Passkeys-Leitfaden für Versicherungs-Kundenportale
Passkeys für Versicherungs-Kundenportale: ATO reduzieren, OTP-Kosten senken und MFA für Versicherungsnehmer bei regulierten Versicherern mit Legacy-CIAM modernisieren.
Diese Seite wurde automatisch übersetzt. Lesen Sie die englische Originalversion hier.
- Account-Takeover-Verluste im Versicherungswesen nehmen zu: Das NYDFS verhängte im Oktober 2025 gegen acht Autoversicherer eine kombinierte Geldstrafe von 19 Mio. US-Dollar, weil sie es versäumt hatten, MFA auf öffentlich zugänglichen Angebotssystemen zu erzwingen, was Credential-Stuffing-Angriffe auf Fahrerdaten ermöglichte.
- SMS-OTP-Kosten erreichen auf der Größenordnung eines Versicherers 0,01 bis 0,05 US-Dollar pro Nachricht; ein Versicherer mit 5 Millionen Versicherungsnehmern, die sich zweimal im Monat einloggen, gibt allein für die OTP-Zustellung 1,2 bis 6 Mio. US-Dollar pro Jahr aus, bevor Zustellungsfehler und Supportanrufe berücksichtigt werden.
- Passwort-Zurücksetzungen und MFA-Supportanrufe machen schätzungsweise 20 bis 40 % des Anrufvolumens in Versicherungs-Call-Centern aus, wobei jeder Anruf je nach Bearbeitungszeit des Agenten und Schritten zur Identitätsprüfung 5 bis 25 US-Dollar kostet.
- Der Passkey-Rollout von Aflac erreichte 500.000 Registrierungen bei einer Login-Erfolgsrate von 96 %; Branch Insurance verzeichnete nach dem Rollout einen Rückgang der Support-Tickets um etwa 50 %.
- FIDO-Daten zeigen, dass Passkeys die Login-Konversion um 30 Prozentpunkte erhöhen; HealthEquity ging noch weiter und machte Passkeys im Herbst 2025 für alle Nutzer verpflichtend, ohne Opt-out-Möglichkeit.
1. Einführung#
Versicherungs-Kundenportale stehen aus mehreren Richtungen gleichzeitig unter Druck. Das Account-Takeover-Risiko steigt, SMS OTP ist in großem Maßstab teuer, Call Center fangen die Folgen von Passwort- und MFA-Fehlern ab und Regulierungsbehörden erwarten zunehmend phishing-resistente MFA. Diese Kombination macht die Versicherungswirtschaft zu einem der klarsten Anwendungsfälle für Passkeys bei der Kundenauthentifizierung.
Dieser Artikel behandelt:
- Warum Versicherungsportale ein starker Passkey-Anwendungsfall sind: ATO-Risiko, teure OTP-Abläufe, verzögerte Betrugserkennung und wachsender regulatorischer Druck.
- Wie sich Passkeys im Vergleich zu alten Authentifizierungsmethoden schlagen: SMS OTP, E-Mail OTP, TOTP und Device Trust in Bezug auf Sicherheit, UX, Compliance und Kosten.
- Was Versicherungs-Rollouts unterscheidet: Legacy-CIAM, Multi-Brand-Portal-Architektur, Agenten- vs. Versicherungsnehmer-Abläufe und regionale Regulierung.
- Wie Versicherer Passkeys mit einem praktischen Betriebsmodell einführen können: Was zu messen ist, wie das Maturity Model genutzt wird und wie der Übergang von OTP-lastigen Logins zu phishing-resistenter MFA gelingt.
- Wie Passkeys die digitale Akzeptanz und die Migration zum Self-Service vorantreiben: Das strategische Argument für C-Level- und VP-Level-Führungskräfte: Kanalwechsel, Call-Center-Entlastung und die Verknüpfung von Authentifizierungs-Observability mit Geschäftsergebnissen.
2. Warum sind Versicherungs-Kundenportale ein Hauptziel für Account Takeovers?#
Versicherungs-Kundenportale speichern einige der sensibelsten persönlichen Daten, während sie sich oft auf schwache Login-Sicherheit verlassen. Das macht sie zu einem natürlichen Ziel für angriffsbasiertes Credential-Hacking. Die Konten von Versicherungsnehmern enthalten Sozialversicherungsnummern, Bankdaten, Gesundheitsakten und Schadenshistorien. All dies kann durch Identitätsdiebstahl oder betrügerische Schadensmeldungen zu Geld gemacht werden.
Enterprise-Passkey-Whitepaper. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.
Im Gegensatz zu Bankportalen, wo die Transaktionsüberwachung Betrug in Echtzeit erkennt, dauert es bei Versicherungsbetrug oft Wochen oder Monate, bis er ans Licht kommt. Ein Angreifer, der Zugriff auf das Konto eines Versicherungsnehmers erlangt, kann Begünstigte ändern, betrügerische Schadensmeldungen einreichen oder persönliche Daten exfiltrieren, lange bevor der Versicherer die Kompromittierung bemerkt.
Das Ausmaß des Problems:
- Credential Stuffing an der Eingangstür: Das NYDFS verhängte im Oktober 2025 gegen acht Autoversicherer eine kombinierte Geldstrafe von 19 Mio. US-Dollar, ausdrücklich weil sie es versäumt hatten, MFA auf öffentlich zugänglichen Angebotssystemen zu erzwingen. Angreifer nutzten Credential Stuffing, um massenhaft auf sensible Fahrerdaten zuzugreifen.
- SMS OTP ist teuer und fehleranfällig: In der Größenordnung von Versicherern (Millionen von Versicherungsnehmern) summieren sich die Kosten für die Zustellung von SMS-OTPs schnell. Ein Versicherer, der monatlich 10 Millionen OTPs zu 0,03 US-Dollar pro Nachricht versendet, gibt jährlich 3,6 Mio. US-Dollar aus, und das unter der Annahme einer Zustellungsrate von 100 %. In der Praxis führen Carrier-Filterung, Rufnummernmitnahme und internationales Roaming dazu, dass 5 bis 15 % der OTPs nie ankommen, wobei jede fehlgeschlagene Zustellung potenziell einen Supportanruf nach sich zieht.
- Call-Center-Auslastung durch Passwort-Zurücksetzungen: Versicherungs-Call-Center bearbeiten bereits komplexe Schadensfälle und Vertragsanfragen. Das Hinzufügen von Passwort-Zurücksetzungen und MFA-Fehlerbehebung zu diesem Mix lenkt die Zeit der Agenten von umsatzgenerierenden Aktivitäten ab. Branchenschätzungen gehen davon aus, dass authentifizierungsbezogene Anrufe 20 bis 40 % des gesamten Anrufvolumens von Call Centern für Finanzdienstleistungen im Privatkundenbereich ausmachen.
- Der regulatorische Druck nimmt zu: Über das NYDFS hinaus schreibt die FTC Safeguards Rule seit Juni 2023 MFA für Nicht-Bank-Finanzinstitute vor, und das NAIC Insurance Data Security Model Law (das in über 25 Bundesstaaten verabschiedet wurde) verlangt risikobasierte MFA für alle Lizenznehmer.
Hochwertige Daten, verzögerte Betrugserkennung, steigende OTP-Kosten und strengere Regulierungen weisen alle in dieselbe Richtung: Versicherungsportale benötigen dringend eine phishing-resistente Authentifizierung.
- Versicherungsportale sind hochwertige ATO-Ziele, da es Wochen dauert, bis Betrug auffällt, im Gegensatz zu Banken, wo die Transaktionsüberwachung Missbrauch in Echtzeit erkennt.
- Das NYDFS verhängte im Oktober 2025 gegen acht Autoversicherer eine Strafe von 19 Mio. US-Dollar wegen fehlender MFA auf öffentlich zugänglichen Systemen; die Strafen belaufen sich auf bis zu 75.000 US-Dollar pro Tag.
- SMS OTP in der Größenordnung von Versicherern kostet 1,2 bis 6 Mio. US-Dollar pro Jahr, noch vor dem Support-Aufwand; 5 bis 15 % der Nachrichten kommen nie an.
- Aflac, Branch Insurance und HealthEquity haben bereits Passkeys mit messbaren Ergebnissen eingeführt: 96 % Login-Erfolg, ~50 % weniger Support-Tickets und verpflichtende Registrierung ohne Opt-out.
3. Wie vergleichen sich Passkeys mit SMS OTP, E-Mail OTP, TOTP und Device Trust für Versicherungsportale?#
Die Wahl der richtigen Authentifizierungsmethode bedeutet, Sicherheit, Benutzererfahrung, Wiederherstellung, Rollout-Komplexität, Support-Aufwand, Compliance-Status und Kosten bei der Skalierung abzuwägen. Die folgende Tabelle schlüsselt auf, wie die einzelnen Optionen abschneiden.
| Methode | Sicherheit | UX | Wiederherstellung | Rollout-Komplexität | Support-Aufwand | Compliance | Kosten bei Skalierung |
|---|---|---|---|---|---|---|---|
| SMS OTP | Niedrig: anfällig für SIM-Swapping, SS7-Abfangen und Phishing-Relay-Angriffe. Das NYDFS stuft SMS ausdrücklich als schwache MFA ein. | Mittel: vertraut, aber langsam (auf Nachricht warten, Apps wechseln, Code eingeben). 5 bis 15 % Zustellungsfehlerquote bei hoher Skalierung. | Einfach: an Telefonnummer gebunden, aber Rufnummernmitnahme schafft Wiederherstellungslücken. | Niedrig: die meisten CIAM-Plattformen unterstützen SMS OTP von Haus aus. | Hoch: Zustellungsfehler, abgelaufene Codes und internationales Roaming erzeugen hohes Call-Center-Volumen. | Minimal: erfüllt grundlegende MFA-Checklisten, aber NYDFS und CISA empfehlen phishing-resistente Alternativen. | Hoch: 0,01 bis 0,05 US-Dollar pro Nachricht. Bei 10 Mio. OTPs/Monat: 1,2 bis 6 Mio. US-Dollar/Jahr ohne Support-Kosten. |
| E-Mail OTP | Niedrig: E-Mail-Konten werden häufig kompromittiert; OTP-Codes sind phishing-anfällig und wiederverwendbar. | Niedrig: langsame Zustellung (Sekunden bis Minuten), Kontextwechsel zwischen Apps, Codes laufen ab. | Einfach: an E-Mail gebunden, aber eine Kompromittierung der E-Mail überträgt sich auf alle verknüpften Konten. | Niedrig: trivial via SMTP zu implementieren. | Hoch: Spamfilter, verzögerte Zustellung und abgelaufene Codes treiben Support-Tickets in die Höhe. | Schwach: erfüllt nicht die Standards für phishing-resistente MFA gemäß den NYDFS- oder FTC-Richtlinien. | Niedrig: Grenzkosten nahe null pro Nachricht, aber hohe indirekte Support-Kosten. |
| TOTP (Authenticator-App) | Mittel: eliminiert SIM-Swapping-Risiko, aber Codes bleiben durch Echtzeit-Relay-Angriffe anfällig für Phishing. | Mittel: erfordert App-Installation, manuelle Codeeingabe und Zeitsynchronisation. Reibungsverluste für technisch nicht versierte Versicherungsnehmer. | Schwer: Wenn das Gerät ohne Backup-Codes verloren geht, erfordert die Kontowiederherstellung eine manuelle Identitätsprüfung. | Mittel: erfordert Benutzeraufklärung und App-Installation; die Akzeptanz liegt in der Regel unter 20 %, wenn es nicht verpflichtend ist. | Mittel: weniger Zustellungsprobleme als bei SMS, aber Wiederherstellung nach Geräteverlust und Einrichtungsfehler bleiben bestehen. | Moderat: erfüllt grundlegende MFA-Anforderungen, aber nicht phishing-resistent nach NYDFS/CISA-Standards. | Niedrig: keine Kosten pro Authentifizierung, aber App-Support und Wiederherstellungsaufwand verursachen indirekte Kosten. |
| Device Trust | Mittel: reduziert Reibung auf erkannten Geräten, bietet aber keine Phishing-Resistenz; Cookie/Fingerprint kann reproduziert werden. | Hoch: unsichtbar für Benutzer auf vertrauenswürdigen Geräten; nahtlose wiederholte Logins. | Mittel: Geräteverlust oder Browserwechsel setzen das Vertrauen zurück und erfordern eine erneute Verifizierung. | Mittel: erfordert Device-Fingerprinting-Infrastruktur und Trust-Decay-Richtlinien. | Niedrig: wenige benutzerseitige Eingabeaufforderungen auf vertrauenswürdigen Geräten, aber Vertrauens-Resets stiften Verwirrung. | Unzureichend als alleinige Methode: qualifiziert sich unter keinem großen Rahmenwerk als MFA ohne einen zweiten Faktor. | Niedrig: nur Infrastrukturkosten; keine Gebühren pro Authentifizierung. |
| Passkeys (FIDO2/WebAuthn) | Hoch: kryptographisch, domänengebunden, "phishing-resistant by design". Immun gegen Credential Stuffing, SIM-Swapping und Relay-Angriffe. | Hoch: biometrische oder PIN-Bestätigung in unter 2 Sekunden. Keine Codeeingabe, kein App-Wechsel. Aflac erreichte eine Login-Erfolgsrate von 96 %. | Mittel: an das Plattform-Ökosystem gebunden (iCloud Schlüsselbund, Google Passwortmanager). Bei Aussperrung aus dem Ökosystem ist eine Identitätsprüfung zur Wiederherstellung erfordert. | Mittel-Hoch: erfordert WebAuthn-Server, rpID-Strategie, Enrollment-Abläufe, Fallback-Logik und clientseitige Telemetrie. | Niedrig: Branch Insurance verzeichnete nach der Passkey-Einführung einen Rückgang der Support-Tickets um ~50 %. | Stark: erfüllt die Anforderungen an phishing-resistente MFA nach NYDFS Part 500, FTC Safeguards Rule und NAIC Model Law. NIST SP 800-63B stuft synchronisierte Passkeys als AAL2-konform ein. | Niedrig: null Kosten pro Authentifizierung. ROI wird durch SMS-Eliminierung, Betrugsreduzierung und Call-Center-Entlastung erzielt. |
Fazit: Passkeys sind die einzige Option, die in den Bereichen Sicherheit, UX, Support-Aufwand, Compliance und Kosten bei Skalierung am besten abschneidet. Der Kompromiss ist die Rollout-Komplexität, aber das ist eine einmalige Investition, die sich mit zunehmender Akzeptanz amortisiert.
Kostenloses Passkey-Whitepaper für Unternehmen erhalten.
4. Was unterscheidet den Passkey-Rollout für Versicherer?#
Die Einführung von Passkeys im Versicherungswesen ist nicht dasselbe wie im Bankwesen oder bei SaaS. Versicherer haben es mit veralteter Infrastruktur, Multi-Brand-Komplexität, unterschiedlichen Benutzergruppen und vielschichtigen regulatorischen Anforderungen zu tun, die jede Implementierungsentscheidung prägen.
4.1 Legacy-CIAM-Plattformen#
Die meisten großen Versicherer verwalten ihre Kundenidentitäten auf Enterprise-CIAM-Plattformen wie Ping Identity, ForgeRock oder Okta. Diese Plattformen unterstützen nun FIDO2/WebAuthn auf Protokollebene, aber diese Unterstützung deckt nur die Backend-Zeremonie ab. Die Adoptionsschicht (Enrollment-Anstupser, geräteabhängige Eingabeaufforderungen, Fehlerbehandlung und clientseitige Telemetrie) fehlt entweder oder erfordert umfangreiche Eigenentwicklungen.
Dies führt zur gleichen "1-%-Falle", die bei Banken-Rollouts zu beobachten ist: Das IdP-Kästchen ist angekreuzt, aber die Akzeptanz stagniert, weil niemand die Product Journey entwickelt hat, die Versicherungsnehmer vom Passwort zum Passkey führt.
4.2 Multi-Brand-Portale und rpID-Strategie#
Ein typischer großer Versicherer betreibt Auto-, Haus-, Lebens- und Spezialprodukte, oft auf separaten Subdomains oder sogar separaten Domains, die durch M&A erworben wurden. Passkeys sind an den Ursprung gebunden: Ein auf auto.versicherer.de erstellter Passkey funktioniert nicht auf leben.versicherer.de, es sei denn, beide teilen sich dieselbe Relying Party ID (rpID).
Die Lösung:
- Definieren Sie eine einzige rpID, die an der übergeordneten Domain (z. B.
versicherergroup.de) verankert ist, bevor irgendwelche Arbeiten an Passkeys beginnen. - Leiten Sie die gesamte Authentifizierung über eine zentralisierte SSO-Schicht (OIDC/SAML), die diese gemeinsame rpID verwendet.
- Wenn Legacy-Domains nicht sofort konsolidiert werden können, nutzen Sie Related Origins, um die Lücke zu überbrücken, ohne ein erneutes Enrollment zu erzwingen.
4.3 Agenten- vs. Versicherungsnehmer-Abläufe#
Im Versicherungswesen greifen zwei sehr unterschiedliche Benutzergruppen auf dieselben Backend-Systeme zu:
| Dimension | Versicherungsnehmer | Agenten / Makler |
|---|---|---|
| Login-Häufigkeit | Niedrig (monatliche Rechnung, jährliche Verlängerung, Schadensfälle) | Hoch (tägliche Angebotserstellung, Vertragsverwaltung, Provisionsprüfungen) |
| Geräteprofil | Persönliche Smartphones und Tablets; große Vielfalt an Betriebssystemen/Browsern | Gemeinsam genutzte Agentur-Workstations, Firmenlaptops, oft hinter Firewalls |
| Vertrauensstufe | Niedriges anfängliches Vertrauen; muss durch das Enrollment aufgebaut werden | Höheres Basisvertrauen; oft im Vorfeld durch das Agentur-Onboarding geprüft |
| Sensibilität | Voller Zugriff auf PII (Sozialversicherungsnummer, Bankdaten, Gesundheitsakten) | Breiter PII-Zugriff über mehrere Versicherungsnehmer hinweg |
| Fallback-Bedürfnisse | Dürfen niemals von Schadensmeldungen oder Zahlungen ausgeschlossen werden | Dürfen niemals von der Angebotserstellung oder dem Vertragsabschluss ausgeschlossen werden |
Branch Insurance zeigte, wie dies in der Praxis funktioniert: Sie begannen mit den Agenten (höhere Frequenz, kontrollierteres Umfeld) und erreichten eine anfängliche Akzeptanz von 25 %, bevor sie auf die Versicherungsnehmer ausweiteten. Der Ansatz, bei den Agenten anzufangen, stärkte das interne Vertrauen und brachte gerätespezifische Probleme frühzeitig zutage.
4.4 Regionale Compliance-Landschaft#
Die Authentifizierung bei Versicherungen ist nicht nur ein regulatorisches Thema der USA. Die genauen Regeln unterscheiden sich je nach Markt, aber die Richtung ist konsistent: stärkere Identitätskontrollen, breitere MFA-Abdeckung und mehr Prüfung der kundenorientierten digitalen Kanäle.
- USA: NYDFS Part 500 schreibt universelle MFA bis November 2025 für betroffene Einrichtungen vor, einschließlich der in New York zugelassenen Versicherer. Das NYDFS stuft SMS-OTPs ausdrücklich als schwach ein und empfiehlt phishing-resistente Alternativen. Das NAIC Insurance Data Security Model Law drängt auf risikobasierte MFA in über 25 Bundesstaaten, während die FTC Safeguards Rule MFA für bestimmte Nicht-Bank-Finanzinstitute und Vermittler vorschreibt.
- EU: DORA findet seit dem 17. Januar 2025 Anwendung und gilt für Versicherungsunternehmen in der gesamten EU. DORA ist umfassender als eine MFA-Regelung, hebt jedoch die Standards für das IKT-Risikomanagement, die Meldung von Vorfällen, Resilienztests und die Aufsicht über Drittanbieter für kundenorientierte Systeme an.
- Australien: APRA CPS 234 verlangt Informationssicherheitskontrollen, die dem Risiko bei Versicherern und anderen von der APRA regulierten Unternehmen angemessen sind. Die MFA-Leitlinien der APRA von 2023 fordern speziell eine verstärkte Authentifizierung für privilegierten Zugriff, Fernzugriff und risikoreiche Aktivitäten und weisen darauf hin, dass wesentliche MFA-Lücken, die Versicherungsnehmer betreffen, eine meldepflichtige Sicherheitsschwäche darstellen können.
- Kanada: Die OSFI Guideline B-13 gilt für staatlich regulierte Finanzinstitute, einschließlich Versicherer. Das OSFI besagt, dass Unternehmen risikobasierte Identitäts- und Zugriffskontrollen implementieren sollten, einschließlich MFA über externe Kanäle und privilegierte Konten hinweg.
Für überregionale Versicherer ist die praktische Implikation einfach: Gestalten Sie die Kundenauthentifizierung so, dass sie dem strengsten anwendbaren Regime genügt. Die gemeinsame Richtung geht hin zu risikobasierter und zunehmend phishing-resistenter MFA und nicht zur weiteren Abhängigkeit von SMS OTP.
Enterprise-Passkey-Whitepaper. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.
5. Was sollten Versicherer vor und nach der Einführung von Passkeys messen?#
Passkeys ohne clientseitige Telemetrie einzuführen, ist wie eine Versicherungspolice ohne Underwriting-Daten zu schreiben. Sie werden nicht wissen, was wo oder für wen fehlschlägt, bis Ihr Call Center überlastet ist. Der Fehler des "Blindflug-Rollouts" aus Banken-Einführungen gilt hier genauso, insbesondere angesichts der vielfältigen Demografie der Versicherungsnehmer, mit denen Versicherer zu tun haben.
Mindestens sollten Versicherer drei geschäftsorientierte Ergebnisse messen:
- Login-Erfolgsrate: Melden sich Versicherungsnehmer und Agenten nach dem Start von Passkeys zuverlässiger an?
- Enrollment-Rate: Erstellen Nutzer tatsächlich Passkeys oder stagniert die Akzeptanz nach der ersten Aufforderung?
- Fallback und Supportvolumen: Greifen Nutzer auf SMS oder Passwort-Wiederherstellung zurück, und gehen authentifizierungsbezogene Support-Tickets zurück?
Wenn sich diese drei Zahlen in die richtige Richtung bewegen, funktioniert der Rollout. Wenn nicht, müssen Sie das Timing der Eingabeaufforderungen, das Fallback-Design, die Geräteabdeckung oder die Benutzeraufklärung anpassen, bevor Sie weiter skalieren.
5.1 Schadensmeldungen und Kontoänderungs-Journeys sind wichtiger als generische Logins#
Versicherungsportale sind nicht nur "Einloggen und Saldo prüfen"-Erlebnisse. Die risikoreichsten Momente treten oft auf, wenn ein Versicherungsnehmer einen Schaden meldet, Auszahlungsdetails ändert, eine Adresse aktualisiert, einen Fahrer hinzufügt, einen Begünstigten ändert oder auf sensible Dokumente zugreift. Diese Journeys sollten nicht in einem generischen Login-KPI zusammengefasst werden.
Versicherer sollten die Performance von Passkeys daher für risikoreiche Kontoereignisse separat verfolgen. Wenn der Login-Erfolg insgesamt gut aussieht, aber Journeys im Zusammenhang mit Schadensfällen oder Auszahlungen immer noch auf SMS oder manuelle Wiederherstellung zurückfallen, reduziert der Rollout das operationelle Risiko dort, wo es am wichtigsten ist, nicht wirklich. Dies ist einer der größten Unterschiede zwischen Versicherungen und häufiger genutzten Verbraucher-Apps.
5.2 Seltene Logins verändern das Adoptions-Playbook#
Viele Versicherungsnehmer loggen sich nur wenige Male im Jahr ein: bei der Verlängerung, nach einem Rechnungsproblem oder wenn sie einen Schaden melden. Das macht die Passkey-Adoption im Versicherungswesen grundlegend anders als bei Produkten des täglichen Gebrauchs. Sie haben weniger Gelegenheiten zur Aufforderung, Aufklärung und Wiederherstellung nach einer schlechten ersten Erfahrung.
Deshalb sollten Versicherer das Enrollment anhand der Journey messen, nicht nur in der Gesamtheit. Eine Aufforderung, die nach einer erfolgreichen Zahlung oder Überprüfung des Schadensstatus angezeigt wird, konvertiert möglicherweise viel besser als eine unaufgeforderte Eingabeaufforderung auf dem ersten Login-Bildschirm Monate nach der letzten Sitzung. Im Versicherungswesen sind die besten Adoptionsmomente normalerweise mit Vertrauen und Aufgabenabschluss verbunden, nicht mit der Login-Häufigkeit.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study6. Was ist das Insurance Authentication Maturity Model?#
Dieses vierstufige Rahmenwerk bietet Versicherern eine Möglichkeit zu bewerten, wo sie heute in Sachen Authentifizierung stehen, Zielmeilensteine festzulegen und den Fortschritt gegenüber Vorständen, Regulierungsbehörden und Prüfern zu kommunizieren. Jedes Level baut auf dem vorherigen auf.
| Level | Name | Authentifizierungsmethode | Phishing-Resistenz | Compliance-Status | Support-Aufwand | Kostenprofil | Sichtbarkeit |
|---|---|---|---|---|---|---|---|
| 1 | SMS-Only | Passwort + SMS OTP als einziger zweiter Faktor | Keine: SMS kann über SIM-Swap, SS7 und Phishing-Relay abgefangen werden | Verfehlt die NYDFS-Richtlinien zur Phishing-Resistenz; minimale FTC-Compliance; NAIC-Lücke im risikobasierten Bereich | Hoch: OTP-Zustellungsfehler, abgelaufene Codes und Passwort-Zurücksetzungen verursachen 20-40 % des Call-Center-Volumens | Hoch: 0,01 bis 0,05 US-Dollar pro OTP bei Skalierung plus Supportkosten | Minimal: nur serverseitige HTTP-Logs; keine clientseitigen Zeremonie-Daten |
| 2 | MFA-Enabled | Passwort + SMS/TOTP/Push als zweiter Faktor | Niedrig: TOTP und Push sind anfällig für Echtzeit-Relay-Phishing; Push ist anfällig für Fatigue-Angriffe | Erfüllt grundlegende MFA-Checkbox für FTC und NAIC; erfüllt nicht die NYDFS-Empfehlung zur Phishing-Resistenz | Mittel: weniger SMS-Zustellungsprobleme, aber TOTP-Einrichtungsfehler und Push-Fatigue fügen neue Ticket-Kategorien hinzu | Mittel: TOTP eliminiert Kosten pro Nachricht, aber der Overhead für App-Support bleibt | Begrenzt: verfolgt möglicherweise die Auswahl der MFA-Methode, lässt aber Zeremonie-Level-Telemetrie vermissen |
| 3 | Phishing-Resistant | Passkeys als primäre Methode implementiert; Passwort/OTP als Fallback für inkompatible Geräte | Hoch: FIDO2/WebAuthn-Anmeldeinformationen sind domänengebunden und kryptographisch; immun gegen Phishing, Stuffing und SIM-Swap | Erfüllt oder übertrifft die Anforderungen von NYDFS, FTC und NAIC; NIST SP 800-63B AAL2-konform | Niedrig: Branch Insurance verzeichnete ~50 % Ticketreduzierung; Aflac erreichte 96 % Login-Erfolg | Niedrig: null Kosten pro Authentifizierung; ROI durch SMS-Eliminierung und Betrugsreduzierung | Moderat: Enrollment- und Auth-Funnels instrumentiert; grundlegende Fehlerklassifizierung vorhanden |
| 4 | Phishing-Resistant + Observability | Passkeys als Standard; Device Trust Scoring; risikobasiertes Step-Up für Anomalien; intelligente Fallbacks | Höchste: kryptographische Auth + kontinuierliche Device Trust-Bewertung + Verhaltenssignale | Audit-sicher: vollständige Telemetrie unterstützt CEO/CISO-Zertifizierung, NYDFS-Prüfung und regulatorisches Reporting | Am niedrigsten: proaktive Anomalie-Erkennung verhindert Probleme, bevor sie das Call Center erreichen | Am niedrigsten: optimiertes Fallback-Routing minimiert verbleibende SMS-Ausgaben; Betrugsverluste reduziert | Vollständig: Echtzeit-Dashboards, die Adoptionskurven, Fehlerraten nach Gerät/OS, Trust-Verfall und SCA-Faktor-Abdeckung zeigen |
Das folgende Diagramm visualisiert die vier Reifegrade als eine Progression von SMS-Only bis hin zur vollständigen Observability.
Wie man dieses Modell nutzt:
- Bewerten: Identifizieren Sie Ihr aktuelles Level, indem Sie Authentifizierungsmethoden, Telemetrie-Abdeckung und Compliance-Lücken über alle kundenorientierten Portale hinweg prüfen.
- Zielsetzen: Legen Sie eine Roadmap für 12 bis 18 Monate fest, um mindestens Level 3 zu erreichen. Versicherer unter NYDFS-Aufsicht sollten Level 4 anstreben, um die duale CEO/CISO-Zertifizierungsanforderung zu unterstützen.
- Kommunizieren: Nutzen Sie das Modell bei Vorstandspräsentationen und Eingaben bei Aufsichtsbehörden, um strukturierte Fortschritte statt punktueller Verbesserungen zu demonstrieren.
Enterprise-Passkey-Whitepaper. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.
7. Wie Passkeys die digitale Akzeptanz und die Migration zum Self-Service vorantreiben#
Die meisten Führungskräfte in Versicherungen betrachten Authentifizierung als IT-Thema. Das ist ein Fehler. Für C-Level- und VP-Level-Führungskräfte, deren strategische Agenda vorsieht, Versicherungsnehmer von Call Centern und Filialen auf digitalen Self-Service umzustellen, ist die Authentifizierung der größte Reibungspunkt, der dem im Weg steht.
7.1 Die Authentifizierung ist die Eingangstür für jede digitale Initiative#
Jede digitale Versicherungsinitiative – Self-Service-Schadensmeldungen, Online-Vertragsänderungen, digitale Zahlungen, E-Signatur-Workflows – beginnt mit einem Login. Wenn Versicherungsnehmer nicht zuverlässig durch diese Eingangstür kommen, liefert keine der nachgelagerten Investitionen einen ROI.
Die Daten sind eindeutig:
- 43 % der Verbraucher sagen, dass die Verwaltung von Logins ihre Bereitschaft beeinflusst, Online-Dienste überhaupt zu nutzen.
- 64 % haben einen Kauf abgebrochen, weil sie ein Konto erstellen mussten oder sich nicht einloggen konnten.
- 60 % der Verbraucher finden Versicherungs-, Renten- und Hypothekenportale schwer zu navigieren, wobei der Login der erste und häufigste Fehlerpunkt ist.
- Nur 20 % der Versicherungskunden geben an, dass digitale Kanäle ihr bevorzugter Weg zur Interaktion mit ihrem Versicherer sind, größtenteils weil die Erfahrung – beginnend bei der Authentifizierung – schlechter ist als das, was sie von Banken- und Einzelhandels-Apps kennen.
Das folgende Diagramm veranschaulicht, wie sich diese vier Datenpunkte zu einem einzigen Muster verbinden, das die Akzeptanz blockiert.
Für Versicherer, die Millionen für Portal-Redesigns, Chatbots und digitale Schadens-Workflows ausgeben, untergräbt ein Login-Erlebnis mit Passwort und SMS-OTP die gesamte Investition. Versicherungsnehmer, die sich nicht einloggen können oder frustriert aufgeben, greifen standardmäßig zum Telefonhörer für das Contact Center oder besuchen eine Filiale – genau die kostenintensiven Kanäle, die die digitale Strategie eigentlich ersetzen sollte.
7.2 Den Shift zum Self-Service quantifizieren#
Die Verlagerung von Versicherungsnehmern von menschlich unterstützten Kanälen zum digitalen Self-Service ist eine der Strategien mit dem größten Hebel zur Kostensenkung im Versicherungswesen:
- Telefonische Interaktionen kosten 8 bis 15 US-Dollar pro Kontakt im Vergleich zu unter 1 US-Dollar beim Self-Service. In der Größenordnung eines Versicherers spart selbst eine 10%ige Kanalverschiebung vom Telefon ins Digitale jährlich Millionen.
- Portalnutzer kündigen ihre Verträge mit einer um 12 % geringeren Wahrscheinlichkeit als Nicht-Portalnutzer. Multi-Channel-Nutzer weisen eine um 25 % höhere Kundenbindungsrate auf.
- Versicherer, die digitalen Self-Service einführen, berichten von 15 bis 25 % niedrigeren Servicekosten und 30 % geringeren Kosten für die Schadensbearbeitung.
- 82 % der Versicherungskunden wollen Probleme lösen, ohne anzurufen, aber nur 56 % berichten von angemessenen Self-Service-Tools – eine Lücke, die durch Authentifizierungs-Reibung weiter vergrößert wird.
Das folgende Diagramm zeigt, wie diese wirtschaftlichen Aspekte über die Kanäle hinweg aussehen.
Passkeys schließen direkt die Lücke zwischen der Kundenabsicht und der tatsächlichen Portalnutzung. Wenn der Login unter 2 Sekunden mit einer biometrischen Bestätigung dauert, anstatt eines Ablaufs mit Passwort und OTP, der in 5 bis 15 % der Fälle fehlschlägt, schließen mehr Versicherungsnehmer die digitale Journey ab, anstatt zum Telefonhörer zu greifen.
7.3 Was die Observability von Corbado über die digitale Akzeptanz verrät#
Die meisten Versicherer wissen, dass ihre digitale Akzeptanzrate geringer ist, als sie es sich wünschen. Was sie nicht beantworten können, ist das Warum. Ist es eine Geräte-Inkompatibilität? Reibung im Enrollment-Flow? Ein bestimmtes Betriebssystem oder ein Browser, bei dem Passkeys lautlos fehlschlagen? Ein demografisches Segment, das nie aufgefordert wird?
Hier bietet die Authentifizierungs-Observability von Corbado etwas, was kein anderes Tool auf dem Markt kann: die Möglichkeit, Authentifizierungs-Telemetrie direkt mit Geschäftskennzahlen wie der digitalen Akzeptanzrate, der Self-Service-Abschlussrate und der Kanalmigration zu verknüpfen.
Corbado zeigt auf:
- Wo Versicherungsnehmer aus dem Authentifizierungs-Funnel aussteigen – nicht nur "Login fehlgeschlagen", sondern in welcher Phase der Zeremonie, auf welchem Gerät, für welches Nutzersegment.
- Welche Kohorten auf veralteten Methoden festsitzen – z. B. Versicherungsnehmer über 60 auf Android, die nie einen Passkey-Prompt sehen, weil ihr Gerät inkompatibel ist, und die geräuschlos zur SMS und dann zum Call Center geleitet werden.
- Die direkte Verbindung zwischen Authentifizierungserfolg und digitalem Engagement – wenn die Login-Erfolgsrate um 10 Prozentpunkte steigt, wie sehr nimmt dann die Nutzung von Portal-Self-Service zu? Wie viele Anrufe weniger landen im Contact Center?
Für einen CIO oder SVP Digital, der dem Vorstand präsentiert, verwandelt dies "Wir haben Passkeys eingeführt" in "Passkeys haben die Akzeptanz des digitalen Self-Service um X % erhöht, das Call-Center-Volumen um Y % reduziert und Z US-Dollar pro Quartal gespart." Das ist das strategische Narrativ, das die Investition rechtfertigt und die umfassendere Roadmap zur digitalen Transformation beschleunigt.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study8. Wie Corbado Versicherern bei der Einführung von Passkeys hilft#
Die meisten Versicherer verfügen bereits über eine CIAM-Plattform (Ping, ForgeRock, Okta), die die WebAuthn-Zeremonie abwickeln kann. Was ihnen fehlt, ist die Adoptionsschicht, die aus "Wir unterstützen Passkeys" ein "50 % unserer Versicherungsnehmer nutzen Passkeys" macht. Corbado liefert diese Schicht.
8.1 Adoptions-Engine#
Die vorgefertigten UI-Komponenten und die Entscheidungslogik von Corbado übernehmen die Enrollment-Journey, die CIAM-Plattformen der Eigenentwicklung überlassen:
- Kontextbezogene Enrollment-Aufforderungen erscheinen in Momenten hohen Vertrauens (unmittelbar nach einer erfolgreichen MFA-Prüfung) und sind nicht in den Kontoeinstellungen versteckt.
- Progressive Dringlichkeit bewegt sich über einen konfigurierbaren Zeitplan von "Optional"-Anstupsern zu "Empfohlen" bis hin zu "Verpflichtend", passend zur Adoptionskurve von 12 bis 18 Monaten, die die meisten Versicherer benötigen.
- A/B-Testing für Enrollment-Nachrichten, -Timing und -Platzierung, um Konversionsraten über verschiedene Versicherungsnehmer-Segmente und Produktlinien hinweg zu optimieren.
8.2 Device Intelligence#
Corbado unterhält eine kontinuierlich aktualisierte Matrix der gerätespezifischen Passkey-Kompatibilität:
- Wenn ein bestimmtes Samsung-Modell eine fehlerhafte Passkey-Implementierung hat, unterdrückt Corbado die Aufforderung automatisch und leitet den Nutzer ohne Frustration zu einem Fallback weiter.
- Passkey Intelligence erkennt die Fähigkeiten des Geräts vor der Aufforderung und verhindert so die Fehler "Operation Interrupted" (Vorgang unterbrochen), die Supportspitzen verursachen.
- Die versicherungsspezifische Gerätevielfalt (ältere Tablets bei Rentnern, geteilte Agentur-Workstations, firmenverwaltete Laptops) wird durch konfigurierbare Trust-Richtlinien gehandhabt.
8.3 Intelligente Fallbacks#
Corbado verhindert dauerhafte Aussperrungen, indem es Nutzer intelligent zu Alternativen weiterleitet, wenn ihr Gerät oder ihre Umgebung nicht bereit für Passkeys ist:
- Versicherungsnehmer auf inkompatiblen Geräten erleben einen reibungslosen Übergang zur nächstbesten Methode anstatt eines Fehlerbildschirms.
- Wiederherstellungsabläufe mittels Identitätsprüfung (eKYC, ID-Scan + Liveness-Check) ermöglichen eine erneute Registrierung ohne Eingreifen des Call Centers.
- Agentenspezifische Fallback-Richtlinien berücksichtigen gemeinsam genutzte Workstations und Proxy-Umgebungen in Unternehmen, die hybride Abläufe (QR-Code) blockieren.
8.4 Forensische Telemetrie#
Corbado bietet den "Röntgenblick", den serverseitige CIAM-Logs nicht haben:
- Das Device Trust-Dashboard zeigt Erfolgsraten nach Passkey-Typ, Geräteklassifizierung und SCA-Faktor-Abdeckung.
- Echtzeit-Anomalieerkennung markiert ungewöhnliche Muster (Spitzen bei gemeinsam genutzten Geräten, Enrollments aus verdächtigen Umgebungen), bevor sie zu Sicherheitsvorfällen werden.
- Audit-bereite Berichte geben CISOs die Daten, die für die jährliche NYDFS-Zertifizierung, NAIC-Prüfungen und interne Vorstandsberichte erforderlich sind.
Corbado ersetzt nicht Ihren bestehenden CIAM-Stack. Es sitzt davor und bewältigt die reale Komplexität von Gerätefragmentierung, Benutzeraufklärung und operativer Sichtbarkeit, die bestimmt, ob Ihre Passkey-Investition einen ROI liefert oder bei einer Akzeptanz von unter 1 % stagniert.
9. Fazit#
Versicherungs-Kundenportale stehen aus mehreren Richtungen unter Druck: steigende ATO-Angriffe, kostspielige SMS-OTP-Infrastruktur, Call-Center-Überlastung durch Passwort-Zurücksetzungen, strengere regulatorische Erwartungen in den USA, der EU, Australien und Kanada – und das strategische Mandat, Versicherungsnehmer von teuren menschlichen Kanälen in den digitalen Self-Service zu überführen. Passkeys lösen alle fünf Probleme, indem sie phishbare Zugangsdaten eliminieren, die Kosten pro Authentifizierung abschaffen, den Support-Aufwand reduzieren, sich an die Verlagerung hin zu stärkerer MFA anpassen und die Login-Reibung beseitigen, die die digitale Akzeptanz blockiert.
Aflac (500.000 Registrierungen, 96 % Erfolgsrate), Branch Insurance (50 % Ticketreduzierung) und HealthEquity (verpflichtender Rollout ohne Opt-out) haben bereits bewiesen, dass eine Adoption in großem Maßstab funktioniert. Der Schlüssel ist, Passkeys als eine Product Journey und nicht als eine Infrastruktur-Checkbox zu betrachten: Investieren Sie in Enrollment-Flows, instrumentieren Sie den Client, planen Sie Fallbacks und bauen Sie die Telemetrie auf, die die Authentifizierungs-Performance mit den Geschäftskennzahlen verbindet, die Ihren Vorstand tatsächlich interessieren – digitale Akzeptanzrate, Call-Center-Entlastung und Self-Service-Abschlüsse.
Nutzen Sie das Insurance Authentication Maturity Model, um Ihre aktuelle Position zu bewerten, ein Ziel für 12 bis 18 Monate festzulegen und Ihrem Vorstand und den Regulierungsbehörden strukturierte Fortschritte zu kommunizieren.
Über Corbado
Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →
Häufig gestellte Fragen#
Wie reduzieren Passkeys das Account-Takeover-Risiko für Versicherungs-Kundenportale?#
Passkeys nutzen asymmetrische Kryptographie, die an die Domain des Versicherers gebunden ist, und sind dadurch immun gegen Phishing, Credential Stuffing und SIM-Swapping-Angriffe, die Passwort- und SMS-OTP-Abläufe plagen. Aflac meldete nach der Einführung von Passkeys eine Login-Erfolgsrate von 96 %, und bei Branch Insurance gingen die Support-Tickets um etwa 50 % zurück. Da während der Authentifizierung kein gemeinsames Geheimnis übertragen wird, können Angreifer keine wiederverwendbaren Zugangsdaten abgreifen, selbst wenn sie das Netzwerk kontrollieren.
Welche Compliance-Rahmenwerke prägen die Authentifizierungsanforderungen für Versicherungs-Kundenportale und wie helfen Passkeys?#
In den USA treiben NYDFS Part 500, die FTC Safeguards Rule und das NAIC Insurance Data Security Model Law die Versicherer zu stärkerer MFA. Außerhalb der USA fallen EU-Versicherer unter DORA, australische Versicherer unter APRA CPS 234 und kanadische Versicherer unter die OSFI Guideline B-13, die alle die Erwartungen an Authentifizierungskontrollen für kundenorientierte Systeme erhöhen. Passkeys helfen, weil sie phishing-resistente MFA mit kryptographischen FIDO2/WebAuthn-Anmeldeinformationen bieten und gleichzeitig die Abhängigkeit von schwächeren SMS-OTP-Abläufen reduzieren.
Wie vergleichen sich Passkeys mit SMS OTP, TOTP und Device Trust für die Authentifizierung in Versicherungsportalen?#
SMS OTP kostet bei hoher Skalierung 0,01 bis 0,05 US-Dollar pro Nachricht, ist anfällig für SIM-Swapping und Phishing und erzeugt durch Zustellungsfehler eine hohe Call-Center-Auslastung. TOTP-Apps eliminieren die Kosten pro Nachricht, bleiben aber anfällig für Phishing und erfordern eine manuelle Codeeingabe. Device Trust reduziert die Reibung auf bekannten Geräten, bietet aber keine Phishing-Resistenz. Passkeys kombinieren phishing-resistente Sicherheit mit null Kosten pro Authentifizierung und Login-Zeiten von unter 2 Sekunden, was sie zur einzigen Methode macht, die in den Dimensionen Sicherheit, UX, Kosten und Compliance am besten abschneidet.
Was unterscheidet den Passkey-Rollout für Versicherer im Vergleich zu Banken oder SaaS-Unternehmen?#
Versicherer stehen vor der Komplexität von Multi-Brand-Portalen, bei denen Auto-, Haus- und Lebensprodukte auf separaten Subdomains laufen können, was eine einheitliche rpID-Strategie erfordert. Legacy-CIAM-Plattformen wie Ping, ForgeRock oder Okta unterstützen WebAuthn im Backend, bieten aber nur begrenzte Adoptionstools. Agenten- und Versicherungsnehmer-Abläufe erfordern unterschiedliche Vertrauensstufen und Geräteprofile. Der regulatorische Druck erstreckt sich auch auf mehrere Gerichtsbarkeiten: US-Versicherer müssen die Erwartungen von NYDFS Part 500, NAIC Model Law und FTC Safeguards Rule erfüllen, EU-Versicherer fallen unter DORA, australische Versicherer unter APRA CPS 234 und kanadische Versicherer unter die OSFI Guideline B-13. Das erfordert einen Rollout-Plan, der den strengsten anwendbaren Standard erfüllt.
Was ist das Insurance Authentication Maturity Model und wie können Versicherer es nutzen, um ihre Fortschritte zu bewerten?#
Das Insurance Authentication Maturity Model definiert vier Stufen: Level 1 (SMS-Only) mit Single-Factor OTP und ohne Phishing-Resistenz; Level 2 (MFA-Enabled) mit Passwort plus SMS oder TOTP, was grundlegende Compliance erfüllt; Level 3 (Phishing-Resistant) mit implementierten Passkeys, gesichertem Enrollment und intelligenten Fallbacks; Level 4 (Phishing-Resistant + Observability) mit vollständiger Telemetrie, Device Trust und kontinuierlicher Überwachung. Versicherer können das Modell nutzen, um ihr aktuelles Niveau zu ermitteln, Zielmeilensteine festzulegen und Fortschritte gegenüber Vorständen und Regulierungsbehörden zu kommunizieren.
Diesen Artikel teilen
Ähnliche Artikel
Inhaltsverzeichnis