Suche

SmartCard-Standards und ihre Bedeutung in Gegenwart und Zukunft

Einordnung

Der Begriff "Smartcard" wird in Handel und IT sehr unterschiedlich verwendet. Mal ist damit eine klassische Chipkarte mit Kontaktflächen gemeint, mal eine kontaktlose RFID-/NFC-Karte für Nahfunksysteme, mal ein USB-Stick mit fest eingebauten Sicherheitsmerkmalen. Dazu kommen Begriffe wie PIV, NXP, FIPS oder FIDO - was davon ist nur Marketing und wie stehen die verschiedenen Standards und Ebenen zueinander im Verhältnis?

Dieser Artikel ordnet die Begriffswelt systematisch ein und erklärt, welche Karten zu welchem Lesegerät und Einsatzszenario passen und worauf man beim Kauf achten muss.

Begriffslandkarte

Wir unterscheiden dabei die folgenden Ebenen:

Ebene Typische Begriffe Was das wirklich aussagt
Physische Schnittstelle ISO/IEC 7816 (Kontakt), ISO/IEC 14443 (Proximity), ISO/IEC 15693 (Vicinity), NFC, RFID Wie Karte/Tag physisch mit dem Leser kommuniziert: Kontakt oder Funk
PC-Anbindung des Lesers USB CCID, PC/SC Wie der Reader am PC erkannt wird und wie Anwendungen unter Windows auf Karten zugreifen
Kartenprofile / Anwendungen ("Card Edge") PIV, GIDS, OpenPGP Card, EMV, DESFire Welche Dateien, Objekte und Kommandos die Karte bereitstellt und welche Use-Cases sie abdeckt
Host-Integration / APIs Microsoft Minidriver, CSP/KSP, PKCS#11, PKCS#15 (SmartCard/PKI); WebAuthn/CTAP (FIDO2, Browser-Login) Welche Schnittstellen Anwendungen wirklich nutzen (Windows-Krypto, PKCS, Browser-Login)
Zertifikate & Vertrauensmodell X.509, PKI, CA, Revocation Wie Identitäten/Trust abgebildet werden (Zertifikate, CA-Kette, Sperrung, Policies)
Kartenplattform & Lifecycle Java Card, GlobalPlatform Ob Applets installierbar sind und wie Karteninhalte verwaltet/personalisiert werden

Weitere Informationen zu den Unterschieden zwischen den verschiedenen Standards bieten diese Artikel:

Wichtig dabei: Ein Produkt kann gleichzeitig mehrere "Standards" unterstützen, ohne dass das widersprüchlich ist, weil diese Standards auf unterschiedlichen Ebenen liegen.

Eine Dual-Interface-Java-Card etwa kann ISO/IEC 7816 (Kontakt) und ISO/IEC 14443 (Kontaktlos) unterstützen, ein PKI-/PIV-Profil enthalten und zusätzlich FIDO2-Funktionen anbieten – je nach Karte und je nach im PC oder Laptop nutzbarer Schnittstelle (Kontakt vs. kontaktlos).

Physikalische und Funk-Schnittstellen

ISO/IEC 7816 (Kontakt-SmartCards)

ISO/IEC 7816 ist die zentrale Normfamilie für kontaktbasierte SmartCards mit Metallkontakten ("Gold-Chip").

Teilbereiche des Standards enthalten u.a.:

  • Teil 1: Physische Eigenschaften von Karten mit Kontakten
  • Teil 2: Abmessungen und Position der Kontakte
  • Teil 3: Elektrische Schnittstelle und Übertragungsprotokolle
  • Teil 4: Organisation, Security und Interchange Commands (APDUs)
  • Teil 8: Security-Operation Commands
  • Teil 9: Card-Management Commands
  • Teil 13: Application Management in Multi-Application Cards
  • Teil 15: Cryptographic Information Application

In Klartext: ISO/IEC 7816 beschreibt, wie eine Kontakt-Chipkarte elektrisch funktioniert, wie sie "hochfährt", wie sie Befehle austauscht (APDUs) und wie Files/Keys/Management-Kommandos strukturiert sind.

Auf Windows-Seite laufen kontaktbasierte Karten typischerweise über den Windows-SmartCard-Stack (PC/SC-Ökosystem).

ISO/IEC 14443, NFC und RFID (kontaktlos)

ISO/IEC 14443 ist die wichtigste Normfamilie für kontaktlose Proximity-Karten. Diese Karten werden in sehr kurzer Distanz gelesen (typischerweise bis etwa 10 cm) und sind in vielen sicherheitsrelevanten Anwendungen zu finden, etwa bei Bezahlkarten, Ausweisen und Zutrittssystemen. Für ISO/IEC 14443 wird ein kontaktloser Leser mit entsprechendem Funk-Frontend benötigt.

NFC ist eng verwandt, aber nicht deckungsgleich mit ISO/IEC 14443. NFC bezeichnet ein breiteres Technologie- und Spezifikations-Set mit definierten Betriebsarten wie Reader/Writer, Card Emulation und Peer-to-Peer. Viele ISO/IEC-14443-Produkte sind NFC-kompatibel, aber nicht jedes 14443-Produkt muss zwingend als "NFC" beworben werden. In jedem Fall gilt: NFC- bzw. ISO/IEC-14443-Karten sind nicht mit einem reinen Kontaktleser kompatibel.

RFID ist der Oberbegriff für Identifikation per Funk. Darunter fallen verschiedene Standards und Frequenzbereiche; NFC ist nur ein Teil davon. Ein Produkttext mit "RFID" allein sagt daher oft nicht, ob es sich um ISO/IEC 14443, ISO/IEC 15693 oder etwas anderes handelt.

ISO/IEC 15693 (Vicinity)

ISO/IEC 15693 beschreibt kontaktlose Vicinity-Karten und -Tags. Im Gegensatz zu ISO/IEC 14443 (Proximity) ist 15693 auf größere Reichweiten ausgelegt und wird häufig in Anwendungen wie Inventarisierung, Asset-Tracking oder Industrie-Labels eingesetzt. Manche kontaktlosen Leser unterstützen ISO/IEC 15693 zusätzlich zu ISO/IEC 14443 – viele andere jedoch nicht.

Verwechslungsgefahr

Bei einigen kontaktlosen Technologien wird "ISO/IEC 7816-4" im Sinn von APDU-/File-Struktur-Kompatibilität erwähnt, nicht im Sinn von Kontaktpads/Physik. Das heisst: "ISO/IEC 7816" in einem Text kann sich auf den Befehls-/Datenmodell-Layer beziehen, obwohl die Karte physisch über ISO/IEC 14443/NFC spricht.

Einfaches Unterscheidungsmerkmal: Hat eine Chipkarte keinen goldenen Chip, dann ist sie auch nicht mit einem Kontaktkartenleser nach ISO/IEC 7816 kompatibel, egal wie ihre interne Datenstruktur aufgebaut ist.

PC-Anbindung via USB CCID und PC/SC

USB CCID (Chip Card Interface Device) beschreibt, wie ein Smartcard-Reader sich am PC als USB-Gerät meldet und dadurch ohne Spezialtreiber in vielen Systemen erkannt werden kann. PC/SC (Personal Computer/Smart Card) ist die Software-Schnittstelle unter Windows, über die Anwendungen mit dem Leser und der eingelegten Smartcard kommunizieren, etwa um Zertifikate zu lesen oder kryptografische Operationen auf der Karte auszuführen.

Kartenprofile, Host-Integration, Lösungen und Zertifikate

Wenn die physische Schnittstelle passt und die Verbindung zum PC hergestellt ist, kommt die Ebene mit der höchsten Vielfalt: Was ist auf der Karte drauf, wie kann sie mit dem Betriebssystem kommunizieren und wie wird letztlich das Vertrauen hergestellt? Die Sortierung der folgenden Punkte folgt nicht strikt nach der Reihenfolge in der o.g. Tabelle, sondern ist eher angelehnt an den typischen Einsatzzweck eines klassischen Kartenlesers nach ISO/IEC 7816 (die wichtigsten Begriffe zuerst).

PIV und GIDS

PIV (Personal Identity Verification) und GIDS (Generic Identity Device Specification) sind Anwendungs- bzw. Kartenprofile, die festlegen, wie Zertifikate, Schlüsselobjekte und Kommandos auf einer Smartcard strukturiert sind.

Sie speichern Zertifikate und private Schlüssel und führen Signatur-/Entschlüsselungsoperationen auf der Karte aus, ohne dass der private Schlüssel als "Datei" vom PC ausgelesen werden muss.

Windows bringt für solche Karten einen generischen Inbox-Class-Minidriver mit und kann kompatible Karten über definierte Discovery-Schritte erkennen (z.B. per AID-Select). Dadurch funktionieren PIV/GIDS-Karten in Windows-Umgebungen bereits out-of-the-box – anders als proprietäre Kartenprofile, die zwingend eine herstellerspezifische Middleware voraussetzen.

Zwischen diesen beiden Lösungen gibt es die folgenden Unterschiede:

Thema PIV GIDS
Herkunft / Governance US-Regierungsstandard (FIPS 201 + NIST SP 800-73) (NIST Pages) Microsoft-Spezifikation (“Generic Identity Device Specification”)
Ziel Standardisiertes, interoperables Identitäts-Credential (Zertifikate/Keys/Identity-Objekte) für staatliche/behördliche Identitäten Generisches Kartenprofil, damit Karten ohne herstellerspezifischen Minidriver in Windows nutzbar/provisionierbar sind.
Windows-Erkennung Windows sucht zuerst die PIV-App (PIV AID). Wenn gefunden: Karte gilt als PIV. Wenn PIV nicht gefunden wird, sucht Windows die GIDS-AID. Wenn gefunden: Karte gilt als GIDS; wenn weder PIV- noch GIDS-AID vorhanden ist, behandelt Windows die Karte dennoch “als GIDS” (Fallback).

PIV ist also als klar definiertes Profil weit verbreitet und genießt gute, native Unterstützung in Windows. Lösungen auf Basis von GIDS sind hingegen stärker an Microsofts eigenen Spezifikationen orientiert.

Weitere Informationen:

X.509

X.509 ist ein Standardformat für digitale Zertifikate. Ein X.509-Zertifikat enthält typischerweise einen öffentlichen Schlüssel, Angaben zur Identität (z.B. Name, E-Mail, UPN) sowie eine Signatur einer Zertifizierungsstelle (CA), die diese Zuordnung bestätigt.

Auf einer Smartcard kann ein X.509-Zertifikat gespeichert sein, während der private Schlüssel sicher auf der Karte bleibt und den Chip nie verlässt; Anwendungen nutzen das Zertifikat zur Identifikation und lassen kryptografische Operationen (Signatur/Entschlüsselung) vom Token ausführen.

PKI

PKI (Public Key Infrastructure) ist der organisatorische und technische Rahmen, um digitale Identitäten und kryptografische Schlüssel über X.509-Zertifikate zu verwalten. Eine PKI umfasst typischerweise Zertifizierungsstellen (CA), Richtlinien und Prozesse für Ausstellung, Erneuerung und Sperrung von Zertifikaten sowie die Vertrauenskette, mit der Systeme die Echtheit eines Zertifikats prüfen.

PKCS#11, PKCS#15, Microsoft CSP/KSP, Minidriver

Hier geht es darum, wie Betriebssysteme und Anwendungen kryptografische Operationen auf der Karte nutzen:

  • Microsoft CSP/KSP und Minidriver: Windows-spezifische Provider-Modelle, die "nahtloses" Arbeiten in Windows-Workflows ermöglichen können (bereits oben unter PIV und GIDS beschrieben).
  • PKCS#11: weit verbreitete API für kryptografische Tokens (oft auch unter Linux/Tools relevant).
  • PKCS#15: Daten-/Objektstrukturierung für Karten (PINs, Keys, Zertifikate).

PKCS (Public-Key Cryptography Standards) sind Methoden, die bereits 1991 etabliert wurden – davon sind eben diejenigen Nummern 11 und 15 für SmartCards relevant.

Siehe auch:

Java Card und GlobalPlatform

Java Card beschreibt Karten, die Applets hosten können. GlobalPlatform beschreibt u.a. das Management dieser Applets (Installation, Lifecycle, Security Domains).

Das sind also leistungsfähige Plattformen zur Implementierung eigener Software-Lösungen und Sicherheits-Architekturen – keine reine Plug & Play-Karten.

OpenPGP Card

Eine OpenPGP Card ist ebenfalls ein Anwendungsprofil, aber mit einem anderen Ziel: OpenPGP/GnuPG-Workflows (Signieren, Entschlüsseln, Authentisieren mit GPG Keys). Das ist also ein eigener Stack bzw. eine eigene Tool-Landschaft im SmartCard-Bereich.

EMV

EMV ist ein Zahlungs-/Bankkarten-Ökosystem (Chipkarten im Payment-Umfeld). EMV-Karten sind "smart", aber sie sind nicht geeignet als generischer Authentifizierungstoken für PC-Betriebssysteme.

NXP, MIFARE, DESFire, NTAG uvm.

Viele Produktbezeichnungen kombinieren Hersteller-Branding, Funkstandards und höhere Protokollschichten in einem Satz.

  • MIFARE ist eine Produktmarke von NXP, typischerweise im kontaktlosen ISO/IEC-14443/NFC-Umfeld.
  • NTAG ist eine NXP-NFC-Tag-Familie.
  • MIFARE DESFire ist eine kontaktlose Produktfamilie (sehr verbreitet im Zutritts-/Ticketing-Umfeld).

Keiner dieser genannten Produktbezeichnungen ist per se kompatibel mit einem reinen ISO/IEC-7816-Kontaktkartenleser – es handelt sich durchgehend um kontaktlose Produktfamilien im ISO/IEC-14443/NFC-Umfeld. Kompatibel mit ISO/IEC 7816 werden sie nur dann, wenn es sich um Dual-Interface-Karten handelt – also um Karten, welche zusätzlich einen Kontaktchip nach ISO/IEC 7816 haben, vorzugsweise mit einem Profil nach PIV oder GIDS.

FIDO, FIDO2 und Passkeys

FIDO2-Authentifikatoren gibt es typischerweise als USB-, NFC- oder Bluetooth-Geräte. Eine "FIDO SmartCard" kann vieles sein, etwa eine Dual-Interface-Karte mit zusätzlicher FIDO-Funktion, aber das FIDO-Label allein sagt noch nichts darüber aus, ob eine solche Karte in einem klassischen Kontakt-SmartCard-Deployment nach ISO/IEC-7816 nutzbar ist. Siehe dazu der Absatz am Ende des Artikels:

Kaufberatung für SmartCards

Welche Arten von Karten kann ich mit einem ISO/IEC-7816-Kontaktkartenleser nutzen?

Unser SCHENKER CONNECT 15 (E26) enthält einen Kartenleser nach ISO/IEC-7816. Die folgende Tabelle gibt darüber Auskunft, mit welcher Art von Karten dieser Kartenleser umgehen kann.

Übliche Handelsbezeichnung Passt hardwareseitig zu einem ISO/IEC-7816-Kontaktleser? Typische Windows-Tauglichkeit? Praxisurteil
Kontakt-PIV-Karte Ja Oft sehr gut, je nach Minidriver/Middleware Häufig die beste Enterprise-Option
Kontakt-OpenPGP-Karte Ja Gut für GnuPG/OpenPGP, aber nicht automatisch Windows-Logon Sehr gut, wenn OpenPGP der Use Case ist
Dual-Interface PKI/FIDO-Karte, die explizit ISO 7816 (Kontakt) + ISO 14443 (Kontaktlos) nennt Ja, im Kontaktmodus Abhängig von Profil und Windows-Stack Kann funktionieren, Use Case pro Feature validieren
Kontaktlose MIFARE/DESFire/NTAG/ISO 14443/NFC-only Karte Nein Nein (ohne kontaktlosen Leser) Nicht geeignet
USB/NFC/BLE FIDO Security Key Nicht über einen separaten Kontaktleser Wird direkt über USB/NFC/BLE genutzt Andere Geräteklasse
"Blank Java Card / GlobalPlatform" Vielleicht (wenn Kontaktkarte), aber nicht "Standalone" Benötigt Applets/Personalisation/Tooling Nur für fortgeschrittene Setups

Reicht es nicht einfach, eine Karte mit goldenem Chip zu kaufen?

Auf Produktfotos sieht man oftmals sofort, ob eine Karte einen goldenen Chip hat, oder nicht.

  • Wenn eine SmartCard keinen "goldenen Chip" hat, ist sie auf jeden Fall schonmal keine kontaktbasierte Karte nach ISO/IEC 7816.
  • Hat sie hingegen einen, dann ist offensichtlich physisch-kontaktbasiert und damit höchstwahrscheinlich ISO/IEC-7816-kompatibel.

In welchen konkreten Workflows diese dann allerdings funktioniert, hängt von verschiedenen Faktoren ab:

  • welches Anwendungsprofil die Karte tatsächlich anbietet (z.B. PIV, OpenPGP, proprietäre PKI),
  • ob Windows dafür einen passenden Minidriver/Middleware/Provider hat,
  • und wie die eigene Organisation Zertifikate, PINs und Schlüssel provisioniert.

Daher gilt: nein - der goldene Chip allein garantiert noch nicht, ob eine SmartCard mit dem Kartenleser nach ISO/IEC 7816 kompatibel ist, und ob die Karte in das eigene Anwendungsprofil passt. Man sollte daher zusätzlich nach Begriffen wie "7816", "PIV" oder "Windows smart card logon" filtern.

Tools und Software-Lösungen für Windows

Auf Windows stellt sich das Grundmodell wie folgt dar:

  • Der Kartenleser wird über den Windows-SmartCard-Stack angesprochen.
  • Anwendungen greifen über PC/SC-nahe APIs bzw. die Windows-Krypto-Provider-Modelle zu.
  • Karten-spezifische Funktionalität kommt über Minidriver, Middleware oder PKCS#11.

In diesem Verbund sind die folgenden Tools üblich. Die Tabelle enthält einige Links zu Herstellerseiten der Tools.

Tool Verwendung Einschränkungen
certutil -scinfo Erste Diagnose: Leser/Karte erkennen, Zertifikate/Container anzeigen, typische Fehler eingrenzen Nur für Diagnose
certreq, Zertifikate-MMC, Unternehmens-PKI-Workflows Zertifikate ausrollen, Installation, SmartCard-Logon-Szenarien Abhängig vom Karten-/Provider-Support
OpenSC Universelles Open-Source-Toolkit: Inventarisieren, PKCS#11, PKCS#15-Funktionen, Tools je nach Karte Kompatibilität variiert je nach Kartenfamilie
OpenSC piv-tool Objekte/Keys auf PIV-Testszenarien, Low-Level-Operationen Nicht als Endkunden-Workflow gedacht
OpenSC pkcs15-init / pkcs15-tool PKCS#15-Strukturen, PINs, Keys, Zertifikate Nur sinnvoll, wenn Karte/Setup PKCS#15 wirklich nutzt
GnuPG gpg-card / gpg --card-status Verwaltung und Nutzung von OpenPGP-Karten Nicht "generisch" für alle Kartenarten
GlobalPlatformPro Java Card: Applets laden, GP-Lifecycle verwalten Fortgeschritten, braucht GP-fähige Karten/Keys
Hersteller-Minidriver/Middleware Windows-Integration von standardisierten oder proprietären Vendor-PKI-Karten, Support-Tooling Bindet an Anbieter-Ökosystem

Empfehlungen und Praxis-Beispiele

Im folgenden möchten wir nun einige praktische Einsatzzwecke für SmartCard-Technologien näher erläutern.

Schnelltest und Diagnose

Mit certutil -scinfo lässt sich prüfen, ob Reader und Karte erkannt werden, welche Zertifikate/Container vorhanden sind und ob PIN-Abfragen funktionieren. Das ist der schnellste Weg, um "Reader/Karte prinzipiell OK" zu verifizieren – ganz ohne Server und Infrastruktur.

SmartCard für Windows-Logon und Office 365

Windows-Logon beschreibt die Anmeldung am Windows-Client in einer klassischen Domain-Umgebung oder in modernen Varianten wie Hybrid Join bzw. Entra Join, typischerweise zusammen mit einer PKI und passenden Richtlinien.

Dienste wie Microsoft Office 365, Teams oder SharePoint profitieren in einer solchen Umgebung ebenfalls von einer SmartCard-Lösung im Windows-Logon-Verfahren, wenn die Anmeldung zentral über Microsoft Entra ID läuft.

In solchen Setups können Zertifikats- bzw. Smartcard-basierte Authentifizierung über Entra Certificate-Based Authentication (CBA) Teil des Sign-in-Prozesses sein, und die Microsoft-365-Dienste erhalten anschließend ihre Zugriffsberechtigung über die daraus entstehenden Anmeldetokens.

Microsoft beschreibt diese Anwendung in folgenden Artikeln:

Kann ich SmartCards auch ohne Domänen-Anbindung für Windows-Login nutzen?

Mit Bordmitteln ist Smartcard-Login unter Windows fest an Domänen- oder EntraID-Setups gekoppelt. Eine Anmeldung via SmartCard für einzelne End-Anwender ohne Firmen-Anbindung wird von Microsoft nicht unterstützt – weder für Offline-Konten noch für private Microsoft-Konten (etwa vorname.nachname@live.com).

SSH-Login mit Schlüsseln auf der Smartcard

OpenSSH kann Client-Keys auf Smartcards über PKCS#11 nutzen, z.B. mit OpenSC als PKCS#11-Modul. Damit kannst du dich an einem beliebigen SSH-Ziel anmelden, ohne dass der private Key jemals den Token verlässt. SSH ist üblich bei Anmeldung auf Linux-Konsolen, etwa auch auf NAS, Raspberry Pi und Virtual Private Server (VPS).

S/MIME E-Mail signieren/entschlüsseln

Windows unterstützt S/MIME für Exchange-Konten; wenn das benötigte Zertifikat auf einer Smartcard liegt, fordert Windows beim Lesen verschlüsselter Mails zum Einstecken der Karte (und ggf. PIN) auf.

Mozilla Thunderbird kann S/MIME ebenfalls nutzen und dabei Zertifikate/Private Keys auch von einer Smartcard verwenden. In der Praxis passiert das über ein PKCS#11-Modul (z.B. OpenSC), welches man in Thunderbird als "Security Device" einbindet (siehe Anleitung).

VPN mit Zertifikat auf Smartcard/Token (abhängig vom VPN-Client)

Einige VPN-Clients unterstützen Hardware-Tokens via PKCS#11. OpenVPN Connect kann z.B. Zertifikate von PKCS#11-Hardwaretokens nutzen, was sich gut demonstrieren lässt, wenn bereits ein OpenVPN-Ziel existiert (oder ein Test-Server verfügbar ist).

Client-Zertifikate im Browser (mTLS)

Mit einem Test-Webserver, der Client-Zertifikate verlangt, kann man das Prinzip "Client-Zertifikat sitzt auf der Smartcard" sehr anschaulich zeigen (Browser fordert Auswahl/PIN). Dieser Artikel kann hierzu als Einstieg dienen.

Kann ich mit einem ISO/IEC 7816-Leser die Online-Ausweisfunktion des deutschen Personalausweises nutzen? (Nein.)

Ein rein kontaktbasierter SmartCard-Reader nach ISO/IEC 7816 ist nicht für die Online-Ausweisfunktion (eID) des deutschen Personalausweises geeignet. Die eID-Funktion erfordert ausdrücklich einen kontaktlosen Leser nach ISO/IEC 14443, etwa wie er als NFC-Leser in vielen Smartphones verbaut ist. Siehe auch:

Rückblick und Zukunft

Geschichte der SmartCard bzw. Chipkarte

Die moderne Chipkarte hat ihre Wurzeln in mehreren, teils parallel entstandenen Erfindungssträngen. Als wichtige Grundlage gelten Patente von Helmut Gröttrup und Jürgen Dethloff rund um fälschungssichere Identifikationsschalter sowie kontaktlose Übertragung (1960er Jahre).

Für das heute vertraute "Scheckkartenformat" markiert 1979 einen Meilenstein: Giesecke+Devrient fertigte eine Chipkarte im ID-1-Format nach ISO/IEC 7810 (später auch in ISO 7816-2 für Chipkarten festgelegt), mit einem von Siemens gelieferten Speicherchip. Der Begriff “Chipkarte” tauchte in der deutschen Öffentlichkeit erstmals 1981 auf.

Die Weiterentwicklung von reinen Speicherkarten hin zu “intelligenteren” Prozessorchipkarten wird u.a. mit der “Siemens Computer Card” (1987, vorgestellt auf der CeBIT) verbunden; ab 1988 wurde sie als Zugangsberechtigung für das deutsche C-Netz eingesetzt und gilt damit als Vorläufer der SIM-Karte.

Weitere Informationen:

Was sind Passkeys/FIDO2 und worin unterscheiden sie sich von SmartCards?

FIDO2-Passkeys beschreiben einen modernen Sicherheitsstandard für passwortloses Login über USB, NFC, Bluetooth oder Windows Hello. FIDO steht dabei für "Fast IDentity Online".

FIDO2 besteht aus:

  • WebAuthn (Browser/OS-API)
  • CTAP (Client to Authenticator Protocol)

Ein klassischer Smartcard-Reader spricht mit der Karte über APDU (Application Protocol Data Unit, definiert in ISO/IEC 7816): der Reader liefert APDU-Kommandos an die Karte und bekommt APDU-Antworten zurück. Ein solcher Kartenleser enthält keine Implementierung für CTAP und wird vom Browser bzw. Betriebssystem daher nicht als "FIDO-Authenticator" erkannt.

Manche Hardware-Tokens (USB-Tokens) kombinieren jedoch PIV (Zertifikate/PKI) und FIDO2 (WebAuthn/Passkeys) in einem Gerät.

Der wichtigste Unterschied besteht dabei in der Phishing-Resistenz: FIDO2/WebAuthn erzeugt und nutzt Schlüssel pro Dienst/Website und bindet sie an den Domain-Namen. Ein Key für example.com etwa ist nicht für examp1e.com nutzbar.

Bei klassischen SmartCard-Infrastrukturen hängt die Phishing-Abwehr hingegen von weiteren Sicherheitsebenen ab (TLS-Prüfung, UI-Hinweise, Policies) – sie ist im Gegensatz zu FIDO2 nicht direkt im Protokoll verankert.

Weitere Informationen:

Ausblick: ist die SmartCard in Zukunft noch relevant?

Der Trend im Massenmarkt geht klar in Richtung Passkeys/FIDO2 (oft über Windows Hello oder USB-/NFC-Keys), weil das ohne zusätzliche Infrastruktur funktioniert und für Nutzer bequemer ist. Microsoft positioniert Passkeys explizit als zukunftsfähige Alternative zu Passwörtern und baut die Passkey-Unterstützung in Windows weiter aus.

Gleichzeitig bleiben kontaktbasierte Smartcards nach ISO/IEC-7816-Standard im B2B- und Compliance-Umfeld relevant, weil sie in vielen Organisationen Teil etablierter PKI-Prozesse sind (Smartcard-Logon, Zertifikate, Signaturen, VPN, S/MIME). Diese Infrastrukturen werden nicht über Nacht ersetzt, sondern oft schrittweise modernisiert.

Am wahrscheinlichsten ist in Zukunft ein Koexistenz- und Hybrid-Modell. Im Consumer- und SMB-Bereich setzen sich Passkeys, Windows Hello und FIDO2-Keys weiter durch, weil sie ohne zusätzliche Infrastruktur funktionieren und auf nahezu jedem modernen Gerät verfügbar sind. Für viele Anwender ist das die bequemste und zugleich phishing-resistente Variante, um Passwörter im Alltag zu reduzieren oder vollständig zu ersetzen.

In Enterprise- und regulierten Umgebungen bleiben Smartcards und Zertifikate dagegen weiterhin relevant aufgrund der bereits etablierten Infrastruktur PKI-basierte Prozesse für Anmeldung, Signatur, Verschlüsselung, VPN und Compliance-Nachweise.

Parallel dazu gewinnen Hybrid-Tokens an Bedeutung, die mehrere Welten in einem Gerät vereinen, etwa PIV/PKI und FIDO2. Damit können Unternehmen parallel migrieren, ohne den Hardware-Faktor in der Benutzerhand zu wechseln.