#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

YUBIKEY-HAMMER! 5.8-Firmware presst JETZT Login UND Signatur in DASSELBE Hardware-Stück — HSM wird zur Reliquie

YUBIKEY-HAMMER! 5.8-Firmware presst JETZT Login UND Signatur in DASSELBE Hardware-Stück — HSM wird zur Reliquie

Yubico schiebt mit der 5.8-Firmware-Linie ein Feature in den Yubikey-Stack, das HSMs (Hardware Security Modules) im Mittelstand kratzen könnte: FIDO CTAP 2.3 plus eine vorgezogene WebAuthn-Signing-Extension ermöglichen es, mit demselben Yubikey, der den Login macht, auch direkt digital zu signieren. Hardware-gestützt, mit Passkey-Privacy-Profil und ohne dass eine separate HSM-Karte oder ein Smartcard-Stack im Spiel sein muss.

WAS bringt 5.8 konkret?

Drei Säulen:

  • FIDO CTAP 2.3 — das aktuelle Protokoll-Update zwischen Browser und Authenticator. Bringt feinere Capability-Negotiation und bessere Privacy-Defaults.
  • WebAuthn Signing Extension (Preview) — eine standardisierte API, mit der ein Web-Service den Yubikey um eine kryptografische Signatur über ein vorgelegtes Datum bitten kann. Verwendung u. a. für PDF-Signing, Dokumenten-Verträge, Audit-Logs.
  • Erweiterter Enterprise-IdP-Support — Yubico zielt explizit auf Microsoft Entra ID, Okta und ähnliche IdPs.

WARUM ist das WICHTIG?

Bisher mussten Unternehmen, die Hardware-Signaturen wollten, zwei separate Stacks pflegen: Yubikey für FIDO/Passkey-Logins, plus eine zweite Karte oder ein Smartcard-Reader für Signaturen — meist mit eigenem PKCS#11-Stack, Treiber-Wartung und Helpdesk-Aufwand. Mit 5.8 verschmelzen beide Funktionen auf einem Stück Hardware. Das ist nicht nur bequemer, das spart auch Inventar und reduziert die Angriffsfläche.

UNGLAUBLICH: NICHT retroaktiv aufspielbar

Das ist die wichtige Einschränkung. Die 5.8-Firmware lässt sich NICHT auf bestehende Yubikeys flashen. Yubico folgt seinem üblichen Hardware-Sicherheits-Modell: Firmware-Updates passieren nur ab Werk, nicht im Feld. Bedeutet: Wer die neuen Signing-Features will, muss neue 5.8-Yubikeys kaufen, sobald sie aus Yubicos Produktion kommen.

SO PRÜFST du, ob deine bestehenden Tokens reichen

Drei Schritte:

  1. Mit ykman info die aktuelle Firmware-Version deiner Yubikeys auslesen.
  2. Wenn du FIDO2-Login plus Passkey reicht: Deine Yubikeys ab Firmware-Linie 5.5 oder höher bleiben voll nutzbar — kein Tausch nötig.
  3. Wenn du Hardware-gestützte Signaturen brauchst (Vertrags-Tools, PDF-Signing-Pipelines): 5.8 wird Pflicht.

EXTRA-TIPP: Was Yubico-Mitbewerber machen

Token2, OnlyKey und Solo2 verfolgen ähnliche Ansätze, aber jeweils mit eigener Implementierung. Wer einen Multi-Vendor-Stack plant (für Lieferanten-Risiko-Minimierung), sollte die Spezifikationen der drei nebeneinander vergleichen. Standards wie CTAP 2.3 und WebAuthn-Signing sind herstellerneutral — aber die Geschwindigkeit der Adaption variiert.

FAZIT

Yubikey 5.8 ist kein Sprung fürs Heim-Lab — dort reichen die existierenden 5.5+/5.7-Generationen weiter. Aber für Enterprise-Setups mit Signing-Anforderungen ist es ein echter Stack-Konsolidierungs-Schritt: Ein Token statt zwei, ein Treiber-Stack statt zwei, ein Helpdesk-Ticket statt zwei.

Quellen: Yubico Blog 2026, Help Net Security, Cyber Kendra, Yubico Press Releases.

Häufige Fragen

Brauche ich Yubikey 5.8 für meinen Privat-Login?
Nein. Für klassische Passkey- oder FIDO2-Login-Szenarien (Google, GitHub, Bitwarden) reichen bestehende Yubikeys ab Firmware 5.5 oder 5.7 vollständig aus. 5.8 zielt auf Enterprise-Signing-Workflows, die im Privat-Bereich selten relevant sind.
Kann ich meinen alten Yubikey auf 5.8 updaten?
Nein. Yubicos Sicherheits-Modell lässt Firmware-Updates ausschließlich im Werk zu, nicht im Feld. Wer die 5.8-Features braucht, muss neue Hardware bestellen, sobald 5.8-Geräte aus Yubicos Produktion verfügbar sind.
Was kostet ein 5.8-Yubikey?
Yubico hat keine offiziellen Preise für die 5.8-Linie kommuniziert. Die bestehenden 5.7-Modelle liegen bei rund 50-80 USD je nach Form-Faktor; 5.8 wird voraussichtlich im selben Preis-Korridor liegen, mit dem üblichen Enterprise-Zuschlag bei Großmengen.
Was ist die Webauthn-Signing-Extension genau?
Eine standardisierte W3C-API-Erweiterung, mit der ein Web-Service einen Authenticator (z. B. Yubikey) bitten kann, ein vorgelegtes Datenpaket kryptografisch zu signieren. Die Signatur wird im sicheren Element des Tokens erzeugt, der private Schlüssel verlässt die Hardware nie. Anwendungs-Szenarien: PDF-Signing, Vertrags-Tools, Audit-Trails.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert