Die besten CIAM-Lösungen 2026: Passwordless & KI im Vergleich

Diese Seite wurde automatisch übersetzt. Lesen Sie die englische Originalversion hier.

Wichtige Fakten

Die Web-Passkey-Bereitschaft liegt 2026 bei rund 89 % der abgeschlossenen Logins, aber der Corbado Passkey Benchmark 2026 misst vier Implementierungsarten, die von einer Passkey-Login-Rate von 5 % bis zu über 60 % reichen – bei derselben Obergrenze der Bereitschaft.
Die Passkey-Adoption stagniert bei 5-10 % mit generischen CIAM-Implementierungen. Bei 500.000 MAU bleiben so 450.000 Benutzer bei Passwörtern und SMS-OTP.
Die KI-Agenten-Identität über das Model Context Protocol (MCP) ist nun eine zentrale CIAM-Anforderung: 95 % der Unternehmen nennen Identitätsbedenken im Zusammenhang mit KI-Agenten.
Passkeys senken die SMS-OTP-Kosten bei großem Maßstab um 60-90 %. Bei 500.000 MAU entspricht dies einer jährlichen Ersparnis von 50.000 bis 100.000 USD oder mehr.
Die native Entwicklung von Passkeys auf einer beliebigen CIAM-Plattform erfordert 25-30 Vollzeitäquivalente (FTE)-Monate in den Bereichen Produkt, Entwicklung und Qualitätssicherung sowie 1,5 FTE pro Jahr für die laufende Wartung.
Firebase und Supabase verfügen über keinerlei native Passkey-Unterstützung und eignen sich daher nicht für groß angelegte B2C-Bereitstellungen, die unternehmenstaugliche Passwortlose Authentifizierung oder adaptives MFA erfordern.

1. Einleitung: CIAM-Lösungen für groß angelegte B2C-Szenarien#

Customer Identity and Access Management (CIAM) hat sich von einem einfachen Login-Portal zum zentralen Nervensystem des digitalen Unternehmens entwickelt. Für groß angelegte B2C-Bereitstellungen – man denke an 500.000 monatlich aktive Benutzer (MAU) bei einer Gesamtbenutzerbasis von 2 Millionen – hat die Wahl des CIAM direkte Auswirkungen auf die Sicherheitslage, die Authentifizierungskosten und die Konversionsraten.

Kostenloses Passkey-Whitepaper für Unternehmen erhalten.

Kostenlos erhalten

Unternehmen stehen 2026 vor einem doppelten Auftrag. Erstens müssen sie Passwörter abschaffen, die weiterhin der Hauptangriffsvektor für Datenschutzverletzungen und Kontoübernahmen sind. Zweitens müssen sie nicht-menschliche Entitäten authentifizieren – insbesondere KI-Agenten, die über Protokolle wie das Model Context Protocol (MCP) agieren.

Dieser Bericht bewertet die führenden CIAM-Lösungen für groß angelegte B2C-Szenarien im Jahr 2026 – Auth0, Clerk, Descope, Ory, Ping Identity, IBM Verify, Stytch, Zitadel, Amazon Cognito, FusionAuth, Firebase und Supabase – mit groben Preisschätzungen bei 500.000 MAU. Er erklärt auch, wie Corbado die allgegenwärtige Herausforderung der Passkey-Adoption auf jeder CIAM-Plattform löst.

Aktuelle Artikel

2. Makro-Trends, die den CIAM-Markt 2026 bestimmen#

2.1 Der Passwordless-Imperativ und der Adoptions-Trugschluss#

Passwörter und SMS-OTPs sind grundlegend fehlerhaft – anfällig für Phishing, Credential Stuffing und Benutzerreibung. Der WebAuthn-Standard (Passkeys) der FIDO Alliance löst dies durch Public-Key-Kryptografie und Domain-Bindung, was die Authentifizierung inhärent resistent gegen Phishing macht.

Bis 2026 sind 75 Prozent der Verbraucher mit Passkeys vertraut, und fast die Hälfte der Top-100-Websites bietet sie an. Passkeys liefern massive Verbesserungen bei Anmeldegeschwindigkeit und Erfolgsraten. Für passwortlose B2C-Bereitstellungen in großem Maßstab kann der Übergang zu Passkeys eine Senkung der SMS-Kosten um bis zu 90 % bewirken – bei 500.000 MAU entspricht dies einer jährlichen Ersparnis von Hunderttausenden von Dollar.

Der Markt sieht sich jedoch mit einem „Trugschluss der nativen Passkey-Adoption“ konfrontiert. Die meisten Identitätsanbieter bieten Passkey- / WebAuthn-APIs an, aber Unternehmen, die sie aktivieren, verzeichnen häufig eine stagnierende Akzeptanz bei 5 bis 10 Prozent. Der Corbado Passkey Benchmark 2026 – basierend auf mehr als 100 Interviews mit Authentifizierungsteams hinter groß angelegten B2C-Bereitstellungen sowie normalisierten Telemetriedaten aus Corbado-Beratungsprojekten – quantifiziert diese Lücke. Bei einer festen Web-Bereitschaftsgrenze von 89 % erzeugt eine reine Einstellungsverfügbarkeit eine Passkey-Nutzungsrate von etwa 5 %, ein einfacher Nudge nach der Anmeldung hebt sie auf etwa 23 %, und ein Passkey-First-Rückkehrablauf mit automatischer Erstellung und identitätsgesteuerter Wiederherstellung übersteigt 60 %. Die CIAM-Plattform ist selten die Variable, die diese Zahlen bewegt – es sind die Prompt-Logik, die Geräteklassifizierung und das Login-Einstiegsdesign, die darauf aufbauen.

Die Implikation für die CIAM-Evaluierung ist struktureller Natur. Die moderne Auswahl darf nicht bei „Stellt die Plattform eine WebAuthn-API bereit?“ enden; sie muss bewerten, ob die Plattform die intelligente Passkey-Adoptionsreise unterstützt, die aus einem bereiten Publikum eine Passkey-First-Benutzerbasis macht. Generische UIs, die Benutzer blind auffordern, verursachen Anmeldeabbrüche, Support-Tickets und festgefahrene Rollouts.

Sehen Sie, wie viele Menschen Passkeys tatsächlich nutzen.

Adoptionsdaten ansehen

2.2 Agentische KI und das Model Context Protocol (MCP)#

Die disruptivste Kraft im CIAM des Jahres 2026 ist die Maschinenidentität. Da KI von Chatbots zu autonomen Agenten übergeht, die Workflows ausführen und auf APIs zugreifen, bricht das traditionelle menschenzentrierte IAM zusammen. 95 % der Unternehmen äußern Identitätsbedenken in Bezug auf KI-Agenten.

Das Model Context Protocol (MCP) – ein offener Standard von Anthropic – bietet eine universelle Sprache für LLMs zur Kommunikation mit externen Daten und Tools:

MCP Host: die Umgebung, die das LLM enthält (z. B. eine KI-gestützte IDE).
MCP Client: der Kanal innerhalb des Hosts, der die Kommunikation ermöglicht.
MCP Server: der externe Dienst, der Funktionen und Daten bereitstellt.
Transport Layer: der Mechanismus, der JSON-RPC 2.0-Nachrichten verwendet.

Das aufkommende WebMCP des W3C führt eine browser-native API (navigator.modelContext) ein, damit Websites Funktionen als strukturierte Tools für KI-Agenten bereitstellen können. Im Jahr 2026 muss ein CIAM-Anbieter OAuth 2.1, Client ID Metadata Documents (CIMD) und toolbasierte Scopes unterstützen, um KI-Agenten neben menschlichen Benutzern zu verwalten.

2.3 KI im CIAM: Realität vs. Hype#

Nicht alle KI-Funktionen im CIAM liefern den gleichen Mehrwert.

Wirklich nützlich:

Risikobasierte adaptive Authentifizierung: analysiert Verhaltensbiometrie, Standort, Gerätereputation und Tageszeit, um die Anmeldereibung dynamisch anzupassen. Erzwingt MFA nur bei anomalem Verhalten.
Agentisches Identitätsmanagement: Behandlung von KI-Agenten als erstklassige Identitäten mit feingranularer Autorisierung, aufgabenbezogenen Zugangsdaten und gesicherten M2M-Kommunikationen via MCP.
KI-gestützte Betrugserkennung: maschinelles Lernen zur Identifizierung von Credential Stuffing, Bot-Netzwerken und betrügerischer Kontoerstellung am Perimeter.

Hype und „Nice-to-haves“:

KI-Coding-Assistenten für Auth-Logik: Die Verwendung von LLMs zum Schreiben sicherheitskritischer Skripte führt zu Schwachstellen, wenn sie nicht streng geprüft werden.
„AGI“-Identitätsverwaltung: Versprechen einer allgemeinen Intelligenz, die Identität ohne strukturierte Daten steuert. LLMs halluzinieren ohne kuratierten Identitätskontext – echte Sicherheit erfordert deterministische Regeln.

3. Anbieterprofile#

Die folgende Tabelle vergleicht alle evaluierten Anbieter mit einem Fokus auf groß angelegte B2C-Bereitstellungen bei 500.000 MAU (2 Millionen Benutzer insgesamt). Die Preisschätzungen sind grobe Annäherungen basierend auf öffentlich zugänglichen Daten und können bei ausgehandelten Unternehmensverträgen variieren.

2026 CIAM-Anbieterübersicht (500k MAU / 2M Benutzer)

Anbieter	Passkeys / Passwordless	Geschätzter Preis bei 500k MAU	Vorteile	Nachteile
Auth0	Passkeys in Universal Login (gehostete Seite) + API/SDK, alle Tarife, kein Adoptions-Push	15.000–30.000 $/Monat (Enterprise Custom)	Grenzenlose Erweiterbarkeit, riesiger Marktplatz, ausgereifte Plattform	Teuer im großen Maßstab, steile Lernkurve
Clerk	Dashboard-Schalter aktiviert Passkeys in vorgefertigten Komponenten	~9.000 $/Monat (Pro, 0,02$ /MRU) oder individuell	Best-in-Class DX, schnelles Deployment	React-zentriert, eingeschränktes Self-Hosting, teuer bei hoher MAU
Descope	Visuelle Drag-and-Drop-Workflows für Passkeys	Individuelle Enterprise-Preise	No-Code-Orchestrierung, starke B2C-UX	Eingeschränkte Anpassungsmöglichkeiten mit eigenem Frontend
Ping Identity	Passkeys über WebAuthn-Knoten in DaVinci-Flows + SDK-Unterstützung	35.000–50.000+ $/Jahr (Enterprise)	Starke Compliance, Hybrid-Deployment, ForgeRock-Fusion	Komplexe Einrichtung, veraltete Preisgestaltung, steile Lernkurve
IBM Verify	FIDO2/Passkey mit adaptivem MFA	Individuell (Resource Units)	Hybrid Cloud, KI-gesteuertes ITDR	Komplexe Preisgestaltung, veraltetes Admin-UI, aufwändige Einrichtung
Ory	Einfache Passkey-Strategie verfügbar	~10.000 $/Jahr (Growth) + individuell	Open Source, modular, granulares RBAC/ABAC	Erfordert benutzerdefiniertes UI, hoher Entwicklungsaufwand
Stytch	Passkeys über WebAuthn-API/SDK, erfordert zuerst verifizierten primären Faktor	~4.900 $/Monat (B2C Essentials) oder individuell	Starke Betrugsprävention, Web Bot Auth für KI-Agenten	Erfordert Entwicklungsaufwand, B2B-Plan im großen Maßstab teuer
Zitadel	Integrierte Passkeys	Individuelle Enterprise-Preise	Open Source	Kleineres Ökosystem
Amazon Cognito	Native Passkeys in Managed Login v2 (Essentials-Tarif+), API-Support	~7.000–10.000 $/Monat (Essentials/Plus)	Massive AWS-Skalierbarkeit, niedriger Grundpreis	Hoher Entwicklungsaufwand, eingeschränktes UI, versteckte Wartungskosten
FusionAuth	Natives WebAuthn in gehosteten Anmeldeseiten + API für benutzerdefinierte Flows	~3.300–5.000 $/Monat (Enterprise)	Vollständiges Self-Hosting, kein Vendor-Lock-in	Erfordert dedizierte Ops, kleinere Community
Firebase Auth	Keine native Passkey-Unterstützung	~2.100 $/Monat (Identity Platform)	Schnelle Einrichtung, großzügiger kostenloser Tarif, Google Cloud-Integration	Keine Passkeys
Supabase Auth	Keine native Passkey-Unterstützung	~599 $/Monat (Team-Plan)	PostgreSQL-nativ, Open Source, schnelle DX	Keine Passkeys

3.1 Auth0 (Okta Customer Identity Cloud)#

Auth0 ist der dominierende Platzhirsch. Seine Kernstärke ist die Erweiterbarkeit: Mit Auth0 Actions können Architekten benutzerdefinierte Node.js-Logik für Claims Mapping, Risikobewertung und API-Integrationen einfügen. Der Auth0 Marketplace bietet vorvalidierte Integrationen für Identitätsprüfung, Einwilligung und Betrugserkennung.

Bei 500.000 MAU befindet sich Auth0 fest im Bereich von Unternehmensverträgen. Eine MAU-basierte Preisgestaltung mit strengen Feature-Paywalls schafft eine „Wachstumsstrafe“. Rechnen Sie mit 15.000 bis 30.000 US-Dollar pro Monat, je nach Funktionen und Verhandlungsgeschick. Für groß angelegte B2C-Szenarien mit komplexen Legacy-Integrationen bleibt Auth0 eine solide Option, ist jedoch teuer.

3.2 Clerk#

Clerk dominiert das React- und Next.js-Ökosystem mit zusammensetzbaren Drop-in-Komponenten (<SignIn />;, <SignUp />;), mit denen Entwickler die Authentifizierung in Minuten starten können.

Nach einer 50-Millionen-Dollar-Series-C-Finanzierung, an der auch der Anthology Fund von Anthropic beteiligt war, verpflichtete sich Clerk zur „Agent Identity“ – der Überarbeitung von APIs und React-Hooks für die Leistung von KI-Tools und der Ausrichtung an den IETF-Spezifikationen zur Erweiterung von OAuth für Agenten-Identitäten. Bei 500.000 MAU im Pro-Tarif (0,02 $/MRU nach 50.000 inbegriffen) können Sie mit etwa 9.000$ /Monat rechnen. Enterprise-Verträge mit Mengenrabatten senken diesen Preis.

Enterprise-Passkey-Whitepaper. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.

Whitepaper erhalten

3.3 Descope#

Descope zeichnet sich durch eine visuelle No-Code-Identitätsorchestrierungs-Engine aus. Produktmanager können Authentifizierungs-Workflows entwerfen, passwortlose Flows A/B-testen und User Journeys per Drag-and-Drop abbilden – und so die Identitätslogik vom Anwendungscode entkoppeln.

Sein Agentic Identity Hub 2.0 behandelt KI-Agenten als erstklassige Identitäten und setzt unternehmensweite Richtlinien auf MCP-Servern durch. Bei 500.000 MAU gelten individuelle Unternehmenspreise – der Überziehungspreis von 0,05 $/MAU im Growth-Tarif wäre unerschwinglich (24.000+$ /Monat), verhandeln Sie also direkt.

3.4 Ping Identity (inklusive ForgeRock)#

Nach der Fusion mit ForgeRock bietet Ping Identity eine der umfassendsten Unternehmens-Identitätssuiten. PingOne Advanced Identity Cloud bietet Passkey-Authentifizierung über Orchestrierungsknoten in der visuellen Flow-Engine DaVinci.

Ping zeichnet sich in regulierten Branchen durch weitreichende Compliance-Zertifizierungen, Hybrid-Deployment und patentierte Datenisolation aus. Customer Identity-Pakete beginnen bei 35.000 bis 50.000 US-Dollar pro Jahr und skalieren mit dem MAU-Volumen. Die Einrichtung erfordert beträchtliche Expertise.

3.5 IBM Verify#

IBM Verify richtet sich an große, regulierte Unternehmen, die hybride Identitäten in der Cloud und lokal benötigen. Es unterstützt FIDO2/Passkey-Authentifizierung mit adaptivem MFA, progressiver einwilligungsbasierter Registrierung und Lebenszyklus-Management für Millionen von Identitäten.

IBM Verify umfasst eine KI-gesteuerte Identitätsbedrohungserkennung und -reaktion (ITDR), die sowohl menschliche als auch nicht-menschliche Identitäten überwacht. Die Preisgestaltung verwendet Ressourceneinheiten (etwa 1,70 bis 2,00 US-Dollar pro Benutzer/Monat bei kleineren Maßstäben), bei 500.000 MAU sollten Sie jedoch von stark verhandelten Enterprise-Verträgen ausgehen.

3.6 Ory#

Ory bietet eine skalierbare, API-First-Identitätslösung, die auf Open-Source-Go-Grundlagen aufbaut. Die modulare Architektur ermöglicht es Teams, Identitätsmanagement, OAuth2 oder Berechtigungen unabhängig voneinander zu nutzen. Das Ory Network skaliert weltweit, aber Teams müssen benutzerdefinierte UIs erstellen.

Ory verwendet eine aDAU-basierte Preisgestaltung (durchschnittliche täglich aktive Benutzer) anstelle von MAU und beansprucht Einsparungen von bis zu 85 % im Vergleich zu MAU-basierten Mitbewerbern. Der Growth-Plan beginnt bei ~10.000 $/Jahr, aber 500.000 MAU würden Unternehmensverhandlungen erfordern.

3.7 Stytch (ein Twilio-Unternehmen)#

Nach der Übernahme durch Twilio Ende 2025 dient Stytch als Identitätsschicht für das Twilio-Ökosystem. Ursprünglich bekannt für programmgesteuerte passwortlose Authentifizierung (Magic Links, Biometrie, OTPs), konzentriert sich Stytch nun auf Betrugsprävention und KI-Sicherheit.

Sein Web Bot Auth ermöglicht gutartigen KI-Agenten die kryptografische Authentifizierung bei Websites. Für B2C bei 500.000 MAU kostet der Essentials-Tarif (0,01 $/MAU nach 10.000 kostenlos) etwa 4.900$ /Monat. Der B2B-fokussierte Growth-Tarif (0,05 $/MAU) würde etwa 25.000$ /Monat kosten. In dieser Größenordnung sind Unternehmensverhandlungen üblich.

3.8 Zitadel#

Zitadel ist eine Open-Source-Alternative zu Ory – Cloud-nativ, API-First und in Go geschrieben. Es enthält von Haus aus ein delegiertes Zugangsmanagement und Social Login über OAuth/OIDC. Ein Pay-as-you-go-Preismodell vermeidet die Bindung pro Arbeitsplatz, mit nahtloser Parität zwischen der Open-Source- und der Managed-Version. Bei 500.000 MAU gelten Enterprise-Preise.

3.9 Amazon Cognito#

Amazon Cognito bietet massive Skalierbarkeit innerhalb des AWS-Ökosystems. Seit Ende 2024 unterstützt Cognito native Passkeys über Managed Login v2 im Essentials-Tarif und höher – der günstigere Lite-Tarif (0,0046-0,0055 $/MAU, \~2.100$ /Monat bei 500.000 MAU) unterstützt keine Passkeys. Für Passkey-fähige Tarife bei 500.000 MAU: Essentials kostet ~7.350 $/Monat (0,015$ /MAU); Plus (mit Bedrohungsschutz) kostet ~10.000 $/Monat (0,020$ /MAU). Obwohl der Basispreis wettbewerbsfähig ist, bleiben erhebliche versteckte Kosten bestehen: Entwicklungsaufwand für benutzerdefinierte UIs über den Managed Login hinaus und begrenzte Tools zur Passkey-Einführung.

3.10 FusionAuth#

FusionAuth bietet ein selbst hostbares, API-First-CIAM mit nativer WebAuthn-Unterstützung – und vermeidet damit den Vendor-Lock-in vollständig. Enterprise-Lizenzen beginnen bei ~3.300 $/Monat für bis zu 240.000 MAU. Bei 500.000 MAU sollten Sie mit 4.000 bis 5.000$ /Monat bei einem mehrjährigen Vertrag rechnen. Der Kompromiss: Self-Hosting erfordert dedizierte DevOps-Ressourcen.

3.11 Firebase Auth#

Firebase Authentication bietet schnelle, einfache Authentifizierung für Endnutzer-Apps. Bei 500.000 MAU auf der Google Cloud Identity Platform führen gestaffelte Preise (50.000 kostenlos, danach 0,0055–0,0046 $/MAU) zu \~2.100$ /Monat für die grundlegende Authentifizierung. Die SMS-Verifizierung kostet extra via SNS. Firebase verfügt jedoch über keine native Passkey-Unterstützung, bietet nur SMS-MFA und keine erweiterte Governance. Es ist keine geeignete CIAM-Wahl für groß angelegte B2C-Bereitstellungen, die passwortlose Authentifizierung oder unternehmensweite Sicherheit erfordern.

3.12 Supabase Auth#

Supabase Auth spricht Entwickler an, die auf PostgreSQL aufbauen. Der Team-Plan (599 $/Monat) umfasst bis zu 500.000 MAU. Es bietet jedoch keine native Passkey-Unterstützung – Passkeys erfordern Drittanbieter-Integrationen. Es fehlen auch adaptive Authentifizierung und Identitätsprüfung. Supabase eignet sich am besten als Einstiegspunkt für die Authentifizierung, nicht als langfristiges CIAM für groß angelegte B2C-Szenarien.

4. CIAM-Evaluierung nach Kategorien#

4.1 Passwordless und Passkey-Funktionen#

Für groß angelegte B2C-Szenarien bestimmt die Ausführungstiefe der Passkeys, wie viel SMS-Kosten Sie tatsächlich einsparen können. Bei 500.000 MAU spart selbst eine Verbesserung der Passkey-Adoption um zehn Prozentpunkte Zehntausende pro Monat.

Native CIAM-Passkey-UIs behandeln alle Plattformen identisch, aber die zugrunde liegende Passkey-Bereitschaft divergiert stark nach Betriebssystem. Der Corbado Passkey Benchmark 2026 misst Web-Registrierungsbereiche im ersten Versuch von 49–83 % unter iOS, 41–67 % unter Android, 41–65 % unter macOS und nur 25–39 % unter Windows. Diese Lücke liegt nicht in der Benutzerpräferenz – sie verfolgt den Ökosystem-Stack: iOS bündelt Browser, Authentifikator und Credential Provider eng, während Windows Hello noch kein Conditional Create-Pfad ist und die Edge-Passkey-Speicherung erst Ende 2025 eingeführt wurde. CIAM-Plattformen, die nicht nach diesem Stack segmentieren, glätten einen zweifachen Leistungsunterschied in einen einzigen enttäuschenden Durchschnitt.

Descope bietet das fortschrittlichste visuelle Passkey-Erlebnis. Unternehmen können Passkey-Flows ohne Codeänderungen im Backend testen. Domänenspezifisches Passkey-Routing verhindert Authentifizierungsfehler über Subdomains hinweg, mit integrierten Fallbacks auf Biometrie, Magic Links und OTPs.

Clerk optimiert Passkeys auf einen einzigen Dashboard-Schalter. Seine Next.js-Komponenten verarbeiten WebAuthn-Registrierung und -Authentifizierung nativ, einschließlich Kontowiederherstellung und Gerätesynchronisierung.

Auth0 integriert Passkeys in allen Tarifen über die gehostete Universal Login-Seite, mit API/SDK-Unterstützung für benutzerdefinierte Flows und domänenübergreifende Passkey-Authentifizierung über konfigurierbare Relying Party-IDs. Auth0 bietet jedoch keine dedizierten Adoptionsfunktionen und kann Passwörter nicht vollständig deaktivieren, was häufig zu dem 5-10%-Adoptions-Trugschluss führt.

Ping Identity unterstützt Passkeys durch WebAuthn-Knoten in seiner DaVinci-Orchestrierungs-Engine – komplex in der Konfiguration.

IBM Verify bietet Passkey-Unterstützung mit adaptivem MFA und Passkey-Autofill. Starke Compliance-Integration, aber hohe Einrichtungskomplexität.

Stytch bietet Passkeys über eine WebAuthn-API/SDK mit Frontend-SDKs für JS, React und Next.js an. Es erfordert einen verifizierten primären Faktor (E-Mail oder Telefon) vor der Passkey-Registrierung, was Reibung in den Passkey-Onboarding-Flow bringt.

Ory bietet eine dedizierte Passkey-Strategie mit Conditional UI und auffindbaren Zugangsdaten. Zitadel bietet integrierte Passkey-Unterstützung mit Self-Service-Registrierung. Amazon Cognito bietet nun native Passkeys in Managed Login v2 (Essentials-Tarif+). FusionAuth unterstützt WebAuthn in seinen gehosteten Anmeldeseiten und per API für benutzerdefinierte Flows.

Firebase und Supabase haben keinerlei native Passkey-Unterstützung.

Passwordless und Passkey im Vergleich

Anbieter	Passkey-Ansatz	Tools zur Passkey-Adoption	Gerätebewusstes Prompting
Auth0	Universal Login gehostete Seite + API/SDK, alle Tarife	Keine - Entwickler muss Adoptions-UX selbst bauen	Nein
Clerk	Dashboard-Schalter, vorgefertigte Komponenten mit Autofill	Basis - Schalter aktiviert Passkeys, keine Analysen	Nein
Descope	Visuelle Drag-and-Drop-Workflows, domänenspezifisches Routing	Visuelles Flow-A/B-Testing, keine Geräteintelligenz	Teilweise (Flow-Bedingungen)
Ping Identity	WebAuthn-Knoten in DaVinci + SDK für native Apps	Keine - erfordert benutzerdefinierte Journey-Logik	Nein
IBM Verify	FIDO2/Passkey mit adaptivem MFA, Passkey-Autofill im Flow Designer	Keine - admin-gesteuerte Registrierung	Nein
Stytch	WebAuthn-API/SDK, erfordert zuerst verifizierten primären Faktor	Keine - Entwickler muss Adoptions-UX selbst bauen	Nein
Ory	Dedizierte Passkey-Strategie mit Conditional UI	Keine - Entwickler muss alles selbst bauen	Nein
Zitadel	Integrierte Passkeys mit Self-Service-Registrierung	Keine - grundlegende Admin-Registrierung	Nein
Cognito	Native Passkeys in Managed Login v2 + API	Keine - erfordert benutzerdefinierte Lambda-Logik	Nein
FusionAuth	Natives WebAuthn im gehosteten Login + API für Custom Flows	Keine - grundlegende Admin-Registrierung	Nein
Firebase	Keine (nur Drittanbieter)	N/A	N/A
Supabase	Keine (nur Drittanbieter)	N/A	N/A

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

4.2 KI-Funktionen und KI-Agenten-Identitätsmanagement#

Descope ist führend in der visuellen KI-Identitätsorchestrierung. Der Agentic Identity Hub 2.0 verwaltet KI-Agenten als erstklassige Identitäten mit OAuth 2.1, PKCE und toolbasierten Scopes auf MCP-Servern.

Clerk optimiert React-Hooks für die Leistung von KI-Tools und orientiert sich an IETF-Spezifikationen für OAuth-basierte Agentenidentitäten.

Stytch konzentriert sich auf Verifizierung und Betrug. Seine Web Bot Auth lässt Anwendungen harmlose KI-Agenten kryptografisch verifizieren, während böswillige blockiert werden.

IBM Verify bringt KI-gesteuertes ITDR zur Überwachung menschlicher und nicht-menschlicher Identitäten ein, obwohl die MCP-spezifischen Tools noch weniger ausgereift sind.

Ping Identity bietet unternehmenstaugliche M2M-Authentifizierung und OAuth 2.1-Unterstützung über DaVinci, passend für regulierte Umgebungen.

4.3 Entwicklererfahrung (DX) und Implementierungsgeschwindigkeit#

Clerk bietet die reibungsloseste DX für moderne Frontend-Ökosysteme mit vorgefertigten React/Next.js-Komponenten und einem Copy-to-Install-Modell.

Supabase und Firebase sprechen Entwickler an, die schnelles Prototyping suchen, obwohl beiden erweiterte CIAM-Funktionen für groß angelegte B2C-Szenarien fehlen.

Auth0 bietet eine umfassende Dokumentation, erfordert aber eine steile Lernkurve. Actions bieten Leistung für Legacy-Integrationen, wirken aber für eine schnelle Bereitstellung schwerfällig.

Ping Identity und IBM Verify weisen die steilsten Lernkurven auf – geeignet für dedizierte Identitätsteams in großen Unternehmen.

Abonnieren Sie unseren Passkeys Substack für aktuelle News.

4.4 Gesamtbetriebskosten (TCO) bei 500k MAU#

Beschaffungsevaluierungen, die sich ausschließlich auf Lizenzgebühren konzentrieren, übersehen die wahren TCO. Bei 500.000 MAU mit einer Gesamtbenutzerbasis von 2 Millionen werden die wahren Kosten von drei Faktoren bestimmt: Plattformgebühren, Implementierungsaufwand und laufende Wartung.

Plattformgebühren variieren dramatisch. Auth0 liegt am oberen Ende (15.000–30.000 $/Monat). Cognitos Passkey-fähiger Essentials-Tarif (\~7.300$ /Monat) erscheint im mittleren Bereich, verbirgt aber Entwicklungsaufwand. Der B2C Essentials-Tarif von Stytch (~4.900 $/Monat) und Clerk (\~9.000$ /Monat) bieten wettbewerbsfähige Raten. FusionAuth, Firebase und Supabase sind die kostengünstigsten Optionen, erfordern jedoch Self-Hosting bzw. es fehlen Passkey-Funktionen.

Der Implementierungsaufwand sind die übersehenen Kosten. Die Entwicklung von Passkeys von Grund auf in einer CIAM-Plattform erfordert etwa 25-30 FTE-Monate im Produktmanagement (~5,5 FTE-Monate), der Entwicklung (~14 FTE-Monate) und der Qualitätssicherung (~8 FTE-Monate). Cognito bietet jetzt native Passkey-Unterstützung über Managed Login v2 an, was den Aufwand gegenüber vollständig maßgeschneiderten Builds reduziert – aber Anpassungen über den verwalteten Flow hinaus erfordern immer noch viel Arbeit. Auf einer reinen API-First-Plattform wie Ory muss die gesamte UX von Grund auf neu aufgebaut werden. Plattformen mit vorgefertigter Passkey-UI (Clerk, Descope) reduzieren dies auf 5-10 FTE-Monate, erfordern aber weiterhin Optimierungsarbeit für die Adoptionssteigerung.

Die laufende Wartung ist der versteckte TCO-Multiplikator. Passkey-Implementierungen erfordern ständiges erneutes Testen gegen neue Betriebssystem-Releases, Browser-Updates und OEM-spezifische Bugs. Planen Sie ~1,5 FTE/Jahr für den Post-Launch-Betrieb ein: Rollout-Management, plattformübergreifendes Retesting, Metadaten-Updates und Support-Schulungen. Auf Plattformen, die benutzerdefinierte UIs erfordern, kommen allein 1-2 weitere FTEs für die Frontend-Wartung hinzu.

TCO-Vergleich bei 500k MAU

Plattform	Geschätzte Plattformkosten/Monat	Passkey-Entwicklungsaufwand	Laufende Wartung (FTE/Jahr)	Tools zur Passkey-Adoption
Auth0	15.000–30.000 $	15-25 FTE-Monate	~2 FTE	Keine (selbst bauen)
Clerk	~9.000 $	5-10 FTE-Monate	~1 FTE	Basis (nur Schalter)
Descope	Individuell	5-10 FTE-Monate	~1 FTE	Visuelles Flow-A/B-Testing
Ping Identity	3.000–4.000 $+	20-30 FTE-Monate	~2,5 FTE	Keine (selbst bauen)
IBM Verify	Individuell	20-30 FTE-Monate	~2,5 FTE	Keine (selbst bauen)
Stytch	~4.900 $ (B2C)	10-15 FTE-Monate	~1,5 FTE	Keine (selbst bauen)
Ory	~10.000 $/Jahr + individuell	25-30 FTE-Monate	~3 FTE	Keine (selbst bauen)
Cognito	~7.300–10.000 $	15-20 FTE-Monate	~2 FTE	Keine (selbst bauen)
FusionAuth	~4.000–5.000 $	20-25 FTE-Monate	~2,5 FTE	Keine (selbst bauen)
Firebase	~2.100 $	N/A (keine Passkey-Unterstützung)	N/A	N/A
Supabase	~599 $	N/A (keine Passkey-Unterstützung)	N/A	N/A

4.5 Die Passkey-Adoptionsleiter: Von "Nur-Einstellungen" zur "Passkey-First"-Rückkehr#

Plattformgebühren und Entwicklungsaufwand sind die Eingangsgrößen. Der Output, der bestimmt, ob sich eine CIAM-Investition auszahlt, ist die Passkey-Login-Rate – der Anteil der täglichen Logins, die mit Passkeys abgeschlossen werden. Der Corbado Passkey Benchmark 2026 modelliert dies als eine vierstufige Leiter. Die Web-Bereitschaftsobergrenze bleibt über alle vier Stufen bei rund 89 % stabil; die Form des Rollouts, nicht das zugrunde liegende CIAM, entscheidet, auf welcher Stufe der Leiter eine Bereitstellung landet.

Passkey-Adoptionsleiter (Corbado Passkey Benchmark 2026)

Rollout-Form	Registrierung	Nutzung	Resultierende Passkey-Login-Rate
Nur Einstellungen verfügbar (Passiv)	~4 %	~5 %	<1 %
Einfacher Nudge nach Anmeldung (Baseline)	~25 %	~20 %	~4-5 %
Optimierte Registrierung (Managed)	~65 %	~40 %	~23 %
Passkey-First-Rückkehrablauf (Advanced)	~80 %	~95 %	>60 %

Die meisten nativen CIAM-Rollouts enden auf der Baseline-Stufe, weil dies das ist, was Out-of-the-Box-Passkey-UIs liefern: ein einzelner Schalter nach der Anmeldung ohne gerätebewusstes Prompting, ohne identitätsgesteuerte Wiederherstellung für neue Geräte und ohne automatische Erstellung nach der Anmeldung mit gespeichertem Passwort. Der Aufstieg zu den Managed- und Advanced-Stufen erfordert segmentierte Registrierungs-Nudges, Conditional Create dort, wo das Ökosystem dies unterstützt (derzeit am stärksten unter iOS und praktikabel unter macOS, fragmentiert unter Android, eingeschränkt unter Windows, da Windows Hello kein Conditional Create-Pfad ist) und One-Tap-Erkennung wiederkehrender Geräte. Keiner der zwölf oben evaluierten Anbieter liefert diese Fähigkeiten von Haus aus als Standard.

5. Schließen der Passkey-Orchestrierungslücke#

Der obige Anbietervergleich offenbart ein konsistentes Muster: Jedes CIAM im Jahr 2026 stellt eine WebAuthn-API zur Verfügung, aber keines liefert die Orchestrierungsschicht mit, die eine Bereitstellung von der Baseline-Stufe auf die Managed- oder Advanced-Stufe der Adoptionsleiter hebt. Die gemeinsame Lücke – Geräteklassifizierung, intelligentes Prompting, geräteübergreifende Wiederherstellung und Beobachtbarkeit, warum bestimmte Benutzer scheitern – ist dieselbe Lücke, die der Corbado Passkey Benchmark 2026 durch mehr als 100 Enterprise-Interviews und normalisierte Telemetrie von groß angelegten B2C-Bereitstellungen dokumentiert.

Spezialisierte Passkey-Schichten beheben diese Lücke eher als Ergänzung zum bestehenden CIAM-Stack denn als Ersatz. Corbado sitzt auf Auth0, Okta, Cognito, Ping Identity, FusionAuth oder jedem anderen IDP – ohne Migration der Benutzerdatenbank oder Richtlinienänderung.

5.1 Corbado Connect: Passkey-Intelligenz und Orchestrierung#

Corbado Connect ist eine unternehmenstaugliche Passkey-Schicht, die das Authentifizierungsereignis abfängt, eine optimierte passwortlose Journey orchestriert und die Sitzung wieder mit dem primären IDP überbrückt. Das Design folgt direkt den Mustern, die der Benchmark identifiziert: Klassifizieren von Hardware, Betriebssystem, Browser und Credential-Provider-Stack des Geräts, bevor ein WebAuthn-Prompt ausgegeben wird; Leiten von Windows-Benutzern – bei denen der Benchmark 40-65 % identitätsgesteuerte Passkey-Erfolge misst, die über Cross-Device Authentication immer noch zu einem Telefon überbrücken – in andere Wiederherstellungspfade als iOS- oder Android-Benutzer (wo nur 0-10 % überbrücken); Umwandeln eines geräteübergreifenden Erfolgs in einen gespeicherten lokalen Passkey, damit Benutzer die Discovery-Steuer nicht zweimal zahlen.

Die Engine für Passkey Intelligence fordert zur Passkey-Authentifizierung nur auf, wenn der Geräte-Stack dies unterstützt, und eliminiert so die WebAuthn-Sackgassen-Prompts, die den Adoptions-Trugschluss verursachen. Über die für den Benchmark aggregierten Bereitstellungen hebt dieser Ansatz die Passkey-Registrierung in Richtung der Advanced-Szenario-Obergrenze (80 %+) und erschließt die 60-90 % SMS-OTP-Kostenreduzierungen, die sich in großem Maßstab aufsummieren: 50.000 bis 100.000 USD oder mehr an jährlichen Einsparungen bei 500.000 MAU.

5.2 Corbado Observe: Passkey Analytics und Observability SDK#

Selbst Organisationen, die Passkeys nativ erstellen, stoßen auf die Observability-Lücke, die der Benchmark an den drei Conditional UI-Messpunkten dokumentiert: Serverseitig sieht der Passkey-Erfolg mit 97-99 % nahezu perfekt aus, während die benutzerseitige Login-Abschlussrate bei 90-95 % liegt und die Interaktionsrate beim ersten Vorschlag, bei der Benutzer tatsächlich aussteigen, nur 55-90 % beträgt. Standard-Logs und SIEM-Tools wurden nicht für die geräteabhängige, mehrstufige Natur von WebAuthn-Zeremonien entwickelt, sodass die Fehler, die die Adoptionsrate zerstören, außerhalb ihres Erfassungsbereichs liegen.

Corbado Observe ist ein leichtgewichtiges Add-on-SDK, das unabhängig von der CIAM-Plattform native Authentifizierungs-Beobachtbarkeit (Observability) auf jeder WebAuthn-Implementierung liefert:

Authentifizierungserfolgsrate nach Methode – vergleichen Sie Passkeys mit SMS-OTP und Passwort in einem Dashboard
Debug-Timeline pro Benutzer – verstehen Sie in Minuten, nicht in Tagen, warum die Authentifizierung eines bestimmten Benutzers fehlgeschlagen ist
Passkey-ROI-Dashboard – beweisen Sie Ihrem CFO und CISO SMS-Kosteneinsparungen und Conversion-Verbesserungen
Intelligente Fehlerklassifizierung – unterscheiden Sie Benutzerabbrüche von echten Fehlern vs. Geräteinkompatibilitäten, mit automatischer Klassifizierung von 100+ Fehlertypen
Geräteübergreifendes Journey-Tracking – visualisieren Sie Multi-Device-Passkey-Flows, die Standard-Logs nicht erfassen können

Corbado Observe arbeitet mit jedem WebAuthn-Server. Keine IDP-Migration erforderlich. Zero-PII-Architektur per Design (nur UUID-Tracking, DSGVO-konform). Bei den Bereitstellungen, die für den Benchmark 2026 gemessen wurden, berichten Organisationen von einer 10-fach höheren Passkey-Akzeptanz (von ~10 % auf über 80 %) und einer Reduzierung der Debugging-Zeit von 14 Tagen auf 5 Minuten.

Für groß angelegte B2C-Bereitstellungen, die bereits an einen CIAM-Anbieter gebunden sind, ist Corbado Observe der schnellste Weg, um Sichtbarkeit in die Passkey-Performance zu erhalten und die Akzeptanz systematisch voranzutreiben, ohne etwas im bestehenden Stack zu ersetzen.

Testen Sie Passkeys in einer Live-Demo.

Passkeys testen

6. Fazit#

Der CIAM-Markt von 2026 ist durch Spezialisierung geprägt. Für groß angelegte B2C-Bereitstellungen ab 500.000 MAU hat die Plattformwahl direkte Auswirkungen auf Authentifizierungskosten, Sicherheitslage und Konversionsraten. Dennoch zeigt der Corbado Passkey Benchmark 2026, dass die Varianz zwischen einer Passkey-Login-Rate von 5 % und über 60 % in der Orchestrierungsschicht liegt, nicht im zugrunde liegenden CIAM. Zwei Unternehmen, die identische Auth0-, Cognito- oder Ping-Bereitstellungen ausführen, können auf entgegengesetzten Enden der Adoptionsleiter landen, je nachdem, ob sie intelligentes Prompting, identitätsgesteuerte Wiederherstellung und geräteübergreifende Abdeckung implementieren.

Für Fortune 500-Unternehmen, die bereits ein CIAM einsetzen, gilt: nicht migrieren, sondern optimieren. Der wahre ROI liegt in der Steigerung der Passkey-Adoption, nicht im Wechsel der Anbieter. Corbado schließt diese Lücke: Corbado Connect orchestriert konversionsstarke Passkey-Journeys auf jedem IDP, während Corbado Observe die Analysen bereitstellt, um die Passkey-Leistung zu verfolgen und zu optimieren. Für eine Bereitstellung mit 500.000 MAU ist dies der Unterschied zwischen einem festgefahrenen Piloten und einer passwortlosen Transformation in B2C-Größenordnung.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Was ist der Unterschied zwischen Auth0, Clerk und Descope bei der Passkey-Einführung im großen Maßstab?#

Alle drei unterstützen Passkeys, unterscheiden sich aber deutlich in den Werkzeugen zur Einführung. Auth0 bietet Passkeys in allen Tarifen über Universal Login, bietet jedoch keine speziellen Funktionen zur Einführung, sodass Unternehmen ihre eigene Prompting-Logik entwickeln müssen. Descope bietet visuelle Drag-and-Drop-Workflows für Passkeys mit A/B-Testing, während Clerk die Einrichtung mit vorgefertigten React-Komponenten auf einen einzigen Schalter im Dashboard reduziert.

Wie viel kostet die Implementierung von Passkeys auf einer CIAM-Plattform bei 500.000 MAU?#

Die Plattformlizenzen bei 500.000 MAU reichen von ca. 599 USD pro Monat (Supabase, ohne Passkey-Unterstützung) bis zu 15.000-30.000 USD pro Monat (Auth0). Die wahren Gesamtbetriebskosten (TCO) umfassen zudem erheblichen Entwicklungsaufwand: Plattformen, die eine vollständig benutzerdefinierte Passkey-UI erfordern, wie Ory oder Amazon Cognito, erfordern deutlich mehr Entwicklungsaufwand als solche mit vorgefertigten Komponenten wie Clerk oder Descope. Enterprise-Kunden sollten auch ein Budget für laufende plattformübergreifende Tests einplanen, wenn Browser und Betriebssysteme Updates veröffentlichen.

Warum stagnieren die Passkey-Einführungsraten bei den meisten Unternehmen auf niedrigem Niveau, selbst nach Aktivierung in ihrer CIAM-Plattform?#

Generische CIAM-Passkey-UIs fordern alle Benutzer unabhängig von den Gerätefunktionen blind auf, was zu Abbrüchen und Support-Tickets führt, wenn Hardware oder Browser WebAuthn-Flows nicht abschließen können. Die Hauptursache ist das Fehlen eines gerätebezogenen Promptings: Kein Anbieter im Vergleich 2026 bietet von Haus aus eine intelligente Geräteerkennung an. Spezialisierte Orchestrierungsschichten, die Geräte-Hardware, Betriebssystem und Browser vor dem Prompting analysieren, können die Akzeptanz auf über 80 % steigern – weit mehr, als native CIAM-Implementierungen allein erreichen.

Welche CIAM-Plattformen unterstützen 2026 KI-Agenten-Identitätsmanagement und das Model Context Protocol?#

Descope führt mit seinem Agentic Identity Hub 2.0 und behandelt KI-Agenten als erstklassige Identitäten mit OAuth 2.1, PKCE und toolbasierten Scopes auf MCP-Servern. Clerk hat seine APIs für Agenten-Identitäten überarbeitet und richtet sich nach den IETF-Spezifikationen für OAuth-basierte Agenten-Zugangsdaten. Stytch bietet Web Bot Auth für die kryptografische Verifizierung harmloser KI-Agenten, während Ping Identity eine unternehmenstaugliche M2M-Authentifizierung über OAuth 2.1 in seiner DaVinci-Orchestrierungs-Engine unterstützt.

Ist Amazon Cognito eine gute Wahl für die Passkey-Authentifizierung im Enterprise-Bereich?#

Amazon Cognito fügte Ende 2024 native Passkey-Unterstützung über Managed Login v2 hinzu, jedoch nur im Essentials-Tarif (ca. 7.350 USD pro Monat bei 500.000 MAU) und höher, nicht im günstigeren Lite-Tarif. Während die Basispreise wettbewerbsfähig sind, erfordert Cognito einen erheblichen Entwicklungsaufwand für benutzerdefinierte UIs jenseits des Managed-Login-Flows. Es bietet keine Tools zur Passkey-Einführung, was bedeutet, dass Unternehmen in der Regel eine geringe Akzeptanz verzeichnen, sofern sie nicht zusätzlich in Analysen oder Orchestrierung investieren.