Alle Kategorien
Update wöchentlich DE | EUR ▾
Pillar · Sicherheits-Tech

Hardware Security Key Vergleich 2026: YubiKey, Nitrokey, Token2

Von Lukas Bergmann · Veröffentlicht

Was ist ein Hardware Security Key und warum 2026?

Ein Hardware Security Key ist ein kleiner USB- oder NFC-Stick, der einen privaten Krypto-Schlüssel speichert und Logins per FIDO2/WebAuthn-Standard absichert. Im Klartext: Statt eines SMS-Codes oder einer Authenticator-App steckst du den Key in den Laptop oder hältst ihn ans iPhone — fertig. Phishing-Resistenz ist dabei kein Marketing-Versprechen, sondern technisch verankert: Der Key signiert nur fuer die genau aufgerufene Domain. Eine gefakte Login-Seite bekommt keine gueltige Signatur.

2026 ist das Thema breit angekommen. Google, Microsoft, Apple und alle grossen Passwort-Manager (1Password, Bitwarden, Proton Pass) unterstuetzen Passkeys — und der phishing-sichere Passkey lebt entweder im Geraet oder eben auf einem Hardware-Stick. Wer wirklich saubere Trennung will (Passkey verlaesst nie den Stick), kommt an einem FIDO2-Token nicht vorbei.

Direktvergleich der drei Empfehlungs-Klassen

Wir teilen den Markt in drei Klassen: Allrounder mit NFC (fuer iPhone-Tap), Open-Source-Modelle (auditierbar, Nitrokey-Lager) und Budget-FIDO2 (gut genug fuer 95 % der Privatpersonen). Plus zwei Spezialisten: Biometrie und Multi-Protocol fuer Admins.

KlasseEmpfehlungBewertungStaerkePreis
Allround NFCYubiKey 5C NFC★★★★★ 4,7 / 5USB-C + NFC, GPG/SSH/PIV, Apple-zertifiziert€€€
Allround USB-AYubiKey 5 NFC★★★★★ 4,7 / 5Selbe Features, aelterer Anschluss€€€
Open SourceNitrokey 3A NFC★★★★☆ 4,4 / 5Quelloffene Firmware, Made in Germany€€€
Open Source kompaktNitrokey 3 Mini★★★★☆ 4,3 / 5Sehr klein, USB-C, dauerhaft eingesteckt€€
Budget FIDO2Token2 T2F2-PIN★★★★☆ 4,3 / 550 resident credentials, PIN-Schutz, ca. 20 €
BiometrieYubiKey Bio FIDO Edition★★★★☆ 4,5 / 5Fingerabdruck statt PIN, Touch-ID-Ersatz€€€€
Reines FIDO2 + NFCYubiKey Security Key C NFC★★★★☆ 4,5 / 5Nur FIDO2/U2F, halber Preis vom 5C€€
Open Source NFC + 2FA-HMACSoloKeys Solo 2 NFC★★★★☆ 4,2 / 5Quelloffen, Rust-Firmware€€

1. YubiKey-Familie — Industrie-Standard mit grossem Funktionsumfang

Yubico ist der Marktfuehrer bei FIDO2-Tokens und Mitgruender der FIDO Alliance. Die YubiKey-5-Serie ist der Mainstream-Tipp seit 2018, regelmaessig per Firmware aktualisiert (5.7.x in 2026) und in saemtlichen Enterprise-Setups als Standard akzeptiert. Wer keine Lust auf Recherche hat und einfach kaufen will, was funktioniert — Yubico ist die sichere Wahl.

Empfehlung der Redaktion: YubiKey 5C NFC

Der 5C NFC kombiniert USB-C fuer aktuelle Macs, iPad Pros und Android-Phones mit NFC fuer iPhones (ab iOS 13.3 funktioniert NFC fuer Passkey ohne Lightning-Adapter). Ein einziger Stick deckt damit alle modernen Geraete ab. Funktionsumfang ist riesig: FIDO2/WebAuthn, U2F, OATH-TOTP (wie Google Authenticator, aber im Stick), OpenPGP fuer Mail-Verschluesselung, PIV fuer Smartcard-Logins, statisches Passwort. Fuer Power-User auch Yubico-OTP und Challenge-Response (HMAC-SHA1) fuer KeePassXC.

Passkey-Speicher. Der 5C NFC speichert bis zu 100 resident credentials (Passkeys, die Username + Domain mitbringen). Das reicht fuer die typischen 30-50 wichtigen Konten.

Bauform. Vergossenes Hartplastik-Gehaeuse, IP68-aehnliche Robustheit, Schluesselbund-Loch. Faellt im Alltag nicht auf.

+ Pro

  • USB-C plus NFC -- ein Stick fuer Mac, iPhone, Android, Linux
  • Riesiger Funktionsumfang: FIDO2, OATH-TOTP, OpenPGP, PIV, statisches Passwort
  • Bis zu 100 resident credentials (Passkeys) speicherbar
  • Apple-zertifiziert, regelmaessige Firmware-Updates
  • Sehr robuste Bauform, schluesselbundtauglich

Contra

  • × Mit ca. 75 Euro im oberen Preissegment
  • × Firmware closed-source -- nicht extern auditierbar
  • × Firmware-Updates nicht moeglich (Stick muss bei Schwachstelle ersetzt werden)

Apple-Spezialist: YubiKey Bio FIDO Edition

Die Bio-Edition hat einen eingebauten Fingerabdruck-Sensor — anstelle des PIN-Codes legst du den Finger auf. Praktisch, wenn der Stick am Mac dauerhaft steckt und Touch ID am MacBook nicht reicht (z.B. fuer Logins im Browser, fuer die Touch ID nicht durchgereicht wird). Beachte: Die Bio-Edition kann nur FIDO2/WebAuthn, kein OATH-TOTP, kein OpenPGP — Apple-Zielgruppe, kein Power-User-Tool.

+ Pro

  • Fingerabdruck statt PIN -- schneller bei vielen Logins am Tag
  • Sehr gute Apple-Integration
  • Kein Smartphone fuer 2FA noetig

Contra

  • × Nur FIDO2/U2F, kein OpenPGP/OATH/PIV
  • × Mit 95+ Euro deutlich teurer als 5C NFC
  • × Bei Sensor-Defekt komplett nutzlos

FIDO2-only Budget: YubiKey Security Key C NFC

Wer nur Passkeys und FIDO2/U2F braucht und auf OATH/OpenPGP verzichten kann, bekommt mit dem Security Key C NFC den halben Preis bei gleicher Phishing-Sicherheit. Selbe Hardware-Plattform wie der 5C, aber Firmware reduziert auf FIDO. Fuer 95 % der Privatpersonen die ehrlichste Empfehlung.

+ Pro

  • USB-C plus NFC zu deutlich niedrigerem Preis (ca. 35 Euro)
  • Selbe Phishing-Sicherheit wie YubiKey 5C NFC
  • 100 resident credentials -- reicht fuer Privat

Contra

  • × Kein OATH-TOTP -- braucht weiterhin Authenticator-App
  • × Kein OpenPGP/PIV/SSH-Login
  • × Nicht zukunftsoffen, falls man spaeter mehr will

Mehr zum Direktvergleich YubiKey 5C NFC vs Nitrokey 3A NFC vs Token2 →

2. Nitrokey — Open Source, Made in Germany

Nitrokey aus Berlin verfolgt die Gegen-Philosophie zu Yubico: Quelloffene Firmware, auditierbare Hardware, klare DSGVO-Verortung. Wer sich aus Prinzip auf keine Black-Box verlassen will (Journalisten, Aktivisten, Sicherheitsforscher) — oder einfach „Made in Germany” bevorzugt — landet hier.

Empfehlung: Nitrokey 3A NFC

Die Nitrokey 3-Serie laeuft auf einem ARM Cortex-M33 mit TrustZone und der quelloffenen „Trussed”-Firmware (Rust-basiert). FIDO2/WebAuthn, U2F, OpenPGP, OATH-HOTP/TOTP und ein eingebauter Passwort-Manager-Slot. NFC fuer iPhone, USB-A am Stick — wer USB-C will, nimmt den 3C NFC zum gleichen Preis.

Updateability. Anders als YubiKey 5 laesst sich der Nitrokey 3 per Firmware-Update aktualisieren — das ist ein erheblicher Vorteil bei langfristiger Nutzung.

Reife. Die Firmware ist juenger als YubiKey OpenPGP/PIV — vereinzelt gibt es noch Eigenheiten. Fuer Mainstream-FIDO2 bei Google/Microsoft/Apple aber 100 % zuverlaessig.

+ Pro

  • Quelloffene Firmware -- extern auditierbar
  • Firmware-Updates moeglich (langfristige Nutzbarkeit)
  • Made in Germany, DSGVO-konformer Hersteller-Sitz
  • FIDO2 plus OpenPGP plus OATH in einem Stick

Contra

  • × OpenPGP/PIV-Implementierung weniger ausgereift als YubiKey
  • × Mit ca. 60 Euro nur knapp unter YubiKey 5C NFC
  • × Apple-Zertifizierung fehlt (Funktion klappt aber)

Kompakt-Variante: Nitrokey 3 Mini

Der Mini ragt nur 6 mm aus dem USB-C-Port — ideal fuer Laptops, an denen der Stick dauerhaft stecken bleibt. Kein NFC, dafuer kompakte Bauform. Funktionsumfang identisch zum 3A NFC abzueglich NFC.

+ Pro

  • Sehr kompakt -- bleibt dauerhaft im Laptop
  • USB-C-Standard fuer aktuelle Geraete
  • Quelloffene Firmware wie 3A NFC

Contra

  • × Kein NFC -- iPhone-Logins nur per USB-C-Adapter
  • × Klein heisst auch leichter zu verlieren
  • × Kein Schluesselbund-Loch

3. Token2 — Schweizer Budget-Spezialist

Token2 aus der Schweiz ist seit 2020 der Geheimtipp fuer FIDO2 zum Sub-25-Euro-Preis. Eigene Hardware, eigene Firmware (closed-source, aber dokumentiert), Made in Switzerland. Fuer Privatpersonen, die mehrere Sticks brauchen (zwei Stueck — einer im Schluesselbund, einer im Tresor) und nicht 150 Euro fuer zwei YubiKeys ausgeben wollen.

Empfehlung: Token2 T2F2-PIN

Der T2F2-PIN ist der FIDO2-Standardstick von Token2: USB-A plus NFC, 50 resident credentials, PIN-Schutz, FIDO-Alliance-zertifiziert. Kein OpenPGP, kein OATH — reines FIDO2/U2F. Funktionsumfang knapp unter dem YubiKey Security Key, Preis nur ca. ein Drittel.

+ Pro

  • Sehr guenstig (ca. 18-22 Euro)
  • FIDO-Alliance-zertifiziert -- sauberer Standard
  • USB-A plus NFC fuer Allround-Einsatz
  • PIN-Schutz fuer Passkeys

Contra

  • × Nur 50 resident credentials (YubiKey: 100)
  • × Closed-source Firmware (wie YubiKey)
  • × Kein USB-C in dieser Variante (siehe T2F2-NFC USB-C)
  • × Apple-Zertifizierung fehlt

Biometrie-Budget: Token2 T2F2-Bio

Token2s Antwort auf den YubiKey Bio. Fingerabdruck-Sensor, FIDO2-only, USB-A oder USB-C. Mit ca. 50 Euro halber Preis vom YubiKey Bio. Sensor-Qualitaet liegt eine Klasse darunter (gelegentlich zweiter Versuch noetig), aber funktional vollwertig.

+ Pro

  • Fingerabdruck-Sensor zum halben YubiKey-Bio-Preis
  • FIDO-Alliance-zertifiziert
  • USB-A oder USB-C waehlbar

Contra

  • × Sensor-Qualitaet unter YubiKey Bio
  • × Kein NFC
  • × Reine FIDO2-Funktion (kein OpenPGP/OATH)

Mehr zur Einrichtung: Passkey fuer Google und Microsoft mit Hardware-Key →

Empfehlungen nach Anwendungsfall

  • iPhone-Nutzer mit MacBook und gemischten Diensten → YubiKey 5C NFC (Allround) plus Backup-Token2 T2F2-PIN
  • Privatperson, nur Google/Microsoft/Apple absichern → YubiKey Security Key C NFC plus Token2 T2F2-PIN als Backup
  • Linux-Power-User mit GPG-Mail und SSH-Login → YubiKey 5C NFC oder Nitrokey 3A NFC
  • Open-Source-Verfechter, „Made in Germany” wichtig → Nitrokey 3A NFC plus Nitrokey 3 Mini als Backup
  • Admin in Firmen-Setup mit PIV/Smartcard-Pflicht → YubiKey 5C NFC (Firmware-Stabilitaet entscheidend)
  • Budget-Setup mit zwei Sticks fuer unter 50 Euro → 2x Token2 T2F2-PIN
  • Apple-Welt mit Fingerabdruck-Wunsch → YubiKey Bio FIDO Edition

Worauf solltest du beim Kauf achten?

1. NFC ist 2026 fast Pflicht — wegen iPhone. Apple hat seit iOS 13.3 NFC fuer FIDO2 freigegeben. Wer ein iPhone besitzt und sich nicht mit Lightning- oder USB-C-Adaptern herumschlagen will, sollte NFC waehlen. Tap-to-Sign am iPhone funktioniert mit YubiKey 5 NFC, 5C NFC, Security Key C NFC, Nitrokey 3A NFC und Token2 T2F2-PIN. Bei reinen USB-C-Sticks (Nitrokey 3 Mini, YubiKey 5C ohne NFC) brauchst du am iPhone einen USB-C-Anschluss (iPhone 15+) oder einen Lightning-Adapter.

2. USB-C oder USB-A — abhaengig vom Geraetepark. Aktuelle MacBooks, iPad Pros und Android-Phones nutzen USB-C. Aeltere Buero-PCs haben oft noch USB-A. Wer beides hat, nimmt entweder einen USB-C-Stick mit USB-A-Adapter im Lieferumfang (selten) oder kauft zwei verschiedene Sticks fuer zwei Anwendungen. Tipp: USB-C plus NFC ist 2026 die zukunftssicherste Kombination.

3. Resident Credentials — wieviele Passkeys passen drauf? Ein resident credential ist ein Passkey, der Username + Domain im Stick speichert (statt nur den Krypto-Schluessel ohne Kontext). YubiKey 5/Security Key: 100 resident credentials. Token2 T2F2: 50. Nitrokey 3: ca. 50-60 (je nach Firmware-Version). Fuer Privatpersonen reicht jede dieser Zahlen — fuer Power-User mit dreistelligen Logins kann der Speicher knapp werden.

4. Closed Source vs. Open Source — Vertrauensfrage. YubiKey-Firmware ist closed-source und nicht updatebar (bei Schwachstelle muss der Stick getauscht werden). Yubico-Spezifikation: durch Hardware-Design ist Schluessel-Auslesen technisch ausgeschlossen. Trotzdem moegen viele Sicherheitsbewusste lieber auditierbare Firmware (Nitrokey, SoloKeys). Es gibt keine objektive richtige Antwort — nur eine Vertrauens-Praeferenz.

5. Backup-Stick ist Pflicht. Ein einzelner Hardware Security Key ist ein Single Point of Failure. Geht der Stick verloren, kommst du eventuell nicht mehr in deinen Google-Account. Standard-Empfehlung 2026: Zwei Sticks bei jedem Dienst registrieren. Einer am Schluesselbund, einer im Tresor oder Bankschliessfach. Token2 T2F2-PIN als guenstiger Backup zu einem teureren YubiKey ist eine elegante Loesung.

6. Funktionsumfang — FIDO2-only oder Multi-Protocol? Wer nur Google, Microsoft, GitHub und 1Password absichert, braucht „nur” FIDO2/U2F — der YubiKey Security Key oder Token2 T2F2 reichen. Wer GPG-verschluesselte Mails oder SSH-Login per Hardware-Key plant, braucht den vollen YubiKey 5 oder Nitrokey 3.

7. Hersteller-Zertifizierungen pruefen. FIDO-Alliance-Zertifizierung gehoert zum Mindeststandard — sie garantiert, dass der Stick mit allen FIDO2/WebAuthn-konformen Diensten funktioniert. Apple-Zertifizierung („MFi”) ist Pflicht fuer einige iCloud-Funktionen. YubiKey hat beide, Nitrokey nur FIDO, Token2 nur FIDO. Im Privat-Alltag macht das selten einen praktischen Unterschied — bei Spezialfaellen aber schon.

Häufige Fragen

01 Welcher Hardware Security Key funktioniert mit iPhone und Mac?
Jeder NFC-faehige FIDO2-Stick funktioniert am iPhone (ab iOS 13.3) per Tap. Empfohlen: YubiKey 5C NFC oder YubiKey Security Key C NFC — die kombinieren USB-C fuer den Mac mit NFC fuers iPhone. Open-Source-Alternative: Nitrokey 3A NFC. Budget-Tipp: Token2 T2F2-PIN (USB-A plus NFC, ca. 20 Euro).
02 YubiKey oder Nitrokey — was ist besser?
Beide sind solide, die Wahl ist eine Vertrauensfrage. YubiKey 5C NFC hat die ausgereiftere Firmware (PIV, OpenPGP), die Apple-Zertifizierung und mehr resident credentials (100 vs. 50-60). Nitrokey 3A NFC hat dafuer quelloffene Firmware, ist updatebar bei Schwachstellen und kommt aus Deutschland. Fuer reine Mainstream-Logins bei Google/Microsoft/Apple sind beide gleichwertig. Fuer GPG/PIV ist YubiKey im Vorteil, fuer Auditierbarkeit Nitrokey.
03 Was ist der Unterschied zwischen FIDO2 und U2F?
U2F (2014) war der erste FIDO-Standard und macht reines Zwei-Faktor — Username plus Passwort plus Stick-Tap. FIDO2 (2018) erweitert das um WebAuthn und CTAP2: Damit werden passwortlose Logins (Passkeys) moeglich. Ein Stick mit FIDO2-Support kann auch U2F. Aktuelle Empfehlung 2026: nur noch FIDO2-Sticks kaufen. U2F-only-Sticks sind Auslaufmodelle.
04 Wie speichert ein Hardware Key Passkeys?
Als sogenannte resident credentials (auch „discoverable credentials"). Der Stick speichert Krypto-Schluessel plus Username plus Domain. Beim Login klickst du auf „Mit Passkey anmelden", der Browser fragt den Stick ab, du bestaetigst per PIN oder Touch — fertig, kein Passwort. YubiKey 5 speichert bis zu 100 Passkeys, Token2 T2F2 bis zu 50, Nitrokey 3 ca. 50-60. Achtung: Der Speicher ist begrenzt, aelteste Eintraege muessen ggf. manuell geloescht werden.
05 Brauche ich zwei Hardware Keys oder reicht einer?
Zwei. Ein einzelner Stick ist ein Single Point of Failure — geht er verloren oder bricht, kommst du nicht mehr in deinen Google- oder Microsoft-Account. Standard-Praxis 2026: zwei Sticks bei jedem Dienst registrieren. Einer am Schluesselbund (Alltag), einer im Tresor oder Bankschliessfach (Backup). Eleganter Mix: ein YubiKey 5C NFC fuer 75 Euro plus ein Token2 T2F2-PIN fuer 20 Euro als Backup.
06 Funktioniert ein YubiKey unter Linux?
Ja, vollumfaenglich. FIDO2/WebAuthn ueber Browser (Firefox, Chrome, Brave), GPG fuer Mail-Signatur und Verschluesselung, SSH-Login per gpg-agent oder direkt per FIDO-SSH (OpenSSH 8.2+). Fuer GUI-Konfiguration braucht es das Yubico Authenticator-Tool und yubikey-manager (per pip oder Distro-Paket). Nitrokey 3 wird ebenfalls voll unter Linux unterstuetzt — die nitrokey-app2 ist quelloffen.

Verwandte Themen