Ganz einfach ausgedrückt ist ein Windows SSH Key ein kryptografisches Schlüsselpaar, das Ihnen eine hochsichere, passwortlose Anmeldung an Servern und Diensten ermöglicht. Statt sich unzählige komplexe Passwörter zu merken, nutzen Sie dieses Paar aus einem privaten und einem öffentlichen Schlüssel. Gerade wenn es um die Automatisierung von Prozessen oder das Management von Cloud-Infrastrukturen geht, ist das kein nettes Extra, sondern eine absolute Notwendigkeit.
Warum das klassische passwort ausgedient hat
Mal ehrlich: Wer verwaltet heute nur noch einen einzigen Server? Stellen Sie sich vor, Sie sind für zehn, zwanzig oder gar hundert Cloud-Instanzen verantwortlich. Jedes Mal, wenn Sie sich per Passwort anmelden, öffnet sich ein potenzielles Sicherheitsrisiko. Passwörter sind anfällig für Brute-Force-Angriffe, können durch Phishing erbeutet oder schlicht durch Unachtsamkeit preisgegeben werden. In einer modernen IT-Landschaft ist das nicht nur unpraktisch, sondern grob fahrlässig.
Genau an dieser Stelle kommt die schlüsselbasierte Authentifizierung ins Spiel. Das Ganze basiert auf dem cleveren Prinzip der asymmetrischen Kryptografie. Dabei werden zwei mathematisch miteinander verbundene Schlüssel erzeugt, die perfekt zusammenspielen:
- Der private Schlüssel (z. B.
id_ed25519): Betrachten Sie ihn als Ihren digitalen Generalschlüssel. Er ist streng geheim, verlässt niemals Ihren Computer und sollte zusätzlich mit einer starken Passphrase geschützt werden. - Der öffentliche Schlüssel (z. B.
id_ed25519.pub): Diesen Teil können Sie sich wie ein speziell angefertigtes Schloss vorstellen. Sie verteilen Kopien dieses Schlosses auf alle Server und Dienste, auf die Sie zugreifen möchten.
Wenn Sie jetzt eine Verbindung herstellen, weist Ihr Computer mithilfe des privaten Schlüssels nach, dass er der rechtmäßige Besitzer des passenden öffentlichen Schlüssels ist. Das Geniale daran: Der private Schlüssel selbst wird dabei nie übertragen.
Der entscheidende vorsprung von SSH-schlüsseln
Diese Methode ist der passwortbasierten Anmeldung meilenweit voraus. Der private Schlüssel bleibt sicher auf Ihrem Rechner, während der öffentliche Schlüssel gefahrlos auf jedem SSH-Server hinterlegt werden kann. Diese Architektur ist der Grund, warum sich Client-Computer sicher und ohne manuelle Eingaben authentifizieren können, ohne dass irgendwo Klartext-Passwörter gespeichert werden müssen. Microsoft selbst bietet hierzu detaillierte Einblicke in die Verwaltung von OpenSSH-Schlüsseln.
Compliance und automatisierung als treibende kräfte
Dieser Sicherheitsgewinn ist mehr als nur eine technische Spielerei. Für Unternehmen ist er eine grundlegende Anforderung, um moderne Compliance-Vorgaben zu erfüllen. Vorschriften wie die NIS-2-Richtlinie oder Zertifizierungen nach ISO 27001 verlangen nachweisbar robuste Zugriffskontrollen. SSH-Schlüssel sind hier ein zentraler Baustein, da sie die typischen Angriffsvektoren von Passwörtern komplett eliminieren.
Ein zentral verwalteter und regelmäßig rotierter Satz von SSH-Schlüsseln ist nicht nur eine Best Practice, sondern ein prüfbarer Nachweis für eine sichere IT-Infrastruktur. Das ist es, was Auditoren sehen wollen, um die Integrität Ihrer Systeme zu bestätigen.
Und dann wäre da noch die Automatisierung. Ob in CI/CD-Pipelines, bei automatisierten Deployments oder im Konfigurationsmanagement – Skripte müssen sich authentifizieren können, ohne dass irgendwo Passwörter im Klartext herumliegen. Der Umstieg auf einen Windows SSH Key ist also keine Frage des "Ob", sondern des "Wann" – ein entscheidender Schritt für eine sichere und effiziente IT.
Den nativen OpenSSH-Client in Windows nutzen
Die Zeiten, in denen man für eine simple SSH-Verbindung unter Windows auf externe Tools wie PuTTY angewiesen war, sind glücklicherweise vorbei. Heutige Windows-Systeme (Windows 10 und 11) bringen von Haus aus einen leistungsstarken, nativen OpenSSH-Client mit. Das macht den ganzen Prozess nicht nur schlanker, sondern integriert sich auch perfekt in die Kommandozeile, allen voran die PowerShell.
Seit seiner Einführung in Windows 10 (Version 1709) hat sich hier einiges getan. Ein entscheidender Schritt war die standardmäßige Aktivierung des Clients ab Version 1809. Heute können Admins und Entwickler SSH-Schlüssel mit einem simplen ssh-keygen Befehl generieren, ganz ohne zusätzliche Software. Einen guten Überblick über diese Entwicklung liefert Antary.de in ihrem Artikel zum Weg von SSH-Keys unter Windows 10.
Ist der OpenSSH-Client bei Ihnen schon startklar?
Bevor wir uns ans Werk machen und einen Windows SSH Key erstellen, sollten wir kurz nachsehen, ob der Client auf Ihrem System überhaupt läuft. Das geht blitzschnell. Öffnen Sie einfach eine PowerShell oder eine klassische cmd-Eingabeaufforderung und tippen Sie Folgendes ein:
ssh -V
Wenn alles passt, meldet sich der Client mit seiner Versionsnummer, zum Beispiel OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3. Erscheint stattdessen eine Fehlermeldung, dass der Befehl unbekannt ist, keine Sorge – das Feature lässt sich mit wenigen Klicks nachinstallieren.
Falls nötig, installieren Sie den OpenSSH-Client so nach:
- Öffnen Sie die Windows-Einstellungen.
- Gehen Sie zu Apps und von dort weiter zu Optionale Features.
- Klicken Sie auf Feature hinzufügen, suchen Sie in der Liste nach „OpenSSH-Client“ und installieren Sie ihn.
Nach einem kurzen Moment ist der Client dann auch schon einsatzbereit.
Ihren ersten sicheren SSH-Schlüssel erstellen
Jetzt geht es ans Eingemachte: die Generierung Ihres ganz persönlichen Schlüsselpaars. Dafür nutzen wir den Befehl ssh-keygen direkt in der PowerShell. Während es verschiedene Algorithmen gibt, greifen wir für maximale Sicherheit und Effizienz zu ED25519. Dieser moderne Algorithmus ist dem älteren RSA-Standard in puncto Sicherheit bei kürzeren Schlüsseln klar überlegen.
Feuern Sie also Ihre PowerShell an und geben Sie diesen Befehl ein:
ssh-keygen -t ed25519 -C "ihre-email@beispiel.com"
Mit diesem Befehl stoßen Sie die Erstellung eines neuen Windows SSH Key auf Basis des ed25519-Algorithmus an. Der -C-Parameter hängt einen Kommentar an den Schlüssel – üblicherweise Ihre E-Mail-Adresse. Das ist extrem nützlich, um den Schlüssel später eindeutig zuordnen zu können, besonders wenn Sie mal mehrere verwalten müssen.
Das Terminal nimmt Sie nun an die Hand und fragt die letzten Details ab.
Nachdem Sie den Befehl abgesetzt haben, stellt Ihnen das Tool drei einfache Fragen:
- Dateispeicherort: Drücken Sie hier einfach
Enter. Der StandardpfadC:UsersIhrBenutzername.sshid_ed25519ist goldrichtig. Viele Programme suchen standardmäßig genau dort nach Ihren Schlüsseln, das erspart Ihnen später Konfigurationsaufwand. - Passphrase eingeben: Hier sollten Sie unbedingt ein starkes, einzigartiges Passwort vergeben. Diese Passphrase verschlüsselt Ihren privaten Schlüssel direkt auf der Festplatte.
- Passphrase bestätigen: Tippen Sie die eben gewählte Passphrase zur Sicherheit noch einmal ein.
Eine starke Passphrase ist keine lästige Pflicht, sondern eine entscheidende Sicherheitsschicht. Sollte jemand Zugriff auf Ihren Rechner und die private Schlüsseldatei bekommen, ist sie ohne diese Passphrase wertlos. Sehen Sie es als das Master-Passwort für Ihren digitalen Generalschlüssel.
Perfekt! Im Anschluss finden Sie in Ihrem .ssh-Verzeichnis zwei neue Dateien:
id_ed25519: Das ist Ihr geheimer, privater Schlüssel. Diese Datei geben Sie niemals aus der Hand!id_ed25519.pub: Ihr öffentlicher Schlüssel. Diesen Teil können und sollen Sie auf Servern oder bei Diensten wie GitHub und GitLab hinterlegen.
Herzlichen Glückwunsch! Sie haben soeben erfolgreich ein modernes und sicheres SSH-Schlüsselpaar direkt unter Windows erstellt.
PuTTY und PuTTYgen: Der etablierte Weg zu SSH-Keys
Obwohl Windows mittlerweile einen hervorragenden OpenSSH-Client an Bord hat, ist die IT-Welt oft von gewachsenen Strukturen geprägt. In vielen Unternehmen und bei Admins, die schon länger im Geschäft sind, ist PuTTY das Werkzeug der Wahl und tief in den täglichen Arbeitsabläufen verankert. Genau deshalb ist es entscheidend, auch diesen bewährten Weg zur Erstellung und Verwaltung von SSH-Schlüsseln unter Windows zu beherrschen.
PuTTY ist ein schlanker, kostenloser SSH- und Telnet-Client, dessen Wurzeln bis ins Jahr 1999 zurückreichen. Seine Zuverlässigkeit über die Jahre hat ihm einen festen Platz in der Werkzeugkiste unzähliger IT-Profis gesichert. Für die Schlüsselverwaltung bringt es ein eigenes, praktisches Tool mit: PuTTYgen.
Die Benutzeroberfläche von PuTTYgen wirkt auf den ersten Blick vielleicht etwas aus der Zeit gefallen, aber lassen Sie sich davon nicht täuschen. Sie ist extrem funktional und führt Sie ohne Umwege zum Ziel.
Ein SSH-Schlüsselpaar mit PuTTYgen erzeugen
Die Erstellung eines Schlüsselpaars mit PuTTYgen ist ein unkomplizierter, visueller Prozess. Sobald Sie die puttygen.exe starten, begrüßt Sie eine übersichtliche Oberfläche, die alle wichtigen Optionen bereithält.
So gehen Sie vor, um einen neuen Schlüssel zu generieren:
- Den richtigen Algorithmus wählen: Vergewissern Sie sich, dass unten im Fenster unter „Parameters“ der Typ Ed25519 ausgewählt ist. Wie schon beim nativen OpenSSH-Client ist dies auch hier die modernste und sicherste Wahl, die Sie treffen können.
- Die Generierung anstoßen: Klicken Sie auf den Button „Generate“. PuTTYgen fordert Sie nun auf, Ihre Maus zufällig über den leeren Bereich im Fenster zu bewegen. Das ist kein Gimmick – diese Bewegung sammelt Entropie, also echte Zufallsdaten, die für die Erstellung eines kryptografisch starken Schlüssels absolut unerlässlich sind.
- Die Details festlegen: Sobald der grüne Balken voll ist, ist der Schlüssel fertig generiert. Jetzt ist der richtige Zeitpunkt, einen optionalen „Key comment“ hinzuzufügen – Ihre E-Mail-Adresse ist hier eine gängige Praxis. Vergeben Sie anschließend unbedingt eine sichere „Key passphrase“ und bestätigen Sie diese.
Aus der Praxis: Der Text, den PuTTYgen direkt im oberen Fenster anzeigt (
ssh-ed25519 AAAA...), ist bereits der perfekt formatierte öffentliche Schlüssel im OpenSSH-Format. Sie können ihn einfach kopieren und direkt in dieauthorized_keys-Datei auf einem beliebigen Server einfügen.
Anschließend speichern Sie Ihre Schlüssel. Ein Klick auf „Save public key“ sichert den öffentlichen Schlüssel (z. B. als id_ed25519.pub). Noch wichtiger ist aber der Klick auf „Save private key“. Hier speichert PuTTY den privaten Schlüssel in seinem eigenen, proprietären Format mit der Endung .ppk (PuTTY Private Key). Und genau hier liegt der Knackpunkt.
Die Brücke zwischen PuTTY- und OpenSSH-Welt
Die unterschiedlichen Schlüsselformate sind eine der häufigsten Fehlerquellen in gemischten Umgebungen. Der native OpenSSH-Client von Windows kann mit .ppk-Dateien nichts anfangen, und umgekehrt kann PuTTY standardmäßig keine OpenSSH-Schlüssel im id_ed25519-Format laden.
Zum Glück ist PuTTYgen nicht nur ein Generator, sondern auch ein hervorragendes Konvertierungstool.
Szenario 1: OpenSSH-Schlüssel für PuTTY umwandeln
Stellen Sie sich vor, Sie haben mit der PowerShell einen OpenSSH-Schlüssel erstellt, müssen ihn aber für eine Verbindung mit PuTTY verwenden.
- Öffnen Sie PuTTYgen.
- Wählen Sie im Menü „Conversions“ die Option „Import key“.
- Navigieren Sie zu Ihrer privaten
id_ed25519-Datei und öffnen Sie diese. - PuTTYgen lädt den Schlüssel. Jetzt müssen Sie nur noch auf „Save private key“ klicken, um ihn als kompatible
.ppk-Datei zu speichern.
Szenario 2: PPK-Schlüssel für OpenSSH fit machen
Oder der umgekehrte Fall: Ein Kollege gibt Ihnen einen .ppk-Schlüssel, aber Sie arbeiten lieber mit der PowerShell oder dem Windows Terminal.
- Starten Sie PuTTYgen und klicken Sie auf „Load“, um Ihre
.ppk-Datei zu laden. - Gehen Sie erneut zum Menü „Conversions“ und wählen Sie diesmal „Export OpenSSH key“.
- Speichern Sie die Datei unter dem Namen
id_ed25519(ganz ohne Dateiendung).
Dieses Wissen ist pures Gold, um Kompatibilitätsprobleme zu umgehen und reibungslos mit verschiedenen Werkzeugen und Teammitgliedern zusammenzuarbeiten. Es erspart Ihnen viel Frust und Fehlersuche.
Vergleich OpenSSH-Client vs. PuTTY/PuTTYgen
Beide Wege führen zum Ziel, doch welcher ist der richtige für Sie? Die Antwort hängt stark von Ihrem Arbeitsumfeld und Ihren persönlichen Vorlieben ab. Die folgende Tabelle stellt die beiden Ansätze gegenüber.
| Kriterium | Nativer OpenSSH-Client (Windows) | PuTTY/PuTTYgen |
|---|---|---|
| Integration | Perfekt in Windows 10/11, PowerShell und WSL integriert | Eigenständige Anwendung, keine native Systemintegration |
| Bedienung | Kommandozeilenbasiert (ssh-keygen), erfordert Terminal-Kenntnisse |
Grafische Benutzeroberfläche (GUI), sehr anfängerfreundlich |
| Automatisierung | Sehr gut skriptbar (PowerShell, Batch) für automatisierte Prozesse | Nur über Umwege und Drittanbieter-Tools skriptbar |
| Schlüsselformat | Nutzt das Standard-OpenSSH-Format, das universell kompatibel ist | Verwendet das proprietäre .ppk-Format für private Schlüssel |
| Flexibilität | Ideal für Entwickler, Git/GitHub-Integration und automatisierte Deployments | Stark in klassischen Admin-Umgebungen und bei manuellen Serverzugriffen |
| Konvertierung | Benötigt PuTTYgen zur Konvertierung von .ppk-Schlüsseln |
Integriertes, exzellentes Tool zum Im- und Exportieren von OpenSSH-Schlüsseln |
Letztendlich ist es keine Entweder-oder-Entscheidung. Viele Profis nutzen beide Werkzeuge parallel – den OpenSSH-Client für ihre tägliche Arbeit im Terminal und PuTTYgen als verlässlichen Helfer für die Konvertierung und schnelle Schlüsselgenerierung.
Workflows optimieren mit dem ssh-agent
Sie haben Ihren Windows SSH Key mit einer starken Passphrase abgesichert? Perfekt. Aber Hand aufs Herz: Bei jeder Git-Operation oder jedem Server-Login diese Passphrase neu einzutippen, fühlt sich schnell wie eine unnötige Bremse an. Genau hier kommt eine ziemlich elegante Lösung ins Spiel, die Windows von Haus aus mitbringt: der ssh-agent.
Man kann sich den ssh-agent wie einen spezialisierten, temporären Passwort-Manager nur für Ihre privaten SSH-Schlüssel vorstellen. Er läuft unauffällig als Dienst im Hintergrund und hält den entschlüsselten privaten Schlüssel sicher im Arbeitsspeicher. Sobald Sie Ihren Schlüssel einmal zum Agenten hinzugefügt haben, kümmert er sich um die Authentifizierung – ganz ohne erneute Passphrase-Abfrage. Das macht einen riesigen Unterschied in der Produktivität, vor allem, wenn man täglich mit mehreren Repositories oder Servern hantiert.
Dieser Prozessablauf zeigt schön die typischen Schritte, von der Erstellung des Schlüssels bis hin zur Konvertierung für maximale Kompatibilität in verschiedenen Tools.
Die Schlüsselverwaltung ist eben mehr als nur das Generieren. Oft gehört auch die Anpassung für unterschiedliche Werkzeuge dazu, wie die Grafik verdeutlicht.
Den ssh-agent unter Windows einrichten
Die Konfiguration des Agents klappt am besten über die PowerShell. Mit ein paar wenigen Befehlen ist der Dienst startklar für den täglichen Einsatz.
Als Erstes werfen wir einen Blick auf den aktuellen Status. Öffnen Sie eine PowerShell (am besten mit Administratorrechten, das erleichtert die Konfiguration) und tippen Sie Folgendes ein:
Get-Service ssh-agent
Die Ausgabe verrät Ihnen, ob der Dienst gerade läuft (Running), gestoppt (Stopped) ist und wie sein Starttyp (StartType) aussieht. Meistens ist er standardmäßig deaktiviert (Disabled).
Den Dienst für den automatischen Start konfigurieren
Damit Sie den Agenten nicht nach jedem Neustart von Hand starten müssen, stellen wir ihn auf automatischen Start um. So ist er immer zur Stelle, wenn Sie ihn brauchen.
Set-Service -Name ssh-agent -StartupType 'Automatic'
Dieser Befehl sorgt dafür, dass der ssh-agent künftig zusammen mit Windows hochfährt. Damit er auch für die aktuelle Sitzung sofort bereit ist, starten wir ihn einmalig manuell:
Start-Service ssh-agent
Jetzt läuft der Dienst im Hintergrund. Wenn Sie tiefer in die Automatisierung solcher Aufgaben einsteigen wollen, finden Sie in unserem Artikel zum Thema PowerShell Script erstellen wertvolle Praxistipps.
Ihren privaten Schlüssel zum Agenten hinzufügen
Der letzte und wichtigste Schritt: Wir machen den Agenten mit Ihrem privaten Schlüssel bekannt. Dabei wird der Schlüssel entschlüsselt und für die laufende Sitzung sicher im Arbeitsspeicher abgelegt.
ssh-add $HOME.sshid_ed25519
Nachdem Sie den Befehl abgesetzt haben, werden Sie ein letztes Mal nach Ihrer Passphrase gefragt. Geben Sie sie ein, bestätigen Sie – und das war's.
Aus der Praxis: Der
ssh-agentmerkt sich den entschlüsselten Schlüssel nur, solange Ihre Windows-Sitzung läuft. Nach einem Neustart ist der Agent zwar wieder aktiv, Sie müssen den Schlüssel aber erneut hinzufügen. Das ist kein Fehler, sondern ein bewusstes Sicherheitsfeature. Es verhindert, dass Ihr ungeschützter Schlüssel dauerhaft im Speicher liegt.
Ab sofort erledigt der Agent jede Aktion, die Ihren SSH-Schlüssel benötigt, im Hintergrund. Ein git push nach GitHub oder ein ssh-Login auf einen Server funktionieren jetzt nahtlos und ohne lästige Passphrase-Abfrage. Ihr Workflow ist damit nicht nur komfortabler, sondern bleibt auch sicher.
Setzen Sie Ihren SSH-Key in der Praxis ein
Ein sicheres Schlüsselpaar zu haben, ist die eine Sache. Die wahre Magie eines Windows SSH Key entfaltet sich aber erst im täglichen Einsatz. Theorie ist gut und schön, doch jetzt geht es ans Eingemachte. Wir schauen uns die zwei wohl häufigsten Szenarien an, in denen Sie Ihren neuen Schlüssel sofort einsetzen können: beim Zugriff auf einen Linux-Server und bei der Arbeit mit Git.
Wer diese beiden Anwendungsfälle meistert, hat schon einen Großteil der typischen Aufgaben von Admins und Entwicklern abgedeckt und kann die Vorteile der schlüsserbasierten Anmeldung voll ausspielen.
Zugriff auf einen Linux-Server einrichten
Stellen Sie sich einen typischen Fall vor: Sie verwalten einen Webserver, der irgendwo in der Cloud auf einem Linux-System läuft. Der klassische Weg wäre, sich jedes Mal mühsam mit Benutzername und Passwort einzuloggen. Das ist nicht nur nervig, sondern auch ein unnötiges Sicherheitsrisiko. Ihr SSH-Schlüssel macht den Prozess sicherer und um ein Vielfaches bequemer.
Das Prinzip dahinter ist simpel: Sie geben Ihrem Server quasi das Schloss (Ihren öffentlichen Schlüssel), für das nur Sie den passenden Schlüssel (Ihren privaten Schlüssel) besitzen.
Dafür müssen Sie den Inhalt Ihrer Public-Key-Datei – in unserem Fall id_ed25519.pub – auf dem Zielserver hinterlegen. Das geschieht in einer speziellen Datei namens authorized_keys, die im .ssh-Verzeichnis des jeweiligen Benutzerprofils auf dem Server liegt.
- Öffentlichen Schlüssel kopieren: Öffnen Sie die
.pub-Datei auf Ihrem Windows-Rechner in einem Texteditor und kopieren Sie den kompletten Inhalt in die Zwischenablage. Das ist eine einzige, lange Zeile, die mitssh-ed25519beginnt. - Auf dem Server einfügen: Verbinden Sie sich – ein letztes Mal per Passwort – mit Ihrem Linux-Server. Jetzt fügen Sie den kopierten Schlüssel in die Datei
~/.ssh/authorized_keysein. Sollte das Verzeichnis oder die Datei noch nicht existieren, legen Sie sie einfach an.
Aus der Praxis: Manuelles Kopieren ist fehleranfällig. Wenn Sie von Windows aus bereits eine Verbindung zum Server herstellen können, geht das Ganze viel eleganter mit einem einzigen PowerShell-Befehl:
type $HOME.sshid_ed25519.pub | ssh benutzer@server-adresse "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
Sobald der öffentliche Schlüssel platziert ist, probieren Sie es direkt aus. Öffnen Sie eine neue PowerShell und geben Sie ssh benutzer@server-adresse ein. Sie werden sehen: Sie sind sofort eingeloggt, ganz ohne Passwortabfrage. Falls Sie Ihren privaten Schlüssel mit einer Passphrase geschützt haben, wird stattdessen diese abgefragt – es sei denn, der ssh-agent läuft bereits im Hintergrund. Übrigens, ein sicher aufgesetzter Secure Shell Server unter Windows funktioniert nach genau demselben Prinzip.
Nahtlose Integration mit GitHub und GitLab
Für Entwickler ist Git das A und O. Plattformen wie GitHub, GitLab oder Bitbucket sind oft das Zentrum der täglichen Arbeit. Auch hier hat sich die Authentifizierung per SSH-Schlüssel als Goldstandard für einen sicheren und flüssigen Workflow etabliert.
Statt bei jedem git push oder git pull umständlich Benutzername und Passwort (oder ein Personal Access Token) eintippen zu müssen, erledigt Ihr Git-Client die Authentifizierung automatisch und sicher über Ihren Windows SSH Key.
Die Einrichtung ist zum Glück ein Kinderspiel und bei allen großen Anbietern fast identisch:
- Public Key bereithalten: Kopieren Sie wieder den Inhalt Ihrer
id_ed25519.pub-Datei. - Schlüssel im Profil hinterlegen: Loggen Sie sich bei GitHub oder GitLab ein und navigieren Sie zu den Einstellungen. Dort gibt es einen Bereich, der meistens „SSH and GPG keys“ heißt.
- Neuen Schlüssel hinzufügen: Klicken Sie auf „New SSH Key“ oder „Add Key“. Vergeben Sie einen aussagekräftigen Titel (z. B. „Mein Arbeitslaptop Windows 11“) und fügen Sie den Inhalt Ihrer
.pub-Datei in das große Textfeld ein.
Das war’s schon! Ab sofort müssen Sie nur noch darauf achten, dass Sie Ihre Repositories über die SSH-URL klonen, nicht mehr über HTTPS. Die URL hat dann das Format git@github.com:benutzername/repository.git statt https://github.com/benutzername/repository.git.
Jede Git-Aktion wird von nun an über Ihren SSH-Schlüssel authentifiziert. Das beschleunigt Ihren Workflow spürbar und macht ihn gleichzeitig ein ganzes Stück sicherer.
Sicherheit und Compliance im Unternehmenskontext
In einem professionellen Umfeld ist ein Windows SSH Key so viel mehr als nur ein technisches Hilfsmittel. Für IT-Entscheider und Sicherheitsverantwortliche ist er ein tragender Pfeiler einer widerstandsfähigen und auditierbaren Sicherheitsarchitektur. Letztendlich entscheidet Ihr Umgang mit diesen Schlüsseln, wie gut Ihre Infrastruktur gegen Angriffe gewappnet ist – und wie entspannt Sie dem nächsten Compliance-Audit entgegensehen können.
Es geht also nicht darum, ob man Prozesse für SSH-Schlüssel etabliert, sondern wie. Ein klar definierter Lebenszyklus für jeden einzelnen Schlüssel ist unverzichtbar: von der sicheren Erstellung über die kontrollierte Nutzung und Rotation bis hin zur endgültigen Außerbetriebnahme.
Die Wahl des richtigen Algorithmus: Ihre erste Verteidigungslinie
Die Basis für alles Weitere ist ein starker kryptografischer Algorithmus. Um es klar zu sagen: Veraltete Verfahren wie DSA oder RSA-Schlüssel mit nur 2048 Bit sind heute ein vermeidbares Risiko und haben in einer modernen IT-Landschaft nichts mehr zu suchen.
Die Anforderungen haben sich hier deutlich verschärft. Während schwache RSA-Varianten und DSA als überholt gelten, hat sich ED25519 als der de-facto-Standard für sichere SSH-Schlüssel etabliert. In der Windows-Welt haben Sie die Wahl zwischen Standard-RSA (2048-Bit, nicht empfohlen), stärkerem RSA (4096-Bit), ECDSA (521-Bit) und eben dem empfohlenen ED25519. Mehr Hintergründe zu den aktuellen Empfehlungen für SSH-Keys finden Sie bei vertrauenswürdigen Quellen.
Für jeden neuen Schlüssel in Ihrem Unternehmen sollte daher eine klare Vorgabe gelten:
- Algorithmus: Setzen Sie konsequent auf
ED25519. Er ist nicht nur sicherer, sondern auch performanter als die alten RSA-Giganten. - Passphrase-Pflicht: Jeder private Schlüssel wird ausnahmslos mit einer starken, einzigartigen Passphrase geschützt. Das ist Ihre Versicherung für den Fall, dass die Schlüsseldatei doch einmal in falsche Hände gerät.
Schlüsselrotation und Offboarding: Prozesse, die sitzen müssen
Ein Schlüssel sollte niemals auf ewig gültig sein. Regelmäßige Schlüsselrotation ist eine der wichtigsten Praktiken, um das Angriffsfenster so klein wie möglich zu halten. Ein einmal kompromittierter Schlüssel ohne Ablaufdatum ist eine tickende Zeitbombe – eine offene Hintertür in Ihre Systeme.
Ein SSH-Schlüssel ist eine digitale Identität. Und genau wie ein Passwort muss auch diese Identität regelmäßig erneuert werden. Ein fester Rotationszyklus, etwa alle 90 oder 180 Tage, ist nicht nur gute Praxis, sondern auch ein starkes Argument in jedem Audit.
Ganz besonders kritisch wird es beim Offboarding. Sobald ein Mitarbeiter das Unternehmen verlässt, müssen seine öffentlichen Schlüssel sofort von allen Systemen entfernt werden. Manuell ist das fehleranfällig. Der Goldstandard ist ein automatisierter Prozess, der direkt an Ihr HR-System gekoppelt ist und den Zugriff ohne Verzögerung widerruft.
SSH-Schlüssel und die Anforderungen von NIS-2 und ISO 27001
Spätestens wenn Ihr Unternehmen unter die NIS-2-Richtlinie fällt oder eine Zertifizierung nach ISO 27001 anstrebt, wird ein professionelles SSH-Key-Management zur Pflicht. Beide Regelwerke fordern lückenlos nachweisbare Zugriffskontrollen.
- ISO 27001 (Anhang A.9.4): Hier geht es um die Kontrolle des Zugriffs auf Systeme und Anwendungen. Ein dokumentierter Prozess für die Verwaltung von SSH-Schlüsseln, der klar regelt, wer worauf zugreifen darf, ist eine direkte Antwort auf diese Anforderung.
- NIS-2-Richtlinie: Betroffene Organisationen müssen angemessene technische und organisatorische Maßnahmen zur Risikosteuerung nachweisen. Der Umstieg von unsicheren Passwort-Logins auf eine robuste, schlüsselbasierte Authentifizierung ist eine solche entscheidende Maßnahme.
Für Audits ist ein zentrales Schlüsselverzeichnis absolut unerlässlich. Damit können Sie auf Knopfdruck belegen, welcher öffentliche Schlüssel auf welchem System für welchen Benutzer hinterlegt war. Wenn Sie tiefer in die Anforderungen eintauchen möchten, liefert unser Leitfaden zur NIS-2 Umsetzung in Deutschland wertvolle Einblicke.
Indem Sie diese Prozesse fest verankern, stärken Sie nicht nur Ihre technische Abwehr. Sie zeigen auch die Reife und Professionalität Ihrer IT-Organisation. Ein durchdachtes Management für jeden Windows SSH Key sendet ein klares Signal an Kunden, Partner und Auditoren: Wir nehmen Informationssicherheit ernst.
Ihre Fragen zu SSH-Schlüsseln unter Windows – kurz und bündig beantwortet
Im Umgang mit SSH-Schlüsseln unter Windows tauchen immer wieder die gleichen Fragen auf. Hier habe ich die häufigsten für Sie zusammengefasst und gebe Ihnen klare, praxisnahe Antworten, damit Sie schnell wieder ans Werk gehen können.
Darf ich denselben privaten Schlüssel auf mehreren Geräten verwenden?
Technisch ist das zwar machbar, aber aus Sicherheitssicht ist das ein absolutes No-Go. Ich kann Ihnen nur dringend davon abraten. Stellen Sie sich Ihren privaten Schlüssel wie den Haustürschlüssel für ein ganz bestimmtes Schloss vor – er gehört nur dorthin.
Der Grund ist simpel: Wird eines Ihrer Geräte kompromittiert, müssen Sie nur den darauf befindlichen Schlüssel für ungültig erklären. Hätten Sie denselben Schlüssel überall, müssten Sie den Zugang von all Ihren Geräten gleichzeitig sperren und überall neue Schlüssel verteilen. Ein Albtraum für die Administration und ein enormes Sicherheitsrisiko.
Ed25519 oder RSA – was ist der Unterschied und was soll ich nehmen?
Ganz klar: Ed25519. Dieser Algorithmus ist moderner, sicherer und performanter als der altgediente RSA. Er liefert bei einer viel kürzeren Schlüssellänge ein höheres Sicherheitsniveau und ist spürbar schneller beim Aufbau von Verbindungen.
Ein RSA-Schlüssel mit 4096 Bit ist zwar nach wie vor als sicher anzusehen, aber für jeden neuen SSH-Schlüssel, den Sie heute erstellen, sollte Ed25519 die erste Wahl sein.
Hier eine einfache Faustregel aus der Praxis: Wenn Sie die Wahl haben, greifen Sie immer zu Ed25519. Das ist die zukunftssichere und effizientere Option für Ihren Windows SSH Key.
Wo finde ich meine SSH-Schlüssel unter Windows?
Der native OpenSSH-Client, der in Windows 10 und 11 integriert ist, hat dafür einen festen Standardort. Ihre Schlüssel werden automatisch in einem versteckten Ordner innerhalb Ihres Benutzerprofils abgelegt.
Der Pfad lautet: C:UsersIhrBenutzername.ssh
Dort finden Sie Ihre Schlüsselpaare, also zum Beispiel die private id_ed25519 und die öffentliche id_ed25519.pub. Der große Vorteil: Viele Tools wie Git oder Visual Studio Code schauen standardmäßig genau in diesem Verzeichnis nach, was die Einrichtung oft zum Kinderspiel macht. Gehen Sie mit diesem Ordner aber immer extrem sorgfältig um!
Ein professionelles Management von SSH-Schlüsseln ist kein "nice-to-have", sondern ein entscheidender Baustein für eine sichere und konforme IT-Infrastruktur. Als ISO 27001-zertifizierter Partner unterstützen wir von der Deeken.Technology GmbH Unternehmen dabei, robuste und auditierbare Prozesse nach Standards wie NIS-2 zu etablieren. Wenn Sie eine umfassende Beratung wünschen, kontaktieren Sie uns einfach.
