Ein Blick auf AirID, YubiKey, Swissbit und Authenticator-Apps
Noch vor wenigen Jahren galt es als sicher, dass die klassische Chipkarte bald von Apps und virtuellen Tokens verdrängt würde. Doch die Realität sieht anders aus: Banken wie die Deutsche Bank, Industriekonzerne wie Siemens und zahlreiche Behörden halten an Smartcards fest. Und sie tun das nicht aus Nostalgie, sondern aus Sicherheitsgründen. Denn aktuelle Vorfälle zeigen, wie leicht sich rein softwarebasierte Multi-Faktor-Authentifizierung (MFA) umgehen lässt. So berichtet etwa FRSecure, dass Angreifer über sogenannte Phishing-Proxies wie EvilProxy oder EvilGinx selbst Systeme kompromittieren konnten, die eigentlich mit MFA geschützt waren, indem sie Anmeldedaten und Einmalcodes in Echtzeit abfingen.
Hinzu kommt: Neue Regulierungen wie DORA, NIS2 oder branchenspezifische Standards wie TISAX verschärfen die Anforderungen an Unternehmen. Während Authenticator-Apps und Standard-Token im breiten Markt dominieren, zeigt sich in kritischen Infrastrukturen wie Behörden, industriellen oder militärischen Einrichtungen ein klarer Trend: Hardwarebasierte Lösungen gewinnen an Bedeutung. In unseren Vergleichen haben wir die führenden Hardware-Lösungen AirID (als weltweit erster Bluetooth-Smartcard-Reader), YubiKey und Swissbit sowie klassische Authenticator-Apps untersucht. Dabei zeigte sich, dass die Unterschiede nicht nur in der Technologie, sondern vor allem in den Zielgruppen und Einsatzszenarien liegen.
Authenticator-Apps – schnell, günstig, aber angreifbar
Ob Google, Microsoft oder Authy: Authenticator-Apps sind die bekannteste und am weitesten verbreitete Form von Zwei-Faktor-Authentifizierung. Sie erzeugen meist zeitbasierte Einmalcodes (TOTP) oder senden Push-Benachrichtigungen, die Nutzer mit einem Fingertipp bestätigen. Die Einstiegshürde ist niedrig, die Nutzung kostenlos, und für viele Privatpersonen oder kleinere Unternehmen ist das völlig ausreichend.
Doch die Grenzen zeigen sich deutlich: Phishing-Proxies können Codes in Echtzeit abfangen, und Push-Verfahren sind anfällig für sogenannte MFA-Fatigue-Angriffe, bei denen Nutzer versehentlich Zustimmungen erteilen. So berichtet etwa FRSecure, dass Angreifer über Tools wie EvilProxy oder EvilGinx selbst Systeme kompromittieren konnten, die eigentlich mit MFA abgesichert waren. Mit dem Aufkommen von Passkeys erhalten Apps jedoch ein Sicherheits-Upgrade: Hierbei handelt es sich um FIDO2/WebAuthn-Anmeldungen, die direkt im Smartphone gespeichert werden. Damit erreichen Authenticator-Apps langfristig ein höheres Schutzniveau. Aktuell bleiben sie aber die „Basislösung“ ohne eigenen Hardware-Schutz.
YubiKey – der internationale Allrounder
Der schwedische YubiKey ist weltweit der bekannteste Hardware-Token und inzwischen in Millionenfach im Einsatz. Die kleinen Schlüssel unterstützen FIDO2/WebAuthn, U2F, PIV-Smartcard, TOTP und OpenPGP und bündeln damit unterschiedlichste Sicherheitsstandards in einem Gerät. Nutzer können denselben Stick für den Cloud-Login, für die Windows-Anmeldung oder auch für SSH-Schlüssel einsetzen – das macht YubiKey zum praktischen Allrounder.
Die Token sind robust gebaut, spritzwassergeschützt und preislich attraktiv, weshalb sie vor allem im B2C- und Massenmarkt beliebt sind. In der Praxis gelten sie als verlässliche Möglichkeit, Phishing-Angriffe durch FIDO2 vollständig auszuschalten. Einschränkungen gibt es bei Zulassungen: Zwar sind bestimmte Modelle FIPS 140-2 validiert, doch VS-NfD- oder BSI-Zertifizierungen fehlen. Für Behörden und hochregulierte Branchen ist YubiKey daher nicht immer die erste Wahl – im globalen Markt bleibt er jedoch unangefochtener Standard.
Swissbit – FIDO2-Sicherheit „Made in Germany“
Mit dem iShield Key bringt Swissbit eine Reihe von USB- und NFC-Token auf den Markt, die auf FIDO2/U2F basieren. Das Unternehmen produziert in Deutschland und betont die robuste Bauweise seiner Schlüssel, die auch im industriellen Umfeld oder an Schlüsselbünden eingesetzt werden können.
Swissbit versteht sich als Anbieter für Nischenlösungen, die digitale Authentifizierung und – in bestimmten Szenarien – auch physische Zutrittskontrolle verbinden. Der Fokus liegt eher auf industrieller Robustheit und spezifischen Integrationen als auf breiter Marktpräsenz. Damit ist Swissbit interessant für Unternehmen mit klar umrissenen Spezialanforderungen, bleibt aber deutlich kleiner und weniger universell einsetzbar als AirID oder YubiKey.
AirID – Smartcard-PKI trifft Mobilität
Einen Sonderweg beschreitet AirID. Statt neue Token einzuführen, macht AirID bestehende Smartcards mobil. Der Reader verbindet sich via Bluetooth Low Energy, USB oder NFC mit Notebook, Smartphone oder Citrix-Umgebungen. Ein markantes Feature ist „Auto-Lock“: Verlässt der Nutzer den Arbeitsplatz, sperrt sich der Rechner automatisch. AirID war weltweit der erste Bluetooth-Smartcard-Reader und ist seit jeher im B2B-Hochsicherheitsbereiche wie Bluelight-Sector, Formel 1, Aerospace, Militär und Drohnentechnologie spezialisiert. Wer maximale Sicherheit will, kommt am AirID nicht vorbei. Da AirID ein drahtloser Reader ist, entsteht zwar eine zusätzliche Angriffsfläche (Bluetooth, Firmware). Der Hersteller sichert die Verbindung aber mit AES-256 ab.
Mit BSI-, NATO- und VS-NfD-Zertifizierungen adressiert AirID gezielt Behörden, Militär und regulierte Industrien. Hinzu kommt die neue MagenQ-App, die Zertifikate und PIN-Management auf iOS bringt und damit Smartcard-Sicherheit auch mobil verfügbar macht, inklusive Safari-Integration, VPN-Zugriff und MDM-Deployment.
Fazit – Hardware gewinnt an Boden
Während Apps und Standard-Token im breiten Markt dominieren, setzen Behörden, kritische Infrastrukturen und hochregulierte Branchen zunehmend auf hardwarebasierte Lösungen. Authenticator-Apps bleiben das niederschwellige Mittel für breite Nutzergruppen, sind aber angreifbar. YubiKey überzeugt zwar als universeller Allrounder, richtet sich jedoch primär an den B2C-Markt. Swissbit bietet spezialisierte, aber klar eingegrenzte Nischenlösungen. AirID dagegen steht klar für B2B-High-Security und war der weltweit erste Bluetooth-Smartcard-Reader. Wer höchste Sicherheitsanforderungen erfüllen muss, findet mit AirID eine unverzichtbare Lösung. Insgesamt zeigt sich: Angesichts verschärfter Regulierungen führt an Hardware-basierten Sicherheitslösungen kein Weg vorbei.
