Was ist ein Security Key (physischer Sicherheitsschlüssel)?
Ein Security Key – oder physischer Sicherheitsschlüssel – ist ein Gerät in der Größe eines USB-Sticks, das Ihre Konten absolut sicher vor Phishing schützt. Im Gegensatz zu SMS oder Authentifizierungs-Apps überprüft ein Security Key die Domain der Website, bevor er antwortet: Ist die Website gefälscht, erfolgt keine Authentifizierung. Laut Google sanken die Phishing-Fälle bei den eigenen Mitarbeitern auf null, seit das Unternehmen physische Schlüssel einführte (Google, 2019).
In diesem Artikel erklären wir, wie sie funktionieren, wofür sie gut sind und welche Modelle für Ihre Geräte am sinnvollsten sind.
Wie funktioniert ein Security Key?
Ein Security Key ist ein zweiter Authentifizierungsfaktor, der auf Public-Key-Kryptografie basiert. Wenn Sie ihn bei einem Dienst registrieren, generiert das Gerät ein einzigartiges Schlüsselpaar:
- Einen privaten Schlüssel, der die Hardware niemals verlässt
- Einen öffentlichen Schlüssel, der beim Dienst registriert wird
Beim Anmelden sendet der Dienst eine mathematische Herausforderung, die nur Ihr Schlüssel lösen kann. Und das Wichtigste: Der Schlüssel prüft die Domain, bevor er antwortet. Wenn Sie jemand auf eine gefälschte Website lockt, die Ihre Bank oder Gmail imitiert, schlägt der Schlüssel automatisch fehl – selbst wenn der Angreifer Ihr Passwort kennt.
Wofür wird ein Security Key benötigt?
Security Keys schützen Konten bei Diensten, die die Standards FIDO2 und WebAuthn unterstützen – was heute auf die meisten großen Plattformen zutrifft. Die häufigsten Anwendungsfälle:
- Haupt-E-Mail-Konto und Passwort-Manager
- Bankkonten und Fintech (Revolut, PayPal, Wise)
- Krypto-Börsen (Binance, Coinbase, Kraken)
- Unternehmenskonten mit Zugriff auf sensible Daten
- SSH-Zugriff auf Server und Cloud-Konsolen (AWS, GCP, Azure)
Wenn Sie sensible Informationen oder Konten mit finanziellem Wert verwalten, eliminiert ein Security Key den häufigsten Angriffsvektor: Phishing.
Empfohlene Security Keys
Diese zwei Modelle von YubiKey sind die am weitesten verbreiteten. Der einzige Unterschied ist der Anschluss – wählen Sie passend zu den Anschlüssen Ihrer Geräte.
Bestseller
YubiKey 5 NFC (USB-A)
Kompatibel mit USB-A und NFC. Unterstützt FIDO2, WebAuthn, OTP und OpenPGP. Keine Batterie, keine Treiber nötig.
Für moderne Laptops
YubiKey 5C NFC (USB-C)
Gleiche Funktionen wie der 5 NFC, aber mit USB-C-Anschluss. Kompatibel auch mit Android-Smartphones ohne Adapter.
Zubehör für deinen YubiKey
Sobald Sie einen Schlüssel haben, ist sein physischer Schutz ebenso wichtig. Dieses Zubehör wird in Spanien hergestellt und ist speziell für YubiKeys konzipiert.
Schlüsselanhänger
Hülle mit Lanyard
Schutzhülle mit integriertem Lanyard. Schützt vor Stößen und Kratzern im Alltag. PLA+, hergestellt in Spanien.
Für das Portemonnaie
Kartenformat-Halterung
Gleiche Abmessungen wie eine Kreditkarte. Passt in jedes Portemonnaie, ohne aufzutragen. PLA+, hergestellt in Spanien.
Wenn Sie den YubiKey am Schlüsselbund tragen, ist die Hülle mit Lanyard die praktischste Wahl. Wenn Sie ihn im Portemonnaie aufbewahren möchten, nimmt die Halterung im Kartenformat exakt den Platz einer Kreditkarte ein.
Security Key vs. andere 2FA-Methoden
Nicht alle zweiten Faktoren bieten das gleiche Schutzniveau:
| 2FA-Methode | Phishing-Schutz | Batterie nötig | Ungefähre Kosten |
|---|---|---|---|
| Security Key (FIDO2) | ✅ Ja | ❌ Nein | 25–70 € |
| Authenticator App (TOTP) | ❌ Nein | ✅ Ja (Smartphone) | Kostenlos |
| SMS-Code | ❌ Nein | ✅ Ja (Smartphone) | Kostenlos |
| E-Mail-Link | ❌ Nein | ✅ Ja (Smartphone) | Kostenlos |
Der entscheidende Unterschied ist der Schutz vor Phishing. Bei SMS oder TOTP kann ein Angreifer den Code in Echtzeit abfangen. Bei einem Security Key validiert das Gerät die Domain vor der Antwort – und blockiert den Angriff, selbst wenn der Angreifer Ihr Passwort besitzt.
Die Backup-Regel: Immer zwei Schlüssel
Dies ist der häufigste Fehler zu Beginn: Nur einen Schlüssel zu registrieren. Wenn Sie ihn verlieren oder er beschädigt wird, sind Sie aus allen Konten ausgesperrt, für die er konfiguriert war. Die Lösung ist einfach: Registrieren Sie immer einen zweiten Schlüssel als Backup und bewahren Sie ihn an einem sicheren Ort auf.
Kaufen Sie von Anfang an zwei Schlüssel. Nutzen Sie den ersten täglich und bewahren Sie den zweiten als Reserve auf. Falls ein Dienst keinen zweiten Schlüssel erlaubt, speichern Sie die Wiederherstellungscodes ausgedruckt auf Papier.
Häufig gestellte Fragen (FAQ)
Funktioniert das am Handy?
Ja, sofern der Schlüssel NFC oder einen kompatiblen USB-C-Anschluss hat. Beide hier empfohlenen Modelle unterstützen NFC – halten Sie den Schlüssel einfach an das Handy, um sich zu authentifizieren.
Was passiert bei Verlust?
Wenn Sie einen zweiten Schlüssel registriert oder Wiederherstellungscodes gespeichert haben, können Sie den Zugriff problemlos wiederherstellen. Deshalb ist das Backup von Anfang an so wichtig.
Funktioniert es mit Gmail, Outlook und Social Media?
Ja. Google, Microsoft, GitHub, X und die meisten relevanten Plattformen unterstützen FIDO2 und WebAuthn.
Hat der Schlüssel eine Batterie?
Nein. Er wird über den USB-Port oder das NFC-Feld mit Strom versorgt. Er muss weder geladen noch gewartet werden.
Muss ich Treiber installieren?
Nein. YubiKeys funktionieren als Standard-HID-Geräte – sie werden automatisch unter Windows, macOS und Linux erkannt.
Wie man startet
Ein Security Key ist der effektivste Weg, Online-Konten vor Phishing und Identitätsdiebstahl zu schützen. Wenn Sie noch nie einen benutzt haben, ist dies die empfohlene Vorgehensweise: Kaufen Sie zwei Schlüssel (einen für den Alltag, einen als Backup), registrieren Sie diese zuerst bei Ihrem E-Mail-Konto und Passwort-Manager und bewahren Sie die Wiederherstellungscodes jedes Dienstes auf Papier auf.
Die Kosten für zwei Schlüssel – weniger als 100 € – sind gering im Vergleich zum Schaden durch den Verlust des Zugriffs auf ein kritisches Konto.
