Passkeys: Kaufen vs. selbst entwickeln – Ein Leitfaden

Laden Sie den vollständigen Leitfaden „Passkeys: Kaufen vs. selbst entwickeln“ kostenlos herunter und erhalten Sie Zugang zu allen Einblicken.

• ✅ Von Teams bei Adidas, Woolworths & Mitsubishi angefragt
• ✅ Vollständige Liste der Bausteine & Kostenmodell zur Entscheidung zwischen Kaufen und selbst entwickeln
• ✅ Praktisches 50-seitiges Entscheidungs-Framework

Die Idee, eine eigene Passkey-Implementierung zu entwickeln, klingt verlockend: volle Kontrolle, benutzerdefinierte Integrationen und kein Vendor-Lock-in. Schließlich basiert FIDO2 auf offenen Standards, und die ersten Zeilen WebAuthn-Code zu schreiben, scheint einfach genug. Wie schwer kann es schon sein?

Doch genau hier beginnt oft die Komplexität, besonders wenn man eine Lösung für ein groß angelegtes Szenario mit Millionen von Nutzern in Branchen wie den folgenden plant:

• Banken & Finanzdienstleistungen (z. B. Online, Banking, Zahlungen, Fintech)
• Behörden & Öffentliche Dienste (z. B. Bürgerportale, Steuer- & Sozialversicherungsplattformen)
• Versicherungen & Gesundheitswesen (z. B. Patientenportale, digitale Versicherungsplattformen)
• E-Commerce & Einzelhandel (z. B. Marktplätze, Treueprogramme)
• Telekommunikation & Energieversorger (z. B. Mobilfunkanbieter, Energieversorger)
• Reisen & Gastgewerbe (z. B. Airline-Konten, Hotel-Treueprogramme)

Die wahre Herausforderung beginnt erst nach dem ersten erfolgreichen Passkey-Login und zeigt sich oft erst, während man die Passkey-Lösung bereits implementiert. Plötzlich tauchen seltsame Edge Cases, verwirrende Nutzerfehler und potenzielle Aussperrungen von Nutzern auf, weil Passkeys nicht verfügbar sind. Was wie eine unkomplizierte Integration aussah, entwickelt sich zu monate- oder sogar jahrelangem Entwicklungsaufwand, unerwarteten Wartungskosten und einem potenziell gescheiterten Passkey-Projekt.

Dennoch kann die Eigenentwicklung für bestimmte Organisationen und spezielle Anforderungen die richtige Wahl sein. Wir haben mit Dutzenden von Organisationen über ihre Pläne zur Passkey-Implementierung gesprochen und einige auf ihrem Weg praktisch begleitet. Dieser Leitfaden hilft dabei zu bestimmen, wann ein Do-It-Yourself (DIY) Passkey-Ansatz sinnvoll sein könnte und wann die Wahl eines etablierten Passkey-Anbieters die klügere Entscheidung ist.

Mit unserem Leitfaden „Passkeys: Kaufen vs. selbst entwickeln“ möchten wir folgende Fragen beantworten:

1. Welche Komponenten sind erforderlich, um Passkeys zu implementieren und passwortlos zu werden?
2. Sollte ich Passkeys intern implementieren oder einen externen Passkey-Anbieter nutzen?
3. Was ist der Vorteil eines Passkey-Anbieters, wenn es Open-Source-Bibliotheken gibt?
4. Was sind die größten Herausforderungen bei der Entwicklung einer Passkey-Lösung?
5. Welche Risiken birgt die interne Implementierung von Passkeys?

Passwörter sind veraltet, unsicher und frustrierend. Passkeys eliminieren Phishing-Risiken, verbessern die User Experience und vereinfachen die Authentifizierung – das macht sie zum neuen Standard für sichere Logins. Ob man sie selbst entwickelt oder eine externe Lösung nutzt, die Integration von Passkeys ist ein großes Upgrade für Sicherheit und Benutzerfreundlichkeit.

Google hat herausgefunden, dass es gut ankommt und funktioniert, wenn man die einfache Bedienung oder die Geschwindigkeit in den Vordergrund stellt. Die Leute beschweren sich im Allgemeinen über das Einloggen, daher ist alles, was den Prozess einfacher und schneller macht, ein Gewinn.

Zusätzlich zu diesen Sicherheitsvorteilen gibt es ein enormes Potenzial für operative Kosteneinsparungen durch Passkeys. Man kann die Anzahl der an Nutzer gesendeten SMS-OTPs reduzieren, was sich bei großen Nutzerbasen massiv summieren kann. Darüber hinaus ist die Belastung, die Passwort- und MFA-Wiederherstellungen für die Kundensupport-Teams bedeuten, ebenfalls ein Kostenfaktor, der eliminiert werden kann.

Außerdem verbessern Passkeys die Erfolgsraten und die Dauer von Logins, was letztendlich zu besseren Conversion Rates führt. Dies ist ein wichtiger Wachstumstreiber in Branchen wie E-Commerce, Einzelhandel oder Reisen.

Das Endziel für viele Organisationen, die die Einführung von Passkeys in Erwägung ziehen, ist es, vollständig passwortlos zu werden. Um dieses Ziel zu erreichen, müssen typischerweise vier Phasen durchlaufen werden. Die Geschwindigkeit, mit der diese Phasen durchlaufen werden, hängt stark von den technischen Fähigkeiten, den Login-Mustern und der Nutzerbasis der Organisation ab. In einigen Fällen können auch externe Faktoren wie öffentlicher Druck zur Einführung sichererer Authentifizierungsmethoden oder finanzielle Zwänge eine Rolle spielen.

Gehen wir diese vier Phasen durch und beschreiben sie, denn die Implementierung von Passkeys ist nur ein Schritt, um den Erfolg eines Passkey-Projekts zu sichern.

Der erste Schritt beim Übergang zu einem vollständig passwortlosen System ist die Integration von Passkeys als Login-Methode. In dieser Phase bleiben Passwörter und andere Authentifizierungsmethoden als Fallback-Lösungen bestehen, um sicherzustellen, dass Nutzer weiterhin auf ihre Konten zugreifen können, wenn sie Passkeys noch nicht eingeführt haben. Eine erfolgreiche Integration erfordert eine nahtlose Kompatibilität mit bestehenden Login-Abläufen und Sicherheitsrichtlinien. Organisationen sollten sich darauf konzentrieren, die Erstellung von Passkeys unkompliziert zu gestalten, damit sowohl technische als auch nicht-technische Nutzer die neue Authentifizierungsmethode reibungslos übernehmen können.

Sobald Passkeys integriert sind, besteht die nächste Herausforderung darin, die Nutzerakzeptanz von Passkeys zu fördern. Viele Organisationen unterschätzen die Bedeutung dieser Phase, aber ohne eine breite Nutzerakzeptanz ist ein Passkey-Projekt wahrscheinlich zum Scheitern verurteilt. Das Ziel ist es, so viele Nutzer wie möglich zu ermutigen, Passkeys zu erstellen und zu verwenden, und sie idealerweise zur Standard-Login-Methode zu machen.

Zu den wichtigsten Taktiken zur Steigerung der Akzeptanz gehören proaktive Nutzeraufklärung, UI-Nudges, die die Erstellung von Passkeys fördern, und Anreizprogramme, die Nutzer für den Wechsel belohnen. Organisationen sollten eine kritische Akzeptanzschwelle festlegen, z. B. 50-80 % der aktiven Nutzer, die Passkeys verwenden, bevor sie zur nächsten Phase übergehen. Für ein tieferes Verständnis, warum die Akzeptanz entscheidend ist, lesen Sie unseren speziellen Artikel darüber, wie niedrige Akzeptanzraten Ihr Passkey-Projekt gefährden können.

Wenn die Passkey-Akzeptanz eine kritische Masse erreicht, können Organisationen beginnen, Passwörter abzuschaffen. Das Entfernen von Passwörtern zu früh oder ohne sorgfältige Planung kann jedoch zu Usability-Problemen und erhöhten Support-Anfragen führen. Ein schrittweiser Ansatz wird empfohlen:

• Beginnen Sie damit, Passwörter von Konten zu entfernen, bei denen sich Nutzer konsequent mit Passkeys authentifizieren.
• Bieten Sie die Entfernung von Passwörtern als Option in den Kontoeinstellungen für Early Adopters an.
• Nutzen Sie datengestützte Erkenntnisse, um Nutzer zu identifizieren, die bereit sind, vollständig passwortlos zu werden. Zum Beispiel können Nutzer mit mehreren auf verschiedenen Geräten registrierten Passkeys für die Passwortentfernung priorisiert werden.
• Kommunizieren Sie proaktiv die Vorteile der Passwortentfernung, um das Vertrauen der Nutzer aufzubauen.

Indem Organisationen Nutzer strategisch zur vollständigen passwortlosen Authentifizierung führen, können sie die Sicherheit maximieren, ohne die User Experience zu beeinträchtigen.

Sobald Passwörter entfernt sind, müssen die Mechanismen zur Kontowiederherstellung robust und sicher sein. Traditionelle Wiederherstellungsmethoden basieren oft auf manuellen Eingriffen wie Support-Tickets oder E-Mail-Resets, was Sicherheitsrisiken und Betriebskosten mit sich bringen kann. Organisationen müssen moderne Self-Service-Lösungen zur Kontowiederherstellung implementieren, die die Sicherheit wahren und gleichzeitig die User Experience verbessern.

Zu den Schlüsselelementen der automatisierten Kontowiederherstellung gehören:

• Liveness Checks: Verhindern Sie unbefugte Kontoübernahmen, indem Sie sicherstellen, dass der Nutzer physisch anwesend ist.
• ID-Verifizierung: Nutzen Sie von Regierungen ausgestellte Ausweise und biometrische Verifizierung, um die Identität zu bestätigen.
• Fallback-Passkeys: Ermöglichen Sie Nutzern die Wiederherstellung von Konten mit Backup-Passkeys, die auf anderen ihrer Geräte gespeichert sind.

Viele Organisationen investieren bereits unabhängig von ihrem Übergang zur Passwortlosigkeit in automatisierte Wiederherstellungsprozesse, um Kosten zu senken und die Benutzerfreundlichkeit zu verbessern. In einem von Passkeys geprägten Ökosystem werden diese Mechanismen jedoch noch wichtiger, um die Sicherheit zu gewährleisten und Reibungsverluste zu reduzieren.

Basierend auf diesen vier Phasen versuchen wir nun, bei der Entscheidung zwischen Kaufen und selbst entwickeln zu helfen. Daher ist es für den langfristigen Erfolg Ihres Passkey-Projekts sehr wichtig, alle Phasen im Blick zu haben und nicht nur Passkeys zu integrieren (dies kann zwar ein Ziel sein, aber dann lässt man das volle Potenzial von Passkeys ungenutzt).

Die Wahl zwischen einer DIY- und einer externen Passkey-Lösung hängt von den technischen Ressourcen, den Sicherheitsprioritäten, der Größe des Deployments und der langfristigen Passkey-Strategie Ihres Unternehmens ab. Im nächsten Abschnitt schlüsseln wir die wichtigsten Aspekte auf, um Ihnen zu helfen, die beste Entscheidung zu treffen.

Die folgende Tabelle zeigt verschiedene Bewertungskriterien, die Sie bewerten müssen. Je nachdem, zu welcher Aussage Sie mehr tendieren, werden unterschiedliche Punktzahlen vergeben.

Wie man die Bewertungsmatrix verwendet:

Wählen Sie für jedes Kriterium, ob Ihr Unternehmen eine einfachere oder eine komplexere Lösung benötigt.

• Vergeben Sie 1 Punkt für jede Antwort, bei der die Komplexität in Ihrem Fall am geringsten ist und eher der Beschreibung auf der linken Seite entspricht.
• Vergeben Sie 5 Punkte für jede Kategorie, in der Ihre Antwort eher der Beschreibung der höchsten Komplexität auf der rechten Seite entspricht.
• Wenn Sie unsicher sind, verwenden Sie 3 Punkte als neutrale Option.

Laden Sie den vollständigen Leitfaden „Passkeys: Kaufen vs. selbst entwickeln“ kostenlos herunter und erhalten Sie Zugang zu allen Bewertungskriterien.

Bei der Entscheidung, ob man eine Passkey-Lösung selbst entwickelt oder kauft, ist es wichtig, den gesamten Prozess zu betrachten, nicht nur eine einzelne Phase des Passkey-Rollouts. Selbst wenn Ihre kurzfristige Priorität darin besteht, Passkeys als MVP anzubieten, sollten Sie die längerfristigen Auswirkungen antizipieren, insbesondere die Förderung der Akzeptanz. Im Folgenden empfehlen wir, wie Sie diesen Leitfaden verwenden und Ihre Ergebnisse interpretieren sollten, mit einem Schwerpunkt darauf, warum die Akzeptanz wichtiger ist als fast jeder andere Faktor.

Egal wie fortschrittlich Ihre Passkey-Lösung ist, wenn die Nutzer sie nicht annehmen, indem sie Passkeys erstellen und für den Login verwenden, ist das gesamte Projekt gefährdet. Unserer Erfahrung nach unterschätzen Organisationen oft den Aufwand, der erforderlich ist, um Nutzer von Passwörtern wegzubewegen. Selbst wenn Sie Passkeys auf technischer Ebene nahtlos implementieren, wird eine geringe Akzeptanz zu Folgendem führen:

• Anhaltende Abhängigkeit von Passwörtern, was die Sicherheitsvorteile von Passkeys zunichtemacht.
• Minimaler ROI, da die Kosteneinsparungen (weniger Passwort-Resets, reduzierte SMS-OTPs) von einer signifikanten Passkey-Nutzung für den Login abhängen.
• Fragmentierte User Experience, wenn die meisten Anmeldungen immer noch über traditionelle Methoden erfolgen und nur ein kleiner Teil Passkeys verwendet.

Eine hohe Akzeptanz – manchmal 50 % oder sogar über 80 % Ihrer Nutzerbasis – ist in der Regel erforderlich, bevor Sie sinnvolle Fortschritte bei der Reduzierung oder vollständigen Abschaffung von Passwörtern machen können. Organisationen wie Google und Amazon setzen explizite Akzeptanzziele und führen systematisch A/B-Tests, Nutzeraufklärungskampagnen und UI-Nudges durch, um sicherzustellen, dass Passkeys weithin angenommen werden. Dieser konzentrierte Aufwand für die Akzeptanz ist nicht optional; er verwandelt Ihren Passkey-Rollout von einem Feature in einen greifbaren Wettbewerbsvorteil.

Dieser Leitfaden soll Ihnen helfen, fundierte Entscheidungen über Passkey-Implementierungen in jeder Phase des Weges zu treffen:

1. Phase 1 (Passkeys integrieren): Wenn Sie einfach nur überlegen, ob Sie Passkeys einführen und wie Sie sie integrieren sollen, konzentrieren Sie sich auf die Kaufen vs. Bauen-Kriterien für die Passkey-Integration.
2. Phase 2 (Akzeptanz steigern): Wenn Sie möchten, dass Passkeys mehr als nur ein Feature sind, planen Sie frühzeitig, die Nutzerakzeptanz zu fördern – selbst für ein MVP, da dies zusätzliche Technologieinvestitionen erfordert, die oft wesentlich höher sind als die ursprüngliche Implementierung.
3. Phase 3 (Passwörter entfernen): Wenn die Abschaffung von Passwörtern ein längerfristiges strategisches Ziel ist, stellen Sie sicher, dass Ihre Architektur und Nutzerflüsse mit diesem späteren Schritt im Hinterkopf gestaltet sind.
4. Phase 4 (Kontowiederherstellung automatisieren): Auch wenn Sie heute noch nicht bereit sind, vollständig passwortlos zu werden, stellen Sie sicher, dass sich Ihr Passkey-Ansatz zu einer robusten, nahtlosen Wiederherstellung entwickeln kann, um zukünftige Hindernisse zu vermeiden.

Von diesen ist Phase 2 (Akzeptanz steigern) die wichtigste. Sie können jeden Abschnitt separat bewerten, aber denken Sie daran, dass Ihr langfristiger Erfolg und ROI oft davon abhängen, wie ernst Sie die Akzeptanz von Anfang an nehmen.

Wenn Sie sich in der frühen Phase der Entscheidung für die Implementierung von Passkeys befinden, beginnen Sie mit dem ersten Abschnitt der Bewertungsmatrix (Passkey-Integration) und füllen Sie ihn mit dem Management, der IT, den Product Ownern und anderen wichtigen Entscheidungsträgern aus. Fragen Sie sich:

1. Was ist unsere gewünschte Passkey-Login-Rate? Reichen 5 %, um die Machbarkeit zu beweisen, oder benötigen wir 50–80 %, bevor wir Passkeys als Erfolg betrachten?
2. Haben wir das Budget und die Zustimmung der Geschäftsführung, um monatelang A/B-Tests durchzuführen, Optimierungskampagnen zu starten, Schulungsmaterialien zu erstellen und die Nutzerflüsse kontinuierlich zu verfeinern, damit die Nutzer den Wechsel zu Passkeys verstehen und wollen? Steht genügend Engineering-Kapazität zur Verfügung, um alle notwendigen Berichte, Analysen und Tests zu implementieren? Können wir häufig genug releasen, um diese Ziele zu erreichen?
3. Was ist die langfristige Vision? Zielen wir auf die Abschaffung von Passwörtern ab oder bieten wir nur eine Alternative an?

Die Beantwortung dieser Fragen im Voraus stellt sicher, dass Ihr Passkey-Projekt nicht in einer Sackgasse endet. Organisationen, die es versäumen, die Akzeptanz zu planen, finden sich oft jahrelang mit Passwörtern konfrontiert, was die gesamte Sicherheits- und User-Experience-Strategie untergräbt.

In der gesamten Matrix kann jedes Bewertungskriterium Sie irgendwo zwischen niedrigster Komplexität (1) und höchster Komplexität (5) platzieren. Je mehr Ihrer Antworten sich in und über die neutrale Zone (3) verschieben, desto stärker spricht dies für den Einsatz eines spezialisierten Passkey-Anbieters:

• Anforderungen mit hoher Komplexität – wie fortgeschrittene Fallback-Methoden, strenge Compliance, tiefgehende Analysen und Multi-Device-UX – vervielfachen Ihren Engineering- und Wartungsaufwand.
• Starker Fokus auf Akzeptanz – das schnelle Erreichen einer hohen Passkey-Akzeptanz oder die Abschaffung von Passwörtern erfordert in der Regel gut getestete Nutzerflüsse, detaillierte Telemetrie und strukturierte Nudges.

Diese Faktoren können interne Teams sowohl technisch als auch organisatorisch überfordern. Eine verwaltete Passkey-Lösung kann oft bewährte Best Practices, schnelle Updates und praxisnahe Expertise liefern, um die Akzeptanz viel schneller zu steigern als ein DIY-Ansatz.

Als Passkey-Spezialist haben wir bei Corbado eine klare Meinung. Wenn Passkeys auf Ihrer Roadmap stehen und Sie eine hochmoderne Implementierung wünschen, die aktiv die Akzeptanz fördert, kann Ihnen Corbado Connect helfen, Komplexitäten im großen Maßstab zu bewältigen. Hier ist der Grund:

Akzeptanz ist in die Lösung integriert: Unsere Plattform ist darauf ausgelegt, die Nutzer-Opt-ins durch intelligente Nudges, Analysen und kontinuierliche A/B-Tests zu maximieren, was auch zu Kosteneinsparungen führt.

Nächste Schritte:

1. Füllen Sie jeden relevanten Abschnitt der Bewertungsmatrix aus – unter Berücksichtigung sowohl unmittelbarer als auch langfristiger Ziele.
2. Priorisieren Sie die Akzeptanz bei Ihrer Entscheidungsfindung – stimmen Sie sich mit Stakeholdern über explizite Akzeptanzziele und die Ressourcen zu deren Erreichung ab.
3. Vergleichen Sie die TCO für interne vs. Anbieterlösungen, sobald Sie Ihre Komplexität und Akzeptanzambitionen verstanden haben, und durchlaufen Sie Ihren internen Prozess zur Bewertung von Kaufen oder Bauen.

4. Konsultieren Sie Passkey-Experten (wie Corbado), wenn Ihre strategischen Ziele auf eine vollständig verwaltete Plattform hindeuten, die sowohl technische als auch Akzeptanzherausforderungen effektiv bewältigt.

Indem Sie Passkeys ganzheitlich angehen und die Akzeptanz zu einem der Hauptziele machen, werden Sie die besten Ergebnisse erzielen. Das bedeutet stärkere Sicherheit, vereinfachte Logins und einen echten Weg in eine passwortlose Zukunft. Wenn Sie mehr über Corbado Connect erfahren möchten und wie wir unseren Kunden helfen, eine hohe Passkey-Akzeptanz zu erreichen, stehen wir Ihnen gerne für ein Gespräch zur Verfügung.

Nachdem wir geholfen haben, den richtigen Ansatz für die Frage „Kaufen vs. selbst entwickeln?“ zu finden, analysieren wir nun, wie der Erfolg eines Passkey-Deployments bewertet werden kann. Dazu definieren wir Input- und Output-KPIs eines Passkey-Projekts.

Input-KPIs helfen dabei, die frühzeitige Akzeptanz von Passkeys zu verfolgen und festzustellen, ob die notwendigen Bedingungen für eine breite Nutzung geschaffen werden. Diese Indikatoren gehen dem eigentlichen Login-Verhalten voraus, sind aber entscheidend, um eine sinnvolle Akzeptanz zu ermöglichen und das Deployment zu optimieren.

Diese Input-KPIs dienen als Frühindikatoren für die zukünftige Passkey-Akzeptanz und ermöglichen es Organisationen, die Nutzeraufklärung, UX-Flows und die technische Implementierung zu optimieren.

Output-KPIs (OKRs) messen den tatsächlichen Erfolg der Passkey-Akzeptanz, indem sie das Nutzerverhalten, operative Verbesserungen und den Geschäftseinfluss bewerten. Diese Indikatoren spiegeln die reale Wirksamkeit eines Passkey-Deployments wider. Die Passkey-Login-Rate ist ein zentraler Output-KPI, da sie direkt die tatsächliche Passkey-Akzeptanz und -Nutzung widerspiegelt. Eine steigende Passkey-Login-Rate deutet auf ein erfolgreiches Onboarding und eine anhaltende Präferenz der Nutzer für Passkeys gegenüber älteren Authentifizierungsmethoden hin.

Es ist wichtig, primär auf den Erfolg des Passkey-Logins und die Passkey-Login-Rate zu optimieren, um eine reibungslose User Experience zu gewährleisten, während gleichzeitig daran gearbeitet wird, die Nutzer-Aktivierungsraten zu erhöhen – aber nur, wenn die Login-Erfolgsrate ausreichend hoch ist, um Nutzerfrustration zu vermeiden. Zusätzlich kann die Verfolgung dieser KPIs nach verschiedenen Segmenten (wie Betriebssystem, Browser und Gerät) und spezifischen Anwendungsfällen (z. B. geräteübergreifende Logins) tiefere Einblicke in Akzeptanzmuster und potenzielle Reibungspunkte liefern.

Die genaue Messung von Input- (z. B. Akzeptanz, Erstellung) und Output-KPIs (z. B. Login-Rate, Fallback-Nutzung) erfordert die Erfassung von Daten aus drei Hauptquellen:

1. Frontend-Event-Daten
2. Passkey- / Anmeldeinformationsspeicher
3. Legacy-Authentifizierungs- & Fallback-Protokolle

Um Metriken wie die Passkey-Akzeptanzrate oder die Erfolgsrate der Passkey-Erstellung zu berechnen, müssen Sie erfassen, wie viele Nutzer einen Post-Sign-in-Nudge sehen, wie viele auf „Ja, einen Passkey erstellen“ klicken und ob sie die Passkey-Erstellung tatsächlich abschließen. Dies erfordert JavaScript- (oder natives mobiles) Event-Tracking, um zu erfassen:

• Wann und ob der Nudge angezeigt wird (erstes vs. nachfolgende Male)
• Wie lange sie brauchen, um den Nudge abzuschließen
• Ob sie die Passkey-Erstellungszeremonie einmal oder mehrmals abbrechen

Sie benötigen auch User-Agent-Parsing oder Client Hints, um die Akzeptanzraten mit bestimmten Betriebssystem- / Browserversionen zu verknüpfen und so spezifische fehlerhafte Pfade erkennen zu können.

Nachdem ein Nutzer die Registrierung im Frontend initiiert hat, muss der Server bestätigen, ob ein neuer Passkey wirklich gespeichert wurde. Sie benötigen Zugriff auf die Datenbank oder die API eines externen Identitätsanbieters, die das Erstellungsereignis jeder Anmeldeinformation aufzeichnet. Dieses Repository hilft Ihnen zu zählen, wie viele Passkeys pro Nutzer existieren, und das Endergebnis (Erfolg oder Misserfolg) zu verfolgen, um sicherzustellen, dass Sie genau wissen, welche Versuche in abgeschlossenen Registrierungen endeten.

Für Metriken wie die Fallback-Rate müssen Sie Ihre aktuellen Authentifizierungsprotokolle und -prozesse betrachten. Indem Sie diese Protokolle mit Frontend-Events vereinheitlichen, sehen Sie, ob ein Nutzer einen Passkey-Login gestartet, einen Fehler erhalten und zum Fallback-Login (z. B. SMS oder Passwort) gewechselt hat.

Schließlich hängt die Messung zeitbasierter KPIs wie Passkey-Login-Zeit vs. Legacy-Login-Zeit von Client- und Server-Zeitstempeln ab. Da viele Organisationen nur erfolgreiche Anmeldungen protokollieren, müssen Sie Instrumentierungen für teilweise oder fehlgeschlagene Passkey-Flows hinzufügen, um Reibung und Fallbacks wirklich zu messen. Die Integration dieser drei Datenquellen unter Einhaltung von Datenschutz- und regulatorischen Beschränkungen ist oft komplexer als erwartet und ein weiterer Faktor, der einige Teams dazu veranlasst, spezialisierte Passkey-Plattformen zu nutzen, die integrierte Analysen und Event-Tracking bieten.

Corbado Connect-Komponenten sammeln implizit alle beschriebenen Datenpunkte (Hunderte von verschiedenen) durch die automatische Erstellung eines einzigartigen Prozesses für jeden Nutzer, der einen Authentifizierungsprozess startet. Durch die nahtlose Integration sammelt Corbado auch Authentifizierungsmetriken aus Ihrer bestehenden Lösung. Diese ganzheitliche Sichtweise zeigt präzise Verbesserungen für Nutzer auf und liefert umfassende Einblicke in alle wesentlichen Passkey-KPIs ohne zusätzlichen Aufwand Ihrerseits.

Zusätzlich sollten die folgenden Effekte auf Output-KPIs nach einem erfolgreichen Passkey-Deployment auftreten und werden meist bereits im Unternehmen erfasst:

Operative & Kostensenkungsmetriken

• Reduzierung der SMS-OTP-Nutzung – Anzahl der durch Passkey-Authentifizierung eingesparten SMS-OTPs (direkte Kosteneinsparungen).
• Reduzierung von Passwort-Reset-Anfragen – Abnahme der Helpdesk-Interaktionen im Zusammenhang mit vergessenen Passwörtern.
• Reduzierung von Kundensupport-Tickets – Geringeres Volumen an authentifizierungsbezogenen Kundenservice-Problemen.
• Reduzierung des Support-Anrufvolumens – Weniger eingehende Anrufe im Zusammenhang mit Kontozugangsproblemen.

Geschäfts- & UX-Auswirkungsmetriken

• Nutzerbindungsraten – Prozentsatz der Nutzer, die sich nach dem ersten Login weiterhin authentifizieren.
• Conversion Rate – Wie oft Nutzer Transaktionen nach der Authentifizierung abschließen.
• Abbruchrate in Login-Funnels – Ob Passkeys die Anzahl der Nutzer reduzieren, die Login-Versuche abbrechen.

Durch die spezifische Verfolgung von Passkey-Input- und Output-KPIs und deren Bezug zu anderen Daten können Organisationen die Auswirkungen ihres Passkey-Deployments quantifizieren und datengesteuerte Verbesserungen vornehmen, um die Akzeptanz zu maximieren, Kosten zu senken und die Sicherheit zu erhöhen.

Die Wahl der richtigen Passkey-Lösung hängt von Ihren spezifischen Herausforderungen, Sicherheitsanforderungen und Kostenüberlegungen ab. Nachfolgend finden Sie wichtige Empfehlungen für Kauf- vs. Eigenbau-Entscheidungen in verschiedenen Branchen.

Wichtige Überlegungen:

• Regulatorische Compliance (z. B. PSD2, SOC 2, ISO 27001, DSGVO) erfordert strenge Sicherheitsmaßnahmen bei der Passkey-Authentifizierung.
• Der Kostenvergleich von Passkeys ist entscheidend, da Banken oft die langfristige Komplexität und Wartung von internen Lösungen unterschätzen.
• Sichere Authentifizierung ist unerlässlich, um Betrug durch Kontoübernahmen und Phishing zu reduzieren.

Empfehlung: Die meisten Banken und Finanzinstitute sollten auf eine Passkey-Anbieterlösung setzen, anstatt sie intern zu entwickeln, da die Verwaltung der Passkey-Infrastruktur intern versteckte Komplexitäten mit sich bringt, die über die traditionelle IT-Expertise hinausgehen. Die Implementierung der Passkey-Authentifizierung im großen Maßstab erfordert kontinuierliche Optimierungen und Updates, WebAuthn-Kompatibilitätsmanagement und eine nahtlose Integration in bestehende Banking-Systeme – all das übernehmen Passkey-Anbieter bereits.

Banken wie Ubank, Revolut und Finom sind führend bei der Einführung von Passkeys und erkennen das Potenzial der Technologie, die Sicherheit zu erhöhen und gleichzeitig die User Experience zu verbessern. Die Passkey-ROI-Analyse spricht oft für den Kauf einer Passkey-Lösung anstatt in laufende Wartung und Updates zu investieren, wobei Implementierungen signifikante Reduzierungen von Betrugsversuchen und authentifizierungsbezogenen Supportkosten zeigen.

Beispiele: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

Wichtige Überlegungen:

• HIPAA- und DSGVO-Konformität erfordern strenge Authentifizierungssicherheit bei der Einführung von Passkeys.
• Zu den Herausforderungen bei der Implementierung von Passkeys gehört die Balance zwischen Sicherheit und Benutzerfreundlichkeit für Patienten, medizinisches Personal und IT-Administratoren von Krankenhäusern.
• Viele Authentifizierungssysteme im Gesundheitswesen basieren noch auf veralteter Infrastruktur, was die Integration von Passkeys komplexer macht.

Empfehlung: Eine Passkey-Anbieterlösung ist der effektivste Weg, um Compliance-Anforderungen zu erfüllen und gleichzeitig die Authentifizierung zu vereinfachen. Passkey-Anbieter kümmern sich um Sicherheitspatches, Compliance-Updates und die Zuverlässigkeit der Authentifizierung, was die Belastung für IT-Teams reduziert.

Beispiele: CVS Health, Caremark, Helsana, NHS, Swica

Wichtige Überlegungen:

• Die Optimierung der Conversion Rate (CRO) ist geschäftskritisch – Reibung bei der Authentifizierung wirkt sich direkt auf den Umsatz aus.
• Multi-Device-Szenarien müssen nahtlos funktionieren (Nutzer stöbern auf dem Handy, schließen den Kauf aber am Desktop ab).
• Authentifizierungsfehler erhöhen direkt die Warenkorbabbruchraten, was UX-optimierte Login-Abläufe unerlässlich macht.

Empfehlung: E-Commerce-Plattformen profitieren am meisten von einem Passkey-Implementierungsanbieter, der hohe Akzeptanzraten bietet. Große Plattformen wie Amazon und Shopify haben die Passkey-Authentifizierung implementiert und zeigen damit die wachsende Akzeptanz der Technologie im E-Commerce. Reale Daten zeigen, dass über 27 % der anfänglichen Passwort-Logins fehlschlagen, während die passkey-basierte Authentifizierung Erfolgsraten von bis zu 95-97 % erreichen kann, wie bei früheren Einführungen gezeigt wurde. Die Passkey-ROI-Analyse zeigt, dass höhere Conversion Rates und geringere Betrugsverluste die Investition schnell rechtfertigen.

Amazon sagte kürzlich, dass sie ein ehrgeiziges Ziel von 100 % Passkey-Akzeptanz und der vollständigen Abschaffung von Passwörtern anstreben.

Google fand auch heraus, dass Testnutzer, die mit Passkeys interagieren, eine um 20 % höhere Wahrscheinlichkeit haben, zu zahlenden Kunden zu konvertieren, als diejenigen, die dies nicht tun.

Beispiele: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

Wichtige Überlegungen:

• Geräteübergreifende Authentifizierung ist unerlässlich, da Nutzer Reisen auf einem Gerät buchen und auf einem anderen einchecken.
• Passkey-Spezialanbieter müssen schnelle und sichere Logins für bequeme Buchungen, Check-ins und Kontoverwaltung gewährleisten.
• Betrugsprävention hat Priorität, da Reiseplattformen hochwertige Transaktionen abwickeln.

Empfehlung: Die meisten Reiseunternehmen sollten Passkey-Lösungen implementieren, um Sicherheit und User Experience zu verbessern. Führende Unternehmen wie Kayak und große Fluggesellschaften nutzen bereits die Passkey-Authentifizierung, um ihre User Experience zu verbessern. Vorgefertigte Lösungen bieten eine stärkere Betrugserkennung, nahtlose Login-Erlebnisse und sofortige Multi-Device-Unterstützung. Der Gastgewerbesektor profitiert besonders von verkürzten Check-in-Zeiten und verbesserter Sicherheit durch die Implementierung von Passkeys, die eine reibungslose Authentifizierung an allen Touchpoints (Apps, Kioske, Web und Partnerplattformen) gewährleistet.

Beispiele: Air New Zealand, Bolt, Grab, Uber, Hyatt

Wichtige Überlegungen:

• Die Implementierungskosten für Passkeys müssen mit den Compliance-Anforderungen und Verbesserungen der User Experience im Einklang stehen.
• Viele Versicherungskunden sind nicht sehr technikaffin, daher ist eine gute User Experience auf allen Arten von Geräten und Browsern ein Muss.
• Die Integration von Passkeys mit der Identitätsprüfung ist oft für die Policenverwaltung und Schadensabwicklung erforderlich.

Empfehlung: Eine externe Passkey-Lösung eignet sich am besten für eine schnelle Bereitstellung und die Einhaltung gesetzlicher Vorschriften. Versicherungsanbieter berichten von einer signifikanten Reduzierung der authentifizierungsbezogenen Support-Tickets nach der Implementierung von Passkeys. Ein Passkey-Implementierungsanbieter mit anpassbaren Authentifizierungsabläufen und integrierter Identitätsprüfung gewährleistet Sicherheit und hält die Kunden-Logins einfach. Die Passkey-ROI-Analyse legt nahe, dass die Reduzierung von Passwort-Resets und Betrugsverlusten die Anbieterkosten ausgleicht.

Beispiele: Branch

Wichtige Überlegungen:

• Höchste Sicherheitsstandards und Compliance-Anforderungen (z. B. NIST, Essential Eight Framework erfordert Phishing-resistente MFA).
• Groß angelegte Bereitstellungsanforderungen für verschiedene Nutzerpopulationen mit unterschiedlicher technischer Kompetenz.
• Integrationsanforderungen mit bestehenden staatlichen Identitätsprüfungssystemen und veralteter Infrastruktur.

Empfehlung: Für Regierungsbehörden ist eine spezialisierte Passkey-Lösung, die strenge Sicherheitsstandards erfüllt und gleichzeitig die Zugänglichkeit gewährleistet, unerlässlich. Der Implementierungserfolg bei VicRoads zeigt, dass Regierungsorganisationen am meisten von externen Passkey-Lösungen profitieren, die Compliance-Anforderungen und Sicherheitsupdates automatisch handhaben. Wählen Sie daher einen Passkey-Implementierungsanbieter, der Sicherheit auf Unternehmensebene bietet, die Multi-Device-Authentifizierung unterstützt und adaptive Authentifizierungsabläufe bereitstellt, um alle Bürger zu berücksichtigen.

Beispiel: VicRoads, myGov, State of Michigan

Wichtige Überlegungen:

• Skalierbarkeit und Zuverlässigkeit sind entscheidend, da Telekommunikations- und Versorgungsunternehmen oft Millionen von Nutzern in verschiedenen Kundensegmenten verwalten, was eine hochverfügbare und fehlertolerante Authentifizierung erfordert.
• Multi-Device- und plattformübergreifende Unterstützung ist unerlässlich, da Nutzer über mobile Apps oder Webportale auf Konten zugreifen. Eine nahtlose Passkey-Authentifizierung muss an allen Kundenkontaktpunkten funktionieren.
• Die Unterstützung für ältere Authentifizierungssysteme ist oft notwendig, da Telekommunikations- und Versorgungsunternehmen möglicherweise Passkeys in bestehende IAM-Systeme und Kundenidentitätsplattformen integrieren müssen, ohne die aktuellen Authentifizierungsabläufe zu stören.
• Betrugsprävention und Kontosicherheit haben oberste Priorität, insbesondere bei SIM-Swap-Betrug, Identitätsdiebstahl und unbefugtem Kontozugriff. Passkeys können Phishing-Angriffe und Credential-Stuffing-Risiken erheblich reduzieren.

Empfehlung: Für Telekommunikations- und Versorgungsunternehmen ist die Einführung einer externen Passkey-Lösung der empfohlene Ansatz. Angesichts des Umfangs, der Komplexität und der Sicherheitsanforderungen dieser Branchen gewährleistet ein verwalteter Passkey-Anbieter Compliance, hohe Verfügbarkeit und eine nahtlose Integration in die bestehende Authentifizierungsinfrastruktur. Telekommunikationsriesen und digital ausgerichtete Versorgungsunternehmen setzen bereits auf Passkeys als Teil ihrer Sicherheitsmodernisierungsbemühungen, um Betrug zu reduzieren und die User Experience zu verbessern. Darüber hinaus senkt die Auslagerung der Passkey-Implementierung die Gesamtbetriebskosten (TCO) im Vergleich zum Eigenbau, da laufende Wartung, Sicherheitsupdates und die Einhaltung gesetzlicher Vorschriften vom Anbieter übernommen werden.

Beispiel: Deutsche Telekom, Telstra, SK Telecom

Wichtige Überlegungen:

• Multi-Tenant-Authentifizierung ist für B2B-SaaS unerlässlich und erfordert eine skalierbare Passkey-Integration über verschiedene IAM-Systeme hinweg.
• Unternehmen erwarten SSO (OIDC/SAML), daher ist eine nahtlose Integration mit Identity Providern geschäftskritisch.
• Die Implementierungskosten für Passkeys müssen gegen andere Sicherheitsinvestitionen abgewogen werden, wie z. B. Multi-Faktor-Authentifizierung (MFA) und Zero-Trust-Sicherheitsmodelle.

Empfehlung: Für die meisten B2B-SaaS-Anbieter ist eine externe Passkey-Implementierung die optimale Wahl. Die Implementierung ist in der Regel schneller als die Eigenentwicklung. Digitale B2B-Unternehmen wie Notion, Hubspot oder Vercel haben bereits Passkeys eingeführt, um ihre Authentifizierungssicherheit zu verbessern. Die Gesamtbetriebskosten sind deutlich niedriger als bei der Eigenentwicklung, da Wartung, Updates und Compliance-Anforderungen vom Anbieter abgedeckt werden.

Beispiel: Canva, DocuSign, Notion

Passkeys sind zum globalen Standard für die Authentifizierung geworden, vereinfachen Logins für Endnutzer und erhöhen gleichzeitig die Sicherheit. Bei der Evaluierung der Implementierung von Passkeys müssen Unternehmen entscheiden, ob sie eine interne Lösung entwickeln oder einen spezialisierten Passkey-Anbieter nutzen. Während DIY-Implementierungen volle Kontrolle bieten, erfordern sie erhebliches technisches Fachwissen, Entwicklungsressourcen und kontinuierliche Wartung. Im Gegensatz dazu bieten Passkey-Anbieter einen schnelleren, skalierbaren und kostengünstigeren Ansatz, der hohe Akzeptanzraten, eine nahtlose User Experience und die Einhaltung sich entwickelnder Sicherheitsstandards gewährleistet.

Dieser Leitfaden hat die folgenden Schlüsselfragen beantwortet:

• Welche Komponenten sind erforderlich, um Passkeys zu implementieren und passwortlos zu werden?

  Eine erfolgreiche Passkey-Bereitstellung erfordert eine FIDO2/WebAuthn-Infrastruktur, nahtlose UX-Abläufe, Fallback-Mechanismen und sichere Optionen zur Kontowiederherstellung. Unternehmen müssen auch die plattformübergreifende Kompatibilität und die Einhaltung von Sicherheitsvorschriften berücksichtigen.

• Sollte ich Passkeys intern implementieren oder einen externen Anbieter nutzen?

  Während die Eigenentwicklung Kontrolle bietet, ist sie mit hoher Komplexität, laufenden Wartungskosten und Sicherheitsverantwortlichkeiten verbunden. Die meisten groß angelegten verbraucherorientierten Organisationen profitieren von einer externen Passkey-Lösung, die eine schnelle Bereitstellung, niedrigere Betriebskosten und einen reduzierten technischen Aufwand bietet.

• Was ist der Vorteil eines Passkey-Anbieters, wenn es Open-Source-Bibliotheken gibt?

  Open-Source-WebAuthn-Bibliotheken bieten einen Ausgangspunkt, aber es fehlen ihnen unternehmenstaugliche Sicherheit, für Passkeys optimierte User Experience und akzeptanzfördernde Funktionen. Ein Passkey-Anbieter gewährleistet eine nahtlose Bereitstellung, Skalierbarkeit und optimierte Strategien zur Nutzerakzeptanz, die einen besseren ROI bringen und die Reibung für Nutzer und Entwickler reduzieren.

• Was sind die größten Herausforderungen bei der Entwicklung einer Passkey-Lösung?

  Die Entwicklung eines internen Passkey-Systems erfordert tiefes Fachwissen in WebAuthn, Multi-Device-Unterstützung und Passkey-Akzeptanz. Die laufende Wartung der Geräte- und Browserkomplexität und die Gewährleistung hoher Akzeptanzraten erhöhen die Komplexität zusätzlich.

• Welche Risiken birgt die interne Implementierung von Passkeys?

  Unternehmen riskieren hohe Entwicklungskosten, verlängerte Bereitstellungszeiten und laufende Sicherheitswartungsaufwände. Compliance-Verstöße, Sicherheits-Schwachstellen und eine schlechte Nutzerakzeptanz können den Erfolg eines Passkey-Rollouts gefährden. Eine vom Anbieter verwaltete Passkey-Lösung mindert diese Risiken, indem sie eine bewährte, skalierbare Authentifizierungsinfrastruktur mit integrierter Sicherheit und Einhaltung gesetzlicher Vorschriften bietet.