World Password Day 2026:
das Ende der Passwort-Ära

Was hat sich 2026 geändert

Der World Password Day am 7. Mai 2026 fällt in eine Übergangsphase. Zum ersten Mal werden Passkeys offiziell von den wichtigsten Enterprise-Identitätsanbietern unterstützt — Microsoft 365, Google Workspace, Apple Business Manager, GitHub — und sind keine Kuriosität für Insider mehr. Gleichzeitig hat das NIST 2024 die ersten Standards für Post-Quantum-Kryptografie veröffentlicht (ML-KEM, ML-DSA, SLH-DSA) und damit einen jahrzehntelangen Übergang eingeläutet, den Unternehmen jetzt planen sollten.

Die Botschaft 2026 ist einfach: Das Passwort, wie wir es kennen, ist nicht mehr die erste Verteidigungslinie. Die erste Linie ist die digitale Identität, verwaltet mit Werkzeugen, die über das Passwort hinausgehen, mit Blick auf die Kryptografie des nächsten Jahrzehnts.

Warum Passkeys das Passwort ablösen

Ein Passkey ist eine kryptografische Anmeldeinformation auf Basis von FIDO2/WebAuthn: ein öffentlich-privates Schlüsselpaar, das auf dem Gerät des Benutzers (oder im Unternehmens-Passwortmanager) erzeugt und gespeichert wird. Die Authentifizierung erfolgt durch das Signieren einer kryptografischen Challenge mit dem privaten Schlüssel, entsperrt durch Biometrie oder lokale PIN. Der private Schlüssel verlässt nie das Gerät, und der Server erhält nie ein wiederverwendbares «Geheimnis».

Die Vorteile gegenüber dem traditionellen Passwort sind konkret und messbar:

• 1Phishing-Resistenz — der Passkey ist kryptografisch an die legitime Domäne gebunden. Eine Klon-Site kann keine gültige Signatur erhalten, selbst wenn der Benutzer darauf hereinfällt.
• 2Keine zu stehlenden Passwortdatenbanken — Datenschutzverletzungen mit Hash-Exfiltration gibt es bei Passkeys schlicht nicht: Der Server speichert nur den öffentlichen Schlüssel, der für einen Angreifer nutzlos ist.
• 3Bessere Benutzererfahrung — weniger vergessene Passwörter, weniger Resets, weniger Helpdesk-Anrufe. Der Login wird zu einer biometrischen Operation in wenigen Sekunden.
• 4Cloud-Synchronisierung — moderne Passkeys (iCloud Keychain, Google Password Manager, 1Password, Bitwarden) synchronisieren sich Ende-zu-Ende-verschlüsselt zwischen den Geräten des Benutzers, ohne manuelle Schritte.

SMS- und TOTP-MFA reichen nicht mehr

«Klassische» MFA — SMS-Code, TOTP aus Authenticator-Apps ohne Number Matching, Push-Benachrichtigungen ohne Verifizierung — hat sich in zahlreichen Vorfällen der letzten zwei Jahre als angreifbar erwiesen. Die häufigsten Bypass-Mechanismen sind:

• Adversary-in-the-Middle (AiTM) Phishing — ein bösartiger Proxy (z. B. EvilGinx) leitet die Anmeldung des Benutzers an den echten Dienst weiter und fängt sowohl Passwort als auch MFA-Code in Echtzeit ab, wodurch effektiv das Sitzungs-Cookie gestohlen wird.
• SIM-Swapping — der Angreifer überzeugt den Mobilfunkanbieter, die Nummer des Opfers auf eine neue SIM zu portieren, und erhält die SMS-Codes. Dokumentiert in realen Vorfällen gegen Führungskräfte und IT-Administratoren.
• MFA-Fatigue / Push Bombing — der Angreifer mit gestohlenen Anmeldedaten sendet Dutzende von Genehmigungs-Pushs, bis der erschöpfte Benutzer aus Versehen oder Ärger «Genehmigen» klickt.
• OAuth-Consent-Phishing — der Angreifer stiehlt nicht die Anmeldedaten, sondern überzeugt den Benutzer, einer böswilligen App dauerhafte OAuth-Berechtigungen zu erteilen, was MFA und Passwort-Rotation komplett umgeht.

NIST SP 800-63B und CISA empfehlen seit Längerem den Wechsel zu Phishing-resistenter MFA: Passkeys, FIDO2-Hardware-Sicherheitsschlüssel (z. B. YubiKey) oder Windows Hello for Business mit TPM. Für administrative und privilegierte Konten ist es inzwischen Mindestanforderung, keine Option.

Der Post-Quantum-Horizont

Quantencomputer werden, sobald sie in großem Maßstab betriebsfähig sind, in relativ kurzer Zeit die Public-Key-Algorithmen brechen können, die heute das Internet tragen — RSA, ECDSA, Diffie-Hellman — verwendet für HTTPS, VPN, digitale Signaturen, Schlüsselaustausch und einen Großteil der Authentifizierung. Das NIST hat 2024 die ersten drei Standards für Post-Quantum-Kryptografie (PQC) veröffentlicht:

• 1ML-KEM (FIPS 203) — basierend auf dem Kyber-Algorithmus, ist der Standard für quantum-resistenten Schlüsselaustausch. Ersetzt ECDH/RSA-KEM in TLS, IKEv2 und ähnlichen Protokollen.
• 2ML-DSA (FIPS 204) — basierend auf Dilithium, ist der Standard für Post-Quantum-Digitalsignaturen. Ersetzt ECDSA/RSA in PKIs, Zertifikaten und Code-Signing.
• 3SLH-DSA (FIPS 205) — basierend auf SPHINCS+, eine alternative hash-basierte Digitalsignatur. Langsamer, aber unabhängig von Lattice-Sicherheitsannahmen.

Auch wenn nutzbare Quantencomputer noch nicht da sind, ist das Risiko bereits konkret: Die raffiniertesten Angreifer sammeln heute verschlüsselten Datenverkehr (VPN, E-Mail, TLS-Sitzungen), um ihn morgen zu entschlüsseln — ein Bedrohungsmodell bekannt als «harvest now, decrypt later». Daten mit jahrzehntelangem Wert (Industriegeheimnisse, Verträge, Gesundheitsdaten, Anwaltsdossiers) sind am stärksten exponiert.

Drei konkrete Maßnahmen für Ihr Unternehmen 2026

Ohne die Infrastruktur umzukrempeln, gibt es drei Schritte, die jedes KMU bis Jahresende 2026 ergreifen kann:

• 1Passkeys für administrative Konten und privilegierte Rollen — Passkeys oder FIDO2-Hardware-Sicherheitsschlüssel für globale Microsoft-365-Administratoren, Konten mit erhöhten Rechten und Sysadmins aktivieren. Dies ist die Maßnahme mit dem höchsten ROI: Sie schützt den bevorzugten Angriffspunkt von Ransomware-Operatoren. Microsoft 365 sicher.
• 2Unternehmens-Passwortmanager und Prüfung auf kompromittierte Passwörter — ein Passwortmanager mit sicherer Geheimnisfreigabe zwischen Teams beseitigt wiederverwendete Passwörter, Klebezettel und E-Mail-Freigaben. Periodische Prüfung der Anmeldedaten gegen Datenpannen-Datenbanken. Passwort prüfen.
• 3Krypto-Inventar und PQC-Roadmap — die Verwendungen asymmetrischer Kryptografie (VPN, TLS-Zertifikate, digitale Signatur, interne PKI) erfassen, um die Punkte zu identifizieren, die bis 2030 einen Übergang zu PQC-Systemen erfordern. Der erste Schritt ist zu wissen, was man hat. Cybersecurity-Dienste.

Ein Partner für die Modernisierung der Authentifizierung

AtWorkStudio unterstützt KMU beim Übergang zu Passkeys und Phishing-resistenter MFA in Microsoft 365 und Hybridumgebungen. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für SaaS-Cloud-Dienste, Mitglied von Clusit (italienischer Verband für Informationssicherheit) und assoziiert mit Confindustria Piacenza im RICT-Cluster.

Wir helfen Unternehmen, eine moderne Authentifizierungs-Policy zu definieren (Passkeys für sensible Rollen, Conditional Access, Zero Trust), Unternehmens-Passwortmanager mit gemeinsamen Vaults einzuführen und ein Krypto-Inventar einzurichten, um sich ohne Panik auf den PQC-Übergang vorzubereiten.