Passkeys gelten vor allem als sicherer und bequemer Ersatz für Passwörter. Bei einem verschlüsselten Belegtresor können sie jedoch noch eine zweite Aufgabe übernehmen: Sie können den Zugang zu dem Schlüssel schützen, mit dem die gespeicherten Unterlagen entschlüsselt werden.
Ob daraus ein echter Sicherheitsgewinn entsteht, hängt vollständig von der technischen Umsetzung ab. Dient der Passkey nur zur Anmeldung, schützt er zwar das Benutzerkonto. An der Verschlüsselung der Belege ändert sich dadurch aber nichts.
Entscheidend ist, wer den Tresor öffnen kann
Bei sensiblen Unterlagen reicht es nicht aus, nur die Identität einer Person zu prüfen. Ebenso wichtig ist die Frage, wer tatsächlich in der Lage ist, die gespeicherten Daten zu entschlüsseln.
Ein gut aufgebauter Belegtresor verschlüsselt vertrauliche Inhalte bereits auf dem Endgerät. Der Anbieter speichert anschließend nur die verschlüsselten Daten. Er sollte weder die unverschlüsselten Belege noch den Tresorschlüssel erhalten.
Diese Trennung wird geschwächt, sobald Nutzende regelmäßig mit einem dauerhaft gültigen Geheimnis umgehen müssen. Kennwörter und Wiederherstellungsschlüssel werden kopiert, weitergegeben oder an unsicheren Orten abgelegt. Je häufiger das geschieht, desto größer ist das Risiko eines Verlusts oder Missbrauchs.
Wie ein Passkey die Verschlüsselung unterstützen kann
Passkeys beruhen auf einem Schlüsselpaar. Der Dienst erhält den öffentlichen Schlüssel und kann damit prüfen, ob eine Anmeldung mit dem zugehörigen privaten Schlüssel bestätigt wurde. Der private Schlüssel selbst wird dem Dienst nicht übermittelt.
Unterstützen Gerät, Browser und Anwendung die dafür nötigen WebAuthn-Funktionen, kann der Passkey zusätzlich eine lokal nutzbare Ausgabe bereitstellen. Aus dieser Ausgabe lässt sich auf dem Endgerät Schlüsselmaterial ableiten, das den Zugang zum Tresorschlüssel absichert.
Vereinfacht gesagt bestätigt die Person den Zugriff mit ihrem Passkey. Anschließend stellt das Endgerät das benötigte Schlüsselmaterial bereit und öffnet damit den Tresor. Der Anbieter muss den Tresorschlüssel dabei weder kennen noch übertragen.
Genau darin liegt der Sicherheitsgewinn: Die Speicherung der Daten und die Befugnis zur Entschlüsselung bleiben voneinander getrennt.
Warum das im Arbeitsalltag wichtig ist
Belege werden häufig auf mehreren Geräten erfasst, geprüft und weiterverarbeitet. Oft arbeiten außerdem mehrere Personen an einem Vorgang. Unter Zeitdruck entstehen schnell unsichere Zwischenlösungen, besonders wenn für jeden Zugriff ein zusätzliches Geheimnis benötigt wird.
Ein sinnvoll eingebundener Passkey verringert dieses Risiko. Berechtigte Personen können den Tresor öffnen, ohne den eigentlichen Tresorschlüssel eingeben, kopieren oder weitergeben zu müssen.
Der wichtigste Vorteil ist deshalb nicht die bequemere Anmeldung. Entscheidend ist, dass weniger dauerhaftes Entsperrmaterial offen gehandhabt werden muss und die technische Schutzgrenze klarer bleibt.
Was Passkeys nicht lösen
Passkeys können eine mangelhafte Sicherheitsarchitektur nicht ausgleichen. Sie ersetzen weder eine konsequente Verschlüsselung auf dem Endgerät noch eine sorgfältige Rechteverwaltung.
Auch die Wiederherstellung muss durchdacht sein. Ein Anbieter sollte verständlich erklären können, was bei einem verlorenen Gerät geschieht, wie ein neues Gerät berechtigt wird und wie verhindert wird, dass das Wiederherstellungsverfahren die eigentliche Verschlüsselung umgeht.
Ein Passkey schützt somit einen bestimmten Teil des Systems: den Zugang zu dem Material, das zum Öffnen des Tresors erforderlich ist. Er ist ein wichtiger Baustein, aber nicht das gesamte Sicherheitskonzept.
Woran eine belastbare Lösung zu erkennen ist
Die Aussage „mit Passkey geschützt“ reicht für eine Beurteilung nicht aus. Entscheidend ist, wie der Passkey in die Verschlüsselung eingebunden wurde.
Ein Anbieter sollte folgende Fragen klar beantworten können:
- Werden vertrauliche Inhalte bereits auf dem Endgerät verschlüsselt?
- Kann der Anbieter den Tresorschlüssel zu irgendeinem Zeitpunkt einsehen?
- Welche Aufgabe übernimmt der Passkey beim Öffnen des Tresors?
- Welche Angaben bleiben trotz Verschlüsselung auf dem Server sichtbar?
- Wie funktioniert die Wiederherstellung nach einem Geräteverlust?
- Was geschieht, wenn ein Passkey auf einem Gerät nicht verfügbar ist?
Erst die Antworten zeigen, ob der Passkey tatsächlich die Verschlüsselung stärkt oder lediglich die Anmeldung vereinfacht.
Die richtige Frage für Käufer
Passkeys werden zunehmend zum üblichen Anmeldeverfahren. Ihre bloße Unterstützung ist daher noch kein besonderes Sicherheitsmerkmal.
Bei einem verschlüsselten Belegtresor lautet die entscheidende Frage vielmehr: Schützt der Passkey nur das Benutzerkonto oder auch den Zugang zum Tresorschlüssel?
Nur im zweiten Fall verbessert er den Schutz der gespeicherten Unterlagen selbst. Genau darin liegt sein eigentlicher Wert.