In der heutigen digitalen Welt herrscht eine anhaltende Debatte über die Sicherheit von Passwörtern und die Einführung neuer Authentifizierungsmethoden wie Passkeys. Immer wieder heißt es, Passwörter seien veraltet, unsicher und müssten durch moderne, „passwortlose“ Verfahren ersetzt werden. Doch bei genauerem Hinsehen zeigt sich, dass viele dieser Versprechen wohl eher von großen Technologieunternehmen getrieben sind, die dabei Gewinne und Kontrolle über unsere Daten im Blick haben. Der eigentliche Sicherheitsaspekt im Internet liegt heute nicht primär an den Passwörtern selbst, sondern am impulsiven Verhalten der Nutzer und an der Art und Weise, wie die digitale Welt gestaltet ist, um diese Impulse zu verstärken und auszunutzen. Diese Zusammenhänge wollen wir genauer beleuchten und hinterfragen, warum das beliebte Urteil „Passwörter sind schlecht“ in Wahrheit das falsche Problem adressiert.
Die Kritik an Passwörtern und der Hype um Passkeys Passkeys, wie sie von großen Firmen wie Microsoft, Google oder Apple propagiert werden, versprechen eine Zukunft ohne traditionelle Passwörter. Die Vorstellung dahinter ist, dass Nutzer sich keine komplexen Zeichenkombinationen mehr merken müssen – stattdessen soll die Authentifizierung über biometrische Merkmale, Geräte oder PINs erfolgen, die den Zugang zu privat-öffentlichen Schlüsselpaare verwalten. Doch diese scheinbar fortschrittlichen Ideen bergen ihre eigenen Tücken. Ein PIN ist im Grunde nichts anderes als ein Passwort, nur auf Zahlen begrenzt und häufig leichter zu erraten oder zu knacken. Noch gravierender ist, dass viele dieser Systeme eng an bestimmte proprietäre Plattformen gebunden sind.
Microsoft etwa will, dass Nutzer primär die firmeneigene Authenticator-App verwenden, was zu einem starken Vendor-Lock-in führt. Dieses Bündeln von Authentifizierungsmethoden an Smartphones als zentrale Identitätsanker ist problematisch. Smartphones können gestohlen, kaputtgehen, leer sein oder schlicht verloren werden. Dies macht sie zu einem chronischen Single Point of Failure. Zusätzlich sammeln diese Geräte viele persönliche Daten, und durch die Nutzung von biometrischen Verfahren wird noch mehr sensitives Material preisgegeben, das nicht ohne Weiteres geändert werden kann – im Gegensatz zu einem Passwort, das Sie jederzeit zurücksetzen können.
Zusätzlich sind Passkey-Lösungen nicht einheitlich und fragmentiert. Nicht alle Browser oder Betriebssysteme unterstützen diese Technologien gleichermaßen. Während zum Beispiel Firefox oder Linux-Nutzer oftmals ausgeschlossen sind, fördern Microsoft oder Google mit ihren Vorgaben einen Kontrollverlust über Wahlfreiheit und Datenschutz. Dazu kommt, dass passwortlose Systeme oft rein auf eine einzige Hardware angewiesen sind, etwa das eigene Smartphone, das nicht ohne Weiteres durch mehrfache Sicherungsmechanismen oder Offline-Lösungen ergänzt werden kann. Das eigentliche Sicherheitsproblem: Impulsivität und das Design des Internets Statt Passwörter als Ursache für Sicherheitslücken zu verteufeln, sollte der Fokus vielmehr auf das menschliche Verhalten und die Gestaltung der Online-Umgebungen gelegt werden.
Die meisten Menschen haben Probleme mit Impulskontrolle – eine Tatsache, die das moderne Internet ausnutzt wie keine andere Technologie. Unsere Gehirne reagieren auf schnelle Belohnungen, wie einen Klick auf eine ansprechende Werbeanzeige, eine versprochene Sonderaktion oder einen vermeintlich wichtigen Sicherheitshinweis per E-Mail. Unternehmen gestalten ihre digitalen Produkte so, dass sie diese psychologischen Schwächen maximal ausnutzen: vom Laden schneller Webseiten über interaktive Elemente in E-Mails bis hin zu verkürzten und unübersichtlichen Links, welche die Nutzer direkt zu Umsatztreibern führen sollen. E-Mails zum Beispiel sind längst nicht mehr die einfachen Textnachrichten der Anfänge, sondern oft komplexe HTML-basierte Dokumente mit eingebetteten Bildern, Links und Skripts. Das alles ist darauf ausgelegt, die Aufmerksamkeit auf sich zu ziehen, Engagement zu erhöhen und schnelle Handlungen zu provozieren.
Leider macht dies E-Mails anfällig für Phishing, denn Nutzer klicken häufig ohne Nachzudenken auf Links, ohne die Echtheit einer Nachricht verifizieren zu können. Die Ursache ist also nicht primär die Authentifizierungsmethode, sondern der Drang zu schneller Aktion und der mangelnde Fokus auf kritisches Hinterfragen. Eine praktische Lösung für das Problem der Phishing-E-Mails wäre eine strengere Trennung von Information und Handlung. Idealerweise erhielte der Nutzer lediglich eine reine Textnachricht ohne aktive Links, anhand derer er sich dann bewusst und ohne Zeitdruck im Browser über die entsprechende Webseite informieren könnte. Dies würde das Phishing signifikant erschweren, da es dem Angreifer die unkomplizierte Zugangsbrücke nimmt.
Leider widerspricht dies jedoch dem Geschäftsmodell vieler Anbieter, denn „bequeme“ und schnelle Klicks sind die beste Einnahmequelle. Die Illusion der Sicherheit durch Passkeys Passkeys zielen darauf ab, Fälle zu verhindern, in denen Nutzer ihre Zugangsdaten auf gefälschten Webseiten eingeben. Doch realistisch betrachtet trifft ein einzelner Mensch häufig nur selten auf solche ausgeklügelten Angriffe. Viel häufiger werden jedoch große Unternehmensdatenbanken gehackt und Millionen von Zugangsdaten kompromittiert. Kein Passkey-System hilft dabei, den Schaden zu begrenzen, wenn Firmen ihre IT-Sicherheit vernachlässigen oder schwache Schutzmechanismen implementieren.
Darüber hinaus verschiebt die Nutzung von Passkeys die Verantwortung für die Sicherheit von den Nutzern auf zentralisierte Dienste, die nicht immer transparent oder vollständig vertrauenswürdig sind. Gerade in einer Zeit, in der Datenschutz und Kontrolle über persönliche Informationen essenzieller denn je sind, ist es riskant, sich auf proprietäre Dienste und fremde Devices zu verlassen, deren innerste Mechanismen kaum nachvollziehbar sind. Im Gegensatz dazu bieten offline Passwortmanager wie KeePass zahlreiche Vorteile: Sie bleiben unabhängig von Cloud-Diensten, sind über verschiedene Plattformen hinweg nutzbar und lassen sich durch eigene Backups vor Datenverlust schützen. Zudem ermöglichen sie eine dezentrale Verwaltung, wodurch das Risiko gestohlener Zugänge durch einen Angriff auf ein zentrales System ausgeschlossen wird. Hier sehen wir: Sicherheit ist immer auch eine Frage der Flexibilität, der Kontrollmöglichkeiten und der Nutzerfreundlichkeit – nicht nur der technischen Innovation.
Warum die Freiheit wichtiger ist als die Illusion absoluter Sicherheit Die meisten Nutzer können kaum einschätzen, wie hoch das Risiko ist, Opfer einer Phishing-Attacke zu werden. Die verbreitete Angst führt dazu, dass viele bereit sind, ihre Privatsphäre und Freiheit einzuschränken, um sich vor einem hypothetischen Angreifer zu schützen. Doch schlussendlich bedeutet diese Entwicklung oft eine Form freiwilliger digitaler Abhängigkeit und Überwachung, bei der Nutzer ihre Geräte, Daten und Zugänge großen Konzernen ausliefern. Passkeys verkörpern genau diese Entwicklung: Sie versprechen Sicherheit, doch im Gegenzug opfert man die Möglichkeit, unabhängig und flexibel mit seinen digitalen Identitäten umzugehen. Der Preis dafür ist hoch – weniger Kontrolle über die eigenen Daten, erhöhte Abhängigkeit von schwer durchschaubaren Plattformen und ein Gerät (das Smartphone) als Single Point of Failure.
Die wirklich wirksame Schutzmaßnahme ist daher nicht die technologische Neuerung, sondern ein bewusster Umgang mit digitalen Angeboten. Wer beim Online-Shopping einen Moment innehält und Links sowie E-Mails kritisch überprüft, der schützt sich besser als mit jeder automatischen Authentifizierungsinnovation. Die beste Verteidigung ist Vorsicht, Skepsis und ein gesundes Misstrauen gegenüber allem, was auf den ersten Klick verlockend wirkt. Fazit Passwörter alleine sind nicht das Problem des Internetsicherheitsversagens und sollten auch nicht als Sündenbock für die zunehmende Zahl von Online-Kriminalitätsfällen herhalten. Große Datenlecks entstehen viel häufiger durch fahrlässige IT-Sicherheitspraktiken bei Unternehmen als durch die Schwächen eines einzelnen Passworts.
Passkeys mögen in bestimmten Szenarien gegen Phishing helfen, doch die damit verbundene Abhängigkeit von Smartphones, proprietären Anwendungen und biometrischen Daten schafft neue Risiken und Einschränkungen. Das wahre Risiko liegt im impulsiven Umgang mit dem Internet und der Art, wie viele Online-Dienste gestaltet sind, um genau dieses impulsive Verhalten auszunutzen. Solange wir Nutzer es nicht schaffen, unsere Impulse besser zu kontrollieren und Webangebote von vornherein so gestaltet werden, dass sie weniger auf schnelle Klicks und maximale Monetarisierung ausgelegt sind, werden Sicherheitsprobleme weiter bestehen. Daher ist die Antwort nicht, Passwörter zu verteufeln und blind auf neue Technologien wie Passkeys zu setzen. Vielmehr braucht es eine bewusste, kritische Nutzung der digitalen Welt, gestärkte Impulskontrolle, und einen gesunden Skeptizismus gegenüber schnellen und einfachen Lösungen, die vor allem den Interessen weniger großer Unternehmen dienen.
Wer sich dieser Realität stellt, bewegt sich sicherer durch die digitale Landschaft – auch wenn das bedeutet, hin und wieder innezuhalten, nachzudenken und Links sorgfältig zu prüfen.
