Hardware-gebundene Passkeys: Das wahre Rennen ist die Nutzerakzeptanz

1. Einleitung: Wer gewinnt das Consumer-Rennen?#

Hardware-gebundene Passkeys sind der sicherste Weg zum Login, aber in Consumer-Apps nutzt sie fast niemand. Hersteller von Security Keys und Smartcards treiben diesen Formfaktor seit Jahren voran. Dennoch zeigt das FIDO Alliance Authentication Barometer 2024, dass die Aktivierung von hardware-gebundenen Passkeys im Consumer-Banking im Jahr 2025 weiterhin unter 5 Prozent liegt.

Der Grund ist einfach: Apple und Google kontrollieren laut StatCounter über 99 Prozent des mobilen Marktanteils und entscheiden, welche Passkey-Art der User zuerst sieht. Das Consumer-Rennen wird also nicht das Unternehmen mit dem stärksten Key gewinnen. Gewinnen wird das Unternehmen, das Hardware mit Software, Daten und cleverer Distribution kombiniert.

1.1 Terminologie: Hardware-gebundene vs. synchronisierte Passkeys#

Hardware-gebundene Passkeys sind FIDO2-Anmeldedaten, deren privater Schlüssel sicher in einem physischen Secure Element verschlossen bleibt. Der Schlüssel verlässt das Gerät nie. Synchronisierte Passkeys nutzen dieselbe FIDO2-Kryptographie, kopieren den Schlüssel jedoch über iCloud Keychain, Google Password Manager oder einen Passwortmanager von Drittanbietern auf Ihre anderen Geräte. Die W3C WebAuthn Level 3 Spezifikation behandelt beide als denselben Credential-Typ, jedoch mit unterschiedlichen Speicherrichtlinien. In der Branche werden hardware-gebundene Passkeys auch "gerätegebundene Passkeys" oder "hardware-bound WebAuthn Credentials" genannt. Dieser Artikel verwendet alle drei Begriffe als Synonyme.

Ein häufiges Missverständnis ist, dass jeder Passkey, der durch ein Secure Element auf einem Smartphone oder Laptop geschützt ist, automatisch hardware-gebunden sei. In der Praxis hosten die Apple Secure Enclave und die Android StrongBox Passkeys, die standardmäßig über iCloud Keychain oder Google Password Manager synchronisiert werden, sodass der private Schlüssel über die Cloud wiederherstellbar ist. Das einzige Secure Element für Consumer, das den Schlüssel heute noch streng lokal hält, ist das Windows Hello TPM, und selbst Microsoft bewegt sich in Edge in Richtung Synchronisation. Da Windows Hello keinen zusätzlichen Hardware-Kauf erfordert und fest in den Laptop integriert ist, schließen wir es in diesem Artikel aus dem Rennen um Consumer-Hardware aus und konzentrieren uns auf dedizierte Security Keys, FIDO2 Smartcards und Krypto-Wallets.

Dieser einzige Unterschied – ob der Schlüssel die Hardware verlassen kann – bestimmt fast alle nachgelagerten Eigenschaften, vom NIST-Sicherheitsniveau bis zum Recovery-Prozess. NIST SP 800-63B stuft hardware-gebundene Passkeys in AAL3, die höchste Stufe, ein, während synchronisierte Passkeys auf AAL2 begrenzt sind. Dieser Unterschied ist für Regulierungsbehörden wichtig, die eine strikte Bindung an einen Besitzfaktor fordern, darunter PSD2, PSD3, NYDFS Part 500, RBI 2024 und APRA CPS 234.

1.2 Warum synchronisierte Passkeys den Standardplatz erobert haben#

Synchronisierte Passkeys wurden zum Standard, weil Apple und Google sie zuerst eingeführt haben und die Anzeige im Browser kontrollieren. Apple brachte den iCloud Keychain-Passkey-Support 2021 auf den Markt, Google Password Manager folgte 2022, und beide nutzten WebAuthn Conditional UI, um synchronisierte Credentials direkt in der Autofill-Leiste anzuzeigen. Ein Hardware-Authenticator ist in jedem Standardablauf ein bis drei Klicks tiefer versteckt.

Das FIDO Alliance Online Authentication Barometer 2024 berichtet, dass 64 Prozent der Verbraucher weltweit Passkeys wahrgenommen haben und 53 Prozent Passkeys für mindestens ein Konto aktiviert haben. Fast alle dieser Registrierungen sind synchronisiert.

1.3 Wo das Consumer-Rennen wirklich stattfindet#

In diesem Artikel bedeutet "Consumer" CIAM. Wir sprechen über externe Kunden, die sich bei einer Bank, einer Krypto-Börse, einem Regierungs-Wallet oder einer Creator-Plattform einloggen. Wir sprechen nicht über Workforce-Logins, bei denen hardware-gebundene Passkeys bereits dominieren. Die spannende Frage ist, welche Consumer Journeys sich als nächstes öffnen und welcher Akteur dort zuerst ankommt.

Das Rennen umfasst zwei Formfaktoren, die Verbraucher tatsächlich erwerben müssen, und drei Vertriebswege.

• Formfaktoren: USB- oder NFC-Security Keys und in Bezahlkarten integrierte FIDO2-Smartcards. Krypto-Hardware-Wallets stehen als dritte Nischenkategorie daneben.
• Vertriebswege: Direktverkauf an Verbraucher, Geräte, die von Banken oder Behörden an ihre Nutzer verschickt werden, sowie Krypto-Wallets, die von Self-Custody-Nutzern gekauft werden.

1.4 Die These dieses Artikels#

Gute Hardware ist notwendig, aber sie reicht nicht mehr aus. Der Anbieter mit dem stärksten Chip wird nicht automatisch die Verbraucher für sich gewinnen. Die echten Hürden liegen oberhalb des Siliziums: Browser-Prompts, NFC-Stacks auf verschiedenen Android-Smartphones, Recovery-Design und der Vertrieb an Endkunden. Der Gewinner wird das Unternehmen sein, das Hardware mit Adoption Engineering und Passkey Observability kombiniert.

Der Rest dieses Artikels beleuchtet die Geschichte, die Akteure, die Blockaden, reale Use Cases und ein praktisches Playbook für jedes Unternehmen, das den Sprung aus dem Enterprise-Segment in den Consumer-Markt schaffen möchte.

2. Wie kam es zu Hardware-Authenticatoren?#

Hardware-gebundene Anmeldedaten sind nichts Neues. Sie sind etwa 30 Jahre älter als FIDO. PKI-Smartcards hielten in den 1990er Jahren Einzug bei Regierungsbehörden, festgeschrieben durch den NIST FIPS 201 PIV Standard. RSA SecurID Tokens folgten für Enterprise-VPNs. EMV-Chip-und-PIN-Karten erreichten den Zahlungsverkehr im Jahr 2002. EMVCo meldet heute über 12 Milliarden EMV-Karten im Umlauf, was den Chip auf einer Bezahlkarte zur größten jemals eingesetzten Hardware-Kryptographieplattform macht.

Dieselbe Lieferkette für Secure Elements, betrieben von IDEMIA, Thales und Infineon mit über 3 Milliarden Chips jährlich, produziert heute das Silizium in FIDO2-Smartcards. Die drei Branchenverschiebungen, die Hardware-Authenticatoren zu FIDO2 brachten, geschahen in nur vier Jahren, zwischen 2014 und 2018.

2.1 Von U2F zu FIDO2 (2014 bis 2018)#

Die FIDO Alliance brachte FIDO U2F 2014 auf den Markt, mit den ersten Hardware-Token von verschiedenen Herstellern von Security Keys. Google stattete bis 2017 über 89.000 Mitarbeiter mit U2F-Keys aus und meldete im darauffolgenden Jahr null Phishing-bedingte Account-Übernahmen, laut Krebs on Security. Aber U2F war nur ein zweiter Faktor. Nutzer brauchten weiterhin ein Passwort und das Berühren der Hardware war nur ein zusätzlicher Schritt. Der Formfaktor blieb auf Unternehmen beschränkt: kleine USB-Keys für Google-Mitarbeiter, Regierungsbehörden und eine Handvoll Krypto-Börsen.

FIDO2 und WebAuthn änderten dies 2018, indem sie U2F in ein echtes passwortloses Framework verwandelten. Dasselbe Secure Element, das früher einen zweiten Faktor schützte, konnte nun als primäres Login-Credential dienen.

2.2 Markenwechsel zu Passkey (2022)#

Im Mai 2022 starteten Apple, Google, Microsoft und die FIDO Alliance gemeinsam die Marke "Passkey" auf der FIDO Alliance Authenticate Konferenz. Die Idee war ein einziges, einfaches Wort, das Verbraucher sowohl für synchronisierte als auch für gerätegebundene FIDO2-Credentials verstehen könnten.

Apple führte den iCloud Keychain-Passkey-Support im September 2022 mit iOS 16 ein, laut Apples Entwickler-Release-Notes. Google folgte im Oktober 2022 ab Android 9, laut seinem Identity Blog.

Microsoft war hier der Nachzügler. Windows Hello hatte zwar seit 2015 TPM-gebundene Anmeldedaten geliefert, laut der Windows Hello Dokumentation, aber Consumer-Konten konnten Passkeys jahrelang nicht geräteübergreifend synchronisieren. Microsoft fügte erst im Mai 2024 Passkey-Support für private Microsoft-Konten hinzu, und synchronisierte Passkeys im Microsoft Edge Password Manager folgten erst 2025. Während Apple und Google also einen Vorsprung von zwei bis drei Jahren bei synchronisierten Passkeys für Consumer hatten, holt Microsoft bei der geräteübergreifenden Synchronisierung im eigenen Browser immer noch auf.

Hardware-Anbieter erwarteten, dass dieses große Rebranding der vier Tech-Giganten die Nachfrage nach Security Keys und Smartcards steigern würde. Das geschah nicht. Synchronisierte Passkeys zogen fast alle neuen Consumer-Registrierungen auf sich, laut dem FIDO Alliance Barometer.

2.3 Aufteilung in zwei Richtungen#

Innerhalb von 18 Monaten spaltete sich das Ökosystem in zwei klare Richtungen. Die Consumer-Spur wurde von synchronisierten Passkeys dominiert, bei denen Apple und Google den Standardablauf um ihre eigenen Manager herum aufbauten. Die Enterprise-Spur wurde von hardware-gebundenen Passkeys dominiert, bei denen IT-Abteilungen Security Keys oder FIDO2-Smartcards für die Workforce Identity kauften. Die FIDO Alliance schätzt diesen Unternehmensmarkt auf über 1 Milliarde USD an jährlichen Ausgaben für Hardware-Authenticatoren.

Die Hardware-Anbieter haben den Consumer-Markt nie aufgegeben. Die wirkliche Frage ist, ob sie noch einen glaubwürdigen Weg haben oder ob die OS-Ebene sie endgültig ausgesperrt hat.

3. Wer konkurriert im Consumer-Rennen?#

Zwei Formfaktoren kämpfen um den Platz. Security Keys führen beim Direktverkauf an Enthusiasten und Unternehmen. Smartcards haben den größten Vertriebskanal über Banken: Jedes Jahr werden laut EMVCo-Statistiken über 1,5 Milliarden EMV-Karten ausgegeben.

Die konkurrierenden Anbieter teilen sich in zwei Lager auf. Security Key-Hersteller verkaufen USB- oder NFC-Keys direkt an Endnutzer und Unternehmen. Smartcard- und Secure-Element-Hersteller bauen die Chips und Karten, die von Banken herausgegeben werden. Jedes Lager hat ein anderes Problem mit den Stückkosten, und keines hat die Lücke im Consumer-Vertrieb im Alleingang geschlossen.

3.1 Wer führt beim Security Key Formfaktor?#

Mehrere Security Key-Hersteller konkurrieren in diesem Segment. Moderne Security Keys unterstützen typischerweise FIDO2, FIDO U2F, Smartcard-PIV, OpenPGP und OTP über USB-A, USB-C, NFC und Lightning, einige verfügen zusätzlich über einen Fingerabdrucksensor. Die folgende Tabelle gibt einen Überblick über die relevantesten Anbieter im Consumer- und Enterprise-Markt.

Ein einzelnes Gerät kostet 40 bis 80 USD gemäß den Preisen der Hersteller, was im Unternehmensumfeld machbar ist, aber die Akzeptanz auf Consumer-Ebene abtötet. Die NFC-, Recovery- und Distributionsprobleme, die mit diesem Preisschild einhergehen, werden in Abschnitt 4 im Detail behandelt.

3.2 Wer führt beim Smartcard Formfaktor?#

Smartcard-Hersteller konkurrieren im Segment der von Banken ausgegebenen FIDO2-Karten. Die Anbieterlandschaft unterteilt sich in Kartenhersteller und Chiplieferanten. Kartenhersteller wie CompoSecure (die ihr Arculus FIDO2-Produkt ausliefern), IDEMIA, NagraID, Feitian und TrustSEC produzieren die FIDO2-Karten selbst. Chiplieferanten, die drei Secure-Element-Riesen IDEMIA, Thales und Infineon, fertigen die Secure Elements im Inneren der meisten Karten. IDEX Biometrics liefert den On-Card-Fingerabdrucksensor, der eine Smartcard in eine biometrische Smartcard verwandelt.

Der Vertrieb an Karten-Issuer ist durch die bestehende Lieferkette für Bezahlkarten bereits gelöst. Die Herausforderung besteht darin, die Issuer davon zu überzeugen, die zusätzlichen Stückkosten zu tragen und sicherzustellen, dass das Antippen über NFC zuverlässig über alle Geräte hinweg funktioniert.

Eine FIDO2-Smartcard kostet 2 bis 5 USD zusätzlich zu den 5 bis 15 USD Basiskosten für einen Kartenkörper aus Metall oder mit Biometrie. Laut Juniper Research 2024 werden die Auslieferungen von biometrischen Bezahlkarten bis 2027 weltweit 140 Millionen Stück überschreiten.

3.3 Was ist mit hybriden und angrenzenden Ansätzen?#

Einige andere Produkte konkurrieren um denselben Use Case, ohne sauber in einen der beiden Formfaktoren zu passen. Ledger hat über 7 Millionen Nano-Wallets ausgeliefert, und Trezor über 2 Millionen. Beide bieten FIDO2 als sekundäres Feature zusätzlich zur Krypto-Speicherung an. Secure Elements in Smartphones wie die Apple Secure Enclave und Android StrongBox schützen den privaten Schlüssel technisch gesehen mit Hardware, aber Apple und Google synchronisieren Passkeys standardmäßig über iCloud Keychain und Google Password Manager, sodass das für den Nutzer sichtbare Verhalten das eines synchronisierten Passkeys ist, nicht das eines hardware-gebundenen. Wearable-Authenticatoren wie der Token Ring und Mojo Vision Ringe blieben laut öffentlichen Erklärungen bei unter 100.000 ausgelieferten Einheiten.

Mit anderen Worten: Das Consumer-Rennen ist in Wirklichkeit ein Zweikampf zwischen Security Keys und Smartcards, mit Krypto-Wallets als dritter Vertikale und Wearables als Randerscheinung (unter 1 Prozent).

4. Was blockiert die Consumer-Akzeptanz?#

Vier strukturelle Hürden blockieren die Passkey-Adoption von hardware-gebundenen Lösungen in Consumer-Märkten: Die Hierarchie der OS- und Browser-Prompts, NFC-Fragmentierung auf Android, schwieriges Recovery nach Geräteverlust und die Kosten für den Direktverkauf. Keine dieser Hürden kann von einem Hardware-Anbieter allein gelöst werden.

4.1 OS- und Browser-Hierarchie#

Apples AuthenticationServices wählt standardmäßig iCloud Keychain. Selbst wenn eine Relying Party authenticatorAttachment auf cross-platform setzt, muss der Nutzer zuerst das Plattform-Menü wegklicken. Googles Credential Manager macht auf Android genau dasselbe mit dem Google Password Manager. Safari und Chrome halten zusammen rund 84 Prozent des Marktanteils bei mobilen Browsern laut StatCounter, sodass zwei Anbieter faktisch die Prompt-UX für das gesamte Consumer-Web vorgeben.

Browser investieren zudem zu wenig in die UX von Hardware-Keys, weil über 99 Prozent der Verbraucher keinen dedizierten Security Key besitzen, basierend auf aggregierten Auslieferungsdaten im Vergleich zum globalen Mobile-Anteil bei StatCounter. Das schafft einen Teufelskreis: Schlechte UX führt zu geringer Akzeptanz. Geringe Akzeptanz bedeutet fehlende Investitionen. Fehlende Investitionen führen zu schlechter UX.

4.2 NFC-Fragmentierung auf Android#

Das NFC-Verhalten auf Android variiert stark zwischen den Herstellern. Samsung, Xiaomi, Oppo und Google Pixel liefern alle unterschiedliche NFC-Stacks auf Basis des Android Open Source Projekts aus. Einige Android 14-Builds haben sogar die Unterstützung für Passkey-Provider von Drittanbietern in 2024 für mehrere Monate unbrauchbar gemacht, laut Android Issue Tracker. Eine FIDO2-Smartcard, die problemlos an einem Pixel 8 funktioniert, schlägt an einem Galaxy S23 Ultra möglicherweise fehl und verhält sich an einem Xiaomi 14 wieder anders. Und kein zentrales Testprogramm des Google Android Compatibility Program fängt diese Fehler ab, bevor sie die Verbraucher erreichen.

4.3 Recovery und Verlust#

Synchronisierte Passkeys werden automatisch wiederhergestellt, wenn sich ein Nutzer auf einem neuen Gerät anmeldet. Hardware-Anmeldedaten nicht. Ein Nutzer, der einen Security Key verliert oder eine Smartcard bricht, muss durch den Account-Recovery-Prozess gehen – oft auf weniger sichere Weise. Der Verizon 2024 Data Breach Investigations Report stellt fest, dass 68 Prozent der Datenschutzverletzungen auf eine nicht-böswillige menschliche Komponente zurückzuführen sind, einschließlich Missbrauch der Credential-Recovery. NIST SP 800-63B warnt auch ausdrücklich davor, dass Account Recovery ein häufiger Weg für Authentifizierungskompromittierungen ist. Die Hardware-Bindung ist also nur so stark wie der Recovery-Kanal, was bedeutet, dass die Relying Party ebenso viel Sicherheitsverantwortung trägt wie der Chiphersteller.

4.4 Vertrieb und Kosten#

Ein Consumer-tauglicher Security Key kostet gemäß den Preisseiten der Hersteller 40 bis 80 USD. Ein Verbraucher, der sein Konto nicht gefährdet sieht, wird diesen Preis einfach nicht zahlen. Banken und Krypto-Börsen, die die Kosten übernehmen, können Geräte kostenlos abgeben, aber dann tragen sie auch die Last des Supports. Smartcards, die mit einer Kreditkarte gebündelt sind, fügen 2 bis 5 USD zusätzlich zu den 5 bis 15 USD Basiskosten pro Karte hinzu, wie aus öffentlichen Angaben der Smartcard-Hersteller hervorgeht, z. B. den CompoSecure Investor-Präsentationen.

Diese vier Gegenwinde erklären, warum synchronisierte Passkeys über 95 Prozent der Consumer-Registrierungen in Finanzdienstleistungen ausmachen, laut FIDO Alliance Barometer, selbst wenn Hardware als Option angeboten wird.

5. Wo gewinnen hardware-gebundene Passkeys wirklich?#

Drei Consumer-Kategorien geben Menschen einen echten Grund, dedizierte Hardware bei sich zu tragen: Banking und Payments, Krypto Self-Custody und besonders wertvolle Konten. Jede dieser Kategorien vereint einen starken Treiber, einen glaubwürdigen Vertriebsweg und Konsequenzen, die schwerwiegend genug sind, um die Reibung zu rechtfertigen. Außerhalb dieser drei Segmente gewinnen synchronisierte Passkeys in der Regel durch Bequemlichkeit.

5.1 Banking und Payments#

Banken sind der natürlichste Vertriebskanal. Sie verschicken bereits physische Karten an Kunden. Zudem agieren sie unter den Auflagen von PSD2, PSD3, der EBA Opinion on SCA, RBI 2FA, NYDFS Part 500 und APRA CPS 234. Viele dieser Vorschriften verlangen einen kryptografischen Besitzfaktor, den synchronisierte Passkeys nicht eindeutig erfüllen.

Die These "Smartcard als Kreditkarte" funktioniert, weil die Karte bereits existiert. Eine Bank, die eine Metallkarte herausgibt, zahlt laut CompoSecure 10-K 5 bis 15 USD pro Karte. Fügt man FIDO2 hinzu, steigt dies laut einer Juniper Research Kostenanalyse zu biometrischen Karten auf 7 bis 20 USD. Diese eine Karte erledigt dann Chip-und-PIN, NFC Tap-to-Pay, Geldautomatenauszahlungen, Online-Banking-Login und die Bestätigung hochwertiger 3DS-Transaktionen. Der Verbraucher wird nie gefragt: "Möchten Sie einen Hardware-Authenticator?" Die Karte kommt einfach per Post.

5.2 Krypto und Self-Custody#

Krypto-Nutzer akzeptieren bereits die Notwendigkeit, Hardware zu nutzen. Ledger hat über 7 Millionen Nano-Geräte ausgeliefert und meldet laut der eigenen Unternehmensseite über 4 Milliarden USD an kumulierten Hardware-Umsätzen. Trezor hat über 2 Millionen Einheiten ausgeliefert. Security Keys haben auch seit langem eine feste Position im MFA-Bereich von Krypto-Börsen, wobei Coinbase, Kraken und Binance FIDO2-Keys unterstützen.

Die Integration von FIDO2 in ein Hardware-Wallet ist lediglich schrittweiser Entwicklungsaufwand. Ein 100-USD-Gerät, das ein Portfolio von 50.000 USD schützt, ist offensichtlich den Aufwand wert. Krypto bleibt die einzige Consumer-Kategorie, in der Nutzer Hardware aus eigener Initiative kaufen.

5.3 Besonders wertvolle Consumer-Konten#

Eine kleinere Gruppe von Verbrauchern schützt Konten, bei denen eine Übernahme irreversible Folgen hätte. Typische Beispiele sind primäre E-Mail-Adressen, staatliche Identity-Wallets, Creator-Konten auf YouTube oder Twitch und journalistische Zugänge. Googles Advanced Protection Program beschreibt diese Gruppe als "Nutzer mit hohem Risiko, wie Journalisten, Menschenrechtsaktivisten und Mitarbeiter in politischen Kampagnen."

OpenAI folgte im April 2026 demselben Playbook mit seinem Programm Advanced Account Security für ChatGPT und ging eine Partnerschaft mit Yubico für ein Co-Branding-YubiKey C NFC und YubiKey C Nano Zweierpack für etwa 68 USD ein. Das Programm deaktiviert die Anmeldung per Passwort und E-Mail oder SMS komplett und erfordert Passkeys oder physische Security Keys; es richtet sich an Journalisten, gewählte Funktionäre, Dissidenten und andere hochriskante ChatGPT-Nutzer. Es ist noch zu früh, um zu sagen, wie viele Nutzer 68 USD für diese zusätzliche Sicherheitsschicht bezahlen werden, aber es ist der bisher deutlichste Test, ob wertvolle Consumer-Konten die freiwillige Hardware-Adoption außerhalb von Krypto und Banking vorantreiben können.

Ciscos 2024 Cybersecurity Readiness Index stellt zudem fest, dass nur 3 Prozent der Organisationen über ein ausgereiftes Sicherheitsniveau verfügen. Der GAO 2024 Cybersecurity-Report stuft die Kontoübernahme als eines der fünf größten Cybersicherheitsrisiken auf Bundesebene ein, was den Pool der Verbraucher, die diesen Schutz benötigen, weit über die ursprüngliche journalistische Nische hinaus erweitert.

6. Warum Hardware allein nicht gewinnt#

Die beste Hardware zu besitzen, garantiert keine Marktanteile bei Verbrauchern. Es gibt fünf Lücken zwischen einem Hardware-Anbieter und einem End-to-End-Consumer-Produkt: Vertrieb, Onboarding, Recovery, geräteübergreifende Journeys und Auswertung. Jede dieser Lücken erfordert Fähigkeiten, die außerhalb des reinen Siliziumdesigns liegen.

1. Vertrieb: Hardware-Unternehmen haben keine wirkliche direkte Beziehung zu Verbrauchern. Theoretisch kann jeder einen YubiKey auf yubico.com bestellen, aber in der Praxis sind die Käufer Sicherheitsprofis, IT-Administratoren und eine kleine Gruppe von Enthusiasten. Dieser Kanal skaliert nicht für Mainstream-Verbraucher, die noch nie von der Marke gehört haben und nicht von selbst nach einem 50-USD-Authenticator suchen. Banken, Telekommunikationsunternehmen, Einzelhändler und OS-Anbieter sind die Parteien, die die Beziehung zum Verbraucher besitzen, also braucht ein Hardware-Anbieter auf Consumer-Ebene einen Partner oder einen White-Label-Deal.
2. Onboarding: Jeder Schritt, den der Verbraucher tun muss, um einen Passkey einzurichten, kostet Sie Nutzer. Reale Banking-Deployments berichten von Abbruchraten von 30 bis 60 Prozent über den gesamten Registrierungs-Funnel hinweg, was den Benchmarks des Baymard Institute zu Kaufabbrüchen entspricht.
3. Recovery: Ein Consumer-Produkt ohne Recovery-Strategie ist kaputt. Die Wiederherstellung erfordert Signale auf Account-Ebene, Identitätsverifizierung und Risikobewertung, die alle bei der Relying Party liegen.
4. Geräteübergreifende Journeys: Ein Nutzer meldet sich auf einem Telefon, einem Laptop, einem Smart-TV und in einem Auto an. Das hardware-gebundene Credential lebt nur auf einem Gerät. Sie brauchen also ein intelligentes Routing zwischen Hardware und synchronisierten Credentials, um Sackgassen zu vermeiden.
5. Auswertung: Hardware-Anbieter liefern in der Regel aus und das war's. Sie zählen verkaufte Einheiten und aktivierte Lizenzen. Sie sehen nicht, wenn die WebAuthn-Zeremonie fehlschlägt oder der Nutzer den NFC-Tap abbricht. Ohne Messung kann keine der anderen vier Lücken geschlossen werden.

Anbieter, die diese fünf Lücken innerhalb ihres eigenen Produkts schließen, werden zu End-to-End-Authentifizierungsplattformen. Anbieter, die das nicht tun, bleiben im Komponentengeschäft und verkaufen an die Plattformen anderer.

7. Was ist der echte Hebel? Adoption Engineering#

Adoption Engineering bedeutet, hardware-gebundene Passkeys mit Software zu kombinieren, die die Registrierung vorantreibt, jede Zeremonie misst und fehlerhafte Pfade umgeht. Keine dieser Aktivitäten hat mit Hardware zu tun. Alle vier sind erforderlich, um auf Consumer-Märkten zu gewinnen, und sie funktionieren nur als geschlossener Kreislauf. Das folgende Diagramm zeigt, wie die vier Aktivitäten ineinandergreifen.

Das FIDO Alliance Authentication Barometer 2024 berichtet, dass 53 Prozent der Verbraucher Passkeys für mindestens ein Konto aktiviert haben, aber die Aktivierung hardware-gebundener Passkeys bei regulierten Journeys liegt weiterhin unter 5 Prozent. Das ist eine 10-fache Lücke, und Adoption Engineering ist das, was sie schließt. Die W3C WebAuthn Working Group behandelt diese Lücke als Deployment-Problem, nicht als Spezifikations-Problem.

7.1 Telemetrie auf Funnel-Ebene#

Auf Funnel-Ebene misst Passkey Observability jeden einzelnen Schritt, von "Nutzer klickt auf Anmelden" bis "Session-Token ausgestellt". Ohne diese Instrumentierung kann ein Team nicht zwischen "Nutzer hat die Hardware-Option nicht gesehen", "Nutzer hat sie gesehen, das Gerät angetippt und NFC ist fehlgeschlagen" und "Nutzer hat die Zeremonie abgeschlossen, aber die Relying Party hat das Ergebnis abgelehnt" unterscheiden.

Funnel-Telemetrie liefert Ihnen die Metriken, die wirklich wichtig sind: Aktivierungsrate von Hardware-Passkeys, Erfolgsrate von Hardware-Passkeys nach Gerät, Zeit bis zum Abschluss und Abbruchrate nach Schritt. Die W3C WebAuthn Level 3 Spezifikation definiert 14 unterschiedliche Fehlercodes, die eine Zeremonie zurückgeben kann, aber die meisten Produktivsysteme erfassen weniger als fünf davon, laut FIDO Alliance Authenticate 2024 Deployment Talks.

7.2 Diagnose auf Session-Ebene#

Wenn eine einzelne Authentifizierung fehlschlägt, müssen Support-Teams genau sehen, was passiert ist. Diagnosen auf Session-Ebene erfassen den Transport (NFC, USB oder BLE), den CTAP-Fehlercode, den Browser, die OS-Version, den Gerätehersteller und das Timing jedes Schritts in der Zeremonie. Die FIDO CTAP 2.1 Spezifikation definiert über 20 Fehlercodes, die Authenticatoren zurückgeben können, und diese sind bestimmten Recovery-Aktionen des Nutzers in der W3C WebAuthn Level 3 Spezifikation zugeordnet.

Ohne diese Telemetrie sieht der Support-Mitarbeiter nur "Login fehlgeschlagen" und startet möglicherweise die Account-Wiederherstellung.

7.3 Device-Intelligent Routing#

Einige Kombinationen aus Gerät und Betriebssystem schlagen immer wieder fehl. Praxisdaten aus großen Deployments zeigen Abbruchraten von 40 bis 90 Prozent bei bestimmten fehlerhaften Kombinationen. Die gängigen Muster sind im Android Issue Tracker und in den Vorträgen der FIDO Alliance Authenticate 2024 dokumentiert.

Routing-Logik, die die Hardware-Option bei bekanntermaßen fehlerhaften Kombinationen ausblendet und auf den nächstbesten Weg zurückfällt, hält Nutzer aus dem Fehlerfall heraus. Aber Sie können diese Routing-Entscheidungen erst treffen, nachdem Observability-Daten die fehlerhaften Paare über die rund 24.000 verschiedenen Android-Gerätemodelle in der OpenSignal-Gerätedatenbank identifiziert haben.

7.4 Kontinuierliche Iteration mit Issuern#

Banken und Fintechs führen Piloten und vollständige Rollouts typischerweise in Zyklen von 6 bis 12 Monaten durch, laut Gartner Research zu Identity-Programmen. Die Plattform, die gewinnt, verwandelt Observability-Daten in wöchentliche Release Notes, Bugfixes und stetig steigende Erfolgsraten. Ein statisches Deployment mit vierteljährlichen Reviews verliert gegen kontinuierliche Iteration.

8. Wer gewinnt also wirklich das Consumer-Rennen?#

Kein reiner Hardware-Anbieter gewinnt das Consumer-Rennen. Drei Archetypen konkurrieren um die Rolle der Consumer-Authentifizierungsplattform: Banken und Issuer, Hardware-Anbieter, die Software-Ebenen aufbauen, und OS-Plattformen. Banken führen heute, weil sie die physische Distribution besitzen und regulatorische Rückendeckung durch PSD2 und NYDFS Part 500 haben. OS-Plattformen haben das Silizium bereits in jedem Smartphone und Laptop integriert, aber solange Apple und Google Passkeys standardmäßig synchronisieren, sind sie Konkurrenten bei synchronisierten Passkeys, nicht bei hardware-gebundenen.

8.1 Warum Banken heute führen#

Banken führen heute den Markt für hardware-gebundene Passkeys bei Verbrauchern an. Vier Vorteile sprechen für sie. Sie geben bereits physische Karten aus. Sie haben regulatorische Rückendeckung durch PSD2, PSD3, NYDFS Part 500, RBI und APRA CPS 234. Sie besitzen das Vertrauen der Verbraucher. Und sie können den Stückkostenaufschlag von 2 bis 5 USD über ihr Portfolio hinweg auffangen, so die öffentlichen Angaben der Smartcard-Hersteller.

Banken, die diese vier Vorteile mit Adoption Engineering kombinieren, sichern sich eine mehrjährige Kundenbindung von Passkey-fähigen Kunden. Banken, die ein Hardware-Produkt kaufen und annehmen, dass die Arbeit damit getan ist, landen bei denselben einstelligen Aktivierungsraten, die die Branche seit zwei Jahren meldet.

8.2 Was ist mit Hardware-Anbietern, die Software entwickeln?#

Der zweite Archetyp ist der Hardware-Anbieter, der auch einen Software-Layer baut. Mehrere Hersteller von Security Keys und Smartcards haben diesen Übergang begonnen, aber man muss genau hinsehen, welche Art von Software sie ausliefern. Die meisten dieser Produkte sind IAM, Fleet-Management oder Adaptive Authentication-Plattformen, nicht aber Funnel-basierte Passkey Observability, wie sie nötig wäre, um die Lücke in der Consumer-Akzeptanz zu schließen.

• Yubico hat die vollständigste Plattform aller Security Key-Anbieter gebaut. Ihr YubiKey as a Service-Abonnement kombiniert nutzerbezogene Lizenzierung, ein Kundenportal für Flotten- und Versandmanagement, FIDO Pre-reg, eine Enroll-App und ein SDK sowie globale Lieferung, integriert mit Okta, Microsoft Entra ID und Ping Identity. Das Produkt ist hauptsächlich eine Enterprise-Delivery- und Lifecycle-Lösung, keine Consumer-Adoption-Analytics.
• Thales kombiniert seine SafeNet eToken und Smartcard-Hardware mit SafeNet Trusted Access, einer Cloud Identity-as-a-Service Plattform mit SSO und Adaptive Authentication.
• OneSpan bündelt seine DIGIPASS-Hardware mit der OneSpan Cloud Authentication Plattform und Intelligent Adaptive Authentication, mit Fokus auf Banking und Fintech.
• HID Global liefert seine Crescendo-Smartcards zusammen mit dem HID Authentication Service und dem mobilen Authenticator HID Approve aus.
• CompoSecure erweitert seine Arculus FIDO2-Smartcard um eine Begleit-Wallet-App und ein Entwickler-SDK für Issuer.

Bisher erzielen die meisten dieser Anbieter den Großteil ihres Umsatzes immer noch mit Hardware. Anbieter, die ihren Software-Stack von Geräte-Delivery und IAM auf echte Zeremonie-basierte Passkey Observability erweitern, können die Akzeptanz End-to-End treiben. Anbieter, die das nicht tun, bleiben als Komponentenlieferanten im Enterprise-Bereich stecken.

8.3 Was ist mit OS-Plattformen?#

OS-Plattformen sind ein Sonderfall. Die Hardware existiert – die Apple Secure Enclave, Android StrongBox und der Pluton Chip in Windows 11 stecken in jedem verkauften Gerät – aber die Standard-Passkey-Policy bei Apple und Google ist die Synchronisation, sodass Verbraucher ab Werk nie ein echtes hardware-gebundenes Credential erhalten. iCloud Keychain und Google Password Manager kopieren den Schlüssel geräteübergreifend, was das für den Nutzer sichtbare Verhalten identisch zu einem synchronisierten Passkey macht. Microsofts TPM-gebundenes Windows Hello ist das einzige Consumer Secure Element, das Schlüssel lokal hält, aber Edge bewegt sich ebenfalls in Richtung Synchronisation, und wir schließen Windows Hello aus dem Consumer-Rennen um hardware-gebundene Passkeys aus, da es keinen separaten Hardware-Kauf erfordert.

Theoretisch könnten Apple, Google oder Microsoft die Kategorie neu definieren, indem sie plattformgebundene, nicht synchronisierende Passkeys mit derselben polierten UX wie synchronisierte Passkeys anbieten. Es gibt keine öffentlichen Anzeichen dafür, dass sie das planen. Solange Sync der Standard bleibt, sind die OS-Plattformen Konkurrenten bei synchronisierten Passkeys, nicht bei hardware-gebundenen, und dedizierte Security Keys plus FIDO2-Smartcards bleiben der einzige echte Hardware-Weg für Verbraucher.

8.4 Wie sieht das echte Rennen aus?#

Das wahre Rennen lautet nicht "Security Key versus Smartcard". Die wirkliche Frage ist, wer die Consumer-Authentifizierungsplattform baut, die Hardware dort, wo es wichtig ist, mit Software, Daten und Adoption Engineering überall sonst kombiniert. Basierend auf der Keynote der FIDO Alliance Authenticate 2024 sind die wahrscheinlichen Gewinner in den nächsten drei bis fünf Jahren:

• Drei bis fünf große Banken und Zahlungsnetzwerke, die FIDO2-Smartcards zur Standarderfahrung für Verbraucher machen.
• Ein oder zwei Hardware-Anbieter, die erfolgreich den Übergang zu Authentifizierungsplattformen mit echten Analysen auf Zeremonie-Ebene schaffen, nicht nur IAM und Flottenmanagement.
• Programme für besonders wertvolle Konten wie Google's Advanced Protection und OpenAI's Advanced Account Security, sofern sie beweisen, dass 5 bis 10 Prozent der Nutzer tatsächlich für Hardware bezahlen, wenn sie dafür einen stärkeren Kontoschutz erhalten.

Reine Hardware-Unternehmen, die auch reine Hardware-Unternehmen bleiben, werden das Consumer-Rennen wahrscheinlich nicht gewinnen. Sie enden als Siliziumlieferanten innerhalb der Plattform eines anderen. Das ist ein gesundes Geschäft und ein echter Burggraben im Enterprise-Bereich, aber es ist keine Dominanz auf dem Consumer-Markt.

9. Was sollten Banken, Issuer und Produktteams als nächstes tun?#

Für jedes Produktteam, das in den nächsten 12 Monaten hardware-gebundene Passkeys evaluiert, sind drei Aktionen entscheidend, basierend auf dem FIDO Alliance Deployment Playbook und dem Gartner Identity Leitfaden. Wählen Sie den Use Case, bei dem Hardware tatsächlich gewinnt. Kombinieren Sie jedes Hardware-Deployment mit Adoption Engineering. Und bauen Sie den Daten-Feedback-Loop vom ersten Tag an auf.

1. Den richtigen Use Case wählen: Hochwertige Transaktionsbestätigung, Step-up Authentication auf regulierten Journeys und Account-Recovery für Hochrisiko-Segmente. Drängen Sie Hardware nicht in das allgemeine Consumer-Login.
2. Hardware mit Adoption Engineering kombinieren: Instrumentierung, Fehlerbehandlung für Native Apps, Device-Intelligent Routing und explizite Messung gegen eine Basislinie von synchronisierten Passkeys.
3. Den Datenkreislauf früh aufbauen: Integrieren Sie Funnel-Telemetrie bereits beim ersten Piloten, nicht erst nach dem Rollout. Teams, die sehen, welcher Android-Hersteller, welche iOS-Version und welche Browserkombination den Erfolg des Taps ruiniert, können in Wochen iterieren. Teams, die das nicht tun, sind auf Anekdoten angewiesen und müssen auf Support-Tickets warten.

Für Hardware-Anbieter ist die Botschaft noch schärfer. Entscheiden Sie, ob das Unternehmen ein Komponentenlieferant bleibt oder eine Plattform aufbaut. Beides ist machbar. Der Versuch, beides zu tun, ohne sich voll zu verpflichten, führt zu einer unterfinanzierten Plattforminvestition und einer abgelenkten Silizium-Roadmap.

10. Fazit#

Hardware-gebundene Passkeys sind immer noch der einzige Consumer-Credential-Typ, der NIST AAL3 erreicht, einer Kompromittierung des Cloud-Kontos standhält und die strengste Auslegung von PSD2, PSD3 und ähnlichen Regulierungen klar erfüllt. Die Technologie ist solide. Das Silizium ist stark. Die Standards sind ausgereift.

Was die Technologie jedoch nicht allein schaffen kann, ist die Akzeptanz bei Verbrauchern zu gewinnen. Apple und Google kontrollieren die OS- und Browser-Ebene. Banken und Issuer kontrollieren die Endkunden-Distribution. Hardware-Anbieter kontrollieren das Silizium. Das Consumer-Rennen gewinnt der Akteur, der alle drei Aspekte über eine Software-Plattform vereint, die die Akzeptanz treibt, jede Zeremonie misst und die Lücken umgeht.

Das Erfolgsrezept lautet: Hardware plus Passkey Observability plus kontinuierliches Adoption Engineering. Der Anbieter oder Issuer, der alle drei liefert, schreibt das Consumer-Playbook für das nächste Jahrzehnt. Alle anderen verkaufen lediglich Komponenten für die Plattformen der anderen.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen (FAQ)#

Was ist der Unterschied zwischen hardware-gebundenen Passkeys und synchronisierten Passkeys für Verbraucher?#

Hardware-gebundene Passkeys speichern den privaten Schlüssel in einem physischen Secure Element, etwa einem Security Key, einer FIDO2-Smartcard oder einem eingebauten TPM-Chip. Der Schlüssel verlässt diese Hardware nie. Synchronisierte Passkeys leben in iCloud Keychain, Google Password Manager oder einem Drittanbieter-Manager und werden über die Cloud auf Ihre Geräte kopiert. Hardware-gebundene Passkeys erreichen NIST AAL3, da der private Schlüssel nicht exportiert werden kann. Synchronisierte Passkeys sind auf AAL2 beschränkt, da der Cloud-Sync-Weg den Schlüssel wiederherstellbar macht. Diese eine Stufe Unterschied ist für Regulierungsbehörden in den Bereichen Banking, Behörden und Gesundheitswesen sehr wichtig.

Warum haben sich Hardware-Security-Keys bei Verbrauchern trotz der Passkey-Einführung noch nicht als Standard etabliert?#

Apple und Google kontrollieren die Betriebssysteme und Browser, die von über 99 Prozent der Verbraucher genutzt werden (laut StatCounter). Beide priorisieren ihre eigenen synchronisierten Credential-Manager in WebAuthn-Prompts. Hardware-Authenticatoren sind in jedem Standardablauf ein bis drei Klicks tiefer versteckt, wie die Dokumentationen zu Apple AuthenticationServices und Android Credential Manager zeigen. Das NFC-Verhalten auf Android ist über die verschiedenen Smartphone-Hersteller hinweg fragmentiert, und die Conditional UI wählt standardmäßig synchronisierte Credentials. Darüber hinaus werden die meisten Verbraucher keine 40 bis 80 USD für einen separaten Authenticator bezahlen, es sei denn, ein Dienst zwingt sie dazu.

Welche Use Cases rechtfertigen einen hardware-gebundenen Passkey für Verbraucher?#

Drei Kategorien bieten Verbrauchern genug Motivation. Die erste ist Banking und Payments, wo PSD2, PSD3, RBI in Indien und APRA CPS 234 in Australien eine starke Kundenauthentifizierung fordern. Die zweite ist Krypto und Self-Custody, wo der Verlust eines Schlüssels den Verlust der Gelder bedeutet und wo Ledger und Trezor bereits über 9 Millionen Geräte ausgeliefert haben. Die dritte sind besonders wertvolle Konten, einschließlich primärer E-Mail, staatlicher Identity-Wallets und Creator-Konten, bei denen eine Übernahme irreversible Folgen hat. Googles Advanced Protection Program und OpenAIs Advanced Account Security für ChatGPT (gestartet im April 2026 mit einem Co-Branding YubiKey Zweierpack für rund 68 USD) richten sich beide an diese Zielgruppe. Außerhalb dieser drei Kategorien gewinnen meist synchronisierte Passkeys.

Wie passen FIDO2-Smartcards in das Consumer-Rennen um Hardware-Passkeys?#

Smartcard-Hersteller wie CompoSecure (das laut seinem 10-K-Filing jährlich über 100 Millionen Zahlungskarten aus Metall ausliefert und Arculus als sein FIDO2-Produkt anbietet) und IDEMIA bauen NFC-Smartcards mit Secure Elements, die FIDO2-Credentials hosten können. Verbraucher tragen bereits eine Kreditkarte bei sich. Wenn man dieser Karte einen hardware-gebundenen Passkey hinzufügt, entfällt die Notwendigkeit für ein separates Gerät. Banken, Neobanken und Krypto-Verwahrer können dann Authentifizierung, Zahlung und Step-up in einem Formfaktor zusammenfassen. Die Schwierigkeiten bestehen darin, den NFC-Tap über iOS- und Android-Browser hinweg zuverlässig zu machen und Issuer davon zu überzeugen, die Mehrkosten von 2 bis 5 USD pro Karte zu tragen.

Was ist nötig, um den Markt für hardware-gebundene Passkeys für Verbraucher wirklich zu gewinnen?#

Gute Hardware ist notwendig, aber nicht genug. Der Gewinner kombiniert einen glaubwürdigen Hardware-Formfaktor mit einer Intelligence-Plattform, die jeden Schritt der Registrierung und Authentifizierung misst, fehlerhafte Kombinationen von Gerät und Betriebssystem umgeht und den Issuern beweist, dass Betrugs- und Supportkosten sinken. Ohne Passkey Observability auf Funnel-Ebene können Anbieter und Banken nicht erkennen, dass 60 Prozent der Nutzer den NFC-Tap abbrechen (ein Muster, das in den Vorträgen der FIDO Alliance Authenticate 2024 dokumentiert wurde) oder dass die Conditional UI den Prompt stillschweigend geschluckt hat, wie in der W3C WebAuthn Level 3 Spezifikation beschrieben. Das Rennen wird durch Daten und Software entschieden, nicht dadurch, welcher Key die stärkste Titanium-Hülle hat.