Leitfaden: Passkey-Lösung kaufen oder selbst entwickeln?
Passkey-Lösung kaufen oder selbst entwickeln? Entdecken Sie Vor- und Nachteile von DIY-Passkeys vs. Anbieter-Lösungen, Herausforderungen, Kosten und Best Practices.
Diese Seite wurde automatisch übersetzt. Lesen Sie die englische Originalversion hier.
Laden Sie den vollständigen „Passkeys kaufen oder selbst entwickeln“-Leitfaden herunter#
Laden Sie den vollständigen Leitfaden „Passkey-Lösung kaufen oder selbst entwickeln“ kostenlos herunter und erhalten Sie Zugriff auf alle Erkenntnisse.
- ✅ Angefragt von Teams bei Adidas, Woolworths & Mitsubishi
- ✅ Vollständige Liste der Bausteine & Kostenmodell zur Entscheidung zwischen Kaufen und Selbstentwickeln
- ✅ Praktisches 50-seitiges Entscheidungs-Framework
Passkey-Lösung kaufen oder selbst entwickeln?
Laden Sie den vollständigen Leitfaden herunter
Erhalten Sie eine vollständige Checkliste für die Passkey-Einführung, in der DIY- mit Anbieter-Lösungen (SaaS & On-Premise) verglichen sowie zentrale Herausforderungen, Kosten und Best Practices beleuchtet werden.
Kostenlosen Kaufen-vs-Bauen-Leitfaden herunterladen
- Für die meisten großflächigen Endkunden-Deployments bietet der Kauf einer Passkey-Anbieter-Lösung eine schnellere Einführung, niedrigere Gesamtbetriebskosten (TCO) und höhere Akzeptanzraten als eine Eigenentwicklung.
- Eine kritische Akzeptanzschwelle von 50 bis 80 % der aktiven Nutzer muss erreicht werden, bevor die Abschaffung von Passwörtern realisierbar wird. Dies macht Tools zur Förderung der Nutzerakzeptanz zu einem entscheidenden Faktor bei der „Kaufen vs. Bauen“-Entscheidung.
- Über 27 % der Passwort-Logins schlagen fehl, während die Passkey-Authentifizierung Erfolgsraten von 95 bis 97 % erreicht, was die Konversionsraten im E-Commerce und Einzelhandel direkt verbessert.
- Passkeys bieten 3- bis 5-fache Geschwindigkeitsgewinne gegenüber Passwörtern in Kombination mit SMS-MFA. Dies korreliert mit höherer Nutzerzufriedenheit und nachhaltiger Nutzung.
- Open-Source-WebAuthn-Bibliotheken bieten einen Einstiegspunkt, lassen jedoch die Sicherheit auf Enterprise-Niveau, eine optimierte User Experience (UX) und Funktionen zur Steigerung der Nutzerakzeptanz vermissen, die für großflächige Implementierungen erforderlich sind.
1. Motivation: Sollte ich eine Passkey-Authentifizierungslösung kaufen oder selbst entwickeln?#
Die Idee, eine eigene Passkey-Implementierung zu entwickeln, klingt verlockend: volle Kontrolle, maßgeschneiderte Integrationen und kein Vendor-Lock-in. Schließlich basiert FIDO2 auf offenen Standards, und das Schreiben der ersten Zeilen WebAuthn-Code erscheint recht einfach. Wie schwer kann es schon sein?
Doch genau hier beginnt oft die Komplexität, insbesondere wenn Sie planen, eine Lösung für ein großflächiges Endkunden-Szenario mit Millionen von Nutzern in Branchen wie den folgenden zu entwickeln:
- Bank- & Finanzwesen (z. B. Online-Banking, Zahlungen, Fintech)
- Behörden & Öffentliche Dienste (z. B. Bürgerportale, Steuer- & Sozialversicherungsplattformen)
- Versicherungen & Gesundheitswesen (z. B. Patientenportale, digitale Versicherungsplattformen)
- E-Commerce & Einzelhandel (z. B. Marktplätze, Treueprogramme)
- Telekommunikation & Versorgungsunternehmen (z. B. Mobilfunkanbieter, Energieversorger)
- Reisen & Gastgewerbe (z. B. Fluggesellschaften, Hotel-Treueprogramme)
Die wahre Herausforderung beginnt erst nach dem ersten erfolgreichen Passkey-Login und offenbart sich oft erst, während Sie Ihre Passkey-Lösung bereits implementieren. Plötzlich treten ungewöhnliche Edge Cases, verwirrende Benutzerfehler und potenzielle Nutzer-Aussperrungen aufgrund der Nichtverfügbarkeit von Passkeys auf. Was wie eine einfache Integration aussah, verwandelt sich in monate- oder gar jahrelangen Entwicklungsaufwand, unerwartete Wartungskosten und möglicherweise in ein gescheitertes Passkey-Projekt.
Allerdings kann die Eigenentwicklung für bestimmte Organisationen und spezifische Anforderungen auch die richtige Wahl sein. Wir haben mit dutzenden Organisationen über ihre Pläne zur Passkey-Implementierung gesprochen und einige von ihnen praktisch auf ihrem Weg begleitet. Dieser Leitfaden hilft Ihnen bei der Entscheidung, wann ein Do-It-Yourself-Ansatz (DIY) für Passkeys sinnvoll ist und wann die Wahl eines etablierten Passkey-Anbieters die intelligentere Entscheidung darstellt.
Mit unserem Passkeys-Kaufen-vs-Bauen-Leitfaden möchten wir die folgenden Fragen beantworten:
- Welche Komponenten werden benötigt, um Passkeys zu implementieren und passwortlos zu werden?
- Sollte ich Passkeys intern implementieren oder einen externen Passkey-Anbieter nutzen?
- Was ist der Vorteil eines Passkey-Anbieters, wenn es Open-Source-Bibliotheken gibt?
- Was sind die größten Herausforderungen bei der Entwicklung einer Passkey-Lösung?
- Was sind die Risiken bei der internen Implementierung von Passkeys?
2. Voraussetzungen: Warum Passkeys der neue Standard-Login sind#
Passwörter sind veraltet, unsicher und frustrierend. Passkeys eliminieren Phishing-Risiken, verbessern die User Experience und vereinfachen die Authentifizierung – was sie zum neuen Standard für sichere Logins macht. Egal, ob Sie selbst entwickeln oder eine externe Lösung nutzen, die Integration von Passkeys ist ein großes Upgrade für Sicherheit und Benutzerfreundlichkeit.
Google hat herausgefunden, dass die Argumente „Benutzerfreundlichkeit“ und „Geschwindigkeit“ bei den Nutzern Anklang finden und funktionieren. Die Leute beschweren sich generell über den Anmeldeprozess. Alles, was diesen Prozess einfacher und schneller macht, ist daher ein Gewinn.
Zusätzlich zu diesen Sicherheitsvorteilen bieten Passkeys ein enormes Potenzial für operative Kosteneinsparungen. Sie können die Anzahl der an Nutzer gesendeten SMS-OTPs reduzieren, die sich bei großen Nutzerbasen massiv summieren können. Darüber hinaus ist die Belastung Ihrer Kundensupport-Teams durch Passwort- und MFA-Wiederherstellungen ebenfalls ein Kostenfaktor, der eliminiert werden kann.
Zudem verbessern Passkeys die Erfolgsraten und Zeiten beim Login für Nutzer. Dies führt letztendlich zu besseren Konversionsraten, was ein Haupttreiber für das Umsatzwachstum in Branchen wie E-Commerce, Einzelhandel oder der Reisebranche ist.
3. Die Journey zur Passwortlosigkeit: Wie kommen Passkeys ins Spiel?#
Das Endziel vieler Organisationen, die die Einführung von Passkeys erwägen, ist es, vollständig passwortlos zu werden. Um dieses Ziel zu erreichen, müssen in der Regel vier Phasen durchlaufen werden. Die Geschwindigkeit, mit der diese Phasen voranschreiten, hängt weitgehend von den technischen Fähigkeiten, den Login-Mustern und der Nutzerbasis der Organisation ab. In einigen Fällen können auch externe Faktoren wie öffentlicher Druck zur Einführung sichererer Authentifizierungsmethoden oder finanzielle Einschränkungen eine Rolle spielen.
Lassen Sie uns diese vier Phasen durchgehen und beschreiben, da die Implementierung von Passkeys nur ein Schritt ist, um den Erfolg eines Passkey-Projekts sicherzustellen.
3.1 Phase 1: Passkeys integrieren#
Der erste Schritt beim Übergang zu einem vollständig passwortlosen System ist die Integration von Passkeys als Login-Methode. In dieser Phase bleiben Passwörter und andere Authentifizierungsmethoden als Fallbacks bestehen, um sicherzustellen, dass Nutzer weiterhin auf ihre Konten zugreifen können, falls sie noch keine Passkeys übernommen haben. Eine erfolgreiche Integration erfordert nahtlose Kompatibilität mit bestehenden Login-Flows und Sicherheitsrichtlinien. Organisationen sollten sich darauf konzentrieren, die Passkey-Erstellung unkompliziert zu gestalten und sicherzustellen, dass sowohl technisch versierte als auch weniger affine Nutzer die neue Authentifizierungsmethode reibungslos annehmen können.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study3.2 Phase 2: Passkey-Akzeptanz steigern#
Sobald Passkeys integriert sind, besteht die nächste Herausforderung darin, die Nutzerakzeptanz von Passkeys zu steigern. Viele Organisationen unterschätzen die Bedeutung dieser Phase, doch ohne weitreichende Nutzerakzeptanz wird ein Passkey-Projekt wahrscheinlich scheitern. Das Ziel ist es, so viele Nutzer wie möglich dazu zu ermutigen, Passkeys zu erstellen und zu nutzen, idealerweise indem man sie zur Standard-Login-Methode macht.
Zu den wichtigsten Taktiken zur Steigerung der Akzeptanz gehören proaktive Nutzeraufklärung, UI-Nudges (Anstupser), die die Erstellung von Passkeys fördern, sowie Anreizprogramme, die Nutzer für den Wechsel belohnen. Organisationen sollten eine kritische Akzeptanzschwelle festlegen, wie z. B. 50 bis 80 % der aktiven Nutzer, die Passkeys verwenden, bevor sie in die nächste Phase übergehen. Für ein tieferes Verständnis dafür, warum Akzeptanz entscheidend ist, lesen Sie unseren speziellen Artikel darüber, wie schlechte Akzeptanzraten Ihr Passkey-Projekt gefährden können.
3.3 Phase 3: Passwörter entfernen#
Sobald die Passkey-Akzeptanz eine kritische Masse erreicht, können Organisationen damit beginnen, Passwörter schrittweise abzuschaffen. Das zu frühe Entfernen von Passwörtern oder eine unzureichende Planung können jedoch zu Problemen bei der Benutzerfreundlichkeit und zu vermehrten Support-Anfragen führen. Ein schrittweiser Ansatz wird empfohlen:
- Beginnen Sie damit, Passwörter von Konten zu entfernen, bei denen sich Nutzer durchweg mit Passkeys authentifizieren.
- Bieten Sie die Entfernung von Passwörtern als Option in den Kontoeinstellungen für Early Adopters an.
- Nutzen Sie datengesteuerte Erkenntnisse, um Nutzer zu identifizieren, die bereit sind, vollständig auf Passwörter zu verzichten. Beispielsweise können Nutzer, die mehrere Passkeys auf verschiedenen Geräten registriert haben, für die Entfernung von Passwörtern priorisiert werden.
- Kommunizieren Sie proaktiv die Vorteile der Passwortentfernung, um das Vertrauen der Nutzer aufzubauen.
Indem sie Nutzer strategisch zu einer vollständig passwortlosen Authentifizierung führen, können Organisationen die Sicherheit maximieren, ohne die User Experience zu beeinträchtigen.
3.4 Phase 4: Kontowiederherstellung automatisieren#
Sobald Passwörter entfernt sind, müssen die Mechanismen zur Kontowiederherstellung robust und sicher sein. Traditionelle Wiederherstellungsmethoden stützen sich oft auf manuelle Eingriffe, wie Support-Tickets oder E-Mail-Resets, die Sicherheitsrisiken und operative Kosten mit sich bringen können. Organisationen müssen moderne Self-Service-Lösungen zur Kontowiederherstellung implementieren, die die Sicherheit aufrechterhalten und gleichzeitig die User Experience verbessern.
Zu den Schlüsselelementen einer automatisierten Kontowiederherstellung gehören:
- Liveness-Checks: Verhindern unbefugter Kontoübernahmen, indem sichergestellt wird, dass der Nutzer physisch anwesend ist.
- ID-Verifizierung: Nutzung von behördlich ausgestellten Ausweisen und biometrischer Verifizierung zur Identitätsbestätigung.
- Fallback-Passkeys: Ermöglichen es Nutzern, Konten mithilfe von Backup-Passkeys wiederherzustellen, die auf anderen eigenen Geräten gespeichert sind.
Viele Organisationen investieren bereits unabhängig von ihrem Übergang zur Passwortlosigkeit in automatisierte Wiederherstellungsprozesse, um Kosten zu senken und die Benutzerfreundlichkeit zu erhöhen. In einem Passkey-gesteuerten Ökosystem werden diese Mechanismen jedoch noch entscheidender, um die Sicherheit zu wahren und Reibungsverluste zu reduzieren.
Basierend auf diesen vier Phasen werden wir nun versuchen, Ihnen bei der Bewertung der „Kaufen vs. Bauen“-Entscheidung zu helfen. Daher ist es für den langfristigen Erfolg Ihres Passkey-Projekts sehr wichtig, alle Phasen im Blick zu haben und nicht nur Passkeys zu integrieren (dies kann immer noch ein Ziel sein, aber dann lassen Sie das volle Potenzial von Passkeys ungenutzt).
4. Wie man den richtigen Passkey-Ansatz bestimmt#
Die Wahl zwischen einer DIY- und einer externen Passkey-Lösung hängt von den technischen Ressourcen, den Sicherheitsprioritäten, der Größe des Deployments und der langfristigen Passkey-Strategie Ihres Unternehmens ab. Im nächsten Abschnitt werden wir die Schlüsselaspekte aufschlüsseln, um Ihnen bei der besten Entscheidung zu helfen.
Die folgende Tabelle zeigt verschiedene Bewertungskriterien, die Sie beurteilen müssen. Basierend auf der Aussage, zu der Sie eher tendieren, werden unterschiedlich viele Punkte vergeben.
So verwenden Sie die Bewertungsmatrix:
Wählen Sie für jedes Kriterium, ob Ihr Unternehmen eine einfachere oder eine aufwendigere Lösung benötigt.
- Vergeben Sie 1 Punkt für jede Antwort, bei der die Komplexität in Ihrem Fall am geringsten ist und eher der Beschreibung auf der linken Seite entspricht.
- Vergeben Sie 5 Punkte für jede Kategorie, in der Ihre Antwort stärker mit der Beschreibung der höchsten Komplexität auf der rechten Seite übereinstimmt.
- Wenn Sie sich unsicher sind, verwenden Sie 3 Punkte als neutrale Option.
Laden Sie den vollständigen „Passkeys kaufen oder selbst entwickeln“-Leitfaden herunter#
Laden Sie den vollständigen Leitfaden „Passkey-Lösung kaufen oder selbst entwickeln“ kostenlos herunter und erhalten Sie Zugriff auf alle Bewertungskriterien.
Passkey-Lösung kaufen oder selbst entwickeln?
Laden Sie den vollständigen Leitfaden herunter
Erhalten Sie eine vollständige Checkliste für die Passkey-Einführung, in der DIY- mit Anbieter-Lösungen (SaaS & On-Premise) verglichen sowie zentrale Herausforderungen, Kosten und Best Practices beleuchtet werden.
Kostenlosen Kaufen-vs-Bauen-Leitfaden herunterladen
5. Wie man diesen Leitfaden effektiv nutzt#
Bei der Entscheidung, ob eine Passkey-Lösung gebaut oder gekauft werden soll, ist es wichtig, den gesamten Prozess zu betrachten, nicht nur eine einzelne Phase der Passkey-Einführung. Selbst wenn Ihre kurzfristige Priorität darin besteht, Passkeys als MVP anzubieten, sollten Sie die längerfristigen Auswirkungen antizipieren, insbesondere die Förderung der Akzeptanz. Im Folgenden empfehlen wir Ihnen, wie Sie diesen Leitfaden nutzen und Ihre Ergebnisse interpretieren sollten, wobei wir betonen, warum die Akzeptanz wichtiger ist als fast jeder andere Faktor.
5.1 Fokus auf Akzeptanz als Erfolgsfaktor Nr. 1#
Unabhängig davon, wie fortschrittlich Ihre Passkey-Lösung ist: Wenn die Nutzer sie nicht annehmen, indem sie Passkeys erstellen und für den Login verwenden, ist das gesamte Projekt gefährdet. Nach unserer Erfahrung unterschätzen Organisationen oft den Aufwand, der erforderlich ist, um Nutzer von Passwörtern wegzubewegen. Selbst wenn Sie Passkeys auf technischer Ebene nahtlos implementieren, führt eine geringe Akzeptanz zu Folgendem:
- Anhaltende Abhängigkeit von Passwörtern, wodurch die Sicherheitsvorteile von Passkeys zunichte gemacht werden.
- Minimaler ROI, da die Kosteneinsparungen (weniger Passwort-Resets, reduzierte SMS-OTPs) von einer signifikanten Nutzung von Passkeys beim Login abhängen.
- Fragmentierte User Experience, wenn die meisten Anmeldungen weiterhin über herkömmliche Methoden erfolgen und nur eine kleine Teilmenge Passkeys verwendet.
Eine hohe Akzeptanz, manchmal 50 % oder sogar +80 % Ihrer Nutzerbasis, ist typischerweise erforderlich, bevor Sie bedeutende Schritte zur Reduzierung oder vollständigen Abschaffung von Passwörtern unternehmen können. Organisationen wie Google und Amazon setzen explizite Akzeptanzziele und führen systematisch A/B-Tests, Kampagnen zur Nutzeraufklärung und UI-Nudges durch, um sicherzustellen, dass Passkeys auf breiter Front angenommen werden. Diese konzentrierte Anstrengung in Bezug auf die Akzeptanz ist nicht optional; sie ist das, was Ihre Passkey-Einführung von einem Feature in einen greifbaren Wettbewerbsvorteil verwandelt.
5.2 Nutzen Sie den Leitfaden ganzheitlich oder in Phasen#
Dieser Leitfaden soll Ihnen helfen, fundierte Entscheidungen über Passkey-Implementierungen in jeder Phase der Journey zu treffen:
- Phase 1 (Passkeys integrieren): Wenn Sie lediglich überlegen, ob Sie Passkeys einführen und wie Sie diese integrieren, konzentrieren Sie sich auf die Kaufen vs. Bauen-Kriterien für die Passkey-Integration.
- Phase 2 (Akzeptanz steigern): Wenn Passkeys mehr als nur ein Feature sein sollen, planen Sie frühzeitig die Förderung der Nutzerakzeptanz – selbst für ein MVP, da dies zusätzliche Technologieinvestitionen erfordert, oft wesentlich mehr als die anfängliche Implementierung.
- Phase 3 (Passwörter entfernen): Wenn die Abschaffung von Passwörtern ein längerfristiges strategisches Ziel ist, stellen Sie sicher, dass Ihre Architektur und User Flows mit Blick auf diesen eventuellen Schritt konzipiert sind.
- Phase 4 (Kontowiederherstellung automatisieren): Selbst wenn Sie heute noch nicht bereit sind, vollständig passwortlos zu werden, sollten Sie sicherstellen, dass sich Ihr Passkey-Ansatz zu einer robusten, nahtlosen Wiederherstellung weiterentwickeln kann, um zukünftige Hindernisse zu vermeiden.
Von diesen ist Phase 2 (Akzeptanz steigern) die wichtigste. Sie können jeden Abschnitt separat bewerten, behalten Sie jedoch im Hinterkopf, dass Ihr langfristiger Erfolg und ROI oft davon abhängen, wie ernst Sie das Thema Akzeptanz von Anfang an nehmen.
5.3 Binden Sie wichtige Stakeholder ein und stimmen Sie sich über Akzeptanzziele ab#
Wenn Sie sich in einer frühen Phase der Entscheidung zur Implementierung von Passkeys befinden, beginnen Sie mit dem ersten Abschnitt der Bewertungsmatrix (Passkey-Integration) und füllen Sie diesen gemeinsam mit dem Management, der IT, Product Ownern und anderen wichtigen Entscheidungsträgern aus. Fragen Sie sich:
- Was ist unsere gewünschte Passkey-Login-Rate? Reichen 5 % aus, um die Machbarkeit zu beweisen, oder benötigen wir 50 bis 80 %, bevor wir Passkeys als Erfolg betrachten?
- Verfügen wir über Budget und die Unterstützung der Führungsebene, um A/B-Tests über Monate hinweg durchzuführen, Optimierungskampagnen laufen zu lassen, Schulungsmaterialien zu erstellen und User Flows kontinuierlich zu verfeinern, damit Nutzer den Wechsel zu Passkeys verstehen und wollen? Ist genügend Engineering-Kapazität vorhanden, um alle notwendigen Reportings, Analysen und Tests zu implementieren? Können wir häufig genug releasen, um diese Ziele zu erreichen?
- Was ist die langfristige Vision? Streben wir die Abschaffung von Passwörtern an oder bieten wir lediglich eine Alternative?
Die Beantwortung dieser Fragen im Vorfeld stellt sicher, dass Ihr Passkey-Projekt nicht in einer Sackgasse endet. Organisationen, die es versäumen, die Akzeptanz zu planen, bleiben oft noch jahrelang bei Passwörtern hängen, was die gesamte Sicherheits- und UX-Strategie untergräbt.
5.4 Je weiter Sie sich von „neutral“ entfernen, desto sinnvoller ist ein Anbieter#
In der gesamten Matrix kann jedes Bewertungskriterium Sie irgendwo zwischen geringster Komplexität (1) und höchster Komplexität (5) einordnen. Je mehr Ihrer Antworten sich zur neutralen Zone (3) und darüber hinaus verschieben, desto stärker ist das Argument für die Nutzung eines spezialisierten Passkey-Anbieters:
- Hohe Komplexitätsanforderungen – wie fortschrittliche Fallback-Methoden, strenge Compliance, tiefgehende Analysen und Multi-Device-UX – vervielfachen Ihren Aufwand in den Bereichen Engineering und Wartung.
- Starker Fokus auf Akzeptanz – das schnelle Erreichen einer hohen Passkey-Akzeptanz oder die Abschaffung von Passwörtern erfordert in der Regel gut getestete User Flows, detaillierte Telemetrie und strukturierte Nudges.
Diese Faktoren können interne Teams sowohl technisch als auch organisatorisch überfordern. Eine Managed-Passkey-Lösung kann oft bewährte Best Practices, schnelle Updates und reale Expertise liefern, um die Akzeptanz viel schneller zu steigern als ein DIY-Ansatz.
5.5 Die Perspektive von Corbado: Wann ein Anbieter die bessere Wahl ist#
Als Passkey-Spezialist haben wir bei Corbado einen klaren Standpunkt. Wenn Passkeys auf Ihrer Roadmap stehen und Sie eine hochmoderne Implementierung wünschen, die aktiv die Akzeptanz fördert, kann Corbado Connect Ihnen helfen, die Komplexitäten in großem Maßstab zu bewältigen. Hier ist der Grund:
Akzeptanz ist in die Lösung integriert: Unsere Plattform ist darauf ausgelegt, die Opt-in-Raten der Nutzer durch smarte Nudges, Analysen und kontinuierliches A/B-Testing zu maximieren, was gleichzeitig Kosteneinsparungen vorantreibt.
Nächste Schritte:
- Füllen Sie jeden relevanten Abschnitt der Bewertungsmatrix aus – und berücksichtigen Sie dabei sowohl unmittelbare als auch langfristige Ziele.
- Priorisieren Sie die Akzeptanz bei Ihrer Entscheidungsfindung – stimmen Sie sich mit Stakeholdern über explizite Akzeptanzziele und Ressourcen zu deren Erreichung ab.
- Vergleichen Sie die Gesamtbetriebskosten (TCO) für Inhouse- vs. Anbieter-Lösungen, sobald Sie Ihre Komplexität und Ihre Ambitionen bezüglich der Akzeptanz verstanden haben, und durchlaufen Sie Ihren internen Prozess zur Evaluierung von Bauen oder Kaufen.
- Konsultieren Sie Passkey-Experten (wie Corbado), wenn Ihre strategischen Ziele auf eine vollständig verwaltete Plattform hindeuten, die sowohl technische als auch akzeptanzbezogene Herausforderungen effektiv bewältigt.
Indem Sie Passkeys ganzheitlich betrachten und die Akzeptanz zu einem der Hauptziele machen, erzielen Sie die besten Ergebnisse. Das bedeutet stärkere Sicherheit, vereinfachte Logins und einen echten Weg in eine passwortlose Zukunft. Wenn Sie mehr über Corbado Connect erfahren möchten und darüber, wie wir unseren Kunden helfen, eine hohe Passkey-Akzeptanz zu erreichen, stehen wir gerne für ein Gespräch zur Verfügung.
6. Wie misst man den Erfolg eines Passkey-Deployments?#
Nachdem wir bei der Bestimmung des richtigen Ansatzes zur Beantwortung der Frage „Kaufen vs. Bauen?“ geholfen haben, analysieren wir nun, wie der Erfolg eines Passkey-Deployments bewertet wird. Dafür definieren wir Input- und Output-KPIs eines Passkey-Projekts.
6.1 Was sind wichtige Passkey-Input-KPIs?#
Input-KPIs helfen dabei, die frühzeitige Akzeptanz von Passkeys zu verfolgen und festzustellen, ob die notwendigen Voraussetzungen für eine weitreichende Nutzung geschaffen werden. Diese Indikatoren gehen dem eigentlichen Login-Verhalten voraus, sind aber entscheidend, um eine bedeutsame Akzeptanz zu ermöglichen und das Deployment zu optimieren.
| KPI | Definition | Warum es wichtig ist | Wie man es misst | Benchmark |
|---|---|---|---|---|
| Passkey Acceptance Rate (Passkey-Akzeptanzrate) | Prozentsatz der Nutzer, die nach erfolgreichem Login (Post-Sign-in) einen „Nudge“ (eine Aufforderung oder einen Vorschlag zur Einrichtung eines Passkeys) erhalten und sich für die Erstellung eines Passkeys entscheiden. Dieser KPI misst spezifisch die Reaktion der Nutzer auf diese Post-Sign-in-Aufforderungen und hebt die Wirksamkeit der Nudge-Botschaften zur Förderung der Passkey-Erstellung hervor. Dieser Ansatz gilt als State-of-the-Art, da Nutzer Passkeys in der Regel nicht proaktiv über die Konto- oder Anmeldeinformationen-Einstellungen erstellen. Stattdessen werden Passkeys am erfolgreichsten angenommen, wenn Nutzer direkt nach dem Login dazu aufgefordert werden, was Nudges zum primären Treiber für die Passkey-Erstellung macht. Stellen Sie sicher, dass Sie zwischen dem allerersten Nudge und nachfolgenden unterscheiden, da die Raten sinken. | Eine hohe Akzeptanz deutet auf eine erfolgreiche Überzeugung der Nutzer und ein gutes Nudge-Design hin. Niedrige Raten weisen auf Reibung, unklare Botschaften oder Zögern der Nutzer hin. | Formel: (Anzahl der Nutzer, die die Passkey-Erstellung nach dem Nudge abschließen) ÷ (Anzahl der Nutzer, die dem Nudge ausgesetzt waren). Segmentieren nach OS/Browser/Gerät. | 50 % bis 75 % beim ersten Nudge, bis zu 85 % über mehrere Nudges auf Mobilgeräten. Niedriger auf dem Desktop. Hängt stark von der Formulierung und Implementierung ab. |
| Passkey Creation Success Rate (Passkey-Erfolgsrate bei der Erstellung) | Anteil der Nutzer, die die Passkey-Registrierung beginnen, sie aber erfolgreich abschließen (d. h. kein Abbruch). | Zeigt, wie viele Nutzer die Erstellung mittendrin abbrechen, aufgrund von verwirrender UX, technischen Problemen oder Bedenken. | Formel: (Anzahl der abgeschlossenen Passkey-Registrierungen) ÷ (Anzahl der Registrierungsversuche). Fehlerquellen nach OS/Browser/Gerät analysieren. | Nahezu 100 %. |
| Anzahl der erstellten Passkeys | Kumulierte Anzahl der neu erstellten Passkeys in einem bestimmten Zeitraum (täglich, wöchentlich, monatlich). | Ein reines Maß für die Akzeptanz, das oft als Semi-Output-KPI betrachtet wird. Spiegelt das Volumen der Passkey-Nutzung und die potenzielle zukünftige Verlagerung des Logins weg von Passwörtern wider. | Formel: Summe aller neu registrierten Passkeys über OS-, Browser- und Gerätekategorien hinweg. Wachstumstrends im Laufe der Zeit überwachen. Die absolute Zahl hat keine Aussagekraft, da sie von der Größe der Nutzerbasis abhängt. | Eine erhebliche Menge pro Tag, sobald das Rollout vollständig ist. |
Diese Input-KPIs dienen als Frühindikatoren für die zukünftige Passkey-Akzeptanz und ermöglichen es Organisationen, die Nutzeraufklärung, UX-Flows und die technische Implementierung fein abzustimmen.
6.2 Was sind wichtige Passkey-Output-KPIs / OKRs?#
Output-KPIs (OKRs) messen den tatsächlichen Erfolg der Passkey-Akzeptanz durch die Bewertung des Nutzerverhaltens, operativer Verbesserungen und geschäftlicher Auswirkungen. Diese Indikatoren spiegeln die reale Wirksamkeit eines Passkey-Deployments wider. Die Passkey-Login-Rate ist ein zentraler Output-KPI, da sie die tatsächliche Passkey-Akzeptanz und Nutzung direkt widerspiegelt. Eine steigende Passkey-Login-Rate weist auf ein erfolgreiches Onboarding und eine anhaltende Präferenz der Nutzer für Passkeys gegenüber älteren Authentifizierungsmethoden hin.
| KPI | Definition | Warum es wichtig ist | Wie man es misst | Benchmark |
|---|---|---|---|---|
| User Activation Rate (Nutzeraktivierungsrate) | Von allen Nutzern, die mindestens einen Nudge gesehen haben (können mehrere Aufforderungen im Laufe der Zeit sein), der Prozentsatz, der letztendlich mindestens einen Passkey erstellt hat. | Misst den allgemeinen Erfolg des Passkey-Onboardings über mehrere Nudges hinweg. Nutzer können den ersten Nudge ablehnen, aber später konvertieren. | Formel: (Anzahl der eindeutigen Nutzer, die ≥1 Passkey erstellt haben) ÷ (Anzahl der eindeutigen Nutzer, denen jemals mindestens ein Nudge angezeigt wurde). Segmentieren nach OS, Browser, Gerät, um zu sehen, wer letztendlich Passkeys übernimmt. Sobald das Deployment wächst, müssen hier auch gelöschte Passkeys berücksichtigt werden. | Über 50 % in 12 Monaten. Die Passkey-Login-Rate konvergiert gegen die User Activation Rate. Dies hängt von der Zusammensetzung Ihrer Nutzerschaft ab. |
| Passkey Login Rate | Der Prozentsatz aller Login-Ereignisse, die mit einem Passkey und nicht mit einer Legacy-Methode (Passwort, SMS-OTP usw.) abgeschlossen werden. | Demonstriert die Häufigkeit der Passkey-Nutzung in der Praxis. Eine durchweg niedrige Login-Rate weist darauf hin, dass Nutzer Passwörter trotz anfänglicher Passkey-Erstellung bevorzugen oder zu diesen zurückkehren, spiegelt niedrige Aktivierungsraten wider (da eine hohe Login-Rate nur auftreten kann, wenn auch die Aktivierung hoch ist) oder resultiert aus einer suboptimalen Login-Implementierung, die vorhandene Passkeys nicht automatisch nutzt. | Formel: (Anzahl der Passkey-Logins) ÷ (Logins insgesamt). Segmentieren nach OS/Browser/Gerät oder Nutzergruppe. Dies hilft, problematische Plattformen oder Demografien mit geringer Passkey-Nutzung zu identifizieren. | Über 20 % innerhalb von Wochen, über 50 % in 12 Monaten. (Hängt stark davon ab, wie Sie implementieren) |
| Passkey Login Success Rate (Passkey-Login-Erfolgsrate) | Anteil der Passkey-Login-Versuche, die erfolgreich enden, ohne auf einen Fallback zurückzugreifen. | Offenbart Reibung innerhalb des Passkey-Flows. Eine niedrigere Rate kann auf Verwirrung der Nutzer, Umgebungseinschränkungen oder Gerätekompatibilitätsprobleme hindeuten, die zum Fallback führen. Dass nicht 100 % erreicht werden, wird erwartet, da Nutzer das Gerät wechseln oder versuchen, sich von nicht verbundenen Geräten aus einzuloggen. Hängt stark von Nutzungsmustern und den verwendeten Geräten ab. | Formel: (Anzahl der erfolgreichen Passkey-Logins) ÷ (Anzahl der versuchten Passkey-Logins). Verfolgen Sie unvollständige Versuche, bei denen der Nutzer den Passkey teilweise abbricht und auf Passwort wechselt. | Über 95 % im mobilen Web. Über 99 % in nativen Apps. Desktop-Login-Raten hängen davon ab, wie viele Ihrer Nutzer mehrere Geräte haben und wo sie sich zuerst registrieren. |
| Passkey Login Time vs. Legacy Login Time | Vergleich der durchschnittlichen Zeit zur Authentifizierung via Passkeys vs. Passwörter (oder andere Legacy-Methoden), ab dem Moment, in dem der Nutzer den Login initiiert, bis zum erfolgreichen Abschluss. | Schnellere Passkey-Logins korrelieren mit höherer Nutzerzufriedenheit und nachhaltiger Nutzung. | Protokollieren Sie die Start- und Erfolgszeitstempel jedes Login-Versuchs. Berechnen Sie die durchschnittliche Passkey-Login-Zeit im Vergleich zur durchschnittlichen Legacy-Login-Zeit. Segmentieren Sie nach OS/Browser/Gerät für tiefere Einblicke. | 3- bis 5-fache Geschwindigkeitsgewinne. Im Vergleich zu bestehender MFA (PW+SMS). |
| Fallback Rate | Wie oft Nutzer während eines anfänglich mit einem Passkey begonnenen Login-Versuchs auf Passwörter oder eine andere Nicht-Passkey-Methode zurückgreifen. | Zeigt die anhaltende Abhängigkeit von Legacy-Flows, möglicherweise aufgrund schlechter Passkey-Zuverlässigkeit oder mangelndem Nutzerkomfort. | Formel: (Anzahl der Fallback-Ereignisse) ÷ (Anzahl der Passkey-Login-Versuche). Setzen Sie Fallback-Daten in Beziehung zu Nutzerumfragen oder Support-Tickets, um Ursachen zu identifizieren. | Dieser KPI ist im Grunde die invertierte Passkey-Login-Rate und hängt von Ihrer Implementierung ab. |
Es ist wichtig, primär auf den Passkey-Login-Erfolg und die Passkey-Login-Rate zu optimieren, um eine reibungslose User Experience zu gewährleisten. Gleichzeitig sollte daran gearbeitet werden, die User Activation Rates zu erhöhen – dies jedoch erst, wenn die Login-Erfolgsrate hoch genug ist, um Nutzerfrustrationen zu vermeiden. Darüber hinaus kann das Tracking dieser KPIs über verschiedene Segmente (wie OS, Browser und Gerät) und spezifische Anwendungsfälle (z. B. Cross-Device-Logins) tiefere Einblicke in Akzeptanzmuster und potenzielle Reibungspunkte liefern.
6.3 Wie man die notwendigen Ereignisse für Passkey-Metriken aufzeichnet#
Das genaue Messen sowohl der Input- (z. B. Akzeptanz, Erstellung) als auch der Output-KPIs (z. B. Login-Rate, Fallback-Nutzung) erfordert das Sammeln von Daten aus drei Hauptquellen:
- Frontend-Event-Daten
- Passkey- / Credential-Store
- Logs der Legacy-Authentifizierung & Fallbacks
6.3.1 Frontend-Event-Daten#
Um Metriken wie Passkey Acceptance Rate oder Passkey Creation Success Rate zu berechnen, müssen Sie erfassen, wie viele Nutzer nach dem Login einen Nudge sehen, wie viele auf „Ja, Passkey erstellen“ klicken und ob sie den Passkey-Erstellungsprozess tatsächlich abschließen. Dies erfordert JavaScript- (oder native mobile) Event-Tracking, um Folgendes zu erfassen:
- Wann und ob der Nudge angezeigt wird (erstmalig vs. nachfolgende Male)
- Wie lange sie brauchen, um den Nudge abzuschließen
- Ob sie die Passkey-Erstellung einmal oder mehrmals abbrechen
Sie benötigen außerdem User-Agent-Parsing oder Client-Hints, um Akzeptanzraten an bestimmte OS- / Browser-Versionen zu binden und spezifische fehlerhafte Pfade zu erkennen.
6.3.2 Passkey- / Credential-Store#
Nachdem ein Nutzer die Registrierung im Frontend gestartet hat, muss der Server bestätigen, ob ein neuer Passkey tatsächlich gespeichert wurde. Sie benötigen Zugriff auf die Datenbank oder die API eines externen Identity Providers, die das Erstellungsereignis jeder Berechtigung aufzeichnet. Dieses Repository hilft Ihnen zu zählen, wie viele Passkeys pro Nutzer existieren und das finale Ergebnis (Erfolg oder Misserfolg) zu verfolgen. So stellen Sie sicher, dass Sie genau wissen, welche Versuche mit einer abgeschlossenen Registrierung endeten.
6.3.3 Logs der Legacy-Authentifizierung & Fallbacks#
Für Metriken wie die Fallback Rate müssen Sie Ihre aktuellen Authentifizierungslogs & -prozesse betrachten. Indem Sie diese Logs mit Frontend-Ereignissen zusammenführen, erkennen Sie, ob ein Nutzer einen Passkey-Login begonnen hat, einen Fehler erhielt und auf den Fallback-Login (z. B. SMS oder Passwort) wechselte.
Schließlich beruht die Messung zeitbasierter KPIs wie Passkey Login Time vs. Legacy Login Time sowohl auf Client- als auch auf Server-Zeitstempeln. Da viele Organisationen nur erfolgreiche Logins protokollieren, müssen Sie die Instrumentierung für teilweise oder fehlgeschlagene Passkey-Flows hinzufügen, um Reibung und Fallback wirklich bewerten zu können. Die Integration dieser drei Datenquellen unter Einhaltung von Datenschutz- und regulatorischen Vorgaben ist oft komplexer als erwartet und ein weiterer Grund, warum sich einige Teams für spezialisierte Passkey-Plattformen entscheiden, die integrierte Analysen und Event-Tracking bieten.
6.3.4 Der integrierte Ansatz von Corbado: Authentication Process Mining#
Die Komponenten von Corbado Connect sammeln alle beschriebenen Datenpunkte (hunderte verschiedene) implizit, indem sie automatisch für jeden Nutzer, der einen Authentifizierungsprozess startet, einen eindeutigen Prozess generieren. Durch die nahtlose Integration sammelt Corbado auch Authentifizierungsmetriken aus Ihrer bestehenden Lösung. Diese ganzheitliche Sichtweise zeigt punktgenau Verbesserungen für die Nutzer auf und bietet umfassende Einblicke in alle wichtigen Passkey-KPIs, ohne zusätzlichen Aufwand Ihrerseits.
6.4 Was sind weitere wichtige Output-KPIs / OKRs, die beeinflusst werden sollten?#
Zusätzlich sollten nach einem erfolgreichen Passkey-Deployment die Auswirkungen auf folgende Output-KPIs sichtbar werden. Diese werden im Unternehmen meist ohnehin bereits erfasst:
Operative Metriken & Kostensenkung
- Reduzierung der SMS-OTP-Nutzung – Anzahl der durch Passkey-Authentifizierung eingesparten SMS-OTPs (direkte Kosteneinsparungen).
- Reduzierung der Passwort-Reset-Anfragen – Rückgang der Helpdesk-Interaktionen im Zusammenhang mit vergessenen Passwörtern.
- Reduzierung der Kundensupport-Tickets – Geringeres Volumen an authentifizierungsbezogenen Kundenservice-Problemen.
- Reduzierung des Support-Anrufvolumens – Weniger eingehende Anrufe bezüglich Kontozugangsproblemen.
Business- & UX-Impact-Metriken
- User Retention Rates (Nutzerbindungsraten) – Prozentsatz der Nutzer, die sich nach dem ersten Login weiterhin authentifizieren.
- Conversion Rate (Konversionsrate) – Wie oft Nutzer Transaktionen nach der Authentifizierung abschließen.
- Drop-Off Rate in Login Funnels (Abbruchrate im Login-Trichter) – Ob Passkeys die Anzahl der Nutzer reduzieren, die Login-Versuche abbrechen.
Indem Organisationen gezielt Passkey-Input- und Output-KPIs verfolgen und diese mit anderen Daten in Beziehung setzen, können sie die Auswirkungen ihres Passkey-Deployments quantifizieren und datengesteuerte Verbesserungen vornehmen, um die Akzeptanz zu maximieren, Kosten zu senken und die Sicherheit zu erhöhen.
7. Empfehlungen#
Die Wahl der richtigen Passkey-Lösung hängt von Ihren spezifischen Herausforderungen, Sicherheitsanforderungen und Kostenüberlegungen ab. Im Folgenden finden Sie wichtige Empfehlungen für Kaufen vs. Bauen-Entscheidungen in verschiedenen Branchen.
7.1 Empfehlung für Passkeys im Bank- & Finanzwesen#
Wichtige Überlegungen:
- Regulatorische Compliance (z. B. PSD2, SOC 2, ISO 27001, DSGVO) erfordert strenge Sicherheitsmaßnahmen bei der Passkey-Authentifizierung.
- Ein Passkey-Kostenvergleich ist entscheidend, da Banken oft die langfristige Komplexität und Wartung interner Lösungen unterschätzen.
- Eine sichere Authentifizierung ist unerlässlich, um Account-Takeover-Betrug und Phishing zu reduzieren.
Empfehlung:
Die meisten Banken und Finanzinstitute sollten sich auf eine Passkey-Anbieter-Lösung verlassen, anstatt intern zu entwickeln, da das interne Management der Passkey-Infrastruktur versteckte Komplexitäten mit sich bringt, die über das traditionelle IT-Fachwissen hinausgehen. Die Implementierung der Passkey-Authentifizierung in großem Maßstab erfordert kontinuierliche Optimierungen und Updates, WebAuthn-Kompatibilitätsmanagement und die nahtlose Integration in alte Banking-Systeme – all dies übernehmen Passkey-Anbieter bereits.
Banken wie Ubank, Revolut und Finom sind Vorreiter bei der Passkey-Einführung und erkennen das Potenzial der Technologie, die Sicherheit zu erhöhen und gleichzeitig die User Experience zu verbessern. Die Passkey-ROI-Analyse fällt oft zugunsten des Kaufs einer Passkey-Lösung aus, anstatt in laufende Wartung und Updates zu investieren, wobei die Implementierungen deutliche Rückgänge bei Betrugsversuchen und authentifizierungsbezogenen Supportkosten zeigen.
Beispiele: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square
7.2 Empfehlung für Passkeys im Gesundheitswesen#
Wichtige Überlegungen:
- HIPAA- und DSGVO-Compliance erfordern bei der Passkey-Einführung strikte Authentifizierungssicherheit.
- Zu den Herausforderungen bei der Passkey-Implementierung gehört es, Sicherheit und Benutzerfreundlichkeit für Patienten, medizinisches Personal und IT-Administratoren in Krankenhäusern in Einklang zu bringen.
- Viele Authentifizierungssysteme im Gesundheitswesen stützen sich immer noch auf Legacy-Infrastruktur, was die Passkey-Integration komplexer macht.
Empfehlung:
Eine Passkey-Anbieter-Lösung ist der effektivste Weg, Compliance-Anforderungen zu erfüllen und gleichzeitig die Authentifizierung zu vereinfachen. Passkey-Anbieter kümmern sich um Sicherheitspatches, Compliance-Updates und die Zuverlässigkeit der Authentifizierung und entlasten so die IT-Teams.
Beispiele: CVS Health, Caremark, Helsana, NHS, Swica
7.3 Empfehlung für Passkeys in E-Commerce & Einzelhandel#
Wichtige Überlegungen:
- Conversion Rate Optimization (CRO) ist geschäftskritisch – Reibungsverluste bei der Authentifizierung wirken sich direkt auf den Umsatz aus.
- Multi-Device-Szenarien müssen nahtlos funktionieren (Nutzer browsen auf dem Smartphone, schließen den Kauf jedoch auf dem Desktop ab).
- Authentifizierungsfehler erhöhen direkt die Warenkorbabbruchraten, was UX-optimierte Login-Flows unerlässlich macht.
Empfehlung:
E-Commerce-Plattformen profitieren am meisten von einem Passkey-Implementierungsanbieter, der hohe Akzeptanzraten bietet. Große Plattformen wie Amazon und Shopify haben die Passkey-Authentifizierung implementiert, was die wachsende Akzeptanz der Technologie im E-Commerce zeigt. Daten aus der Praxis belegen, dass über 27 % der anfänglichen Passwort-Logins fehlschlagen, während die passkeybasierte Authentifizierung Erfolgsraten von bis zu 95 bis 97 % erreichen kann, wie frühere Einführungen zeigen. Eine Passkey-ROI-Analyse verdeutlicht, dass höhere Konversionsraten und geringere Betrugsverluste die Investition schnell rechtfertigen.
Amazon hat kürzlich erklärt, dass das Unternehmen ein ehrgeiziges Ziel von 100 % Passkey-Akzeptanz und der vollständigen Abschaffung von Passwörtern verfolgt.
Google hat außerdem herausgefunden, dass Testnutzer, die mit Passkeys interagieren, eine 20 % höhere Wahrscheinlichkeit haben, zu zahlenden Kunden zu konvertieren, als diejenigen, die dies nicht tun.
Beispiele: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target
7.4 Empfehlung für Passkeys in Reisen & Gastgewerbe#
Wichtige Überlegungen:
- Cross-Device-Authentifizierung ist essenziell, da Nutzer Reisen auf einem Gerät buchen und auf einem anderen einchecken.
- Spezialisierte Passkey-Anbieter müssen schnelle und sichere Logins für bequeme Buchungen, Check-ins und Kontoverwaltung gewährleisten.
- Betrugsprävention hat Priorität, da Reise-Plattformen hochwertige Transaktionen verarbeiten.
Empfehlung:
Die meisten Reise-Unternehmen sollten Passkey-Lösungen implementieren, um die Sicherheit und die User Experience zu verbessern. Führende Unternehmen wie Kayak und große Fluggesellschaften nutzen bereits die Passkey-Authentifizierung, um ihre User Experience zu verbessern. Vorgefertigte Lösungen bieten stärkere Betrugserkennung, nahtlose Login-Erlebnisse und sofortigen Multi-Device-Support. Das Gastgewerbe profitiert durch die Passkey-Implementierung besonders von kürzeren Check-in-Zeiten und verbesserter Sicherheit, wodurch eine reibungslose Authentifizierung über alle Touchpoints (Apps, Kiosks, Web und Partnerplattformen) hinweg gewährleistet wird.
Beispiele: Air New Zealand, Bolt, Grab, Uber, Hyatt
7.5 Empfehlung für Passkeys bei Versicherungen#
Wichtige Überlegungen:
- Die Kosten der Passkey-Implementierung müssen mit den Compliance-Anforderungen und den Verbesserungen der User Experience in Einklang gebracht werden.
- Viele Kunden von Versicherungen sind nicht sehr technikaffin, weshalb die Benutzerfreundlichkeit auf allen Arten von Geräten und Browsern ein Muss ist.
- Eine Passkey-Integration mit Identitätsprüfung ist oft für die Vertragsverwaltung und die Schadensbearbeitung erforderlich.
Empfehlung:
Eine externe Passkey-Lösung eignet sich am besten für ein schnelles Deployment und die Einhaltung gesetzlicher Vorschriften. Versicherungs-Anbieter berichten von einem deutlichen Rückgang authentifizierungsbezogener Support-Tickets nach der Einführung von Passkeys. Ein Passkey-Implementierungsanbieter mit anpassbaren Authentifizierungsabläufen und integrierter Identitätsprüfung gewährleistet Sicherheit, während die Kundenlogins einfach bleiben. Die Passkey-ROI-Analyse legt nahe, dass die Reduzierung von Passwort-Resets und Betrugsverlusten die Kosten für den Anbieter ausgleicht.
Beispiele: Branch
7.6 Empfehlung für Passkeys in Behörden & Öffentlichen Diensten#
Wichtige Überlegungen:
- Höchste Sicherheitsstandards und Compliance-Anforderungen (z. B. NIST, das Essential-Eight-Framework erfordert Phishing-resistente MFA).
- Anforderungen an ein großflächiges Deployment in diversen Bevölkerungsgruppen mit unterschiedlichen technischen Fähigkeiten.
- Integrationsanforderungen mit bestehenden Systemen zur Identitätsprüfung bei Behörden und Legacy-Infrastruktur.
Empfehlung:
Für Behörden ist eine spezialisierte Passkey-Lösung, die strenge Sicherheitsstandards erfüllt und gleichzeitig Barrierefreiheit gewährleistet, essenziell. Der Implementierungserfolg bei VicRoads zeigt, dass Regierungsorganisationen am meisten von externen Passkey-Lösungen profitieren, die Compliance-Anforderungen und Sicherheitsupdates automatisch handhaben. Wählen Sie daher einen Anbieter für die Passkey-Implementierung, der Sicherheit auf Enterprise-Niveau bietet, Multi-Device-Authentifizierung unterstützt und adaptive Authentifizierungsabläufe bereitstellt, um allen Bürgern gerecht zu werden.
Beispiel: VicRoads, myGov, Bundesstaat Michigan
7.7 Empfehlung für Passkeys in Telekommunikation & Versorgungsunternehmen#
Wichtige Überlegungen:
- Skalierbarkeit und Zuverlässigkeit sind entscheidend, da Telekommunikations- und Versorgungsunternehmen oft Millionen von Nutzern in verschiedenen Kundensegmenten verwalten und eine hochverfügbare und fehlertolerante Authentifizierung benötigen.
- Multi-Device- und Cross-Platform-Unterstützung ist essenziell, da Nutzer über mobile Apps oder Webportale auf Konten zugreifen. Die nahtlose Passkey-Authentifizierung muss an allen Kunden-Touchpoints funktionieren.
- Die Unterstützung von Legacy-Authentifizierungssystemen ist oft notwendig, da Telekommunikations- und Versorgungsunternehmen Passkeys möglicherweise in bestehende IAM-Systeme und Kundenidentitätsplattformen integrieren müssen, ohne aktuelle Authentifizierungsabläufe zu unterbrechen.
- Betrugsprävention und Kontosicherheit haben oberste Priorität, insbesondere bei SIM-Swapping-Betrug, Identitätsdiebstahl und unbefugtem Kontozugriff. Passkeys können Phishing-Angriffe und Credential-Stuffing-Risiken erheblich reduzieren.
Empfehlung:
Für Telekommunikations- und Versorgungsunternehmen wird die Einführung einer externen Passkey-Lösung empfohlen. Angesichts der Größe, Komplexität und Sicherheitsanforderungen dieser Branchen gewährleistet ein Managed-Passkey-Anbieter Compliance, hohe Verfügbarkeit und eine nahtlose Integration in die bestehende Authentifizierungsinfrastruktur. Telekommunikationsriesen und Digital-First-Versorgungsunternehmen setzen im Rahmen ihrer Sicherheitsmodernisierung bereits auf Passkeys, um Betrug zu reduzieren und die User Experience zu verbessern. Darüber hinaus senkt das Auslagern der Passkey-Implementierung die Gesamtbetriebskosten (TCO) im Vergleich zur internen Entwicklung, da laufende Wartung, Sicherheitsupdates und die Einhaltung gesetzlicher Vorschriften vom Anbieter übernommen werden.
Beispiel: Deutsche Telekom, Telstra, SK Telecom
7.8 Empfehlung für Passkeys in B2B-SaaS#
Wichtige Überlegungen:
- Multi-Tenant-Authentifizierung ist für B2B-SaaS essenziell und erfordert eine skalierbare Passkey-Integration über verschiedene IAM-Systeme hinweg.
- Unternehmen erwarten SSO (OIDC/SAML), daher ist eine nahtlose Integration mit Identity Providern geschäftskritisch.
- Die Kosten der Passkey-Implementierung müssen gegen andere Sicherheitsinvestitionen, wie Multi-Faktor-Authentifizierung (MFA) und Zero-Trust-Sicherheitsmodelle, abgewogen werden.
Empfehlung:
Für die meisten B2B-SaaS-Anbieter ist eine externe Passkey-Implementierung die optimale Wahl. Die Implementierung erfolgt in der Regel schneller als eine interne Entwicklung. Digitale B2B-Unternehmen wie Notion, Hubspot oder Vercel haben bereits Passkeys eingeführt, um ihre Authentifizierungssicherheit zu erhöhen. Die Gesamtbetriebskosten (TCO) sind deutlich geringer als bei einer internen Entwicklung, da Wartung, Updates und Compliance-Anforderungen vom Anbieter abgedeckt werden.
Beispiel: Canva, DocuSign, Notion
8. Fazit#
Passkeys haben sich als globaler Standard für die Authentifizierung etabliert, vereinfachen den Login für Endnutzer und erhöhen gleichzeitig die Sicherheit. Wenn Unternehmen bewerten, wie sie Passkeys implementieren sollen, müssen sie entscheiden, ob sie eine interne Lösung aufbauen oder einen spezialisierten Passkey-Anbieter nutzen. Während DIY-Implementierungen volle Kontrolle bieten, erfordern sie erhebliches technisches Know-how, Entwicklungsressourcen und kontinuierliche Wartung. Im Gegensatz dazu bieten Passkey-Anbieter einen schnelleren, skalierbaren und kostengünstigen Ansatz, der hohe Akzeptanzraten, eine nahtlose User Experience und die Einhaltung sich wandelnder Sicherheitsstandards sicherstellt.
Dieser Leitfaden behandelte die folgenden Schlüsselfragen:
-
Welche Komponenten werden benötigt, um Passkeys zu implementieren und passwortlos zu werden?
Ein erfolgreiches Passkey-Deployment erfordert eine FIDO2/WebAuthn-Infrastruktur, nahtlose UX-Flows, Fallback-Mechanismen und sichere Optionen zur Kontowiederherstellung. Unternehmen müssen zudem plattformübergreifende Kompatibilität und Sicherheits-Compliance berücksichtigen.
-
Sollte ich Passkeys intern implementieren oder einen externen Anbieter nutzen?
Während die interne Entwicklung Kontrolle bietet, geht sie mit hoher Komplexität, laufenden Wartungskosten und Sicherheitsverantwortlichkeiten einher. Die meisten großen Organisationen mit Endkundenkontakt profitieren von einer externen Passkey-Lösung, die ein schnelles Deployment, niedrigere Betriebskosten und einen geringeren technischen Overhead bietet.
-
Was ist der Vorteil eines Passkey-Anbieters, wenn es Open-Source-Bibliotheken gibt?
Open-Source-WebAuthn-Bibliotheken bieten einen Einstiegspunkt, lassen jedoch die Sicherheit auf Enterprise-Niveau, eine passkey-optimierte User Experience und Funktionen zur Steigerung der Nutzerakzeptanz vermissen. Ein Passkey-Anbieter gewährleistet ein nahtloses Deployment, Skalierbarkeit und optimierte Strategien zur Nutzerakzeptanz, die einen besseren ROI bringen und die Reibung sowohl für Nutzer als auch für Entwickler verringern.
-
Was sind die größten Herausforderungen bei der Entwicklung einer Passkey-Lösung?
Die Entwicklung eines internen Passkey-Systems erfordert tiefgreifendes Fachwissen in den Bereichen WebAuthn, Multi-Device-Support und Passkey-Akzeptanz. Die Aufrechterhaltung der fortlaufenden Geräte- und Browserkomplexität sowie die Sicherstellung hoher Akzeptanzraten erhöhen die Komplexität weiter.
-
Was sind die Risiken bei der internen Implementierung von Passkeys?
Unternehmen riskieren hohe Entwicklungskosten, verlängerte Deployment-Zeiträume und laufenden Wartungsaufwand für die Sicherheit. Compliance-Verstöße, Sicherheitslücken und eine geringe Nutzerakzeptanz können den Erfolg eines Passkey-Rollouts zunichtemachen. Eine vom Anbieter verwaltete Passkey-Lösung mindert diese Risiken, indem sie eine erprobte, skalierbare Authentifizierungsinfrastruktur mit integrierter Sicherheit und regulatorischer Compliance bietet.
Über Corbado
Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →
Häufig gestellte Fragen#
Was sind die Hauptrisiken, wenn ein Unternehmen eine Passkey-Lösung intern entwickelt?#
Eine interne Entwicklung erfordert tiefgreifendes WebAuthn-Know-how, kontinuierliches Management der Browser- und Gerätekompatibilität sowie dedizierte Sicherheitswartung. Unternehmen riskieren lange Deployment-Zeiten, Compliance-Verstöße und eine geringe Nutzerakzeptanz. In regulierten Branchen wie dem Banken- und Gesundheitswesen erhöht die Einhaltung von PSD2, HIPAA und NIST die Komplexität zusätzlich, was Passkey-Anbieter bereits kontinuierlich übernehmen.
Wie viel Passkey-Akzeptanz brauche ich, bevor ich Passwörter sicher entfernen kann?#
Organisationen benötigen 50 bis 80 % aktive Nutzer, die sich mit Passkeys authentifizieren, bevor sie Passwörter entfernen können. Ein zu frühes Entfernen von Passwörtern führt zu mehr Supportanfragen und Problemen mit der Benutzerfreundlichkeit. Ein schrittweiser Ansatz beginnt bei Konten, bei denen sich Nutzer durchgängig via Passkey authentifizieren, nutzt mehrere Nudges (Akzeptanzraten erreichen bis zu 85 % auf Mobilgeräten über mehrere Aufforderungen hinweg) und wird basierend auf datengesteuerten Erkenntnissen ausgeweitet.
Welche KPIs sollte ich verfolgen, um den Erfolg eines Passkey-Rollouts zu messen?#
Verfolgen Sie Input-KPIs wie die Passkey-Akzeptanzrate (Benchmark: 50 bis 75 % beim ersten Nudge, bis zu 85 % auf Mobilgeräten über mehrere Nudges) und eine Erstellungserfolgsrate, die nahe 100 % liegen sollte. Bei den Output-KPIs sollten Sie eine Passkey-Login-Rate von über 20 % innerhalb von Wochen und über 50 % innerhalb von 12 Monaten anstreben. Segmentieren Sie alle Metriken nach Betriebssystem, Browser und Gerät, um Reibungspunkte zu identifizieren.
Warum scheitern Passkey-Projekte selbst nach einer technisch erfolgreichen Implementierung?#
Die meisten Passkey-Projekte scheitern eher an einer geringen Nutzerakzeptanz als an technischen Problemen. Die anhaltende Abhängigkeit von Passwörtern macht Sicherheitsvorteile zunichte, eliminiert Kosteneinsparungen durch reduzierte SMS-OTPs und Passwort-Resets und führt zu einer fragmentierten User Experience. Google und Amazon begegnen dem durch kontinuierliches A/B-Testing, UI-Nudges und strukturierte Kampagnen zur Nutzeraufklärung, die gezielt auf die Akzeptanz abzielen.
Welche Branchen profitieren am meisten von einem Passkey-Anbieter anstelle einer internen Entwicklung?#
Das Banken-, Gesundheits- und Versicherungswesen, Behörden, E-Commerce und die Telekommunikation profitieren am meisten von Passkey-Anbieter-Lösungen. Dies liegt an regulatorischen Anforderungen wie PSD2, HIPAA und NIST, kombiniert mit großen Nutzerbasen und komplexer Legacy-Infrastruktur. Amazon hat sich das Ziel gesetzt, 100 % Passkey-Akzeptanz zu erreichen und Passwörter vollständig abzuschaffen, was das Ausmaß des Engagements verdeutlicht, das diese Deployments erfordern.
Diesen Artikel teilen
Ähnliche Artikel
Inhaltsverzeichnis