeutet die Erfahrung, sich über ein OAuth-Portal mit Fingerabdruck oder Gesichtserkennung bei Ihrem E-Mail-Anbieter zu authentifizieren, wobei Ihr E-Mail-Client nahtlos den benötigten Zugriff erhält, ohne jemals Ihre Authentifizierungsdaten zu berühren.

Die Aktuelle Adoptionsrealität: Wo Passkeys 2026 Stehen

Die Aktuelle Adoptionsrealität: Wo Passkeys 2026 Stehen
Die Aktuelle Adoptionsrealität: Wo Passkeys 2026 Stehen

Obwohl die Passkey-Technologie erheblich ausgereift ist, bleibt der Übergang zu einer vollständig passwortlosen Authentifizierung bei den meisten Organisationen und Diensten unvollständig. Zu verstehen, wo die Einführung von Passkeys tatsächlich steht, hilft dabei, realistische Erwartungen darüber zu setzen, was Sie heute implementieren können und was noch in der Zukunft liegt, insbesondere im Hinblick auf E-Mail-Authentifizierungsprobleme.

Bewusstsein der Verbraucher vs. Umsetzung in Organisationen

Die Kluft zwischen dem Bewusstsein der Verbraucher und der tatsächlichen Umsetzung in Organisationen zeigt die Komplexität dieses Übergangs. Aktuelle Statistiken zur passwortlosen Authentifizierung zeigen, dass mittlerweile 75 % der weltweiten Verbraucher Passkeys als Authentifizierungsmethode kennen, ein dramatischer Anstieg gegenüber nur 23 % im Jahr 2023, die Biometrie bevorzugten.

Die organisatorische Einführung erzählt jedoch eine differenziertere Geschichte:

  • 45 % der Organisationen haben Passkeys in einer oder mehreren Anwendungen eingeführt, weitere 27 % planen die Implementierung innerhalb der nächsten zwei Jahre
  • 48 % der weltweit 100 größten Websites bieten jetzt Passkey-Authentifizierungsoptionen an, was einer Verdopplung gegenüber dem Vorjahr entspricht
  • 87 % der Organisationen verwenden weiterhin passwortbasierte Authentifizierung für kundenorientierte Anwendungen, obwohl sie deren Einschränkungen anerkennen
  • Die Nutzung der Passkey-Authentifizierung hat sich von 2024 bis 2025 verdoppelt und erreichte 1,3 Millionen Authentifizierungen pro Monat, was auf ein echtes Wachstum über die theoretische Einführung hinaus hinweist

Diese Daten zeigen, dass die organisatorische Herausforderung im Jahr 2026 nicht darin besteht, ob eine passwortlose Authentifizierung implementiert wird, sondern wie der Übergang von bestehenden passwortbasierten Systemen ohne Unterbrechung des Betriebsablaufs gestaltet wird.

Welche Dienste Passkeys Aktuell Unterstützen

Große Technologieplattformen haben die Einführung von Passkeys vorangetrieben und so eine Basis von Diensten geschaffen, bei denen Sie heute Passwörter eliminieren können:

  • Google-Konten (Gmail, Google Workspace, YouTube, Google Drive) unterstützen Passkey-Authentifizierung geräteübergreifend vollständig
  • Microsoft-Konten (Outlook.com, Microsoft 365, Azure-Dienste) haben Passkey-Unterstützung mit automatischer Aktivierung für neue Konten implementiert
  • Apple-Konten unterstützen Passkeys durch Integration der iCloud-Schlüsselbundfunktion auf allen Apple-Geräten
  • Große Finanzinstitute implementieren schnell Passkey-Unterstützung, um regulatorische Anforderungen an phishingresistente Authentifizierung zu erfüllen

Allerdings arbeiten zahlreiche Altsysteme, spezialisierte Geschäftsanwendungen und ältere Dienste weiterhin ausschließlich mit passwortbasierter Authentifizierung, sodass die meisten Nutzer hybride Authentifizierungsansätze beibehalten – Passkeys dort verwenden, wo sie verfügbar sind, und für Dienste, die noch nicht umgestellt haben, weiterhin starke Passwörter verwenden.

Regulatorische Anforderungen, die die Einführung von passwortlosen Systemen vorantreiben

Regulatorische Anforderungen, die die Einführung von passwortlosen Systemen vorantreiben
Regulatorische Anforderungen, die die Einführung von passwortlosen Systemen vorantreiben

Über Sicherheitsverbesserungen und Vorteile für die Benutzererfahrung hinaus . Wenn Sie in regulierten Branchen tätig sind oder mit sensiblen Daten umgehen, können diese Anforderungen Ihre Authentifizierungsstrategie direkt beeinflussen, insbesondere im Hinblick auf E-Mail-Authentifizierungsprobleme.

Finanzdienstleistungen und Bankvorschriften

Der Finanzdienstleistungssektor unterliegt einigen der strengsten Authentifizierungsanforderungen. Laut einer umfassenden Analyse der Authentifizierungsregelungen im Finanzdienstleistungsbereich verlangt die NYDFS 23 NYCRR 500 Vorschrift des New Yorker Finanzministeriums Mehrfaktor-Authentifizierung für jede Person, die auf Informationssysteme zugreift; diese wird durch behördliche Prüfungen aktiv durchgesetzt.

Entscheidend ist, dass Regulierungsbehörden „MFA“ zunehmend durch eine risikobasierte Brille betrachten, bei der phishing-resistente Authentifizierung für Hochrisikozugriffe, privilegierte Konten und den Zugriff auf sensible Daten notwendig ist. Organisationen können die gesetzlichen Anforderungen nicht erfüllen, indem sie nur SMS-basierte MFA oder E-Mail-basierte Einmalpasswörter einsetzen, da diese Methoden weiterhin anfällig für Phishing- und SIM-Swapping-Angriffe sind.

Der PCI DSS 4.x-Standard verschärft diese Anforderungen, indem er MFA für alle Konten, die auf Karteninhaberdaten zugreifen, vorschreibt. Dies gilt nicht nur für privilegierte Zugriffe, sondern für alle Personen mit Zugriff auf Karteninhaberdaten. Diese Anforderung ist seit dem 31. März 2025 verpflichtend und schafft sofortige Compliance-Verpflichtungen für Unternehmen, die Zahlungsdaten verarbeiten.

EU-NIS2-Richtlinie

Die NIS2-Richtlinie der Europäischen Union hat spezifische Compliance-Fristen festgelegt, die die gesamte EU organisatorisch in den Fokus rücken. Die NIS2-Compliance-Anforderungen für 2026 sehen vor, dass die EU-Mitgliedstaaten die NIS2 bis Oktober 2024 in nationales Recht umsetzen mussten, wobei der Juni 2026 die Frist für die ersten formalen Compliance-Audits markiert.

Artikel 21 der NIS2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen dazu, Zugriffskontrollrichtlinien und Mehrfaktor-Authentifizierung im Einklang mit den NIST SP 800-63B-Richtlinien umzusetzen. Organisationen, die NIS2-Prüfungen unterliegen, müssen nachweisen:

  • MFA für Hochrisikozugänge mit phishing-resistenten Methoden für kritische Systeme
  • Dokumentierte Zugriffskontrollrichtlinien, die festlegen, wer unter welchen Umständen auf welche Systeme zugreifen darf
  • Verfahren zur Zugriffsaufhebung bei Beendigung oder Rollenwechsel
  • Audit-Trails, die die Einhaltung der Authentifizierungs- und Zugriffskontrollanforderungen belegen

Die Nichteinhaltung kann erhebliche Strafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen nach sich ziehen, was starke finanzielle Anreize für eine schnelle Umsetzung konformer Authentifizierungssysteme schafft.

NIST-Richtlinien und Bundesanforderungen

Die digitalen Identitätsrichtlinien NIST SP 800-63B liefern technische Anforderungen, die regulatorische Compliance-Rahmenwerke in Behörden und zunehmend auch in regulierten Branchen untermauern. Die Überarbeitung von 2025 stellt einen bedeutenden Bruch mit früheren Vorgaben dar, indem sie ein Mindestmaß von 15 Zeichen für Passwörter als einzige Authentifizierer festlegt und gleichzeitig die verpflichtende regelmäßige Passwortänderung explizit ablehnt.

Wichtiger für die Einführung passwortloser Systeme ist, dass die NIST-Richtlinien nun zwischen Authentifizierungs-Sicherheitsstufen (Authentication Assurance Levels) unterscheiden, wobei AAL2 MFA mit mindestens einer phishing-resistenten Option verlangt und AAL3 phishing-resistente Authentifizierung mit nicht exportierbaren kryptografischen Schlüsseln voraussetzt. Organisationen, die NIST AAL3-Authentifizierung implementieren, müssen FIDO2-basierte Authentifizierung einsetzen, da NIST FIDO2 als die einzige weitverbreitete phishing-resistente Authentifizierungsmethode anerkannt hat, die die AAL3-Anforderungen erfüllt.

Praktische Umsetzungshinweise: Was Sie jetzt sofort tun sollten

Das Verständnis der Authentifizierungslandschaft ist wertvoll, aber Sie benötigen praktische Anleitungen, was Sie heute tatsächlich tun sollten, um den E-Mail-Zugang aufrechtzuerhalten und sich gleichzeitig auf die passwortlose Zukunft vorzubereiten. Hier ist ein realistischer Fahrplan basierend auf Ihrer aktuellen Situation.

Für Einzelbenutzer: Sofortige Schritte zur Wiederherstellung und Sicherung des E-Mail-Zugangs

Wenn Sie aufgrund der Abschaffung der Basis-Authentifizierung den E-Mail-Zugang verloren haben, ist Ihre unmittelbare Priorität der Wechsel zu einem E-Mail-Client, der OAuth 2.0 unterstützt. Mailbird bietet automatische OAuth 2.0-Erkennung für Gmail, Microsoft 365 und Yahoo Mail und beseitigt so die Komplexität manueller Konfiguration.

Um Ihren E-Mail-Zugang wiederherzustellen:

  1. Laden Sie Mailbird herunter und installieren Sie es oder einen anderen modernen E-Mail-Client mit bestätigter OAuth 2.0-Unterstützung
  2. Fügen Sie Ihr E-Mail-Konto hinzu, indem Sie Ihre E-Mail-Adresse eingeben – Mailbird erkennt automatisch Ihren Anbieter und startet den entsprechenden OAuth 2.0-Prozess
  3. Schließen Sie die Authentifizierung über das sichere Portal Ihres E-Mail-Anbieters ab, was möglicherweise die Eingabe Ihres Passworts oder die Verwendung biometrischer Authentifizierung erfordert, wenn Sie Passkeys aktiviert haben
  4. Überprüfen Sie, ob die E-Mail-Synchronisierung korrekt funktioniert und ob Sie Nachrichten ohne Authentifizierungsfehler senden und empfangen können

Sobald Sie die grundlegende E-Mail-Funktionalität wiederhergestellt haben, sollten Sie in Erwägung ziehen, bei Ihren E-Mail-Konten, wo unterstützt, Passkeys zu aktivieren. Laut Googles Dokumentation zur Einrichtung von Passkeys können Sie Passkeys über die Sicherheitseinstellungen Ihres Google-Kontos erstellen und dann zukünftig Fingerabdruck- oder Gesichtserkennung anstelle von Passwörtern zur Authentifizierung nutzen.

Für Organisationen: Phasenweise Implementierungsstrategie

Organisationen stehen vor wesentlich komplexeren Implementierungshürden als Einzelbenutzer. Branchenrichtlinien zur Bereitschaft für passwortlose Authentifizierung empfehlen ein dreiphasiges Implementierungsmodell, das operative Realitäten berücksichtigt und gleichzeitig einen Weg zu nachhaltigen passwortlosen Umgebungen bietet.

Phase Eins: Bewusstsein und Planung

Organisationen müssen zunächst die aktuelle Authentifizierungsinfrastruktur bewerten, Systeme und Benutzer mit hohem Risiko identifizieren, die besondere Aufmerksamkeit erfordern, und Business Cases für die Einführung passwortloser Verfahren erstellen. Diese Vorbereitungsphase ist kritisch, da eine erfolgreiche Umsetzung von der organisatorischen Bereitschaft auf mehreren Ebenen abhängt – Sicherheitsteams müssen technische Fähigkeiten verstehen, Führungskräfte Investitionen genehmigen, IT-Betriebspersonal neue Fähigkeiten erwerben und Endnutzer verstehen, dass Authentifizierungsänderungen legitimen Sicherheitszielen dienen – insbesondere im Hinblick auf E-Mail-Authentifizierungsprobleme.

Phase Zwei: Kontrollierte Pilotimplementierung

Führen Sie passwortlose Authentifizierung in kontrollierten Pilotumgebungen mit freiwilligen oder ausgewählten Benutzergruppen ein. Dies ermöglicht Organisationen, technische Ansätze zu validieren, Supportmitarbeiter in neuen Wiederherstellungsverfahren zu schulen, Benutzerfeedback zu sammeln und Systemkompatibilitätsprobleme vor der organisationsweiten Einführung zu identifizieren. Viele Organisationen testen Passkeys auf mehreren Geräten und Systemen, prüfen nicht nur die Authentifizierungsmechanismen, sondern auch die geräteübergreifenden Erfahrungen, wenn Benutzer sich von verschiedenen Computern authentifizieren müssen.

Phase Drei: Vollständige Migration

Die vollständige Migration gilt als abgeschlossen, wenn Organisationen eine 90%ige Einführung passwortloser Authentifizierungsmethoden in ihrer Belegschaft erreichen. Diese Phase erfordert erhebliche Investitionen in die Standardisierung von Systemen, um sicherzustellen, dass passwortlose Methoden konsistent über verschiedene Anwendungen und Plattformen funktionieren. Viele Organisationen übernehmen in dieser Phase mehrere passwortlose Authentifizierungsmethoden, wobei Passkeys möglicherweise als primäre Methode genutzt werden, während ergänzende Verfahren wie Magic Links für bestimmte Anwendungsfälle oder plattformspezifische Anforderungen erhalten bleiben.

Wiederherstellungsmechanismen: Was passiert, wenn Sie Ihr Gerät verlieren

Eine der häufigsten Sorgen bei der passwortlosen Authentifizierung ist: „Was passiert, wenn ich das Gerät verliere, auf dem mein Passkey gespeichert ist?“ Diese berechtigte Sorge erfordert proaktive Planung anstelle von reaktiver Hektik nach Geräteverlust.

Laut umfassenden Anleitungen zur Passkey-Wiederherstellung sollten Sie mehrere Backup-Strategien umsetzen:

  • Aktivieren Sie die Cloud-Synchronisation von Passkeys über iCloud-Schlüsselbund (Apple-Geräte) oder Google Passwortmanager (Android-Geräte), um sicherzustellen, dass Passkeys zugänglich bleiben, falls Ihr Gerät verloren geht oder ersetzt wird
  • Erstellen und bewahren Sie Wiederherstellungscodes sicher auf, die von E-Mail-Anbietern bereitgestellt werden, und lagern Sie diese Codes an getrennten physischen Orten, getrennt von Ihren Geräten
  • Fügen Sie Backup-E-Mail-Adressen und Telefonnummern hinzu zu Konten, die mit Passkeys geschützt sind, um alternative Authentifizierungspfade zu schaffen, falls das primäre Gerät nicht zugänglich ist
  • Erwägen Sie das Aufbewahren eines Backup-Passkeys auf einem Zweitgerät, das Sie an einem sicheren Ort speziell zur Kontowiederherstellung aufbewahren

Organisationen, die passwortlose Authentifizierung implementieren, müssen ausgeklügelte Kontowiederherstellungsverfahren entwickeln, die die Benutzeridentität über alternative Mechanismen verifizieren, was möglicherweise die Überprüfung von amtlichen Ausweisen, biometrische Übereinstimmung mit Lebenderkennung oder aufgezeichnete Verifikationssitzungen umfasst, die die Identität durch Interaktionsanalyse bestätigen.

Neue Sicherheitsbedrohungen: KI, Deepfakes und biometrische Authentifizierung

Während Passkeys und biometrische Authentifizierung gegenüber Passwörtern erhebliche Sicherheitsverbesserungen bieten, sehen sie sich aufkommenden Bedrohungen durch künstlich erzeugte Medien mittels künstlicher Intelligenz und ausgeklügelte Injektionsangriffe gegenüber. Das Verständnis dieser sich entwickelnden Angriffsvektoren hilft Ihnen, geeignete Abwehrmaßnahmen umzusetzen.

Die Herausforderung durch Deepfakes bei der biometrischen Authentifizierung

Die weitverbreitete Nutzung der biometrischen Authentifizierung als primärer Entsperrmechanismus für Passkeys fiel zeitlich mit dramatischen Fortschritten bei KI-generierten Inhalten zusammen. Laut aktueller Analyse der Sicherheit biometrischer Authentifizierung sind heute bei einem von fünf Betrugsversuchen mit biometrischen Daten Deepfake-Manipulationen im Spiel, während Injektionsangriffe, bei denen synthetische Medien direkt in Authentifizierungs-APIs eingespeist werden, jährlich zunehmen.

Diese Zahlen zeigen, dass Angreifer von theoretischen Möglichkeiten zur aktiven Ausnutzung biometrischer Systeme übergegangen sind. Injektionsangriffe zielen speziell auf die APIs ab, die biometrische Daten empfangen, indem sie synthetische Medien direkt in die Authentifizierungspipeline einspeisen, statt eine Kamera oder einen Sensor zu täuschen. Wenn synthetische Medien auf API-Ebene injiziert werden, kann das System synthetische Daten nicht von legitimen biometrischen Informationen unterscheiden, da es nie den tatsächlichen Präsentationsversuch sieht.

Moderne Abwehrmechanismen gegen Angriffe mit synthetischen Medien

Moderne biometrische Systeme, die 2026 eingesetzt werden, haben sich weiterentwickelt und beinhalten ausgeklügelte Verteidigungen gegen Angriffe mit synthetischen Medien:

  • Passive Lebendigkeitserkennung bewertet Mikrobewegungen, Tiefenabbildung und Lichtreflexionsmuster, die künstliche Medien nicht leicht nachahmen können
  • Verhaltensanalysen untersuchen subtile Merkmale wie Blutflussveränderungen der Hautfarbe, Lichtreflexionen auf Gesichtszügen aus verschiedenen Winkeln und natürliche Mikroausdrücke, die bei echter Authentifizierung auftreten
  • Erkennung von Präsentationsangriffen (PAD) identifiziert Versuche von Angreifern, gefälschte biometrische Daten direkt an Sensoren zu übermitteln
  • Schutz vor Injektionsangriffen überwacht Versuche, synthetische Daten auf API-Ebene einzuschleusen
  • Kombinierte Geräte- und biometrische Bestätigung stellt sicher, dass die Authentifizierung nur gelingt, wenn sowohl das Gerät mit dem Passkey als auch der legitime Benutzer, der die biometrische Authentifizierung durchführt, gleichzeitig anwesend sind

Multimodale biometrische Systeme, die mehrere biometrische Faktoren kombinieren – beispielsweise Gesicht und Fingerabdruck – bieten wesentlich stärkere Abwehr gegen Angriffe mit synthetischen Medien als biometrische Verfahren mit nur einem Faktor. Verhaltensbiometrie, die Tippverhalten, Mausbewegungen, Berührungsdruck und Scrollverhalten analysiert, liefert während der Benutzersitzungen kontinuierliche Authentifizierungssignale statt einer einmaligen Überprüfung beim Anmelden.

Realistische Zeitplan-Erwartungen: Die Zukunft der hybriden Authentifizierung

Trotz klarer Sicherheitsvorgaben und regulatorischer Anforderungen wird der Übergang zu vollständig passwortloser Authentifizierung Jahre statt Monate dauern. Ein realistisches Verständnis der Zeitpläne hilft, angemessene Erwartungen zu setzen und entsprechend zu planen.

Warum Organisationen weiterhin auf Passwörter setzen

Die Diskrepanz zwischen Bewusstsein und Umsetzung zeigt echte organisatorische Hürden über reine Veränderungsresistenz hinaus. Laut realistischer Einschätzung der Zeitpläne für die Einführung passwortloser Systeme ist selbst bei Organisationen, die aktiv in passwortlose Infrastruktur investieren, eine vollständige Abschaffung traditioneller Passwörter für die meisten Organisationen vor 2028 unwahrscheinlich.

Die Verzögerungen bei der Einführung resultieren aus:

  • Altsystem-Portfolios mit jahrzehntealten Systemen, die spezifische Authentifizierungsprotokolle fest kodieren, welche mit modernen Methoden nicht kompatibel sind
  • Regulatorischer Komplexität, die unterschiedliche Authentifizierungsansätze in verschiedenen Gerichtsbarkeiten und für verschiedene Nutzergruppen erfordert
  • Kulturellen und organisatorischen Change-Management-Herausforderungen, da Mitarbeiter, die an Passwörter gewöhnt sind, der Abschaffung skeptisch gegenüberstehen
  • Finanziellen Investitionsanforderungen für neue Authentifizierungsinfrastruktur, Nutzerregistrierung, Schulungen und Systemintegration
  • Schulungsbedarf des Support-Teams, da Passwortzurücksetzungen entfallen und neue Wiederherstellungsverfahren völlig andere Kompetenzen erfordern

Das hybride Authentifizierungsmodell als Zwischenlösung

Die Branchenmeinung hat sich darauf geeinigt, dass die meisten Organisationen bis mindestens 2027 hybride Authentifizierungsmodelle betreiben werden—die sowohl traditionelle Passwörter als auch passwortlose Methoden gleichzeitig unterstützen—wobei einige Organisationsbereiche legacy Passwortsysteme deutlich länger beibehalten.

Dieser hybride Zustand ist kein Scheitern, sondern eine realistische Anerkennung der Komplexität, die mit der Umstellung der Authentifizierungsinfrastruktur in vielfältigen organisatorischen Umgebungen verbunden ist. Mailbird und andere moderne E-Mail-Clients positionieren sich als Brücke in diesem hybriden Umfeld, indem sie die Unterstützung für Legacy-Authentifizierung dort aufrechterhalten, wo notwendig, und gleichzeitig moderne OAuth 2.0- und passkey-basierte Authentifizierung dort ermöglichen, wo sie verfügbar ist.

Für individuelle Nutzer besteht die praktische Strategie darin, Passkeys sofort auf Konten zu aktivieren, die diese unterstützen, während starke Passwörter und Multi-Faktor-Authentifizierung auf Konten erhalten bleiben, die noch nicht umgestellt haben. Organisationen erkennen zunehmend, dass Passwortmanager eine dauerhafte Ebene in hybriden Sicherheitsarchitekturen darstellen, indem sie Anmeldedaten für Altsysteme, gemeinsame Infrastrukturkonten und spezialisierte Systeme sicher verwalten, die auch lange nach der Umstellung der primären Benutzer-Authentifizierung auf Passkeys passwortabhängig bleiben werden.

Häufig gestellte Fragen

Warum funktioniert mein E-Mail-Client plötzlich nicht mehr mit Gmail oder Microsoft 365?

Ihr E-Mail-Client funktioniert nicht mehr, weil Google und Microsoft die Unterstützung für die Basic Authentication eingestellt haben, eine veraltete Authentifizierungsmethode, die es E-Mail-Clients erlaubte, Ihr Passwort direkt zu speichern und zu verwenden. Google hat diese Einstellung am 14. März 2025 abgeschlossen, während Microsoft am 1. März 2026 mit der Ausphasung begann und die vollständige Entfernung bis 2027 geplant ist. E-Mail-Clients, die OAuth 2.0 nicht unterstützen, können nicht mehr auf diese Konten zugreifen. Die sofortige Lösung besteht darin, auf einen modernen E-Mail-Client wie Mailbird umzusteigen, der OAuth 2.0-Authentifizierung unterstützt und automatisch Ihren E-Mail-Anbieter erkennt und eine sichere Authentifizierung ohne manuelle Konfiguration startet.

Was ist der Unterschied zwischen OAuth 2.0 und Passkeys?

OAuth 2.0 ist ein Autorisierungsprotokoll, das E-Mail-Clients ermöglicht, mit zeitlich begrenzten Tokens statt mit Ihrem Passwort auf Ihr Postfach zuzugreifen. Wenn Sie sich über OAuth 2.0 authentifizieren, melden Sie sich direkt beim E-Mail-Anbieter über ein sicheres Portal an, und der Anbieter stellt Tokens für Ihren E-Mail-Client aus. Passkeys sind eine passwortlose Authentifizierungsmethode, die kryptographische Schlüssel verwendet, die auf Ihrem Gerät gespeichert sind und mit Biometrie wie Fingerabdruck oder Gesichtserkennung entsperrt werden. Passkeys können innerhalb von OAuth 2.0-Flows verwendet werden – wenn das OAuth-Portal Sie zur Authentifizierung auffordert, können Sie anstelle eines Passworts einen Passkey nutzen. Man kann sich OAuth 2.0 als die sichere Kommunikationsmethode zwischen Ihrem E-Mail-Client und dem E-Mail-Anbieter vorstellen, während Passkeys eine Möglichkeit sind, Ihre Identität während dieser Kommunikation nachzuweisen.

Sind Passkeys sicher, insbesondere angesichts von Bedenken bezüglich AI-Deepfakes?

Passkeys sind grundsätzlich sicherer als Passwörter, da sie kryptografisch an spezifische Domains gebunden sind und somit nicht von Phishing betroffen sind, egal wie überzeugend eine gefälschte Webseite erscheint. Während AI-generierte Deepfakes eine neue Bedrohung für biometrische Authentifizierung darstellen, implementieren moderne Passkey-Systeme mehrere Schutzschichten, darunter passive Lebenderkennung, Verhaltensanalyse, Erkennung von Präsentationsangriffen und Schutz vor Injektionsangriffen. Forschungen zeigen, dass bei einem von fünf biometrischen Betrugsversuchen inzwischen Deepfake-Manipulationen beteiligt sind, aber multimodale biometrische Systeme, die mehrere Faktoren (Gesicht und Fingerabdruck) kombinieren, sowie Verhaltensbiometrie, die Tipp- und Interaktionsmuster analysiert, bieten starken Schutz. Die kryptographische Basis von Passkeys zusammen mit moderner Anti-Spoofing-Technologie macht sie erheblich sicherer als traditionelle Passwörter, auch unter Berücksichtigung von AI-generierten Angriffsvektoren und E-Mail-Authentifizierungsprobleme.

Was passiert, wenn ich das Gerät verliere, auf dem mein Passkey gespeichert ist?

Der Verlust Ihres Passkey-Geräts bedeutet nicht automatisch den Verlust des Kontozugangs, wenn Sie geeignete Backup-Strategien implementiert haben. Sie sollten die Cloud-Synchronisierung von Passkeys über iCloud-Schlüsselbund (Apple-Geräte) oder Google Passwortmanager (Android-Geräte) aktivieren, die Ihre Passkeys automatisch in Ihrem Cloud-Konto sichern und auf Ihren Geräten synchronisieren. Zusätzlich sollten Sie von Ihrem E-Mail-Anbieter bereitgestellte Wiederherstellungscodes erstellen und sicher aufbewahren, Backup-E-Mail-Adressen und Telefonnummern zu Ihrem Konto hinzufügen und in Erwägung ziehen, einen Backup-Passkey auf einem Zweitgerät an einem sicheren Ort speziell für Wiederherstellungszwecke aufzubewahren. Wenn Sie Ihr Gerät ohne diese Backups verlieren, müssen Sie den Kontowiederherstellungsprozess Ihres E-Mail-Anbieters durchlaufen, der möglicherweise eine Identitätsüberprüfung durch amtliche Ausweise oder andere Verifizierungsmethoden erfordert.

Brauche ich noch einen Passwort-Manager, wenn ich Passkeys benutze?

Ja, Passwort-Manager bleiben wertvoll, auch wenn Sie auf Passkeys umsteigen, da die passwortlose Zukunft für viele Jahre unvollständig bleibt. Aktuelle Studien zeigen, dass 87 % der Organisationen weiterhin passwortbasierte Authentifizierung verwenden, obwohl sie deren Schwachstellen kennen, und eine vollständige Abschaffung von Passwörtern vor 2028 für die meisten Organisationen unwahrscheinlich ist. Sie werden auf Altsysteme, spezialisierte Geschäftsanwendungen, gemeinsame Infrastrukturkonten und API-Zugangsdaten stoßen, die auch nach der Umstellung auf Passkeys weiterhin Passwortabhängigkeit aufweisen. Passwort-Manager fungieren als dauerhafte Schicht in hybriden Sicherheitsarchitekturen, indem sie sicher Anmeldedaten für Systeme verwalten, die noch keine passwortlose Authentifizierung unterstützen, während Sie Passkeys dort nutzen, wo sie verfügbar sind. Organisationen, die passwortlose Authentifizierung einführen, erkennen zunehmend, dass Passwort-Manager keine temporären Lösungen sind, sondern essenzielle Werkzeuge zur Verwaltung von Authentifizierung in gemischten Umgebungen.

Wie aktiviere ich Passkeys für mein Gmail- oder Microsoft-Konto?

Um Passkeys für Gmail zu aktivieren, melden Sie sich bei Ihrem Google-Konto an, navigieren Sie zu den Sicherheitseinstellungen, wählen Sie „Passkeys und Sicherheitsschlüssel“ und klicken Sie auf „Passkey erstellen“. Google führt Sie durch die Erstellung eines Passkeys mithilfe der biometrischen Authentifizierung Ihres Geräts (Fingerabdruck oder Gesichtserkennung) oder der Geräte-PIN. Für Microsoft-Konten melden Sie sich auf der Sicherheitsseite Ihres Microsoft-Kontos an, wählen Sie „Erweiterte Sicherheitsoptionen“, dann „Passwortloses Konto“ und folgen Sie den Anweisungen zur Einrichtung der Passkey-Authentifizierung. Sobald Sie einen Passkey erstellt haben, können Sie ihn zur Authentifizierung verwenden, wenn Sie Ihr Konto über OAuth 2.0-Flows mit E-Mail-Clients wie Mailbird verbinden – das OAuth-Authentifizierungsfenster bietet Passkey-Authentifizierung als Option anstelle der Passworteingabe an. Ihr Passkey wird vom Betriebssystem über den Credential Manager auf Ihrem Gerät gespeichert und verlässt dieses niemals oder wird für E-Mail-Clients zugänglich.

Welche regulatorischen Anforderungen treiben Organisationen zur passwortlosen Authentifizierung?

Mehrere regulatorische Rahmenwerke verlangen Authentifizierungssysteme, die robuster sind als traditionelle Passwörter. Die New Yorker Finanzaufsichtsbehörde (NYDFS) 23 NYCRR 500-Verordnung schreibt Mehr-Faktor-Authentifizierung für alle Personen vor, die Informationssysteme betreten, wobei Aufsichtsbehörden zunehmend phishing-resistente Authentifizierung für risikoreichen Zugriff fordern. PCI DSS 4.x schreibt MFA für alle Konten mit Zugriff auf Karteninhaberdaten vor, wirksam ab 31. März 2025. Die EU-Richtlinie NIS2 verlangt von kritischen und wichtigen Einrichtungen die Implementierung von Zugangskontrollrichtlinien und Mehr-Faktor-Authentifizierung gemäß den NIST SP 800-63B-Richtlinien, wobei Juni 2026 die Frist für erste formelle Compliance-Audits darstellt und Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Verstöße vorsieht. Die NIST SP 800-63B-Richtlinien verlangen nun phishing-resistente Authentifizierung mit nicht exportierbaren kryptographischen Schlüsseln für AAL3-Authentifizierungsstufen, was effektiv die Verwendung von FIDO2-basierter Authentifizierung für Bundesbehörden und kritische Infrastrukturen vorschreibt.