Yubico für Unternehmen: Wie viele YubiKeys Sie benötigen und wie Sie sie verwalten
Ein Arbeitsteam zu schützen ist nicht dasselbe wie ein persönliches Konto zu schützen. Wenn 10, 50 oder 200 Personen Zugang zu kritischen Systemen haben, lautet die Frage nicht, ob man YubiKey verwenden sollte – sondern wie man es organisiert, ohne dass es zu einem operativen Problem wird.
Dieser Leitfaden richtet sich an IT-Verantwortliche, Betriebsleiter und alle, die diese Entscheidung treffen müssen: wie viele Schlüssel bestellt, wie sie verteilt und welche Werkzeuge zur Verwaltung vorhanden sind.
Wie viele YubiKeys benötigt Ihr Unternehmen?
Die Grundregel: ein Schlüssel pro Mitarbeiter, plus ein Backup für jedes kritische Profil. Aber die tatsächliche Anzahl hängt davon ab, wer auf was Zugriff hat.
Nicht alle Rollen haben das gleiche Risikoniveau. Ein Mitarbeiter mit Zugang nur zur Firmen-E-Mail benötigt nicht das gleiche Schutzniveau wie jemand mit Zugang zu Produktionsservern oder Finanzdaten.
| Profil | Empfohlene Schlüssel | Warum |
|---|---|---|
| Standardmitarbeiter (E-Mail, SaaS-Apps) | 1 Schlüssel | Begrenzter Zugriff, mittleres Risiko |
| Manager mit Zugriff auf sensible Daten | 2 Schlüssel | Ohne Backup blockiert ein Vorfall den Zugriff |
| IT / Sysadmin / DevOps | Mindestens 2 Schlüssel | Zugriff auf kritische Systeme und Server |
| C-Level / Geschäftsführung | 2 Schlüssel + 1 in Verwahrung | Hauptziel bei gezielten Angriffen |
| Remote / externer Auftragnehmer | 1-2 Schlüssel je nach Zugriff | Verbindung außerhalb des Unternehmensnetzwerks |
Yubico empfiehlt, immer mindestens zwei Schlüssel pro Benutzer zu registrieren. Wenn jemand seinen verliert und kein Backup registriert ist, kann die Wiederherstellung des Zugriffs Stunden – oder Tage – dauern. In kritischen Umgebungen hat das echte Kosten zur Folge.
Kurzübersicht nach Teamgröße
Zur Orientierung vor der Bestellung:
| Teamgröße | Mindestanzahl Schlüssel | Empfohlene Schlüssel | Anmerkungen |
|---|---|---|---|
| 1–10 Personen | 10 | 15–20 | Backup für kritische Profile einplanen |
| 11–50 Personen | 50 | 65–80 | Mindestens Backup für IT und Geschäftsführung |
| 51–200 Personen | 200 | 250–280 | Phasenweise Einführung in Betracht ziehen |
| 200+ Personen | Variabel | Yubico direkt kontaktieren | Yubico for Enterprise Programm mit gestaffelten Preisen |
Welches YubiKey-Modell für ein Unternehmen wählen?
Das Modell hängt von den verfügbaren Anschlüssen an den Computern des Teams ab. In gemischten Umgebungen – neue Laptops mit USB-C und Desktop-PCs mit USB-A – ist es am üblichsten, ein Modell zu wählen und es mit Adaptern zu ergänzen oder zwei verschiedene Modelle zu verteilen.
YubiKey 5 NFC (USB-A)
Das am weitesten verbreitete Modell in Unternehmensumgebungen. Kompatibel mit den meisten Desktop-Computern und Laptops mit USB-A-Anschluss. NFC ermöglicht auch die Verwendung vom Mobiltelefon aus ohne Adapter.
YubiKey 5C NFC (USB-C)
Für moderne Computer mit USB-C. MacBooks, Dell- oder Lenovo-Laptops der neuesten Generation. Wenn der Großteil der Computer USB-C hat, ist dies das richtige Modell.
YubiKey 5 Nano / 5C Nano
Für Personen, die immer am selben Computer arbeiten und den Schlüssel lieber dauerhaft eingesteckt lassen. Er schließt fast bündig mit dem Anschluss ab – ohne hervorzuragen.
Wenn Sie sowohl USB-A- als auch USB-C-Computer in derselben Organisation haben, ist die praktischste Option in der Regel, auf den YubiKey 5 NFC (USB-A) zu standardisieren und bei Bedarf USB-C-Adapter zu verteilen. Dies reduziert die Anzahl der zu verwaltenden Artikelnummern.
Wie man YubiKeys in einer Organisation verwaltet
Der größte Fehler bei Unternehmenseinführungen ist nicht die Wahl des falschen Modells – sondern das Fehlen eines Systems, um zu wissen, wer welchen Schlüssel hat, welche Zugriffsrechte registriert sind und was zu tun ist, wenn jemand das Unternehmen verlässt.
Yubico Enterprise Subscription
Yubico bietet ein Abonnementprogramm für Unternehmen an, das den kostenlosen Austausch von Schlüsseln, bevorzugten Support und Zugang zu YubiEnterprise Delivery umfasst – ein System zur direkten Verteilung von Schlüsseln an Remote-Mitarbeiter, ohne die IT-Abteilung einzubeziehen.
YubiKey Manager
Das offizielle Tool von Yubico zur individuellen Konfiguration von Schlüsseln. Es ermöglicht die Verwaltung der Schlüssel-Slots, die Anzeige der konfigurierten Anwendungen und das Zurücksetzen eines Schlüssels vor der Neuzuweisung. Kostenlos, verfügbar für Windows, macOS und Linux.
Yubico SCIM Tool
Für Organisationen, die Identitätsanbieter wie Okta, Azure AD oder Google Workspace verwenden. Es ermöglicht die automatische Bereitstellung und Aufhebung der Bereitstellung von Schlüsseln, wenn ein Mitarbeiter dem Unternehmen beitritt oder es verlässt.
Registrierung im IdP
Unabhängig vom Tool läuft der Verwaltungsprozess immer über den Identitätsanbieter. Der YubiKey ist wertlos, wenn er nicht im System registriert ist, das den Zugriff kontrolliert. Der Standardprozess ist: Schlüssel zuweisen → Mitarbeiter registriert ihn im IdP → IT überprüft die Registrierung → Zugriff wird aktiviert.
Das Offboarding-Protokoll muss den YubiKey explizit enthalten. Zuerst wird der Zugriff im IdP deaktiviert. Dann wird der physische Schlüssel eingesammelt. Wenn er nicht wiedererlangt werden kann – Remote-Mitarbeiter, Verlust – wird die Registrierung widerrufen und der Schlüssel bei Wiederverwendung zurückgesetzt.
Die Schlüssel physisch schützen
Ein YubiKey ohne Hülle landet zerkratzt am Boden eines Rucksacks oder klappert am Schlüsselbund gegen die Autoschlüssel. Bei einer unternehmensweiten Bereitstellung, bei der die Schlüssel durch viele Hände und verschiedene Situationen gehen, ist der physische Schutz kein unwichtiges Detail.
Holdtag stellt spezifisches Zubehör für YubiKey her – Hüllen, Tabletts im Kreditkartenformat und Geldbörsen mit RFID-Blockierung – konzipiert für den täglichen Gebrauch in professionellen Umgebungen. Hergestellt in Spanien, aus hochfestem PLA+.
YubiKey-Tablett 2 Fächer
Kreditkartenformat. Zwei Fächer – Hauptschlüssel und Backup auf derselben Karte. Passt in jede Brieftasche. Ideal für Profile, die zwei Schlüssel bei sich tragen.
YubiKey Hülle PLA+
Schutz für den täglichen Gebrauch mit integriertem Schlüsselanhänger. Schützt vor Stößen und Kratzern. Für alle, die ihren Schlüssel immer dabei haben.
Für Firmenbestellungen in großen Mengen, Sonderkonditionen oder Personalisierung, besuchen Sie die Seite für Geschäftslösungen.
Häufig gestellte Fragen
Kann ein einziger YubiKey für mehrere Dienste verwendet werden?
Ja. Ein einziger YubiKey kann gleichzeitig bei mehreren Diensten registriert werden – Google Workspace, Microsoft 365, GitHub, Okta und andere. Es gibt praktisch keine Begrenzung für die Anzahl der Registrierungen. Jeder Dienst speichert seine eigene Aufzeichnung des Schlüssels.
Was passiert, wenn ein Mitarbeiter seinen YubiKey verliert?
Wenn ein Backup-Schlüssel registriert ist, kann der Mitarbeiter diesen verwenden, um sich anzumelden, während ein Ersatz organisiert wird. Wenn es kein Backup gibt, muss die IT den Zugang über eine andere Methode wiederherstellen – was Zeit in Anspruch nehmen kann. Deshalb ist ein Backup für kritische Profile unerlässlich.
Kann ein YubiKey von einem ausgeschiedenen Mitarbeiter wiederverwendet werden?
Ja, aber mit dem richtigen Protokoll. Zuerst müssen alle Registrierungen im IdP widerrufen werden. Dann kann der Schlüssel mit dem YubiKey Manager zurückgesetzt und einem anderen Mitarbeiter zugewiesen werden. Wenn diese Reihenfolge nicht eingehalten wird, besteht das Risiko, dass der alte Schlüssel bei einem Dienst noch aktiv ist.
Funktioniert YubiKey mit Google Workspace und Microsoft 365?
Ja, beide Plattformen sind als FIDO2-Authentifizierungsmethode mit YubiKey kompatibel. Google Workspace unterstützt es nativ. Microsoft 365 ebenfalls über Azure Active Directory. Die Konfiguration erfordert die Aktivierung im Admin-Panel.
Gibt es Mengenrabatte für Unternehmen?
Yubico bietet das YubiEnterprise Subscription-Programm für Firmenbestellungen mit gestaffelten Preisen und inklusivem Austauschservice an. Für Holdtag-Zubehör in großen Mengen können Sie die Konditionen auf der Seite für Geschäftslösungen einsehen.
YubiKey funktioniert im Unternehmen – wenn ein System dahintersteht
Der physische Schlüssel ist der einfache Teil. Was eine Bereitstellung erfolgreich oder erfolglos macht, ist der Prozess: Wer hat welchen Schlüssel, welche Zugriffsrechte sind registriert und was passiert, wenn jemand geht. Ohne dieses System enden Sie mit verlorenen Schlüsseln, nicht widerrufenen Zugriffen und einer IT-Abteilung, die Ausnahmen verwaltet.
Beginnen Sie mit den risikoreichsten Profilen – IT, Geschäftsführung, Zugang zu kritischen Systemen. Definieren Sie das Onboarding- und Offboarding-Protokoll, bevor Sie die ersten Schlüssel kaufen. Und stellen Sie sicher, dass jedes kritische Profil vom ersten Tag an sein Backup registriert hat.
