Bitte wählen Sie die Bereiche, die Sie exportieren möchten:
Schulung Passwordless Authentication: FIDO2, Passkeys und Windows Hello for Business
Phishing-resistente Authentifizierung mit Security Keys, Passkeys und biometrischen Verfahren
Schulungsformen
Offene Schulung
- 1 Tag
- 5 gesicherte Termine
- Köln / Online
- 730,00 p. P. zzgl. MwSt.
- Dritter Mitarbeitende kostenfrei
- Learning & Networking in einem. Garantierte Durchführung ab 1 Teilnehmenden.
Inhouse-/Firmenschulung
- 1 Tag - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Individualschulung
- 1 Tag - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Beschreibung
Die Lösung ist nicht besseres MFA - sondern gar keine Passwörter mehr . Microsoft hat 2025 angekündigt, Passwörter für neue Entra-ID-Konten standardmäßig abzuschaffen. Die Technologien existieren bereits: FIDO2 Security Keys (physischer Schlüssel: einstecken und berühren - Phishing-resistent per Design), Passkeys (der Industriestandard von Apple, Google und Microsoft - synchronisierte Schlüssel auf allen Geräten, Anmeldung per Fingerabdruck oder Gesichtserkennung), Windows Hello for Business (Gesichtserkennung, Fingerabdruck oder PIN am Windows-Gerät - Credential ist an das Gerät gebunden, verlässt nie den Rechner).
Alle drei Methoden haben eine entscheidende Eigenschaft: sie sind Phishing-resistent . Ein FIDO2-Key kann nicht auf einer gefälschten Website eingegeben werden - er prüft kryptographisch, ob die Website echt ist. Ein Passkey funktioniert genauso. Kein Passwort, das gestohlen werden kann. Kein Code, der abgefangen werden kann. Kein Push, der weggeklickt werden kann.
Dieses Ein-Tages-Seminar zeigt nicht nur die Theorie, sondern die Implementierung : FIDO2 in Entra ID aktivieren, Passkeys konfigurieren, Windows Hello for Business verstehen, Conditional Access für Passwordless anpassen, Temporary Access Pass für den Übergang einrichten - und einen Rollout-Plan erstellen, der Benutzer mitnimmt statt überfordert.
Vertiefen Sie Ihr Wissen mit einem weiteren Windows Seminar aus unserem Angebot.
Schulungsziel
Jede teilnehmende Person verlässt das Seminar mit dem Verständnis, warum Passwörter das schwächste Glied sind und warum MFA allein nicht ausreicht (Phishing-Proxy, MFA Fatigue), der Fähigkeit, FIDO2 Security Keys in Entra ID zu konfigurieren (Authentication Methods, Key Registration, Conditional Access), der Kenntnis von Passkeys als plattformübergreifendem Standard (Apple, Google, Microsoft, Passwort-Manager), dem Verständnis von Windows Hello for Business (Cloud Trust Deployment, Intune-Konfiguration, Biometrie), einer Rollout-Strategie für die eigene Organisation (Phasen, Hardware, Backup, Change Management) und dem Wissen, dass Passwordless nicht Zukunft ist, sondern Gegenwart - Microsoft hat die Default-Einstellung bereits geändert.
Details
Inhalt
- Ziele und Erwartungen der Teilnehmenden
- Klärung individueller Lernziele und Erwartungen für ein praxisnahes und relevantes Seminar
- Angriffe auf Passwörter: Phishing (Credential Harvesting - die #1-Angriffsmethode), Credential Stuffing (geleakte Passwörter aus Breaches werden systematisch ausprobiert), Password Spraying (häufige Passwörter gegen viele Konten), Brute Force, Keylogger, Social Engineering.
- Grenzen von MFA: SMS-basiertes MFA ist angreifbar (SIM-Swapping, SS7-Interception). TOTP-Codes (Authenticator App) sind Phishing-anfällig (Echtzeit-Proxy: Angreifer leitet Code sofort weiter). Push-Notifications leiden unter MFA Fatigue (Angreifer spamt Genehmigungsanfragen). Number Matching in Microsoft Authenticator reduziert Fatigue - aber das Passwort bleibt als schwächstes Glied.
- Phishing-Resistenz als Schlüsselprinzip: FIDO2 und Passkeys binden die Authentifizierung kryptographisch an die Ziel-Domain. Eine gefälschte Website (login.microsofft.com statt login.microsoft.com) wird vom Key erkannt und die Authentifizierung verweigert. Kein menschlicher Faktor, keine Fehlentscheidung.
- Microsofts Passwordless-Strategie: Neue Entra-ID-Konten sind ab 2025 standardmäßig passwordless. Langfristiges Ziel: Passwörter komplett eliminieren. Authentication Strength Policies als Steuerungsinstrument.
- Interaktiv: Live-Demo eines Phishing-Angriffs auf ein Passwort+SMS-MFA-Konto (Evilginx-Proxy - in isolierter Lab-Umgebung). Ergebnis: Passwort UND MFA-Code abgefangen. Dann: derselbe Angriff gegen FIDO2 -> schlägt fehl, weil der Key die Domain prüft.
- Was ist FIDO2? Fast Identity Online - offener Standard der FIDO Alliance. Zwei Komponenten: WebAuthn (Browser-API für die Website/App) + CTAP (Kommunikation zwischen Browser und Authenticator/Key). Kein Passwort, kein Code - kryptographischer Challenge-Response mit Public/Private Key.
- Wie funktioniert ein FIDO2-Key? Registrierung: Key generiert ein Schlüsselpaar pro Website (privater Schlüssel bleibt auf dem Key, öffentlicher wird bei Entra ID gespeichert). Anmeldung: Entra ID sendet Challenge -> Benutzer berührt den Key -> Key signiert die Challenge mit dem privaten Schlüssel -> Entra ID prüft die Signatur. Kein Geheimnis wird übertragen.
- Hardware-Auswahl: YubiKey 5 (USB-A/C/NFC, am verbreitetsten), YubiKey Bio (mit Fingerabdrucksensor), Feitian BioPass (biometrisch, günstiger), SoloKeys (Open Source), Token2 (DACH-Hersteller). Entscheidungskriterien: USB-A vs. USB-C vs. NFC vs. Lightning, Biometrie (ja/nein), FIPS-Zertifizierung (für regulierte Branchen), Preis pro Key (15-80 €).
- FIDO2 in Entra ID konfigurieren: Authentication Methods Policy (FIDO2 Security Key aktivieren), Key Restrictions (nur bestimmte Hersteller/Modelle erlauben - per AAGUID), Self-Service-Registrierung (Benutzer registriert den Key selbst unter mysignins.microsoft.com) vs. Admin-provisionierte Registrierung.
- Conditional Access mit FIDO2: Authentication Strength Policy (Phishing-resistant MFA erzwingen: nur FIDO2, Passkey oder WHfB erlaubt - kein Passwort, kein SMS, kein Push).
- Praxis-Übung: FIDO2 in der Lab-Umgebung aktivieren: Authentication Methods Policy konfigurieren, einen YubiKey (oder Software-Emulator) registrieren, Anmeldung testen (Passwortlos - nur Key berühren), Conditional Access Policy erstellen (Admin-Portal nur mit Phishing-resistant MFA), Anmeldung ohne Key versuchen -> blockiert.
- Passkeys vs. FIDO2 Security Keys: Passkeys sind FIDO2-Credentials, die auf dem Gerät gespeichert werden (nicht auf einem separaten Key). Gerätegebundene Passkeys (Device-bound: auf einem Gerät, nicht kopierbar - wie Windows Hello) vs. synchronisierte Passkeys (Synced: über iCloud Keychain, Google Password Manager oder 1Password auf alle Geräte synchronisiert).
- Plattform-Support: Apple (iCloud Keychain - synchronisiert über alle Apple-Geräte), Google (Google Password Manager - synchronisiert über Android und Chrome), Microsoft (Windows Hello - gerätegebunden, Authenticator App - synchronisiert), 1Password und Bitwarden (Passkeys im Passwort-Manager - plattformübergreifend).
- Passkeys in Entra ID: Microsoft Authenticator als Passkey-Provider (seit 2024). Registrierung: Benutzer fügt Passkey in Microsoft Authenticator hinzu -> Anmeldung per Fingerabdruck/Face ID auf dem Smartphone. Cross-Device Authentication: Passkey auf dem Smartphone, Anmeldung am Laptop (QR-Code scannen -> Bluetooth-Proximity-Check -> Fingerabdruck auf dem Phone -> am Laptop angemeldet).
- Passkeys vs. Passwort-Manager: Passwort-Manager speichern Passwörter (die weiterhin Phishing-anfällig sind). Passkeys ersetzen Passwörter komplett (kryptographisch, Phishing-resistent, kein Shared Secret). Passkey-fähige Passwort-Manager (1Password, Bitwarden) kombinieren beides: Passkeys wo möglich, Passwörter für Legacy-Dienste.
- Praxis-Übung: Passkey in Microsoft Authenticator registrieren (auf dem Seminar-Smartphone oder eigenem Gerät). Anmeldung am Laptop per Cross-Device Flow (QR-Code + Bluetooth + Biometrie). Vergleich: Anmelde-Erlebnis Passkey vs. Passwort+MFA -> Passkey ist schneller UND sicherer.
- Was ist WHfB? Gesichtserkennung (IR-Kamera, nicht einfach ein Foto), Fingerabdruck oder PIN - gebunden an das Gerät. Der private Schlüssel verlässt nie den TPM-Chip (Trusted Platform Module) des Geräts. Kein zentraler Server kennt die Biometrie-Daten.
- PIN ≠ Passwort: WHfB-PIN ist gerätegebunden (funktioniert nur auf diesem einen Gerät) und durch den TPM geschützt (Brute-Force-Schutz in Hardware). Ein Passwort funktioniert von jedem Gerät aus und wird über das Netzwerk übertragen. Ein gestohlener PIN ist nutzlos ohne das Gerät.
- Deployment-Modelle: Cloud Trust (empfohlen für Cloud-only und Hybrid - einfachste Konfiguration, nutzt Entra ID und Intune), Key Trust (für Hybrid - Schlüssel in AD und Entra ID, benötigt AD DS 2016+), Certificate Trust (für Hybrid mit PKI - Zertifikate statt Schlüssel, komplexeste Variante). Microsofts Empfehlung: Cloud Trust für alle neuen Deployments.
- Konfiguration über Intune: WHfB-Policy erstellen (PIN-Komplexität, Biometrie erlauben/erzwingen, TPM-Anforderung), an Benutzergruppen zuweisen, Enrollment Experience (Benutzer wird beim nächsten Login aufgefordert, WHfB einzurichten).
- Praxis-Übung: WHfB-Policy in Intune konfigurieren (Cloud Trust Modell): PIN + Biometrie aktivieren, Mindestlänge PIN, TPM erzwingen. Policy an Testgruppe zuweisen. Enrollment simulieren: Benutzer meldet sich an -> wird aufgefordert, WHfB einzurichten -> Gesichtserkennung/Fingerabdruck/PIN registrieren -> nächste Anmeldung ist passwortlos.
Rollout-Planung (25 Min):
- Stufenweiser Rollout: Phase 1 - MFA für alle (Passwort + Authenticator, falls noch nicht geschehen), Phase 2 - Passwordless Optional (FIDO2/Passkey/WHfB als zusätzliche Methode anbieten, Benutzer können freiwillig wechseln), Phase 3 - Passwordless Preferred (Passwort wird ausgeblendet, Passwordless ist der Standard, Passwort nur als Fallback), Phase 4 - Password Elimination (Passwort wird deaktiviert, nur Passwordless möglich). Typische Timeline: 6-12 Monate.
- Temporary Access Pass (TAP): Einmal-Passcode mit Ablaufdatum, den ein Admin für einen Benutzer generiert. Für: Ersteinrichtung (neuer Mitarbeiter hat noch kein Gerät/Key -> TAP zum Einrichten von WHfB/FIDO2/Passkey), Ersatz bei Verlust (Key verloren -> TAP zum Registrieren eines neuen Key).
- Backup und Recovery: Was wenn der FIDO2-Key verloren geht? (Zweiten Key registrieren als Backup, TAP als Notfall), Was wenn das Smartphone mit Passkey defekt ist? (Synced Passkeys über Cloud wiederherstellbar, Device-bound Passkeys -> TAP + Neuregistrierung), Was wenn die IR-Kamera für WHfB ausfällt? (Fallback auf PIN).
- Authentication Strength Policies: In Conditional Access definieren, welche Methoden für welche Szenarien ausreichen. Admin-Portal: nur Phishing-resistant (FIDO2/Passkey/WHfB). Standard-Apps: Passwordless oder MFA. Self-Service-Szenarien: Passwordless.
- Change Management: Kommunikation (warum ändern wir das? Sicherheit UND Komfort - Anmeldung wird schneller, nicht schwieriger), Schulung (kurze Anleitung: „So richten Sie Ihren Security Key ein" - 5 Minuten Video), Support (FAQ, Helpdesk-Skript für „mein Key funktioniert nicht"), Champions-Programm (Early Adopters in jeder Abteilung, die Kolleginnen und Kollegen helfen).
- Phase 1 - Eigene Rollout-Strategie erstellen (20 Min): Für die eigene Organisation: Welche Passwordless-Methode für welche Benutzergruppe (Büro -> WHfB, Shopfloor -> FIDO2, Remote -> Passkey)? Hardware-Bedarf (wie viele Keys, welches Modell, Budget)? Phasen-Plan (Timeline, Pilotgruppe, breiter Rollout)? Conditional Access anpassen (Authentication Strength Policies)? Backup-Konzept (Zweitkey, TAP)? Change-Management-Plan?
- Phase 2 - Peer-Review (10 Min): Rollout-Strategie vorstellen. Stresstest: „Ein Mitarbeitender verliert seinen einzigen FIDO2-Key am Flughafen - wie schnell ist er wieder arbeitsfähig?" „Die Geschäftsführerin weigert sich, einen Key zu tragen - was ist der Fallback?" „Ein Standort hat keine IR-Kameras in den Laptops - funktioniert WHfB trotzdem?" „Euer Rollout erreicht 90 % Passwordless - die letzten 10 % haben Legacy-Apps die nur Passwörter können. Was tut ihr?"
Zielgruppe & Vorkenntnisse
- Microsoft-365- und Entra-ID-Administratoren: Die Passwordless Authentication für ihr Unternehmen einführen - als nächsten Schritt nach MFA.
- IT-Security-Verantwortliche und CISOs: Die Phishing-resistente Authentifizierung als strategisches Security-Ziel umsetzen.
- Endpoint-Administratoren: Die Windows Hello for Business auf verwalteten Geräten ausrollen und konfigurieren.
- IT-Entscheider: Die verstehen wollen, warum Microsoft Passwörter abschaffen will - und was das für ihre Organisation bedeutet.
Ihre Schulung
In Präsenz | Online |
|---|---|
| Lernmethode | |
Ausgewogene Mischung aus Theorie und Praxis | Wie auch bei unseren Präsenz-Seminaren: Ausgewogene Mischung aus Theorie und praktischen Übungen. Trainer durchgehend präsent. |
| Unterlagen | |
Seminarunterlagen oder Fachbuch zum Seminar inklusive, das man nach Rücksprache mit dem Trainer individuell auswählen kann. | Seminarunterlagen oder Fachbuch inklusive (via DHL). Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne. |
| Arbeitsplatz | |
| PC/VMs für jeden Teilnehmenden Hochwertige und performante Hardware Große, höhenverstellbare Bildschirme Zugang zu Ihrem Firmennetz erlaubt |
|
| Lernumgebung | |
Neu aufgesetzte Systeme für jeden Kurs in Abstimmung mit dem Seminarleiter. | |
| Arbeitsmaterialien | |
DIN A4 Block, Notizblock, Kugelschreiber, USB-Stick, Textmarker, Post-its | |
| Teilnahmezertifikat | |
Nach Abschluss des Seminars erhalten Sie das Teilnahmezertifikat inkl. Inhaltsverzeichnis per E-Mail als PDF. | |
Organisation
In Präsenz | Online | |
|---|---|---|
| Teilnehmendenzahl | ||
min. 1, max. 8 Personen | ||
| Garantierte Durchführung | ||
Ab 1 Teilnehmenden* | ||
| Schulungszeiten | ||
| ||
| Ort der Schulung | ||
 GFU SchulungszentrumAm Grauen Stein 27 51105 Köln-Deutz oder online im Virtual Classroom oder europaweit bei Ihnen als Inhouse-Schulung Um ein optimales Raumklima zu gewährleisten, haben wir das Schulungszentrum mit 17 hochmodernen Trotec TAC V+ Luftreinigern ausgestattet. Diese innovative Filtertechnologie (H14 zertifiziert nach DIN EN1822) sorgt dafür, dass die Raumluft mehrfach pro Stunde umgewälzt wird und Schadstoffe zu 99.995% im HEPA-Filter abgeschieden und infektiöse Aerosole abgetötet werden. Zusätzlich sind alle Räume mit CO2-Ampeln ausgestattet, um jederzeit eine hervorragende Luftqualität sicherzustellen. | ||
| Räumlichkeiten | ||
Helle und modern ausgestattete Räume mit perfekter Infrastruktur | Bequem aus dem Homeoffice von überall | |
| Preisvorteil | ||
Dritter Mitarbeitende nimmt kostenfrei teil. Eventuell anfallende Prüfungskosten für den dritten Teilnehmenden werden zusätzlich berechnet. Hinweis: Um den Erfolg der Schulung zu gewährleisten, sollte auch der dritte Teilnehmende die erwarteten Vorkenntnisse mitbringen. | ||
| All-Inclusive | ||
Gebäck, Snacks und Getränke ganztägig, Mittagessen im eigenen Restaurant, täglich 6 Menüs, auch vegetarisch | Eine Auswahl unserer Frühstücks-Snacks und Nervennahrungs-Highlights senden wir Ihnen mit den Seminarunterlagen via DHL zu. | |
| Barrierefreiheit | ||
Das GFU-Schulungszentrum (Am Grauen Stein 27) ist barrierefrei | - | |
Buchen ohne Risiko
| Rechnungsstellung |
Erst nach dem erfolgreichen Seminar. Keine Vorkasse. |
| Stornierung |
Kostenfrei bis zum Vortag des Seminars |
| Vormerken statt buchen |
Sichern Sie sich unverbindlich Ihren Seminarplatz schon vor der Buchung - auch wenn Sie selbst nicht berechtigt sind zu buchen |
Kostenfreie Services
In Präsenz | Online |
|---|---|
|
|
Buchungsmöglichkeiten
Online oder in Präsenz teilnehmen
Sie können sowohl Online als auch in Präsenz am Seminar teilnehmen. Klicken Sie bei Ihrer Buchung oder Anfrage einfach die entsprechende Option an.
Gesicherte offene Termine
| Termin | Ort | Preis | ||
|---|---|---|---|---|
| 17.08.2026 Plätze vorhanden Köln / Online 730,00 | Köln / Online | 730,00 | Buchen Vormerken | |
| 19.10.2026 Plätze vorhanden Köln / Online 730,00 | Köln / Online | 730,00 | Buchen Vormerken | |
| 21.12.2026 Plätze vorhanden Köln / Online 730,00 | Köln / Online | 730,00 | Buchen Vormerken | |
| 2027 | ||||
| 15.03.2027 Plätze vorhanden Köln / Online 730,00 | Köln / Online | 730,00 | Buchen Vormerken | |
| 17.05.2027 Plätze vorhanden Köln / Online 730,00 | Köln / Online | 730,00 | Buchen Vormerken | |
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Unterstützung nach der Schulung durch
individuelle Nachbetreuung
- Alle folgenden Schulungsformen können auch Online als Virtual Classroom durchgeführt werden.
- Eine Offene Schulung findet zu einem festgelegten Zeitpunkt im voll ausgestatteten Schulungszentrum oder Online/Remote statt. Sie treffen auf Teilnehmende anderer Unternehmen und profitieren vom direkten Wissensaustausch.
- Eine Inhouse-/Firmen-Schulung geht auf die individuellen Bedürfnisse Ihres Unternehmens ein. Sie erhalten eine kostenfreie Beratung von Ihrem Seminarleiter und können Inhalte und Dauer auf Ihren Schulungsbedarf anpassen. Inhouse-Schulungen können Europaweit durchgeführt werden.
- Bei einer Individual-Schulung erhalten Sie eine 1-zu-1 Betreuung und bestimmen Inhalt, Zeit und Lerntempo. Der Dozent passt sich Ihren Wünschen und Bedürfnissen an.
Sie können unsere Schulungen auch als Remote Schulung im Virtual Classroom anfragen.
In drei Schritten zum Online Seminar im Virtual Classroom:
- Seminar auswählen und auf "Buchen" klicken
- Wählen Sie bei "Wie möchten Sie teilnehmen?" einfach "Online" aus.
- Formular ausfüllen und über den Button "Jetzt buchen" absenden.
Unser Kundenservice meldet sich bei Ihnen mit der Buchungsbestätigung.
Unsere Online Schulungen finden im Virtual Classroom statt. Ein Virtual Classroom bündelt mehrere Werkzeuge, wie Audio-Konferenz, Text-Chat, Interaktives Whiteboard, oder Application Sharing.
Vorteile von Virtual Classroom:
- Sie erhalten 1 zu 1 die gleiche Lernumgebung, die Sie auch vor Ort bei uns vorfinden
- Die technische Vorbereitung wird von den GFU-Technikern vorgenommen
- Sie erhalten remote Zugriff auf Ihren persönlichen Schulungs-PC im GFU-Seminarraum
- Die Virtual Classroom Lösung lässt sich auch im Browser betreiben
- Die GFU-Technik leistet wie gewohnt Soforthilfe bei Problemen
- Die Schulungsunterlagen bekommen Sie via DHL zugeschickt
- Sie sparen Reisekosten und Zeit
- 17. Aug. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 19. Okt. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 21. Dez. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 15. Mär. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 17. Mai ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- Auch als Inhouse-Schulung, bundesweit mit Termin nach Wunsch und individuellen Inhalten
- Buchen ohne Risiko! Kostenfreie Stornierung bis zum Vortag des Seminars
Die Seminare der GFU finden in angenehmer Atmosphäre statt und sind perfekt organisiert. Profitieren Sie von dem Rundum-Service der GFU!
Machen Sie sich keinen Kopf um die Anreise! Unser Shuttle fährt Sie. Oder Sie parken einfach auf einem extra für Sie reservierten Parkplatz.
Hotelzimmer gesucht? Wir organisieren Ihnen eins. Ihr Vorteil: Sie sparen Zeit und Geld!
Stornierung bei offenen Seminaren kostenfrei bis einen Tag vor Schulungsbeginn.
Unsere Techniker sind immer zur Stelle, egal ob online oder vor Ort.