---
url: 'https://www.corbado.com/de/blog/authentifizierungs-observability'
title: 'Warum Sie Authentifizierungs-Observability für CIAM brauchen'
description: 'Warum Observability für die Kundenauthentifizierung wichtig ist. Gehen Sie über Backend-Logs hinaus mit clientseitiger Telemetrie, Passkey-Analysen und Echtzeit-Nudging.'
lang: 'de'
author: 'Vincent Delitz'
date: '2026-06-15T13:58:47.104Z'
lastModified: '2026-06-16T06:02:13.577Z'
keywords: 'Authentifizierungs-Observability, CIAM-Observability, Passkey-Observability, Login-Erfolgsrate, Passkey-Analysen, WebAuthn-Telemetrie'
category: 'Passkeys Strategy'
---

# Warum Sie Authentifizierungs-Observability für CIAM brauchen

## 1. Einführung

Die [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) meldet eine Passkey-Erfolgsrate von 93 % –
aber bei den meisten CIAM-Teams bleibt die Akzeptanz nach der Einführung zwischen 5 % und
15 % stehen. Diese Lücke besteht, weil Backend-Logs nicht erfassen können, was auf dem
Gerät des Kunden passiert. Authentifizierungs-Observability schließt diese Lücke.

## Key Facts

- Passkey-Anmeldungen erzielen eine **Erfolgsrate von 93 %** im Vergleich zu 63 % bei
    Passwörtern und SMS-OTP, laut dem FIDO Alliance Passkey Index (2025) - Die meisten
    CIAM-Implementierungen verzeichnen nach dem Start eine Stagnation der
    Passkey-Akzeptanz zwischen **5 % und 15 %**, trotz starker Geräteunterstützung - Über
    **80 % der Passkey-Fehler passieren auf dem Gerät des Kunden**, bevor eine Anfrage den
    Backend-Server erreicht - Backend-IdP-Logs können nicht erkennen, ob ein Kunde Face ID
    abgebrochen hat, ein biometrischer Timeout vorlag oder er durch eine
    Passwort-Manager-Erweiterung blockiert wurde - Authentifizierungs-Observability
    verfolgt die **gesamte clientseitige Journey**, einschließlich Ereignissen vor der
    Eingabe einer Kennung, bevor der Kunde überhaupt seine E-Mail-Adresse tippt -
    Dynamische Geräteunterdrückung kann Support-Tickets um bis zu **60 %** für bekannte
    fehlerhafte Geräte-/OS-Kombinationen reduzieren - Kohortenbasiertes Nudging kann die
    Passkey-Registrierung von einstelligen Werten auf **47 %** für hochgradig zuverlässige
    Gerätesegmente (z. B. macOS + Safari + Apple Silicon) anheben -
    Authentifizierungs-Observability verfolgt zwei Kern-KPIs: die
    **Passkey-Aktivierungsrate** (wie viele berechtigte Kunden einen Passkey erstellen)
    und die **Passkey-Nutzungsrate** (wie viele ihn für das tägliche Login verwenden)

## 2. Wie sich CIAM-Observability von Workforce-IAM unterscheidet

Customer Identity and Access Management (CIAM) und Workforce-IAM teilen zwar das
Vokabular, aber sonst kaum etwas. Im Workforce-IAM verwaltet die IT jeden Laptop, jeden
Browser und jeden
[Sicherheitsschlüssel](https://www.corbado.com/de/blog/die-besten-fido2-hardware-sicherheitsschluessel-2025).
Wenn Passkeys ausfallen, ist die Umgebung bekannt. Im CIAM nutzen Kunden nicht verwaltete
Geräte – günstige [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Telefone, fünf Jahre
alte iPads, gemeinsam genutzte PCs mit mehreren Passwort-Manager-Erweiterungen – und die
clientseitige Umgebung ist unvorhersehbar.

### 2.1 Anonyme Nutzer und das Problem der "Pre-Identifier Blindness"

Im Workforce-IAM existiert jeder Nutzer in Active Directory, bevor er sich anmeldet. Im
CIAM ist ein Kunde unsichtbar, bis er seine E-Mail-Adresse eingibt. Wenn er vorher
abspringt – weil ihn eine Passkey-Aufforderung verwirrt hat oder ein
Passwort-Manager-Overlay das Autofill blockiert hat –, zeichnet Ihr Backend nichts auf.
Diese sogenannte Pre-Identifier Blindness ist die größte Sichtbarkeitslücke bei der
Kundenauthentifizierung und der Punkt, an dem der meiste Umsatz verloren geht.

**Beispiel:** Eine [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce)-Plattform hatte eine
Absprungrate von 15 % auf ihrer Login-Seite, jedoch keine Backend-Fehler. Die
clientseitige Observability deckte auf, dass die
[1Password](https://www.corbado.com/blog/1password-passkeys-best-practices-analysis)-Erweiterung das native
Passkey-Autofill überlagerte. Die Kunden sahen eine unübersichtliche Benutzeroberfläche
und verließen die Seite. Kein Server-Log hatte dies jemals erfasst.

### 2.2 Welche Metriken für die Kundenauthentifizierung wichtig sind

![Login-Methoden Vergleichs-Dashboard](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/login_methods_comparison_dashboard_a38e552f34.png)

Authentifizierungs-Observability für CIAM passt klassische "Golden Signals" aus dem
SRE-Bereich in login-spezifische KPIs an. Die wichtigsten, die in einem Dashboard für
Passkey-Analysen verfolgt werden sollten:

- **Login-Erfolgsrate (LSR):** Prozentsatz der Anmeldeversuche, die ohne Fehler
  abgeschlossen werden. Wenn diese über Nacht von 91 % auf 85 % sinkt, ist etwas kaputt.
- **Authentifizierungs-Abbruchrate:** Prozentsatz der Kunden, die den Login-Ablauf
  starten, ihn aber nie abschließen. Dies wird an jedem Entscheidungspunkt verfolgt – vom
  Landen auf der Seite bis zum Abschluss der biometrischen Verifizierung.
- **Passkey-Aktivierungsrate (Append Rate):** Von allen Kunden, deren Geräte Passkeys
  unterstützen, wie viele haben
  [einen erstellt, als sie dazu aufgefordert wurden](https://www.corbado.com/blog/passkey-analytics)?
  Ziel: Über 60 % der berechtigten Nutzer innerhalb des ersten Jahres.
- **Passkey-Nutzungsrate (Login Rate):** Wie viele aller Anmeldeversuche nutzen Passkeys?
  Ziel: Über 40 % der Logins. Dies wird im Vergleich zu
  [Raten älterer Fallback-Methoden](https://www.corbado.com/blog/passkey-day-2-problems)
  verfolgt, um den tatsächlichen Fortschritt der Akzeptanz zu messen.
- **Passwort-Reset-Volumen:** Ein Anstieg bedeutet, dass Kunden sich nicht einloggen
  können – ein starker Frühindikator für Abwanderung (Churn) und steigende
  [Supportkosten](https://www.corbado.com/blog/passkey-adoption-business-case).

Im Workforce-IAM erzeugt ein fehlgeschlagenes Login ein Helpdesk-Ticket. Im CIAM erzeugt
es Abwanderung und nur möglicherweise ein Helpdesk-Ticket. Die
[Authentifizierung](https://www.corbado.com/de/blog/komplexe-passwoerter-bald-geknackt) ist das Tor zu jeder
wertvollen Kundenaktion – Kasse, Abonnementverlängerung, Dashboard-Zugriff. Ein
SaaS-Abo-Unternehmen stellte fest, dass Kunden mit zwei oder mehr fehlgeschlagenen Logins
pro Monat mit dreimal so hoher Wahrscheinlichkeit abwanderten wie üblich. Observability
machte diesen Zusammenhang sichtbar.

## 3. Warum Backend-Logs und generische Analysen bei Passkeys scheitern

Die meisten CIAM-Teams verlassen sich auf IdP-Logs und Tools wie
[GA4](https://www.corbado.com/blog/tracking-logins-google-analytics-ga4) oder Mixpanel. Bei passwortbasierten
Logins war das ausreichend. Bei Passkeys ist es das nicht – denn der kritische Moment hat
sich vom Server auf das Gerät des Kunden verlagert.

### 3.1 Die clientseitige "Black Box"

Bei Passwörtern ist der Ablauf unkompliziert: Der Kunde sendet Anmeldedaten, der Server
prüft sie, der Server protokolliert das Ergebnis. Bei Passkeys öffnet der Browser einen
nativen OS-Dialog – iCloud-Schlüsselbund, Google
[Passwortmanager](https://www.corbado.com/de/faq/login-zweites-geraet-geraetegebundener-passkey),
[Windows Hello](https://www.corbado.com/glossary/windows-hello) oder eine Erweiterung von Drittanbietern. Wenn
eine biometrische Abfrage ein Timeout hat, der falsche Credential Manager übernimmt oder
der Kunde abbricht – all das passiert, bevor eine Anfrage den Server erreicht.

**Beispiel:** Eine [Banking](https://www.corbado.com/de/blog/finom-passkeys-banking)-App verzeichnete nach einem
[iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)-Update einen Rückgang der Passkey-Versuche um 30
%. Die Backend-Logs zeigten weniger Anfragen, aber null Fehler. Die clientseitige
Observability fand die Ursache:
[iOS 18](https://www.corbado.com/blog/ios-18-passkeys-automatic-passkey-upgrades).2 hatte die Darstellung des
Autofill-Dropdowns in [Safari](https://www.corbado.com/de/blog/digital-credentials-api) geändert, und die Kunden
haben die Passkey-Option einfach übersehen.

Das folgende Diagramm veranschaulicht, wo die Sichtbarkeit für die jeweilige
Authentifizierungsmethode endet:

### 3.2 Generische Analysen übersehen passkeyspezifische Daten

Selbst Tools, die benutzerdefinierte Ereignisse akzeptieren (GA4 Custom Dimensions,
Mixpanel Custom Properties), stoßen bei Passkey-Daten an strukturelle Grenzen. Die
Passkey-Leistung hängt von der genauen Kombination aus OS-Version + Browser-Version +
Credential Manager + Hardware-[Authenticator](https://www.corbado.com/glossary/authenticator) ab – Tausende
einzigartiger Kombinationen. [GA4](https://www.corbado.com/blog/tracking-logins-google-analytics-ga4) markiert
Custom Dimensions mit mehr als 500 eindeutigen Werten als hochkardinal, fasst
überschüssige Werte in einem "(other)"-Bucket zusammen oder löst Sampling aus – was den
Long Tail der Geräte-/Browser-/Credential-Manager-Kombinationen, die für das Debugging von
Passkeys am wichtigsten sind, effektiv verbirgt. Mixpanel rechnet nach Ereignisvolumen ab
und bietet kein natives WebAuthn-Ereignisschema.

Zudem übersehen sie Signale, die nur bei Passkeys auftreten: Wird die Anmeldeinformation
über iCloud synchronisiert oder ist sie an das Gerät gebunden (Device-bound)? Versucht der
Kunde eine [geräteübergreifende Authentifizierung](https://www.corbado.com/de/glossary/cda) per QR-Code? Wurde
[Conditional UI](https://www.corbado.com/glossary/conditional-ui) im Hintergrund ausgelöst? Dies sind native
Browser-API-Zustände, die eine speziell entwickelte Instrumentierung zur Erfassung
erfordern.

## 4. Was Authentifizierungs-Observability tatsächlich verfolgt

Authentifizierungs-Observability ist nicht einfach nur "mehr Logging". Der wahre Wert
liegt im Kontext, den sie liefert – durch das [Zurückverfolgen und Rückrechnen](https://www.corbado.com/pricing)
der gesamten Customer Journey ausgehend vom Ergebnis, selbst bei Ereignissen, die
stattfanden, bevor der Kunde seine E-Mail-Adresse eingegeben hat.

### 4.1 Zeremonie-Phasen von Anfang bis Ende

Ein speziell entwickeltes clientseitiges SDK verfolgt den
[gesamten Passkey-Lebenszyklus](https://www.corbado.com/blog/passkey-analytics) als
strukturierte
[Ereignistaxonomie](https://www.corbado.com/blog/hardware-passkey-adoption-observability):

![Trichteranalyse Diagramm](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/funnel_analysis_diagram_817efe52e9.png)

- **Wie der Kunde begonnen hat:** [Conditional UI](https://www.corbado.com/glossary/conditional-ui) Autofill, ein
  dedizierter "Mit Passkey anmelden"-Button oder manuelle E-Mail-Eingabe
- **Geräteprüfung:** Ein stiller
  [Funktionstest](https://developer.chrome.com/blog/passkeys-client-capabilities)
  ermittelt, ob das Gerät Passkeys unterstützt, bevor eine Benutzeroberfläche angezeigt
  wird
- **Wahl des Authenticators:** Synchronisierter Passkey aus dem Manager des Telefons oder
  ein externer Hardware-Schlüssel über NFC, USB oder Bluetooth
- **Biometrischer Schritt:** [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Fingerabdruck oder PIN –
  und war es erfolgreich, gab es ein Timeout oder wurde es abgebrochen?
- **Endergebnis:** Ein spezifischer
  [WebAuthn-Fehlercode](https://www.corbado.com/blog/webauthn-errors), der erklärt, was
  fehlgeschlagen ist – nicht nur "Erfolg" oder "Fehler"

**Beispiel:** Eine [Einzelhandels](https://www.corbado.com/passkeys-for-e-commerce)-App verfolgte diese Phasen
und stellte fest, dass 22 % der
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Passkey-Versuche bei der "Wahl des
Authenticators" fehlschlugen. Fehlerursache: [Samsung](https://www.corbado.com/blog/samsung-passkeys) Pass war
auf bestimmten Galaxy-Geräten der standardmäßige Credential Manager und unterstützte die
von der App benötigten WebAuthn-Erweiterungen nicht. Der Google
[Passwortmanager](https://www.corbado.com/de/faq/login-zweites-geraet-geraetegebundener-passkey) hätte
funktioniert, aber die OS-Oberfläche von [Samsung](https://www.corbado.com/blog/samsung-passkeys) leitete
Anfragen zuerst an [Samsung](https://www.corbado.com/blog/samsung-passkeys) Pass weiter.

Das folgende Diagramm zeigt diese Zeremonie-Phasen als Trichter mit den typischen
Fehlerpunkten bei jedem Schritt:

### 4.2 WebAuthn-Fehlercodes für Geschäftsentscheidungen interpretieren

Wenn eine Zeremonie fehlschlägt, gibt der Browser einen spezifischen
[Fehlercode](https://www.corbado.com/blog/webauthn-errors) zurück. Die geschäftliche
Interpretation ist dabei wichtiger als die technische Definition:

| **Fehler**            | **Was passiert ist**                                            | **Was zu tun ist**                                                                                                        |
| --------------------- | --------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------- |
| **NotAllowedError**   | Kunde hat abgebrochen oder es gab ein Timeout.                  | Am häufigsten. Wenn die Rate ansteigt, verschiedene Pre-Prompt-Nachrichten testen. Reibungsfreien Fallback sicherstellen. |
| **NotSupportedError** | Gerät unterstützt keine Passkeys.                               | Passkey-UI für diesen Gerätetyp unterdrücken. Standardmäßig auf Passwort oder OTP zurückgreifen.                          |
| **SecurityError**     | HTTPS- oder Domain-Konfigurationsproblem.                       | TLS-Zertifikate und Relying Party ID-Einstellungen sofort überprüfen.                                                     |
| **UnknownError**      | Credential Manager ist abgestürzt oder Erweiterung hat gestört. | Prüfen, ob eine spezifische Erweiterung (Bitwarden, LastPass) das Problem verursacht.                                     |
| **AbortError**        | Das Timeout Ihrer App hat die Anfrage beendet.                  | Timeout verlängern – einige biometrische Antworten benötigen mehr Zeit.                                                   |

**Beispiel:** Ein [Reisebuchungsportal](https://www.corbado.com/passkeys-for-travel) verzeichnete einen Anstieg
von UnknownError auf 8 % bei [Firefox](https://www.corbado.com/de/blog/digital-credentials-api)-Nutzern. 92 %
dieser Fehler stammten von Kunden, bei denen die
[Bitwarden](https://www.corbado.com/blog/passkey-analysis-bitwarden-developer-survey-2024)-Erweiterung aktiv war
– sie fing den WebAuthn-Aufruf ab und schlug stillschweigend fehl. Lösung:
[Bitwarden](https://www.corbado.com/blog/passkey-analysis-bitwarden-developer-survey-2024) erkennen und die
Passkey-Aufforderung überspringen, bis der Bug in der Erweiterung behoben war.

Die [WebAuthn-Spezifikation](https://www.w3.org/TR/webauthn-3/) entwickelt sich weiter.
[Vorgeschlagene neue Fehlercodes](<https://github.com/w3c/webauthn/wiki/Explainer:-New-Error-Codes-(2024-Edition)>)
wie UserCancellationError (bewusster Abbruch vs. Timeout) und HybridPrerequisitesError
(Bluetooth nicht verfügbar für geräteübergreifende Anmeldung) werden mehr Granularität
bieten, sobald Browser sie übernehmen.

## 5. Warum sich Kunden nicht für Passkeys anmelden (und wie man es herausfindet)

Das schwierigste Problem besteht nicht darin, zu debuggen, warum eine Passkey-Zeremonie
fehlgeschlagen ist. Es geht vielmehr darum, die Frage zu beantworten, die jeder
Produktmanager stellt:
[Warum melden sich Kunden gar nicht erst für Passkeys an](https://www.corbado.com/pricing)? Das ist das Problem
vor der Registrierung, und Backend-Logs sind hierbei völlig blind.

### 5.1 Das Zurückverfolgen der Journey, bevor der Kunde eine Kennung angibt

Ein gutes Observability-System erfasst Daten, auch wenn der Kunde nichts mit Passkeys
macht. Wenn jemand auf der Login-Seite landet, prüft das SDK stillschweigend: Unterstützt
dieses Gerät Passkeys? Ist
[Conditional UI verfügbar](https://developer.chrome.com/blog/passkeys-client-capabilities)?
Ist ein Plattform-[Authenticator](https://www.corbado.com/glossary/authenticator) vorhanden?

![Passkey Client-Fähigkeiten](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/client_capabilities_ce51dce167.png)

Wenn das Gerät passkey-fähig ist, der Kunde aber stattdessen auf "Mit Passwort anmelden"
klickt, protokolliert das System ein Abbruchereignis vor der Registrierung. Über Tausende
von Sitzungen hinweg [offenbaren diese Muster](https://www.corbado.com/pricing) – ob der Abbruch durch verdeckte
Eingabeaufforderungen, mangelnde Aufklärung über Passkeys oder durch
[Passwort-Manager-Overlays](https://www.passkeycentral.org/news-and-events/passkey-upgrades-and-improvements)
verursacht wird, die Formularfelder abfangen.

**Beispiel:** Ein [Gesundheitsportal](https://www.corbado.com/passkeys-for-healthcare) stellte fest, dass 70 %
der Mac-Nutzer die Passkey-Option ignorierten. Die Observability zeigte, dass die
Passkey-Aufforderung "below the fold" (im nicht sichtbaren Bereich ohne Scrollen)
erschien. Die meisten Kunden haben nie nach unten gescrollt. Das Verschieben der
Aufforderung über das Passwortfeld verdoppelte die Registrierungen.

### 5.2 Conditional UI: der unsichtbare Fehlerpunkt

[Conditional UI](https://www.corbado.com/glossary/conditional-ui) ermöglicht es, dass Passkeys im
Autofill-Dropdown des Browsers neben gespeicherten Passwörtern angezeigt werden. Dies
läuft stillschweigend im Hintergrund ab. Ihr Backend erfährt nie, dass es ausgelöst wurde,
es sei denn, der Kunde wählt tatsächlich einen Passkey aus.

Passkey-Observability verfolgt, ob Conditional UI aufgerufen wurde. Wenn es auf Tausenden
von Geräten ausgelöst wird, aber fast niemand den Passkey auswählt, ist das Problem die
Benutzeroberfläche – nicht die Kryptografie. Möglicherweise wird das Autofill-Dropdown
falsch gerendert, oder benutzerdefiniertes CSS unterdrückt das native Verhalten des
Browsers.

**Beispiel:** Ein Medien-Streaming-Dienst stellte fest, dass Conditional UI auf 94 % der
fähigen Geräte korrekt ausgelöst wurde, die Auswahlrate jedoch nur bei 3 % lag. Das
Login-Formular verwendete ein benutzerdefiniertes Eingabefeld, das das native
Autofill-Dropdown unterdrückte. Der Wechsel zu einer Standardeingabe erhöhte die Auswahl
auf 31 %.

## 6. Von Daten zur Aktion: Fehlerhafte Geräte unterdrücken und die besten anstupsen (Nudging)

Das Sammeln von Observability-Daten ist nur dann von Bedeutung, wenn Sie auch danach
handeln. Das System sollte eine Regel-Engine speisen, die in Echtzeit ändert, was die
Kunden sehen.

### 6.1 Systemische Fehler im Gegensatz zu zufälligen Abbrüchen erkennen

![Technologie-Aufschlüsselung](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/technology_breakdown_aa7a88ecdc.png)

Nicht jeder Passkey-Fehler ist ein Bug. Wenn ein Kunde bei einer Face-ID-Aufforderung auf
"Abbrechen" tippt, ist das normal. Wenn sich Fehler jedoch
[um eine bestimmte Kombination aus Gerät/OS/Browser häufen](https://www.corbado.com/blog/hardware-passkey-adoption-observability),
ist das systemisch.

**Beispiel:** Globale Passkey-Erfolgsrate: 92 %. Samsung Galaxy A14 auf One UI 6.0 mit
[Chrome](https://www.corbado.com/de/blog/digital-credentials-api): 15 %. Das ist kein Benutzerfehler – es ist
eine
[fehlerhafte Credential-Manager-Implementierung](https://dev.to/corbado/passkey-day-2-problems-5-risks-in-production-deployments-2hcl).
Observability deckt dies in Stunden statt in Wochen auf.

### 6.2 Fehlerhafte Umgebungen automatisch unterdrücken

Kunden geben Ihrer App die Schuld, wenn das Login fehlschlägt – nicht ihrem
Telefonhersteller. Sobald Observability eine Geräte-/OS-Kombination identifiziert, bei der
Passkeys zuverlässig ausfallen, unterdrückt ein
["Kill-Switch"](https://www.corbado.com/passkeys-for-banking) die Passkey-Aufforderung und
leitet den Kunden zu einem verlässlichen Fallback – Magic Link, TOTP oder Passwort –,
bevor er ein fehlerhaftes Modal zu sehen bekommt.

**Beispiel:** Eine Ride-Sharing-App identifizierte drei günstige
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Modelle mit einer kombinierten
[Passkey-Fehlerquote](https://www.corbado.com/blog/passkey-day-2-problems) von 82 %.
Nachdem Passkeys für diese Geräte unterdrückt wurden, sanken die Support-Tickets aus den
betroffenen Regionen innerhalb einer Woche um 60 %.

### 6.3 Kohorten mit hoher Zuverlässigkeit "anstupsen" (Nudging)

Andererseits, wenn die Observability zeigt, dass macOS +
[Safari](https://www.corbado.com/de/blog/digital-credentials-api) + Apple Silicon-Nutzer zu 98 % erfolgreich
sind, ist diese Kohorte sicher für ein [bestimmtes Nudging](https://www.corbado.com/) –
das automatische Aufrufen des Passkey-Modals, die Anzeige von "Ihr iCloud-Schlüsselbund
ist bereit, Ihr Konto zu sichern" oder das Festlegen des Passkeys als Standard, während
das Passwort hinter "Weitere Optionen" verborgen wird.

**Beispiel:** Ein [Online-Marktplatz](https://www.corbado.com/passkeys-for-e-commerce)
[nutzte Nudging für hochgradig zuverlässige Kohorten](https://www.corbado.com/pricing) mit einem automatisch
ausgelösten Registrierungs-Modal nach einem Passwort-Login.
macOS/[Safari](https://www.corbado.com/de/blog/digital-credentials-api)-Nutzer registrierten sich zu 47 %. Alle
anderen Kohorten (weniger aggressives Nudging): 11 %.

Der folgende Entscheidungsbaum fasst die von Observability-Daten gesteuerte
Unterdrücken-oder-Nudgen-Logik zusammen:

## 7. Aktivierungsrate und Nutzungsrate steigern

Authentifizierungs-Observability dient zwei KPIs: der
[Aktivierungsrate](https://www.corbado.com/blog/passkey-analytics) (erstellen Kunden
Passkeys?) und der Nutzungsrate (nutzen sie diese regelmäßig?).

### 7.1 Steigerung der Aktivierungsrate

Die Aktivierungsrate misst den Prozentsatz der berechtigten Kunden, die einen Passkey
erstellt haben. Standardanalysen können dies nicht berechnen, da sie nicht wissen, welche
Geräte Passkeys unterstützen. Observability löst dies mit einer
[kontinuierlichen Prüfung der Gerätefähigkeiten](https://www.corbado.com/blog/passkey-analytics).

- **Aufforderungen nach einem Frustrationsmoment (After-Pain Prompts):** Wenn sich ein
  Kunde gerade durch einen Passwort-Reset gequält hat, zeigen Sie sofort eine
  Passkey-Erstellungsaufforderung an. Der Frust ist frisch – die Akzeptanzraten sind in
  diesem Moment am höchsten.
- **Hartnäckige Aufforderungen (Persistent Prompting):**
  [Analysen zeigen](https://www.corbado.com/blog/passkey-analytics), dass selbst die
  dritte oder vierte Aufforderung noch im zweistelligen Bereich konvertiert, solange sie
  nicht blockierend ist.

**Beispiel:** Eine [Banking-App](https://www.corbado.com/passkeys-for-banking) forderte nach jedem
Passwort-Reset-Ablauf zur Erstellung eines Passkeys auf. 34 % der Kunden erstellten direkt
nach dem Zurücksetzen einen Passkey, im Vergleich zu 8 %, wenn sie während eines normalen
Logins dazu aufgefordert wurden.

### 7.2 Steigerung der Nutzungsrate

Ein Kunde könnte einen [Passkey erstellen](https://www.corbado.com/de/blog/passkey-erstellung-optimieren), aber
aus Gewohnheit weiterhin sein Passwort eintippen. Die Nutzungsrate verfolgt, wie oft
Passkeys im Verhältnis zu allen Logins verwendet werden.

- **Bessere UX bei der Initiierung:** Wenn Telemetriedaten zeigen, dass Kunden mit aktiven
  Passkeys immer noch Benutzernamen eintippen, versagt das Autofill. Ein prominenter
  ["One-Tap"-Button](https://docs.corbado.com/corbado-connect/features/one-tap-login), der
  vor dem Textfeld platziert wird, fängt veraltetes Verhalten ab.
- **Fehlerbehebung bei der geräteübergreifenden Anmeldung:** Beim Login auf einem
  Windows-Laptop mit einem iPhone-Passkey scannen die Kunden einen QR-Code und nutzen
  Bluetooth. Wenn die
  [Abschlussrate bei Cross-Device Authentication (CDA) sinkt](https://www.corbado.com/blog/passkey-day-2-problems)
  (z. B. auf 42 %), retten klare Anweisungen wie "Bluetooth aktivieren" und "Kamera
  hierhin richten" viele Versuche.

**Beispiel:** Ein [Versicherungsportal](https://www.corbado.com/passkeys-for-insurance) stellte fest, dass 60 %
der registrierten Kunden immer noch Passwörter verwendeten. Das Passkey-Autofill wurde
unter dem Passwortfeld gerendert. Das Verschieben darüber und das Hinzufügen eines "Mit
[Face ID](https://www.corbado.com/faq/is-face-id-passkey) anmelden"-Buttons steigerte die Passkey-Nutzung
innerhalb von zwei Monaten von 40 % auf 73 %.

## 8. Tag-2-Albträume: Native Apps und stille Plattform-Änderungen

Das Einrichten von Passkeys ist der einfache Teil. Sie über das Chaos an Kundengeräten
hinweg funktionsfähig zu halten, ist der Punkt, an dem
[Observability unerlässlich wird](https://www.corbado.com/blog/passkey-day-2-problems).

### 8.1 Komplexität nativer Apps

Passkeys in einem Browser sind unkompliziert. In nativen
[iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)- und Android-Apps verdreifacht sich die QA-Fläche.
Entwickler wählen zwischen nativen APIs (AuthenticationServices unter
[iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios), Credential Manager unter Android) oder
eingebetteten WebViews. Jeder Weg
[scheitert auf unterschiedliche Weise](https://dev.to/corbado/passkey-day-2-problems-5-risks-in-production-deployments-2hcl).

**Beispiel:** Die iOS-Implementierung einer Essensliefer-App funktionierte einwandfrei,
aber ihre Android-App nutzte einen eingebetteten [WebView](https://www.corbado.com/blog/native-app-passkeys), der
Passkey-Anfragen auf Android 13 stillschweigend verwarf. Ohne
[nativ-spezifische Telemetrie](https://www.corbado.com/blog/hardware-passkey-adoption-observability)
verbrachte das Team drei Wochen damit, ein serverseitiges Problem als Ursache zu vermuten.

### 8.2 Stille OS-Updates

Apple, Google und Microsoft veröffentlichen ständig Updates. Die meisten verbessern die
Passkey-Unterstützung, aber einige führen
[stille Regressionen](https://www.corbado.com/blog/passkey-day-2-problems) ein, die
bestehende Logik ohne Vorwarnung stören.

**Beispiel:** [iOS 18](https://www.corbado.com/blog/ios-18-passkeys-automatic-passkey-upgrades).1 änderte, wie
Safari
[Gerätefunktionen](https://www.corbado.com/blog/hardware-passkey-adoption-observability)
an [Chrome](https://www.corbado.com/de/blog/digital-credentials-api) auf dem Mac meldete.
[Chrome](https://www.corbado.com/de/blog/digital-credentials-api) begann fälschlicherweise zu melden, dass "kein
Plattform-[Authenticator](https://www.corbado.com/glossary/authenticator) verfügbar" sei, und verbarg die
Passkey-Option komplett. Backend-Logs zeigten weniger Versuche, aber keine Fehler. Die
clientseitige Observability markierte die genaue OS- und Browser-Kombination innerhalb von
Stunden.

## 9. Build vs. Buy für CIAM-Teams

Sobald Sie den Bedarf an clientseitiger Telemetrie erkennen, stellt sich die Frage: selbst
bauen oder [eine spezialisierte Lösung kaufen](https://www.corbado.com/pricing)?

### 9.1 Die versteckten Kosten einer internen Entwicklung

Der DIY-Weg klingt einfach: Wrappen Sie WebAuthn-Aufrufe in JavaScript und leiten Sie
Ereignisse in Ihren Logging-Stack. In der Praxis können generische Tools
[nicht mit der hohen Kardinalität umgehen](https://www.corbado.com/blog/passkey-analytics).
Ihr Team muss die Ereignistaxonomie pflegen, während sich das Ökosystem weiterentwickelt –
[das Recherchieren neuer Fehlercodes](https://www.corbado.com/pricing) und das Aktualisieren von Parsern nach
jedem OS-Release gehören dazu. Wenn etwas kaputt geht, erfordert die Fehlerbehebung
Code-Deployments statt einer bloßen Konfigurationsänderung.

**Beispiel:** Ein Einzelhändler verbrachte sechs Monate damit, eine interne
Passkey-Telemetrie aufzubauen. Als macOS 15.2 ihre Fähigkeitserkennung unbrauchbar machte,
dauerte es zwei Wochen, bis der Fix veröffentlicht wurde – ein vollständiger
Frontend-Deployment-Zyklus. Die Lösung eines Anbieters hätte serverseitig innerhalb von
Stunden aktualisiert werden können.

### 9.2 Was eine Anbieter-Lösung bietet

Ein spezialisierter Anbieter aggregiert Daten über Tausende von Consumer-Apps hinweg. Wenn
ein Chrome-Update die Erstellung von Passkeys für eine bestimmte Android-Version
beeinträchtigt, erkennt der Anbieter dies global und leitet die aktualisierte
Fehlerklassifizierung an alle Kunden weiter – noch bevor Ihre Kunden davon betroffen sind.

| **Fähigkeit**         | **In-House**                                                  | **Anbieter-Lösung**                                                                                            |
| --------------------- | ------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------- |
| **Sichtbarkeit**      | Nur Backend-Logs; clientseitig abgeschnitten.                 | Vollständiges clientseitiges WebAuthn-Tracking über den gesamten Trichter hinweg.                              |
| **Fehlerbehandlung**  | Manuelle Log-Korrelation; neue Codes werden reaktiv entdeckt. | Automatisch aktualisierte Taxonomie aus globalen Daten; Klartext-Fehlerursachen.                               |
| **Adoption-Tools**    | UX-Rätselraten und A/B-Tests.                                 | Kohorten-Nudging basierend auf den weltgrößten Passkey-Datensätzen.                                            |
| **Wartung**           | Jedes OS-Update erfordert Parser-Änderungen.                  | Der Anbieter pflegt alle Zuweisungen für OS- und Browser-Eigenheiten.                                          |
| **Incident Response** | Code-Rollbacks.                                               | Sofortige [Kill-Switches](https://www.corbado.com/passkeys-for-banking) und Fallbacks auf Konfigurationsebene. |

Anbieter-Plattformen ermöglichen es Ihnen auch, sich zu vergleichen: Die
[FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) meldet eine Basis-Erfolgsrate von 93 %. Wenn Ihre
bei 75 % liegt, zeigt Ihnen die Plattform genau, wo und warum Sie unterdurchschnittlich
abschneiden.

## 10. Wie Corbado Authentifizierungs-Observability für CIAM liefert

[Corbado](https://www.corbado.com/) bietet eine schlüsselfertige Ebene für
Passkey-Observability und -Akzeptanz. Sie lässt sich in bestehende Identity-Stacks
integrieren – Okta, [Auth0](https://www.corbado.com/blog/auth0-passkeys-analysis), Ory, benutzerdefinierte IdPs
–, ohne etwas zu ersetzen. Das Front-End-SDK löst asynchron JavaScript-Ereignisse an
bestimmten Punkten in der Login-Journey aus – bei der
[Passkey-Erstellung](https://www.corbado.com/de/blog/passkey-erstellung-optimieren), dem Aufruf der Conditional
UI, der biometrischen Verifizierung, bei Fehlerzuständen. Es berührt niemals Passwörter,
private Schlüssel oder PII und erfüllt damit die strengsten
[Datenschutzanforderungen](https://www.corbado.com/features).

Was die Plattform bietet:

- **Trichteranalyse:** Zeigt, wo Kunden abspringen – vor der Eingabe einer E-Mail, nach
  Anzeige der Passkey-Aufforderung, während der biometrischen Verifizierung –
  [segmentiert nach OS, Browser und Credential Manager](https://www.corbado.com/blog/passkey-analytics).
- **Klartext-Diagnose:** Übersetzt WebAuthn-Fehlercodes in verständliche Erklärungen
  ("[Bitwarden](https://www.corbado.com/blog/passkey-analysis-bitwarden-developer-survey-2024)-Erweiterung hat
  die Passkey-Anfrage abgefangen") und trennt einmalige Abbrüche von systemischen Fehlern.
- **Datenbank für bereichsübergreifende Fehler:** Wenn ein Fehler in anderen
  Implementierungen auftritt (z. B. eine defekte Conditional UI auf Vivo OS), markiert die
  Plattform ihn proaktiv für Ihre Umgebung – bevor Ihre Kunden darauf stoßen.
- **Volle Geräteabdeckung:** Verfolgt
  [Hardware-Sicherheitsschlüssel, NFC-Karten und native iOS-/Android-Abläufe](https://www.corbado.com/blog/hardware-passkey-adoption-observability),
  nicht nur browserbasierte Logins.
- **Sicherheit beim Rollout:** Dynamische Kill-Switches, schrittweises Kohorten-Rollout,
  A/B-Testing und
  [intelligentes Fallback-Routing](https://www.corbado.com/passkeys-for-banking).

## 11. Fazit

Die Observability der Kundenauthentifizierung ist der Unterschied zwischen einer
[Passkey-Akzeptanz](https://www.corbado.com/de/blog/warum-passkey-implementierungen-scheitern), die bei 5 %
stagniert, und einer, die die Mehrheit Ihrer Nutzer erreicht. Backend-Logs können nicht
erfassen, was auf dem Gerät des Kunden passiert – und bei Passkeys treten dort 80 % der
Fehler auf.

Durch die Implementierung einer speziell entwickelten [Observability-Ebene](https://www.corbado.com/pricing)
wechseln CIAM-Teams vom Raten zum Wissen: Warum sich Kunden nicht anmelden, welche Geräte
ausfallen und welche Kohorten für ein aggressives Rollout bereit sind.

## FAQ

### Was ist Authentifizierungs-Observability?

Authentifizierungs-Observability ist die Praxis, Telemetriedaten aus der gesamten
Kunden-Login-Reise zu sammeln und zu analysieren – einschließlich clientseitiger
Ereignisse, die stattfinden, bevor eine Anfrage das Backend erreicht. Sie geht über
herkömmliches Logging hinaus, indem sie Kontext zu Gerätefunktionen, dem Verhalten von
Credential Managern, biometrischen Interaktionen und WebAuthn-Fehlerzuständen liefert. Im
Gegensatz zum Standard-Monitoring, das Ihnen sagt, wenn etwas kaputt geht, sagt Ihnen
Observability, warum.

### Wie unterscheidet sich Authentifizierungs-Observability von standardmäßigen Login-Analysen?

Standardmäßige Login-Analysen (IdP-Logs,
[GA4](https://www.corbado.com/blog/tracking-logins-google-analytics-ga4), Mixpanel) erfassen nur serverseitige
Ergebnisse und grobe Frontend-Ereignisse wie Klicks auf Buttons.
Authentifizierungs-Observability erfasst native Browser-API-Aufrufe, Interaktionen mit
Credential Managern und Ergebnisse biometrischer Eingabeaufforderungen auf dem Gerät des
Kunden. Sie verarbeitet die hochkardinalen Daten, die Passkeys erzeugen – Tausende von
einzigartigen Kombinationen aus Betriebssystem, Browser, Credential Manager und Hardware
–, die von generischen Analyseplattformen abgeschnitten oder verworfen werden.

### Warum bleiben Passkey-Implementierungen bei geringer Akzeptanz stehen?

Die meisten Passkey-Implementierungen bleiben zwischen 5 % und 15 % Akzeptanz stehen, da
den Teams die Transparenz über clientseitige Fehler und den Abbruch vor der Registrierung
fehlt. Kunden haben möglicherweise fähige Geräte, sehen aber nie die Passkey-Aufforderung
(Probleme bei der UI-Platzierung), sind durch konkurrierende Passwort-Manager-Overlays
verwirrt oder stoßen auf stille Bugs auf Geräteebene. Ohne clientseitige Telemetrie sind
diese Probleme unsichtbar.

### Was ist Pre-Identifier Blindness im CIAM?

Pre-Identifier Blindness bezieht sich auf die Unfähigkeit von Backend-Systemen zu
erkennen, was passiert, bevor ein Kunde seine E-Mail-Adresse oder seinen Benutzernamen
eingibt. Im CIAM sind Kunden anonym, bis sie sich identifizieren. Wenn sie die Login-Seite
vor diesem Punkt verlassen – aufgrund von unklarer UI, Erweiterungskonflikten oder einer
fehlerhaften Conditional UI –, erfasst kein Backend-Log dieses Ereignis.
Authentifizierungs-Observability schließt diese Lücke mit einer clientseitigen, stillen
Funktionserkennung, die sofort beim Laden der Seite ausgeführt wird.

### Wie hilft Observability bei der Passkey-Adoption (nicht nur beim Debugging)?

Observability leistet mehr als nur die Diagnose fehlerhafter Prozesse. Sie identifiziert,
welche Kundensegmente die höchsten Passkey-Erfolgsraten aufweisen, und ermöglicht
datengesteuertes Nudging – die automatische Auslösung der Registrierung für
Geräte-Kohorten mit hoher Zuverlässigkeit. Sie zeigt auch die besten Momente für
Aufforderungen (z. B. nach einem Passwort-Reset, wenn die Frustration am größten ist) und
beweist durch Daten, dass hartnäckige, nicht blockierende Aufforderungen selbst beim
dritten oder vierten Versuch zu zweistelligen Konversionsraten führen.

### Was sind die häufigsten Passkey-Fehler in der Produktion?

Die häufigsten Fehler in produktiven CIAM-Implementierungen sind: spezifische
Geräte-/OS-Kombinationen mit fehlerhaften Credential-Manager-Implementierungen (z. B.
günstige Android-Telefone von regionalen Herstellern), Passwort-Manager-Erweiterungen von
Drittanbietern (Bitwarden, [1Password](https://www.corbado.com/blog/1password-passkeys-best-practices-analysis),
[LastPass](https://www.corbado.com/blog/lastpass-data-breach)), die WebAuthn-Aufrufe abfangen und stillschweigend
fehlschlagen, stille Regressionen bei OS-Updates, die ändern, wie Browser Gerätefunktionen
melden, und Conditional UI, das aufgrund von benutzerdefinierten Eingabefeldern oder
CSS-Konflikten nicht gerendert wird.