---
url: 'https://www.corbado.com/de/blog/hardware-gebundene-passkeys-verbraucher'
title: 'Hardware-gebundene Passkeys: Das wahre Rennen ist die Nutzerakzeptanz'
description: 'Wer gewinnt das Consumer-Rennen um hardware-gebundene Passkeys? Ein Vergleich von Security Keys, FIDO2 Smartcards und Krypto-Wallets und warum Akzeptanz wichtiger ist als reine Hardware.'
lang: 'de'
author: 'Vincent Delitz'
date: '2026-05-19T12:05:33.695Z'
lastModified: '2026-05-19T12:28:40.925Z'
keywords: 'hardware-gebundene passkeys, hardware key vs passkey, beste hardware passkeys, yubikey passkeys verbraucher, arculus smartcard passkeys, fido2 smartcard banking, synchronisierte vs gerätegebundene passkeys'
category: 'Passkeys Strategy'
---

# Hardware-gebundene Passkeys: Das wahre Rennen ist die Nutzerakzeptanz

## Key Facts

- Hardware-gebundene Passkeys erreichen NIST AAL3. Synchronisierte Passkeys sind auf AAL2 beschränkt, da Cloud-Sync die Schlüssel exportierbar macht.
- iOS und Android haben über 99 Prozent Marktanteil bei Mobilgeräten, laut StatCounter. Beide verstecken Hardware-Authenticatoren 1 bis 3 Klicks tiefer als synchronisierte Anmeldedaten.
- Yubico hat seit 2008 über 30 Millionen YubiKeys ausgeliefert. CompoSecure liefert jährlich über 100 Millionen Metallkarten aus. IDEMIA produziert jährlich über 3 Milliarden Secure Elements.
- Die Aktivierungsrate von hardware-gebundenen Passkeys im Consumer-Banking liegt Monate nach dem Launch immer noch unter 5 Prozent, so das FIDO Alliance Authentication Barometer 2024.
- Ledger hat über 7 Millionen Wallets ausgeliefert, Trezor über 2 Millionen. Krypto-Self-Custody ist der einzige Consumer-Bereich, in dem Nutzer Hardware von sich aus kaufen.
- Das Rennen gewinnt nicht die stärkste Hardware. Es gewinnt der Akteur, der Hardware mit Adoption Engineering und Passkey Observability kombiniert.

## 1. Einleitung: Wer gewinnt das Consumer-Rennen?

Hardware-gebundene Passkeys sind der sicherste Weg zum Login, aber in Consumer-Apps nutzt sie fast niemand. Hersteller von [Security Keys](https://www.corbado.com/glossary/security-key) und [Smartcards](https://www.corbado.com/glossary/smart-card) treiben diesen Formfaktor seit Jahren voran. Dennoch zeigt das [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/), dass die Aktivierung von hardware-gebundenen Passkeys im Consumer-[Banking](https://www.corbado.com/passkeys-for-banking) im Jahr 2025 weiterhin unter 5 Prozent liegt.

Der Grund ist einfach: Apple und Google kontrollieren laut [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide) über 99 Prozent des mobilen Marktanteils und entscheiden, welche Passkey-Art der User zuerst sieht. Das Consumer-Rennen wird also nicht das Unternehmen mit dem stärksten Key gewinnen. Gewinnen wird das Unternehmen, das Hardware mit Software, Daten und cleverer Distribution kombiniert.

### 1.1 Terminologie: Hardware-gebundene vs. synchronisierte Passkeys

Hardware-gebundene Passkeys sind [FIDO2](https://www.corbado.com/glossary/fido2)-Anmeldedaten, deren privater Schlüssel sicher in einem physischen Secure Element verschlossen bleibt. Der Schlüssel verlässt das Gerät nie. [Synchronisierte Passkeys](https://www.corbado.com/blog/device-bound-synced-passkeys) nutzen dieselbe [FIDO2](https://www.corbado.com/glossary/fido2)-Kryptographie, kopieren den Schlüssel jedoch über [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain), [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) oder einen Passwortmanager von Drittanbietern auf Ihre anderen Geräte. Die [W3C WebAuthn Level 3 Spezifikation](https://www.w3.org/TR/webauthn-3/) behandelt beide als denselben Credential-Typ, jedoch mit unterschiedlichen Speicherrichtlinien. In der Branche werden hardware-gebundene Passkeys auch "[gerätegebundene Passkeys](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)" oder "hardware-bound WebAuthn Credentials" genannt. Dieser Artikel verwendet alle drei Begriffe als Synonyme.

Ein häufiges Missverständnis ist, dass jeder Passkey, der durch ein Secure Element auf einem Smartphone oder Laptop geschützt ist, automatisch hardware-gebunden sei. In der Praxis hosten die [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) und die [Android StrongBox](https://source.android.com/docs/security/features/keystore) Passkeys, die standardmäßig über [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) oder [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) synchronisiert werden, sodass der private Schlüssel über die Cloud wiederherstellbar ist. Das einzige Secure Element für Consumer, das den Schlüssel heute noch streng lokal hält, ist das [Windows Hello](https://www.corbado.com/glossary/windows-hello) TPM, und selbst Microsoft bewegt sich in Edge in Richtung Synchronisation. Da [Windows Hello](https://www.corbado.com/glossary/windows-hello) keinen zusätzlichen Hardware-Kauf erfordert und fest in den Laptop integriert ist, schließen wir es in diesem Artikel aus dem Rennen um Consumer-Hardware aus und konzentrieren uns auf dedizierte Security Keys, FIDO2 Smartcards und Krypto-Wallets.

Dieser einzige Unterschied – ob der Schlüssel die Hardware verlassen kann – bestimmt fast alle nachgelagerten Eigenschaften, vom [NIST](https://www.corbado.com/blog/nist-passkeys)-Sicherheitsniveau bis zum Recovery-Prozess. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) stuft hardware-gebundene Passkeys in [AAL3](https://www.corbado.com/blog/nist-passkeys), die höchste Stufe, ein, während synchronisierte Passkeys auf [AAL2](https://www.corbado.com/blog/nist-passkeys) begrenzt sind. Dieser Unterschied ist für Regulierungsbehörden wichtig, die eine strikte Bindung an einen Besitzfaktor fordern, darunter [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI 2024 und APRA CPS 234.

### 1.2 Warum synchronisierte Passkeys den Standardplatz erobert haben

Synchronisierte Passkeys wurden zum Standard, weil Apple und Google sie zuerst eingeführt haben und die Anzeige im Browser kontrollieren. Apple brachte den [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)-Passkey-Support 2021 auf den Markt, [Google Password Manager](https://www.corbado.com/blog/passkeys-vs-password-managers) folgte 2022, und beide nutzten WebAuthn [Conditional UI](https://www.corbado.com/glossary/conditional-ui), um synchronisierte Credentials direkt in der Autofill-Leiste anzuzeigen. Ein Hardware-[Authenticator](https://www.corbado.com/glossary/authenticator) ist in jedem Standardablauf ein bis drei Klicks tiefer versteckt.

Das [FIDO Alliance Online Authentication Barometer 2024](https://fidoalliance.org/content/research/) berichtet, dass 64 Prozent der Verbraucher weltweit Passkeys wahrgenommen haben und 53 Prozent Passkeys für mindestens ein Konto aktiviert haben. Fast alle dieser Registrierungen sind synchronisiert.

### 1.3 Wo das Consumer-Rennen wirklich stattfindet

In diesem Artikel bedeutet "Consumer" CIAM. Wir sprechen über externe Kunden, die sich bei einer Bank, einer Krypto-Börse, einem [Regierungs](https://www.corbado.com/passkeys-for-public-sector)-[Wallet](https://www.corbado.com/blog/digital-wallet-assurance) oder einer Creator-Plattform einloggen. Wir sprechen nicht über Workforce-Logins, bei denen hardware-gebundene Passkeys bereits dominieren. Die spannende Frage ist, welche Consumer Journeys sich als nächstes öffnen und welcher Akteur dort zuerst ankommt.

Das Rennen umfasst zwei Formfaktoren, die Verbraucher tatsächlich erwerben müssen, und drei Vertriebswege.

- **Formfaktoren**: USB- oder [NFC-Security Keys](https://www.corbado.com/blog/best-fido2-hardware-security-keys) und in [Bezahlkarten](https://www.corbado.com/passkeys-for-payment) integrierte FIDO2-[Smartcards](https://www.corbado.com/blog/best-fido2-smartcards). Krypto-Hardware-[Wallets](https://www.corbado.com/blog/digital-wallet-assurance) stehen als dritte Nischenkategorie daneben.
- **Vertriebswege**: Direktverkauf an Verbraucher, Geräte, die von Banken oder [Behörden](https://www.corbado.com/passkeys-for-public-sector) an ihre Nutzer verschickt werden, sowie Krypto-Wallets, die von Self-Custody-Nutzern gekauft werden.

### 1.4 Die These dieses Artikels

Gute Hardware ist notwendig, aber sie reicht nicht mehr aus. Der Anbieter mit dem stärksten Chip wird nicht automatisch die Verbraucher für sich gewinnen. Die echten Hürden liegen oberhalb des Siliziums: Browser-Prompts, NFC-Stacks auf verschiedenen [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Smartphones, Recovery-Design und der Vertrieb an Endkunden. Der Gewinner wird das Unternehmen sein, das Hardware mit Adoption Engineering und [Passkey Observability](https://www.corbado.com/blog/authentication-observability) kombiniert.

Der Rest dieses Artikels beleuchtet die Geschichte, die Akteure, die Blockaden, reale Use Cases und ein praktisches Playbook für jedes Unternehmen, das den Sprung aus dem Enterprise-Segment in den Consumer-Markt schaffen möchte.

## 2. Wie kam es zu Hardware-Authenticatoren?

Hardware-gebundene Anmeldedaten sind nichts Neues. Sie sind etwa 30 Jahre älter als FIDO. PKI-Smartcards hielten in den 1990er Jahren Einzug bei [Regierungsbehörden](https://www.corbado.com/passkeys-for-public-sector), festgeschrieben durch den [NIST FIPS 201 PIV Standard](https://csrc.nist.gov/publications/detail/fips/201/3/final). RSA SecurID Tokens folgten für Enterprise-VPNs. EMV-Chip-und-PIN-Karten erreichten den [Zahlungsverkehr](https://www.corbado.com/passkeys-for-payment) im Jahr 2002. [EMVCo](https://www.emvco.com/about/) meldet heute über 12 Milliarden EMV-Karten im Umlauf, was den Chip auf einer [Bezahlkarte](https://www.corbado.com/passkeys-for-payment) zur größten jemals eingesetzten Hardware-Kryptographieplattform macht.

Dieselbe Lieferkette für Secure Elements, betrieben von IDEMIA, Thales und Infineon mit über 3 Milliarden Chips jährlich, produziert heute das Silizium in FIDO2-Smartcards. Die drei Branchenverschiebungen, die Hardware-[Authenticatoren](https://www.corbado.com/glossary/authenticator) zu FIDO2 brachten, geschahen in nur vier Jahren, zwischen 2014 und 2018.

### 2.1 Von U2F zu FIDO2 (2014 bis 2018)

Die [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) brachte FIDO U2F 2014 auf den Markt, mit den ersten Hardware-Token von verschiedenen Herstellern von [Security Keys](https://www.corbado.com/glossary/security-key). Google stattete bis 2017 über 89.000 Mitarbeiter mit U2F-Keys aus und meldete im darauffolgenden Jahr null [Phishing](https://www.corbado.com/glossary/phishing)-bedingte Account-Übernahmen, laut [Krebs on Security](https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/). Aber U2F war nur ein zweiter Faktor. Nutzer brauchten weiterhin ein Passwort und das Berühren der Hardware war nur ein zusätzlicher Schritt. Der Formfaktor blieb auf Unternehmen beschränkt: kleine USB-Keys für Google-Mitarbeiter, [Regierungsbehörden](https://www.corbado.com/passkeys-for-public-sector) und eine Handvoll Krypto-Börsen.

[FIDO2](https://www.corbado.com/glossary/fido2) und [WebAuthn](https://www.w3.org/TR/webauthn-3/) änderten dies 2018, indem sie U2F in ein echtes passwortloses Framework verwandelten. Dasselbe Secure Element, das früher einen zweiten Faktor schützte, konnte nun als primäres Login-Credential dienen.

### 2.2 Markenwechsel zu Passkey (2022)

Im Mai 2022 starteten Apple, Google, Microsoft und die [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) gemeinsam die Marke "Passkey" auf der [FIDO Alliance Authenticate Konferenz](https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/). Die Idee war ein einziges, einfaches Wort, das Verbraucher sowohl für synchronisierte als auch für gerätegebundene FIDO2-Credentials verstehen könnten.

Apple führte den [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)-Passkey-Support im September 2022 mit [iOS](https://www.corbado.com/blog/webauthn-errors) 16 ein, laut [Apples Entwickler-Release-Notes](https://developer.apple.com/passkeys/). Google folgte im Oktober 2022 ab [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 9, laut seinem [Identity Blog](https://blog.google/technology/safety-security/passkeys-google-account/).

[Microsoft](https://www.microsoft.com/) war hier der Nachzügler. [Windows Hello](https://www.corbado.com/glossary/windows-hello) hatte zwar seit 2015 TPM-gebundene Anmeldedaten geliefert, laut der [Windows Hello Dokumentation](https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/), aber Consumer-Konten konnten Passkeys jahrelang nicht [geräteübergreifend synchronisieren](https://www.corbado.com/blog/passkeys-sharing). Microsoft fügte erst im Mai 2024 Passkey-Support für private Microsoft-Konten hinzu, und synchronisierte Passkeys im [Microsoft Edge Password Manager](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-passkeys) folgten erst 2025. Während Apple und Google also einen Vorsprung von zwei bis drei Jahren bei synchronisierten Passkeys für Consumer hatten, holt Microsoft bei der geräteübergreifenden Synchronisierung im eigenen Browser immer noch auf.

Hardware-Anbieter erwarteten, dass dieses große Rebranding der vier Tech-Giganten die Nachfrage nach Security Keys und Smartcards steigern würde. Das geschah nicht. Synchronisierte Passkeys zogen fast alle neuen Consumer-Registrierungen auf sich, laut dem [FIDO Alliance Barometer](https://fidoalliance.org/content/research/).

### 2.3 Aufteilung in zwei Richtungen

Innerhalb von 18 Monaten spaltete sich das Ökosystem in zwei klare Richtungen. Die Consumer-Spur wurde von synchronisierten Passkeys dominiert, bei denen Apple und Google den Standardablauf um ihre eigenen Manager herum aufbauten. Die Enterprise-Spur wurde von hardware-gebundenen Passkeys dominiert, bei denen IT-Abteilungen Security Keys oder [FIDO2-Smartcards](https://www.corbado.com/blog/best-fido2-smartcards) für die Workforce Identity kauften. Die [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) schätzt diesen Unternehmensmarkt auf über 1 Milliarde USD an jährlichen Ausgaben für Hardware-[Authenticatoren](https://www.corbado.com/glossary/authenticator).

Die Hardware-Anbieter haben den Consumer-Markt nie aufgegeben. Die wirkliche Frage ist, ob sie noch einen glaubwürdigen Weg haben oder ob die OS-Ebene sie endgültig ausgesperrt hat.

## 3. Wer konkurriert im Consumer-Rennen?

Zwei Formfaktoren kämpfen um den Platz. Security Keys führen beim Direktverkauf an Enthusiasten und Unternehmen. Smartcards haben den größten Vertriebskanal über Banken: Jedes Jahr werden laut [EMVCo-Statistiken](https://www.emvco.com/about/) über 1,5 Milliarden EMV-Karten ausgegeben.

Die konkurrierenden Anbieter teilen sich in zwei Lager auf. [Security Key](https://www.corbado.com/glossary/security-key)-Hersteller verkaufen USB- oder NFC-Keys direkt an Endnutzer und Unternehmen. [Smartcard](https://www.corbado.com/glossary/smart-card)- und Secure-Element-Hersteller bauen die Chips und Karten, die von Banken herausgegeben werden. Jedes Lager hat ein anderes Problem mit den Stückkosten, und keines hat die Lücke im Consumer-Vertrieb im Alleingang geschlossen.

### 3.1 Wer führt beim Security Key Formfaktor?

Mehrere Security Key-Hersteller konkurrieren in diesem Segment. Moderne Security Keys unterstützen typischerweise FIDO2, FIDO U2F, Smartcard-PIV, OpenPGP und OTP über USB-A, USB-C, NFC und Lightning, einige verfügen zusätzlich über einen Fingerabdrucksensor. Die folgende Tabelle gibt einen Überblick über die relevantesten Anbieter im Consumer- und Enterprise-Markt.

| **Anbieter** | **Hauptsitz** | **Bekannte Produkte** | **Anschlüsse** | **Fokus / Besonderheit** |
| --- | --- | --- | --- | --- |
| [Yubico](https://www.yubico.com/) | Schweden / USA | YubiKey 5, YubiKey Bio, Security Key | USB-A, USB-C, NFC, Lightning | Größte Direct-to-Consumer Marke, breite Protokollunterstützung |
| [Feitian](https://www.ftsafe.com/) | China | ePass, BioPass, MultiPass | USB-A, USB-C, NFC, BLE | Größter Konkurrent nach globalem Volumen, OEM für Google Titan |
| [Token2](https://www.token2.com/) | Schweiz | T2F2, Bio3 | USB-A, USB-C, NFC | Erschwinglich, PIN+- und biometrische Varianten |
| [Google](https://cloud.google.com/titan-security-key) | USA | Titan Security Key | USB-C, NFC | Verankert das Google Advanced Protection Programm, hergestellt von Feitian |
| [OneSpan](https://www.onespan.com/) | USA | DIGIPASS FX1 BIO | USB-A, USB-C, NFC, BLE | Banking-Fokus, optionaler Fingerabdrucksensor |
| [Identiv](https://www.identiv.com/) | USA | uTrust FIDO2 | USB-A, USB-C, NFC | Erfahrung in Enterprise- und Regierungs-Smartcards |
| [Kensington](https://www.kensington.com/) | USA | VeriMark Guard | USB-A, USB-C | Biometrische Fingerabdruckleser, breiter Einzelhandelsvertrieb |

Ein einzelnes Gerät kostet 40 bis 80 USD gemäß den Preisen der Hersteller, was im Unternehmensumfeld machbar ist, aber die Akzeptanz auf Consumer-Ebene abtötet. Die NFC-, Recovery- und Distributionsprobleme, die mit diesem Preisschild einhergehen, werden in Abschnitt 4 im Detail behandelt.

### 3.2 Wer führt beim Smartcard Formfaktor?

[Smartcard](https://www.corbado.com/glossary/smart-card)-Hersteller konkurrieren im Segment der von Banken ausgegebenen FIDO2-Karten. Die Anbieterlandschaft unterteilt sich in Kartenhersteller und Chiplieferanten. Kartenhersteller wie [CompoSecure](https://www.compositionusa.com/) (die ihr [Arculus](https://www.arculus.co/) FIDO2-Produkt ausliefern), [IDEMIA](https://www.idemia.com/), NagraID, [Feitian](https://www.ftsafe.com/) und TrustSEC produzieren die FIDO2-Karten selbst. Chiplieferanten, die drei Secure-Element-Riesen [IDEMIA](https://www.idemia.com/), [Thales](https://www.thalesgroup.com/) und [Infineon](https://www.infineon.com/), fertigen die Secure Elements im Inneren der meisten Karten. [IDEX Biometrics](https://www.idexbiometrics.com/) liefert den On-Card-Fingerabdrucksensor, der eine Smartcard in eine [biometrische Smartcard](https://www.corbado.com/blog/best-fido2-smartcards) verwandelt.

Der Vertrieb an Karten-[Issuer](https://www.corbado.com/glossary/issuer) ist durch die bestehende Lieferkette für [Bezahlkarten](https://www.corbado.com/passkeys-for-payment) bereits gelöst. Die Herausforderung besteht darin, die [Issuer](https://www.corbado.com/glossary/issuer) davon zu überzeugen, die zusätzlichen Stückkosten zu tragen und sicherzustellen, dass das Antippen über NFC zuverlässig über alle Geräte hinweg funktioniert.

Eine FIDO2-Smartcard kostet 2 bis 5 USD zusätzlich zu den 5 bis 15 USD Basiskosten für einen Kartenkörper aus Metall oder mit Biometrie. Laut [Juniper Research 2024](https://www.juniperresearch.com/) werden die Auslieferungen von biometrischen Bezahlkarten bis 2027 weltweit 140 Millionen Stück überschreiten.

### 3.3 Was ist mit hybriden und angrenzenden Ansätzen?

Einige andere Produkte konkurrieren um denselben Use Case, ohne sauber in einen der beiden Formfaktoren zu passen. [Ledger](https://www.ledger.com/) hat über 7 Millionen Nano-[Wallets](https://www.corbado.com/blog/digital-wallet-assurance) ausgeliefert, und [Trezor](https://trezor.io/) über 2 Millionen. Beide bieten FIDO2 als sekundäres Feature zusätzlich zur Krypto-Speicherung an. Secure Elements in Smartphones wie die [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) und [Android StrongBox](https://source.android.com/docs/security/features/keystore) schützen den privaten Schlüssel technisch gesehen mit Hardware, aber Apple und Google synchronisieren Passkeys standardmäßig über [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) und Google Password Manager, sodass das für den Nutzer sichtbare Verhalten das eines [synchronisierten Passkeys](https://www.corbado.com/blog/device-bound-synced-passkeys) ist, nicht das eines hardware-gebundenen. Wearable-[Authenticatoren](https://www.corbado.com/glossary/authenticator) wie der [Token Ring](https://www.tokenring.com/) und Mojo Vision Ringe blieben laut öffentlichen Erklärungen bei unter 100.000 ausgelieferten Einheiten.

Mit anderen Worten: Das Consumer-Rennen ist in Wirklichkeit ein Zweikampf zwischen Security Keys und Smartcards, mit Krypto-[Wallets](https://www.corbado.com/blog/digital-wallet-assurance) als dritter Vertikale und Wearables als Randerscheinung (unter 1 Prozent).

## 4. Was blockiert die Consumer-Akzeptanz?

Vier strukturelle Hürden blockieren die [Passkey-Adoption](https://www.corbado.com/blog/passkey-adoption-business-case) von hardware-gebundenen Lösungen in Consumer-Märkten: Die Hierarchie der OS- und Browser-Prompts, NFC-Fragmentierung auf [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), schwieriges Recovery nach Geräteverlust und die Kosten für den Direktverkauf. Keine dieser Hürden kann von einem Hardware-Anbieter allein gelöst werden.

### 4.1 OS- und Browser-Hierarchie

Apples [AuthenticationServices](https://developer.apple.com/documentation/authenticationservices) wählt standardmäßig iCloud Keychain. Selbst wenn eine [Relying Party](https://www.corbado.com/glossary/relying-party) `authenticatorAttachment` auf `cross-platform` setzt, muss der Nutzer zuerst das Plattform-Menü wegklicken. Googles [Credential Manager](https://developer.android.com/identity/sign-in/credential-manager) macht auf Android genau dasselbe mit dem [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). [Safari und Chrome halten zusammen rund 84 Prozent des Marktanteils bei mobilen Browsern](https://gs.statcounter.com/browser-market-share/mobile/worldwide) laut StatCounter, sodass zwei Anbieter faktisch die Prompt-UX für das gesamte Consumer-Web vorgeben.

Browser investieren zudem zu wenig in die UX von Hardware-Keys, weil über 99 Prozent der Verbraucher keinen dedizierten Security Key besitzen, basierend auf aggregierten Auslieferungsdaten im Vergleich zum globalen Mobile-Anteil bei [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide). Das schafft einen Teufelskreis: Schlechte UX führt zu geringer Akzeptanz. Geringe Akzeptanz bedeutet fehlende Investitionen. Fehlende Investitionen führen zu schlechter UX.

### 4.2 NFC-Fragmentierung auf Android

Das NFC-Verhalten auf Android variiert stark zwischen den Herstellern. [Samsung](https://www.corbado.com/blog/samsung-passkeys), [Xiaomi](https://www.mi.com/global/), [Oppo](https://www.oppo.com/) und [Google Pixel](https://store.google.com/category/phones) liefern alle unterschiedliche NFC-Stacks auf Basis des [Android Open Source](https://source.android.com/) Projekts aus. Einige Android 14-Builds haben sogar die Unterstützung für [Passkey-Provider](https://www.corbado.com/blog/passkey-providers) von Drittanbietern in 2024 für mehrere Monate unbrauchbar gemacht, laut [Android Issue Tracker](https://issuetracker.google.com/). Eine FIDO2-Smartcard, die problemlos an einem Pixel 8 funktioniert, schlägt an einem Galaxy S23 Ultra möglicherweise fehl und verhält sich an einem Xiaomi 14 wieder anders. Und kein zentrales Testprogramm des [Google Android Compatibility Program](https://source.android.com/docs/compatibility/overview) fängt diese Fehler ab, bevor sie die Verbraucher erreichen.

### 4.3 Recovery und Verlust

Synchronisierte Passkeys werden automatisch wiederhergestellt, wenn sich ein Nutzer auf einem neuen Gerät anmeldet. Hardware-Anmeldedaten nicht. Ein Nutzer, der einen Security Key verliert oder eine Smartcard bricht, muss durch den Account-Recovery-Prozess gehen – oft auf weniger sichere Weise. Der [Verizon 2024 Data Breach Investigations Report](https://www.verizon.com/business/resources/reports/dbir/) stellt fest, dass 68 Prozent der Datenschutzverletzungen auf eine nicht-böswillige menschliche Komponente zurückzuführen sind, einschließlich Missbrauch der Credential-Recovery. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) warnt auch ausdrücklich davor, dass Account Recovery ein häufiger Weg für Authentifizierungskompromittierungen ist. Die Hardware-Bindung ist also nur so stark wie der Recovery-Kanal, was bedeutet, dass die [Relying Party](https://www.corbado.com/glossary/relying-party) ebenso viel Sicherheitsverantwortung trägt wie der Chiphersteller.

### 4.4 Vertrieb und Kosten

Ein Consumer-tauglicher Security Key [kostet](https://www.corbado.com/passkeys-for-e-commerce) gemäß den Preisseiten der Hersteller 40 bis 80 USD. Ein Verbraucher, der sein Konto nicht gefährdet sieht, wird diesen Preis einfach nicht zahlen. Banken und Krypto-Börsen, die die Kosten übernehmen, können Geräte kostenlos abgeben, aber dann tragen sie auch die Last des Supports. Smartcards, die mit einer Kreditkarte gebündelt sind, fügen 2 bis 5 USD zusätzlich zu den 5 bis 15 USD Basiskosten pro Karte hinzu, wie aus öffentlichen Angaben der Smartcard-Hersteller hervorgeht, z. B. den [CompoSecure Investor-Präsentationen](https://ir.compositionusa.com/).

Diese vier Gegenwinde erklären, warum synchronisierte Passkeys über 95 Prozent der Consumer-Registrierungen in [Finanzdienstleistungen](https://www.corbado.com/passkeys-for-banking) ausmachen, laut FIDO Alliance Barometer, selbst wenn Hardware als Option angeboten wird.

## 5. Wo gewinnen hardware-gebundene Passkeys wirklich?

Drei Consumer-Kategorien geben Menschen einen echten Grund, dedizierte Hardware bei sich zu tragen: [Banking](https://www.corbado.com/passkeys-for-banking) und [Payments](https://www.corbado.com/passkeys-for-payment), Krypto Self-Custody und besonders wertvolle Konten. Jede dieser Kategorien vereint einen starken Treiber, einen glaubwürdigen Vertriebsweg und Konsequenzen, die schwerwiegend genug sind, um die Reibung zu rechtfertigen. Außerhalb dieser drei Segmente gewinnen synchronisierte Passkeys in der Regel durch Bequemlichkeit.

### 5.1 Banking und Payments

Banken sind der natürlichste Vertriebskanal. Sie verschicken bereits physische Karten an Kunden. Zudem agieren sie unter den Auflagen von [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), der [EBA Opinion on SCA](https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money), RBI [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity) und APRA CPS 234. Viele dieser Vorschriften verlangen einen kryptografischen Besitzfaktor, den synchronisierte Passkeys nicht eindeutig erfüllen.

Die These "Smartcard als Kreditkarte" funktioniert, weil die Karte bereits existiert. Eine Bank, die eine Metallkarte herausgibt, zahlt laut [CompoSecure 10-K](https://ir.compositionusa.com/sec-filings) 5 bis 15 USD pro Karte. Fügt man FIDO2 hinzu, steigt dies laut einer [Juniper Research](https://www.juniperresearch.com/) Kostenanalyse zu biometrischen Karten auf 7 bis 20 USD. Diese eine Karte erledigt dann Chip-und-PIN, NFC Tap-to-Pay, Geldautomatenauszahlungen, Online-[Banking](https://www.corbado.com/passkeys-for-banking)-Login und die Bestätigung hochwertiger [3DS-Transaktionen](https://www.corbado.com/blog/3ds-webauthn). Der Verbraucher wird nie gefragt: "Möchten Sie einen Hardware-[Authenticator](https://www.corbado.com/glossary/authenticator)?" Die Karte kommt einfach per Post.

### 5.2 Krypto und Self-Custody

Krypto-Nutzer akzeptieren bereits die Notwendigkeit, Hardware zu nutzen. [Ledger](https://www.ledger.com/) hat über 7 Millionen Nano-Geräte ausgeliefert und meldet laut der eigenen [Unternehmensseite](https://www.ledger.com/about) über 4 Milliarden USD an kumulierten Hardware-Umsätzen. [Trezor](https://trezor.io/) hat über 2 Millionen Einheiten ausgeliefert. Security Keys haben auch seit langem eine feste Position im MFA-Bereich von Krypto-Börsen, wobei [Coinbase](https://www.corbado.com/blog/coinbase-passkey), [Kraken](https://www.kraken.com/security) und [Binance](https://www.corbado.com/blog/binance-passkeys) FIDO2-Keys unterstützen.

Die Integration von FIDO2 in ein Hardware-[Wallet](https://www.corbado.com/blog/digital-wallet-assurance) ist lediglich schrittweiser Entwicklungsaufwand. Ein 100-USD-Gerät, das ein Portfolio von 50.000 USD schützt, ist offensichtlich den Aufwand wert. Krypto bleibt die einzige Consumer-Kategorie, in der Nutzer Hardware aus eigener Initiative kaufen.

### 5.3 Besonders wertvolle Consumer-Konten

Eine kleinere Gruppe von Verbrauchern schützt Konten, bei denen eine Übernahme irreversible Folgen hätte. Typische Beispiele sind primäre E-Mail-Adressen, staatliche Identity-[Wallets](https://www.corbado.com/blog/digital-wallet-assurance), Creator-Konten auf [YouTube](https://www.youtube.com/) oder [Twitch](https://www.twitch.tv/) und journalistische Zugänge. Googles [Advanced Protection Program](https://landing.google.com/advancedprotection/) beschreibt diese Gruppe als "Nutzer mit hohem Risiko, wie Journalisten, Menschenrechtsaktivisten und Mitarbeiter in politischen Kampagnen."

OpenAI folgte im April 2026 demselben Playbook mit seinem Programm [Advanced Account Security](https://openai.com/index/advanced-account-security/) für ChatGPT und ging eine Partnerschaft mit [Yubico](https://www.yubico.com/openai-and-yubico/) für ein Co-Branding-[YubiKey](https://www.corbado.com/glossary/yubikey) C NFC und [YubiKey](https://www.corbado.com/glossary/yubikey) C Nano Zweierpack für etwa 68 USD ein. Das Programm deaktiviert die Anmeldung per Passwort und E-Mail oder SMS komplett und erfordert Passkeys oder physische Security Keys; es richtet sich an Journalisten, gewählte Funktionäre, Dissidenten und andere hochriskante ChatGPT-Nutzer. Es ist noch zu früh, um zu sagen, wie viele Nutzer 68 USD für diese zusätzliche Sicherheitsschicht bezahlen werden, aber es ist der bisher deutlichste Test, ob wertvolle Consumer-Konten die freiwillige Hardware-Adoption außerhalb von Krypto und Banking vorantreiben können.

Ciscos [2024 Cybersecurity Readiness Index](https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m03/cybersecurity-readiness-index-shows-only-3-percent-of-organizations-globally-have-the-mature-level-of-readiness-needed-to-be-resilient-against-modern-cybersecurity-risks.html) stellt zudem fest, dass nur 3 Prozent der Organisationen über ein ausgereiftes Sicherheitsniveau verfügen. Der [GAO 2024 Cybersecurity-Report](https://www.gao.gov/cybersecurity) stuft die Kontoübernahme als eines der fünf größten Cybersicherheitsrisiken auf Bundesebene ein, was den Pool der Verbraucher, die diesen Schutz benötigen, weit über die ursprüngliche journalistische Nische hinaus erweitert.

## 6. Warum Hardware allein nicht gewinnt

Die beste Hardware zu besitzen, garantiert keine Marktanteile bei Verbrauchern. Es gibt fünf Lücken zwischen einem Hardware-Anbieter und einem End-to-End-Consumer-Produkt: Vertrieb, Onboarding, Recovery, geräteübergreifende Journeys und Auswertung. Jede dieser Lücken erfordert Fähigkeiten, die außerhalb des reinen Siliziumdesigns liegen.

1. **Vertrieb**: Hardware-Unternehmen haben keine wirkliche direkte Beziehung zu Verbrauchern. Theoretisch kann jeder einen [YubiKey](https://www.corbado.com/glossary/yubikey) auf yubico.com bestellen, aber in der Praxis sind die Käufer Sicherheitsprofis, IT-Administratoren und eine kleine Gruppe von Enthusiasten. Dieser Kanal skaliert nicht für Mainstream-Verbraucher, die noch nie von der Marke gehört haben und nicht von selbst nach einem 50-USD-Authenticator suchen. Banken, Telekommunikationsunternehmen, Einzelhändler und OS-Anbieter sind die Parteien, die die Beziehung zum Verbraucher besitzen, also braucht ein Hardware-Anbieter auf Consumer-Ebene einen Partner oder einen White-Label-Deal.
2. **Onboarding**: Jeder Schritt, den der Verbraucher tun muss, um einen Passkey einzurichten, kostet Sie Nutzer. Reale Banking-Deployments berichten von Abbruchraten von 30 bis 60 Prozent über den gesamten Registrierungs-Funnel hinweg, was den [Benchmarks des Baymard Institute zu Kaufabbrüchen](https://baymard.com/lists/cart-abandonment-rate) entspricht.
3. **Recovery**: Ein Consumer-Produkt ohne Recovery-Strategie ist kaputt. Die Wiederherstellung erfordert Signale auf Account-Ebene, [Identitätsverifizierung](https://www.corbado.com/blog/digital-identity-guide) und Risikobewertung, die alle bei der [Relying Party](https://www.corbado.com/glossary/relying-party) liegen.
4. **Geräteübergreifende Journeys**: Ein Nutzer meldet sich auf einem Telefon, einem Laptop, einem Smart-TV und in einem Auto an. Das hardware-gebundene Credential lebt nur auf einem Gerät. Sie brauchen also ein intelligentes Routing zwischen Hardware und synchronisierten Credentials, um Sackgassen zu vermeiden.
5. **Auswertung**: Hardware-Anbieter liefern in der Regel aus und das war's. Sie zählen verkaufte Einheiten und aktivierte Lizenzen. Sie sehen nicht, wenn die WebAuthn-Zeremonie fehlschlägt oder der Nutzer den NFC-Tap abbricht. Ohne Messung kann keine der anderen vier Lücken geschlossen werden.

Anbieter, die diese fünf Lücken innerhalb ihres eigenen Produkts schließen, werden zu End-to-End-Authentifizierungsplattformen. Anbieter, die das nicht tun, bleiben im Komponentengeschäft und verkaufen an die Plattformen anderer.

## 7. Was ist der echte Hebel? Adoption Engineering

Adoption Engineering bedeutet, hardware-gebundene Passkeys mit Software zu kombinieren, die die Registrierung vorantreibt, jede Zeremonie misst und fehlerhafte Pfade umgeht. Keine dieser Aktivitäten hat mit Hardware zu tun. Alle vier sind erforderlich, um auf Consumer-Märkten zu gewinnen, und sie funktionieren nur als geschlossener Kreislauf. Das folgende Diagramm zeigt, wie die vier Aktivitäten ineinandergreifen.

Das [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/) berichtet, dass 53 Prozent der Verbraucher Passkeys für mindestens ein Konto aktiviert haben, aber die Aktivierung hardware-gebundener Passkeys bei regulierten Journeys liegt weiterhin unter 5 Prozent. Das ist eine 10-fache Lücke, und Adoption Engineering ist das, was sie schließt. Die [W3C WebAuthn Working Group](https://www.w3.org/Webauthn/) behandelt diese Lücke als Deployment-Problem, nicht als Spezifikations-Problem.

### 7.1 Telemetrie auf Funnel-Ebene

Auf Funnel-Ebene misst [Passkey Observability](https://www.corbado.com/blog/authentication-observability) jeden einzelnen Schritt, von "Nutzer klickt auf Anmelden" bis "Session-Token ausgestellt". Ohne diese Instrumentierung kann ein Team nicht zwischen "Nutzer hat die Hardware-Option nicht gesehen", "Nutzer hat sie gesehen, das Gerät angetippt und NFC ist fehlgeschlagen" und "Nutzer hat die Zeremonie abgeschlossen, aber die Relying Party hat das Ergebnis abgelehnt" unterscheiden.

Funnel-Telemetrie liefert Ihnen die Metriken, die wirklich wichtig sind: Aktivierungsrate von Hardware-Passkeys, Erfolgsrate von Hardware-Passkeys nach Gerät, Zeit bis zum Abschluss und Abbruchrate nach Schritt. Die [W3C WebAuthn Level 3 Spezifikation](https://www.w3.org/TR/webauthn-3/) definiert 14 unterschiedliche Fehlercodes, die eine Zeremonie zurückgeben kann, aber die meisten Produktivsysteme erfassen weniger als fünf davon, laut [FIDO Alliance Authenticate 2024 Deployment Talks](https://fidoalliance.org/content/event/2024-authenticate-conference/).

### 7.2 Diagnose auf Session-Ebene

Wenn eine einzelne Authentifizierung fehlschlägt, müssen Support-Teams genau sehen, was passiert ist. Diagnosen auf Session-Ebene erfassen den Transport (NFC, USB oder BLE), den CTAP-Fehlercode, den Browser, die OS-Version, den Gerätehersteller und das Timing jedes Schritts in der Zeremonie. Die [FIDO CTAP 2.1 Spezifikation](https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html) definiert über 20 Fehlercodes, die [Authenticatoren](https://www.corbado.com/glossary/authenticator) zurückgeben können, und diese sind bestimmten Recovery-Aktionen des Nutzers in der [W3C WebAuthn Level 3 Spezifikation](https://www.w3.org/TR/webauthn-3/) zugeordnet.

Ohne diese Telemetrie sieht der Support-Mitarbeiter nur "Login fehlgeschlagen" und startet möglicherweise die Account-Wiederherstellung.

### 7.3 Device-Intelligent Routing

Einige Kombinationen aus Gerät und Betriebssystem schlagen immer wieder fehl. Praxisdaten aus großen Deployments zeigen Abbruchraten von 40 bis 90 Prozent bei bestimmten fehlerhaften Kombinationen. Die gängigen Muster sind im [Android Issue Tracker](https://issuetracker.google.com/) und in den [Vorträgen der FIDO Alliance Authenticate 2024](https://fidoalliance.org/content/event/2024-authenticate-conference/) dokumentiert.

Routing-Logik, die die Hardware-Option bei bekanntermaßen fehlerhaften Kombinationen ausblendet und auf den nächstbesten Weg zurückfällt, hält Nutzer aus dem Fehlerfall heraus. Aber Sie können diese Routing-Entscheidungen erst treffen, nachdem Observability-Daten die fehlerhaften Paare über die rund 24.000 verschiedenen Android-Gerätemodelle in der [OpenSignal-Gerätedatenbank](https://www.opensignal.com/) identifiziert haben.

### 7.4 Kontinuierliche Iteration mit Issuern

Banken und Fintechs führen Piloten und vollständige Rollouts typischerweise in Zyklen von 6 bis 12 Monaten durch, laut [Gartner Research zu Identity-Programmen](https://www.gartner.com/en/information-technology/insights/identity-and-access-management). Die Plattform, die gewinnt, verwandelt Observability-Daten in wöchentliche Release Notes, Bugfixes und stetig steigende Erfolgsraten. Ein statisches Deployment mit vierteljährlichen Reviews verliert gegen kontinuierliche Iteration.

## 8. Wer gewinnt also wirklich das Consumer-Rennen?

Kein reiner Hardware-Anbieter gewinnt das Consumer-Rennen. Drei Archetypen konkurrieren um die Rolle der Consumer-Authentifizierungsplattform: Banken und [Issuer](https://www.corbado.com/glossary/issuer), Hardware-Anbieter, die Software-Ebenen aufbauen, und OS-Plattformen. Banken führen heute, weil sie die physische Distribution besitzen und regulatorische Rückendeckung durch [PSD2](https://www.corbado.com/blog/psd2-passkeys) und [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity) haben. OS-Plattformen haben das Silizium bereits in jedem Smartphone und Laptop integriert, aber solange [Apple](https://www.apple.com/) und [Google](https://www.google.com/) Passkeys standardmäßig synchronisieren, sind sie Konkurrenten bei synchronisierten Passkeys, nicht bei hardware-gebundenen.

### 8.1 Warum Banken heute führen

Banken führen heute den Markt für hardware-gebundene Passkeys bei Verbrauchern an. Vier Vorteile sprechen für sie. Sie geben bereits physische Karten aus. Sie haben regulatorische Rückendeckung durch [PSD2](https://www.corbado.com/blog/psd2-passkeys), PSD3, [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI und [APRA CPS 234](https://www.apra.gov.au/information-security). Sie besitzen das Vertrauen der Verbraucher. Und sie können den Stückkostenaufschlag von 2 bis 5 USD über ihr Portfolio hinweg auffangen, so die öffentlichen Angaben der Smartcard-Hersteller.

Banken, die diese vier Vorteile mit Adoption Engineering kombinieren, sichern sich eine mehrjährige Kundenbindung von Passkey-fähigen Kunden. Banken, die ein Hardware-Produkt kaufen und annehmen, dass die Arbeit damit getan ist, landen bei denselben einstelligen Aktivierungsraten, die die Branche seit zwei Jahren meldet.

### 8.2 Was ist mit Hardware-Anbietern, die Software entwickeln?

Der zweite Archetyp ist der Hardware-Anbieter, der auch einen Software-Layer baut. Mehrere Hersteller von Security Keys und Smartcards haben diesen Übergang begonnen, aber man muss genau hinsehen, welche Art von Software sie ausliefern. Die meisten dieser Produkte sind IAM, Fleet-Management oder [Adaptive Authentication](https://www.corbado.com/blog/continuous-passive-authentication)-Plattformen, nicht aber Funnel-basierte [Passkey Observability](https://www.corbado.com/blog/authentication-observability), wie sie nötig wäre, um die Lücke in der Consumer-Akzeptanz zu schließen.

- [Yubico](https://www.yubico.com/) hat die vollständigste Plattform aller Security Key-Anbieter gebaut. Ihr [YubiKey as a Service](https://www.yubico.com/products/yubienterprise-subscription/)-Abonnement kombiniert nutzerbezogene Lizenzierung, ein Kundenportal für Flotten- und Versandmanagement, FIDO Pre-reg, eine Enroll-App und ein SDK sowie globale Lieferung, integriert mit Okta, Microsoft Entra ID und Ping Identity. Das Produkt ist hauptsächlich eine Enterprise-Delivery- und Lifecycle-Lösung, keine Consumer-Adoption-Analytics.
- [Thales](https://cpl.thalesgroup.com/access-management) kombiniert seine SafeNet eToken und Smartcard-Hardware mit [SafeNet Trusted Access](https://cpl.thalesgroup.com/access-management/safenet-trusted-access), einer Cloud Identity-as-a-Service Plattform mit [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso) und [Adaptive Authentication](https://www.corbado.com/blog/continuous-passive-authentication).
- [OneSpan](https://www.onespan.com/) bündelt seine DIGIPASS-Hardware mit der [OneSpan Cloud Authentication](https://www.onespan.com/products/cloud-authentication) Plattform und Intelligent [Adaptive Authentication](https://www.corbado.com/blog/continuous-passive-authentication), mit Fokus auf Banking und Fintech.
- [HID Global](https://www.hidglobal.com/) liefert seine Crescendo-Smartcards zusammen mit dem [HID Authentication Service](https://www.hidglobal.com/services/hid-authentication-service) und dem mobilen Authenticator HID Approve aus.
- [CompoSecure](https://www.compositionusa.com/) erweitert seine [Arculus](https://www.arculus.co/) FIDO2-Smartcard um eine Begleit-[Wallet](https://www.corbado.com/blog/digital-wallet-assurance)-App und ein Entwickler-SDK für Issuer.

Bisher erzielen die meisten dieser Anbieter den Großteil ihres Umsatzes immer noch mit Hardware. Anbieter, die ihren Software-Stack von Geräte-Delivery und IAM auf echte Zeremonie-basierte [Passkey Observability](https://www.corbado.com/blog/authentication-observability) erweitern, können die Akzeptanz End-to-End treiben. Anbieter, die das nicht tun, bleiben als Komponentenlieferanten im Enterprise-Bereich stecken.

### 8.3 Was ist mit OS-Plattformen?

OS-Plattformen sind ein Sonderfall. Die Hardware existiert – die [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web), [Android StrongBox](https://source.android.com/docs/security/features/keystore) und der [Pluton Chip](https://learn.microsoft.com/en-us/windows/security/hardware-security/pluton/microsoft-pluton-security-processor) in [Windows 11](https://www.corbado.com/blog/passkeys-windows-11) stecken in jedem verkauften Gerät – aber die Standard-[Passkey-Policy](https://www.corbado.com/faq/multiple-passkeys-per-account) bei Apple und Google ist die Synchronisation, sodass Verbraucher ab Werk nie ein echtes hardware-gebundenes Credential erhalten. iCloud Keychain und Google Password Manager kopieren den Schlüssel geräteübergreifend, was das für den Nutzer sichtbare Verhalten identisch zu einem [synchronisierten Passkey](https://www.corbado.com/blog/device-bound-synced-passkeys) macht. Microsofts TPM-gebundenes Windows Hello ist das einzige Consumer Secure Element, das Schlüssel lokal hält, aber Edge bewegt sich ebenfalls in Richtung Synchronisation, und wir schließen Windows Hello aus dem Consumer-Rennen um hardware-gebundene Passkeys aus, da es keinen separaten Hardware-Kauf erfordert.

Theoretisch könnten Apple, Google oder Microsoft die Kategorie neu definieren, indem sie plattformgebundene, nicht synchronisierende Passkeys mit derselben polierten UX wie synchronisierte Passkeys anbieten. Es gibt keine öffentlichen Anzeichen dafür, dass sie das planen. Solange Sync der Standard bleibt, sind die OS-Plattformen Konkurrenten bei synchronisierten Passkeys, nicht bei hardware-gebundenen, und dedizierte Security Keys plus FIDO2-Smartcards bleiben der einzige echte Hardware-Weg für Verbraucher.

### 8.4 Wie sieht das echte Rennen aus?

Das wahre Rennen lautet nicht "Security Key versus Smartcard". Die wirkliche Frage ist, wer die Consumer-Authentifizierungsplattform baut, die Hardware dort, wo es wichtig ist, mit Software, Daten und Adoption Engineering überall sonst kombiniert. Basierend auf der [Keynote der FIDO Alliance Authenticate 2024](https://fidoalliance.org/content/event/2024-authenticate-conference/) sind die wahrscheinlichen Gewinner in den nächsten drei bis fünf Jahren:

- Drei bis fünf große Banken und Zahlungsnetzwerke, die FIDO2-Smartcards zur Standarderfahrung für Verbraucher machen.
- Ein oder zwei Hardware-Anbieter, die erfolgreich den Übergang zu Authentifizierungsplattformen mit echten Analysen auf Zeremonie-Ebene schaffen, nicht nur IAM und Flottenmanagement.
- Programme für besonders wertvolle Konten wie Google's Advanced Protection und OpenAI's Advanced Account Security, sofern sie beweisen, dass 5 bis 10 Prozent der Nutzer tatsächlich für Hardware bezahlen, wenn sie dafür einen stärkeren Kontoschutz erhalten.

Reine Hardware-Unternehmen, die auch reine Hardware-Unternehmen bleiben, werden das Consumer-Rennen wahrscheinlich nicht gewinnen. Sie enden als Siliziumlieferanten innerhalb der Plattform eines anderen. Das ist ein gesundes Geschäft und ein echter Burggraben im Enterprise-Bereich, aber es ist keine Dominanz auf dem Consumer-Markt.

## 9. Was sollten Banken, Issuer und Produktteams als nächstes tun?

Für jedes Produktteam, das in den nächsten 12 Monaten hardware-gebundene Passkeys evaluiert, sind drei Aktionen entscheidend, basierend auf dem [FIDO Alliance Deployment Playbook](https://fidoalliance.org/content/research/) und dem [Gartner Identity Leitfaden](https://www.gartner.com/en/information-technology/insights/identity-and-access-management). Wählen Sie den Use Case, bei dem Hardware tatsächlich gewinnt. Kombinieren Sie jedes Hardware-Deployment mit Adoption Engineering. Und bauen Sie den Daten-Feedback-Loop vom ersten Tag an auf.

1. **Den richtigen Use Case wählen**: Hochwertige [Transaktionsbestätigung](https://www.corbado.com/blog/3ds-webauthn), [Step-up Authentication](https://www.corbado.com/glossary/step-up-authentication) auf regulierten Journeys und Account-Recovery für Hochrisiko-Segmente. Drängen Sie Hardware nicht in das allgemeine Consumer-Login.
2. **Hardware mit Adoption Engineering kombinieren**: Instrumentierung, [Fehlerbehandlung](https://www.corbado.com/blog/native-app-passkey-errors) für [Native Apps](https://www.corbado.com/blog/native-app-passkeys), Device-Intelligent Routing und explizite Messung gegen eine Basislinie von [synchronisierten Passkeys](https://www.corbado.com/blog/device-bound-synced-passkeys).
3. **Den Datenkreislauf früh aufbauen**: Integrieren Sie Funnel-Telemetrie bereits beim ersten Piloten, nicht erst nach dem Rollout. Teams, die sehen, welcher Android-Hersteller, welche [iOS](https://www.corbado.com/blog/webauthn-errors)-Version und welche Browserkombination den Erfolg des Taps ruiniert, können in Wochen iterieren. Teams, die das nicht tun, sind auf Anekdoten angewiesen und müssen auf Support-Tickets warten.

Für Hardware-Anbieter ist die Botschaft noch schärfer. Entscheiden Sie, ob das Unternehmen ein Komponentenlieferant bleibt oder eine Plattform aufbaut. Beides ist machbar. Der Versuch, beides zu tun, ohne sich voll zu verpflichten, führt zu einer unterfinanzierten Plattforminvestition und einer abgelenkten Silizium-Roadmap.

## 10. Fazit

Hardware-gebundene Passkeys sind immer noch der einzige Consumer-Credential-Typ, der [NIST AAL3](https://pages.nist.gov/800-63-3/sp800-63b.html) erreicht, einer Kompromittierung des Cloud-Kontos standhält und die strengste Auslegung von [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) und ähnlichen Regulierungen klar erfüllt. Die Technologie ist solide. Das Silizium ist stark. Die Standards sind ausgereift.

Was die Technologie jedoch nicht allein schaffen kann, ist die Akzeptanz bei Verbrauchern zu gewinnen. Apple und Google kontrollieren die OS- und Browser-Ebene. Banken und Issuer kontrollieren die Endkunden-Distribution. Hardware-Anbieter kontrollieren das Silizium. Das Consumer-Rennen gewinnt der Akteur, der alle drei Aspekte über eine Software-Plattform vereint, die die Akzeptanz treibt, jede Zeremonie misst und die Lücken umgeht.

Das Erfolgsrezept lautet: Hardware plus [Passkey Observability](https://www.corbado.com/blog/authentication-observability) plus kontinuierliches Adoption Engineering. Der Anbieter oder [Issuer](https://www.corbado.com/glossary/issuer), der alle drei liefert, schreibt das Consumer-Playbook für das nächste Jahrzehnt. Alle anderen verkaufen lediglich Komponenten für die Plattformen der anderen.

## Häufig gestellte Fragen (FAQ)

### Was ist der Unterschied zwischen hardware-gebundenen Passkeys und synchronisierten Passkeys für Verbraucher?

Hardware-gebundene Passkeys speichern den privaten Schlüssel in einem physischen Secure Element, etwa einem Security Key, einer FIDO2-Smartcard oder einem eingebauten TPM-Chip. Der Schlüssel verlässt diese Hardware nie. Synchronisierte Passkeys leben in iCloud Keychain, Google Password Manager oder einem Drittanbieter-Manager und werden über die Cloud auf Ihre Geräte kopiert. Hardware-gebundene Passkeys erreichen NIST AAL3, da der private Schlüssel nicht exportiert werden kann. Synchronisierte Passkeys sind auf AAL2 beschränkt, da der Cloud-Sync-Weg den Schlüssel wiederherstellbar macht. Diese eine Stufe Unterschied ist für Regulierungsbehörden in den Bereichen Banking, Behörden und Gesundheitswesen sehr wichtig.

### Warum haben sich Hardware-Security-Keys bei Verbrauchern trotz der Passkey-Einführung noch nicht als Standard etabliert?

Apple und Google kontrollieren die Betriebssysteme und Browser, die von über 99 Prozent der Verbraucher genutzt werden (laut StatCounter). Beide priorisieren ihre eigenen synchronisierten Credential-Manager in WebAuthn-Prompts. Hardware-Authenticatoren sind in jedem Standardablauf ein bis drei Klicks tiefer versteckt, wie die Dokumentationen zu Apple AuthenticationServices und Android Credential Manager zeigen. Das NFC-Verhalten auf Android ist über die verschiedenen Smartphone-Hersteller hinweg fragmentiert, und die Conditional UI wählt standardmäßig synchronisierte Credentials. Darüber hinaus werden die meisten Verbraucher keine 40 bis 80 USD für einen separaten Authenticator bezahlen, es sei denn, ein Dienst zwingt sie dazu.

### Welche Use Cases rechtfertigen einen hardware-gebundenen Passkey für Verbraucher?

Drei Kategorien bieten Verbrauchern genug Motivation. Die erste ist Banking und Payments, wo PSD2, PSD3, RBI in Indien und APRA CPS 234 in Australien eine starke Kundenauthentifizierung fordern. Die zweite ist Krypto und Self-Custody, wo der Verlust eines Schlüssels den Verlust der Gelder bedeutet und wo Ledger und Trezor bereits über 9 Millionen Geräte ausgeliefert haben. Die dritte sind besonders wertvolle Konten, einschließlich primärer E-Mail, staatlicher Identity-Wallets und Creator-Konten, bei denen eine Übernahme irreversible Folgen hat. Googles Advanced Protection Program und OpenAIs Advanced Account Security für ChatGPT (gestartet im April 2026 mit einem Co-Branding YubiKey Zweierpack für rund 68 USD) richten sich beide an diese Zielgruppe. Außerhalb dieser drei Kategorien gewinnen meist synchronisierte Passkeys.

### Wie passen FIDO2-Smartcards in das Consumer-Rennen um Hardware-Passkeys?

Smartcard-Hersteller wie CompoSecure (das laut seinem 10-K-Filing jährlich über 100 Millionen Zahlungskarten aus Metall ausliefert und Arculus als sein FIDO2-Produkt anbietet) und IDEMIA bauen NFC-Smartcards mit Secure Elements, die FIDO2-Credentials hosten können. Verbraucher tragen bereits eine Kreditkarte bei sich. Wenn man dieser Karte einen hardware-gebundenen Passkey hinzufügt, entfällt die Notwendigkeit für ein separates Gerät. Banken, Neobanken und Krypto-Verwahrer können dann Authentifizierung, Zahlung und Step-up in einem Formfaktor zusammenfassen. Die Schwierigkeiten bestehen darin, den NFC-Tap über iOS- und Android-Browser hinweg zuverlässig zu machen und Issuer davon zu überzeugen, die Mehrkosten von 2 bis 5 USD pro Karte zu tragen.

### Was ist nötig, um den Markt für hardware-gebundene Passkeys für Verbraucher wirklich zu gewinnen?

Gute Hardware ist notwendig, aber nicht genug. Der Gewinner kombiniert einen glaubwürdigen Hardware-Formfaktor mit einer Intelligence-Plattform, die jeden Schritt der Registrierung und Authentifizierung misst, fehlerhafte Kombinationen von Gerät und Betriebssystem umgeht und den Issuern beweist, dass Betrugs- und Supportkosten sinken. Ohne Passkey Observability auf Funnel-Ebene können Anbieter und Banken nicht erkennen, dass 60 Prozent der Nutzer den NFC-Tap abbrechen (ein Muster, das in den Vorträgen der FIDO Alliance Authenticate 2024 dokumentiert wurde) oder dass die Conditional UI den Prompt stillschweigend geschluckt hat, wie in der W3C WebAuthn Level 3 Spezifikation beschrieben. Das Rennen wird durch Daten und Software entschieden, nicht dadurch, welcher Key die stärkste Titanium-Hülle hat.