Passkeys in UK: Ein Überblick [2026]

1. Einleitung#

In diesem Artikel geben wir einen kompakten Überblick über den aktuellen Stand der Passkey-Implementierung in Großbritannien. Passkeys repräsentieren die nächste Generation sicherer und benutzerfreundlicher Authentifizierung und gehen über die bekannten Schwächen traditioneller Passwörter und vieler älterer MFA-Methoden hinaus.

Großbritannien ist ein besonders interessanter Markt, da die Akzeptanz durch eine seltene Mischung von Faktoren geprägt wird:

• ein Umfeld mit hohem Betrugsdruck,
• starke nationale Sicherheitsrichtlinien und
• groß angelegte Modernisierungsbemühungen in kritischen Diensten.

Großbritannien zeichnet sich zudem dadurch aus, dass Passkeys nicht nur auf globalen Verbraucherplattformen auftauchen, sondern auch für regulierte und öffentlich zugängliche Journeys zunehmend relevanter werden. Nationale Richtlinien des National Cyber Security Centre (NCSC) haben dazu beigetragen, die Erwartungen an Phishing-resistente Authentifizierung zu definieren, während Regierungs- und Gesundheitsdienste damit begonnen haben, Passkey-Unterstützung in ihre Anmeldeerlebnisse zu integrieren und so die Vertrautheit der Öffentlichkeit mit dem Konzept zu beschleunigen.

Die wirtschaftlichen Anreize sind kaum zu ignorieren. Betrug und Account Takeover bleiben allgegenwärtig, und Unternehmen stehen unter stetigem Druck, Reibung und Supportkosten zu reduzieren, ohne die Sicherheit zu schwächen. In diesem Umfeld werden Passkeys zunehmend als einer der wenigen Ansätze betrachtet, die gleichzeitig Sicherheit und UX verbessern können.

In diesem Artikel beantworten wir diese fünf Kernfragen:

1. Warum sind Passkeys gerade in Großbritannien so relevant?
2. Wie treibt die regulatorische und politische Landschaft in Großbritannien die Einführung von Passkeys voran?
3. Inwieweit implementieren Finanzinstitute, Regierungsbehörden und Einzelhändler Passkeys?
4. Was sind die größten Herausforderungen bei der landesweiten Skalierung der Passkey-Nutzung und wie können sie überwunden werden?

2. Passkeys: Was sie sind und warum sie in Großbritannien wichtig sind#

Bevor wir auf Regulierung, Rollouts in der Industrie und Programme im öffentlichen Sektor blicken, sollten wir zunächst klären, was Passkeys sind und warum sie im britischen Kontext so wichtig sind. Passkeys sind nicht nur ein „neues Login-Feature“. Sie sind ein Wandel in der Art und Weise, wie Online-Konten geschützt werden: weg von geteilten Geheimnissen, die gestohlen oder abgefangen werden können, hin zu kryptografischen Credentials, die entwickelt wurden, um Phishing und vielen gängigen Formen von Account Takeovers zu widerstehen.

2.1 Passkeys definieren#

Passkeys ersetzen Passwörter durch eine sichere, kryptografische Möglichkeit, sich mit dem eigenen Gerät anzumelden. Anstatt ein Passwort einzutippen, authentifizieren sich Nutzer per Fingerabdruck, Gesichtserkennung oder Geräte-PIN, und das Gerät nutzt dann einen privaten Schlüssel, um den Login abzuschließen.

Zu den wichtigsten Eigenschaften von Passkeys gehören:

• Phishing-Resistenz by Design: Das Credential ist an die spezifische Website (Relying Party) gebunden, was klassische Phishing-Seiten wirkungslos macht.
• Kein geteiltes Geheimnis: Es gibt kein auf einem Server gespeichertes Passwort, das bei einem Datenbankangriff geleakt werden könnte.
• Gerätebasierte Sicherheit: Der private Schlüssel wird durch die sichere Hardware des Geräts (z.B. Secure Enclave oder TPM) geschützt.
• Biometrische oder PIN-Entsperrung: Nutzer authentifizieren sich per Fingerabdruck, Gesichtserkennung oder Geräte-PIN, was sowohl die Sicherheit als auch die Usability verbessert.
• Unterstützung für synchronisierte oder gerätegebundene Modelle: Passkeys können entweder geräteübergreifend über Credential-Manager synchronisiert werden oder an ein einzelnes Gerät gebunden bleiben, je nach den Anforderungen an Sicherheit und Assurance.

2.2 Warum Passkeys speziell in Großbritannien wichtig sind#

Großbritannien hat viele der gleichen Probleme, die auch weltweit die Einführung von Passkeys vorantreiben, wie Phishing, Passwort-Wiederverwendung und die ständigen Usability-Probleme von Logins. Was Großbritannien jedoch unterscheidet, ist, wie sich dieser Druck in alltäglichen, hochgradig vertrauenswürdigen Journeys zeigt:

• Banking und Zahlungen,
• Bürgerdienste und
• Gesundheitswesen.

Die digitale Infrastruktur des Landes und Schwachstellen bei der Authentifizierung führen direkt zu Betrug, Betriebskosten und Vertrauensverlust in diese Sektoren.

Der wirtschaftliche Kontext: Betrug im großen Stil und Missbrauch von Anmeldedaten#

Der sichtbarste Treiber ist das Ausmaß und die Hartnäckigkeit der Finanzkriminalität. UK Finance meldete im Jahr 2024 Gesamtschäden in Höhe von 1,17 Milliarden Pfund, und die Zahl der nicht autorisierten Betrugsfälle bleibt extrem hoch: 3,13 Millionen bestätigte Fälle wurden im Jahr 2024 gemeldet. In der Praxis bedeutet dies, dass Unternehmen nicht nur große Verluste managen müssen, sondern sich auch mit häufigem Credential-Missbrauch, der Wiederherstellung von Kundenkonten und der Supportbelastung auseinandersetzen müssen, die mit einer fragilen Authentifizierung einhergeht.

Passkeys gehen einen zentralen Teil dieses Problems an, indem sie wiederverwendbare Geheimnisse aus dem Login-Flow entfernen. Wenn sie gut umgesetzt werden, reduzieren sie die Angriffsfläche für Phishing und Credential-Wiederverwendung – zwei Mechanismen, die vielen gängigen Mustern für Account Takeover zugrunde liegen.

Ausrichtung an der Ausrichtung der digitalen Identität Großbritanniens#

Passkeys sind in Großbritannien auch deshalb wichtig, weil die Modernisierung der Anmeldung im Maßstab von Millionen von Bürgern stattfindet. Während Regierungs- und Gesundheitsdienste ihre Authentifizierungs-Journeys aufrüsten, werden Millionen von Menschen mit modernen Anmeldungen im Passkey-Stil vertraut gemacht, die sich auf die integrierte Plattformsicherheit anstatt auf Passwörter stützen. Diese wachsende Exposition verändert die Erwartungen in Richtung eines einfacheren, schnelleren und Phishing-resistenteren Zugangs in anderen Sektoren.

Generell machen britische Bemühungen zur Modernisierung der Identität, einschließlich des Trust Framework für digitale Identitäten, Passkeys zu einem natürlichen Baustein. Im britischen Kontext sind Passkeys nicht einfach nur ein schöneres Login.

3. Der Rollout-Tracker: Wer ist live? (UK)#

Britische Organisationen setzen zunehmend auf Passkeys, um die Kontosicherheit zu verbessern, Betrug zu reduzieren und die Abhängigkeit von Passwörtern und SMS-basierter Authentifizierung zu verringern. Nachfolgend finden Sie eine Momentaufnahme der aktuellen Situation in Großbritannien (Stand Ende 2025).

3.1 NHS Passkeys#

Der NHS ist einer der frühesten großen Early Adopter von Passkeys im Regierungssektor in Großbritannien und hat diese in den NHS Login-Service integriert.

Wichtige Eigenschaften:

• Passkeys über NHS Login für den Zugriff auf Gesundheitsakten und -dienste verfügbar
• Entwickelt, um SMS-basierte Einmalcodes im Laufe der Zeit zu ersetzen
• Nutzt gerätegebundene Biometrie (Face ID / Fingerabdruck) oder Geräte-PIN
• Positioniert als Sicherheits- und Usability-Upgrade für Patienten

3.2 GOV.UK Passkeys#

Die britische Regierung hat damit begonnen, Passkeys für ausgewählte GOV.UK-Dienste einzuführen, als Teil eines umfassenderen Programms zur Modernisierung von Identitäten.

Wichtige Eigenschaften:

• Schrittweiser Ersatz von SMS-OTP und E-Mail-Verifizierung
• Fokus auf High-Assurance-Identitäts-Journeys
• Integriert in staatliche Identitätsplattformen anstatt in eigenständige Apps
• Langfristiges Ziel, die wissensbasierte Authentifizierung zu reduzieren

3.3 Revolut Passkeys#

Revolut gehörte zu den ersten britischen Fintechs, die Passkeys in großem Maßstab eingeführt haben.

Wichtige Eigenschaften:

• Biometrisch gesicherte Passkeys ersetzen Passwörter und PINs
• Starker Fokus auf schnelle, reibungsarme Re-Authentifizierung
• Entwickelt, um das Risiko von Phishing und Account Takeovers zu reduzieren
• Tief in ein Mobile-First-Sicherheitsmodell integriert

3.4 Virgin Media Passkeys#

Virgin Media hat Passkeys für die Verwaltung von Kundenkonten eingeführt.

Wichtige Eigenschaften:

• Passkeys für den Online-Kontozugriff verfügbar
• Fokus auf die Reduzierung von Passwort-Resets und Supportvolumen
• Zielt auf Phishing- und Account-Takeover-Angriffe ab
• Teil eines umfassenderen Wechsels der Telekommunikationsbranche zur FIDO-basierten Authentifizierung

3.5 EE Passkeys#

EE (BT Group) unterstützt Passkeys für die Online-Verwaltung von Kundenkonten.

Wichtige Eigenschaften:

• Passkeys reduzieren die Abhängigkeit von Passwörtern und SMS-Verifizierung
• In die Identitätsinfrastruktur der BT Group integriert
• Entwickelt, um die Sicherheit der Verbraucher mit minimaler Reibung zu verbessern

3.6 British Airways Passkeys#

British Airways unterstützt FIDO-zertifizierte Authentifizierungsmethoden im Rahmen ihrer Multi-Faktor-Authentifizierungsstrategie.

Wichtige Eigenschaften:

• Unterstützt FIDO Security Keys und passkey-fähige Hardware
• Primär als MFA und nicht als vollständiger Passwort-Ersatz positioniert
• Fokus auf den Schutz hochwertiger Treue- und Buchungskonten
• Es wird erwartet, dass es sich in Richtung einer breiteren Passkey-Nutzung weiterentwickelt

3.7 Luno Passkeys#

Die in London gegründete Krypto-Börse unterstützt Passkeys sowohl für den Login als auch für die Härtung der Authentifizierung.

Wichtige Eigenschaften:

• Passkeys für Sign-in und MFA unterstützt
• Entwickelt für hochriskante Finanz- und Krypto-Konten
• Reduziert Phishing und die Kompromittierung von Anmeldedaten
• Entspricht den regulatorischen Erwartungen an eine starke Authentifizierung

3.8 Dext Passkeys#

Dext (ehemals Receipt Bank) hat Passkeys für seine Business-Nutzer bereitgestellt.

Wichtige Eigenschaften:

• Reduziert Risiken durch geteilte Passwörter und Wiederverwendung von Anmeldedaten
• Schützt den Zugang zu sensiblen Buchhaltungs- und Finanzdaten
• Positioniert als Upgrade zur herkömmlichen MFA

3.9 123-Reg Passkeys#

123-Reg unterstützt Passkeys als starken Authentifizierungsfaktor für das Domain- und Hosting-Management.

Wichtige Eigenschaften:

• Angeboten als starke MFA-Option
• Schützt hochriskante DNS- und Domain-Transfer-Aktionen
• Reduziert die Abhängigkeit von SMS-basierter Authentifizierung

3.10 ASOS Passkeys#

ASOS hat biometrische und an Passkeys angelehnte Authentifizierungsabläufe getestet, hauptsächlich auf dem Smartphone.

Wichtige Eigenschaften:

• Teilweiser Rollout mit Fokus auf mobile App-Erlebnisse
• Häufig in regionalen Verzeichnissen zur Einführung von Passkeys aufgeführt
• Wahrscheinlich der Vorläufer einer vollständigen FIDO2-Passkey-Bereitstellung
• Fokus auf Checkout und Kontoschutz

3.11 CPOMS Passkeys#

CPOMS nutzt Passkeys, um den Zugriff auf hochsensible Daten im Bereich Safeguarding und Kinderschutz zu sichern.

Wichtige Eigenschaften:

• High-Assurance-Authentifizierung für Fachkräfte im Bildungswesen
• Reduziert das Risiko der Weitergabe von Anmeldedaten
• Entwickelt für regulierte, sensible Umgebungen

3.12 ePayslips Passkeys#

ePayslips hat Passkeys integriert, um Lohn- und Personaldaten von Mitarbeitern zu schützen.

Wichtige Eigenschaften:

• Sicherer Mitarbeiterzugriff ohne Passwort-Wiederverwendung
• Privatsphäre-freundliches Authentifizierungsmodell
• Unterstützt Compliance-gesteuerte Sicherheitsanforderungen

4. Das regulatorische und politische Umfeld in Großbritannien tendiert zu Passkeys#

Großbritannien schreibt derzeit keine Passkeys explizit vor. Mehrere regulatorische und politische Kräfte schaffen jedoch eine starke Basiserwartung an moderne Authentifizierung und belohnen zunehmend Phishing-resistente Ansätze. In der Praxis bedeutet dies, dass viele britische Unternehmen gezwungen sind, Logins und die Step-up-Authentifizierung mit Multi-Faktor-Authentifizierung neu zu überdenken – insbesondere dort, wo das Betrugsrisiko hoch ist (Zahlungen, Kontozugriff, sensible Änderungen) und wo die User Experience ständige Reibung nicht verträgt.

Zwei Treiber stechen dabei besonders hervor:

• Nationale Sicherheitsrichtlinien vom National Cyber Security Centre (NCSC) und
• Regeln zur starken Kundenauthentifizierung (SCA), die von der Financial Conduct Authority (FCA) überwacht werden und die Art und Weise prägen, wie Zahlungen und der Kontozugriff gesichert werden.

4.1 NCSC-Richtlinien: Großbritanniens Erwartungen an Phishing-resistente MFA#

Für die meisten britischen Unternehmen fungiert das NCSC als Referenzpunkt dafür, wie „gute“ Sicherheit in der realen Welt aussieht. Dies gilt insbesondere für die Authentifizierung, bei der das NCSC deutlich macht, dass nicht alle MFA-Methoden den gleichen Schutz bieten. In seinen Richtlinien zu empfohlenen MFA-Typen hebt das NCSC FIDO2 MFA (also Passkeys) als resistent gegen Passwort-Raten, Phishing und Diebstahl hervor.

Diese Unterscheidung ist wichtig, weil viele weit verbreitete MFA-Optionen primär gegen das Erraten von Passwörtern schützen, während sie für modernes Social Engineering anfällig bleiben. Die umfassendere MFA-Richtlinie des NCSC erklärt, warum Organisationen Schutzmaßnahmen basierend auf realem Angreiferverhalten wählen sollten, anstatt „jede MFA“ automatisch als ausreichend zu betrachten.

Die Passkey-Diskussion in Großbritannien wird auch von der öffentlichen Position des NCSC geprägt, dass Passkeys ein klarer Fortschritt sind, aber dennoch praktische Herausforderungen in den Bereichen Usability, Bereitstellungsmuster und Recovery zu lösen haben.

4.2 Starke Kundenauthentifizierung: PSD2 in Großbritannien und Durchsetzung durch die FCA#

Die starke Kundenauthentifizierung (SCA) ist einer der folgenreichsten regulatorischen Hebel für die Authentifizierung in Großbritannien, weil sie sich direkt darauf auswirkt, wie Kunden auf Konten zugreifen und viele elektronische Zahlungen genehmigen. In Großbritannien ist SCA in den Rahmen der Payment Services Regulations eingebettet (die die PSD2 umgesetzt haben) und wird von der FCA überwacht. Obwohl sie im britischen regulatorischen Kontext beschrieben werden, entsprechen diese SCA-Anforderungen im Wesentlichen den SCA-Regeln der PSD2, die in allen EU-Mitgliedstaaten gelten.

Auf hoher Ebene erfordert SCA eine Authentifizierung, die auf zwei oder mehr unabhängigen Faktoren aus drei Kategorien basiert:

• Wissen: etwas, das nur der Nutzer weiß
• Besitz: etwas, das nur der Nutzer besitzt
• Inhärenz: etwas, das der Nutzer ist

Diese Definition, einschließlich der Anforderung, dass die Faktoren unabhängig sein müssen (so dass die Kompromittierung des einen nicht den anderen kompromittiert), ist in britischen Branchenrichtlinien und FAQs erfasst, die von Stakeholdern im Zahlungs- und Bankwesen verwendet werden.

4.2.1 SCA im E-Commerce-Zahlungsverkehr#

Während SCA-bezogene Regeln in Großbritannien seit dem 14. September 2019 gelten, war einer der wichtigsten Momente für Verbraucher und Händler der Übergang zur vollständigen Konformität für E-Commerce-Kartentransaktionen. Die FCA verlängerte die Frist für die SCA-Implementierung im E-Commerce auf den 14. März 2022.

Dieser Zeitplan ist wichtig, weil er erklärt, warum die Authentifizierungs-UX in Großbritannien zu einem kommerziellen Thema geworden ist. SCA verbessert die Zahlungssicherheit, führt aber auch zu Reibung, wenn sie mit ungeschickten oder fehleranfälligen Step-up-Methoden umgesetzt wird. Das Ergebnis ist, dass britische Unternehmen aktiv nach Ansätzen gesucht haben, die Anforderungen an eine starke Authentifizierung erfüllen können, ohne den Checkout und die Anmeldung zu Konversionsengpässen zu machen.

4.3 „Cyber Essentials“ als praktischer Compliance-Druck#

Jenseits des regulierten Finanzwesens ist einer der praktischsten Faktoren für eine stärkere Authentifizierung in Großbritannien Cyber Essentials, ein weit verbreiteter Standard für die grundlegende organisatorische Cyber-Hygiene. Für viele Unternehmen (und insbesondere für KMU) ist es eine Voraussetzung, um Geschäfte zu machen, Ausschreibungen zu gewinnen oder die Erwartungen an die Due Diligence von Lieferanten zu erfüllen.

Entscheidend für Passkeys ist, dass die Cyber-Essentials-Anforderungen explizit angeben, wo MFA verwendet werden sollte und wie Organisationen über MFA-Qualität nachdenken sollten. In den aktuellen Anforderungen für IT-Infrastruktur v3.2 wird MFA als wichtige Kontrolle für den Schutz von Konten positioniert, insbesondere wenn der Zugriff über das Internet möglich ist oder Cloud-Dienste im Spiel sind. Das Dokument stellt auch fest, dass SMS nicht die sicherste MFA-Methode ist, und empfiehlt die Verwendung stärkerer Alternativen, wo dies machbar ist.

4.4 Digital Identity Trust Framework (DIATF): Was es für Passkeys bedeutet#

Parallel zu One Login (dem einheitlichen System für digitale Identitäten und Single Sign-On der britischen Regierung) hat Großbritannien das umfassendere Regelwerk für digitale Identitäts-Ökosysteme aufgebaut: das UK Digital Identity and Attributes Trust Framework (DIATF). Das ist deshalb wichtig, weil Passkeys deutlich wirkungsvoller werden, wenn sie Teil vertrauenswürdiger, interoperabler Identitäts-Journeys sein können, zum Beispiel dort, wo sich Dienste auf verifizierte Attribute (Alter, Recht auf Arbeit) und konsistente Assurance-Erwartungen verlassen.

Ein wichtiger, spezifisch britischer Meilenstein ist, dass die Gamma-Version des DIATF am 1. Dezember 2025 in Kraft getreten ist und als erstes gesetzliches Trust Framework für digitale Verifizierungsdienste im Rahmen des Data (Use and Access) Act 2025 beschrieben wird. Dies ist ein wichtiges „institutionelles Signal“: Großbritannien formalisiert das Governance-Modell darum herum.

Auf praktischer Ebene legt das DIATF Erwartungen dafür fest, wie verschiedene Akteure im Ökosystem operieren, zum Beispiel:

• Anbieter für Identitätsüberprüfung: wie die Identität einer Person überprüft wird und welche Qualitätskontrollen gelten
• Attributanbieter: wie verifizierte Attribute gehandhabt, weitergegeben und verwaltet werden
• Wallet- / Holder-Dienste: wie Nutzer Credentials und Recovery sicher managen
• Interoperabilität und Aufsicht: wie Vertrauen über mehrere Anbieter hinweg aufrechterhalten wird, ohne sich auf eine einzige zentrale Datenbank zu verlassen

Dieses Framework ist ein Grund dafür, dass sich die britische Diskussion über Passkeys schnell über den „Login-Komfort“ hinaus zu Fragen der Assurance, der Wiederherstellung und der Integration kryptografischer Credentials in eine umfassendere digitale Vertrauensarchitektur bewegt.

5. Einführung im Finanzsektor#

Der britische Finanzsektor gehört naturgemäß zu den frühesten Adoptern von Passkeys. Nur wenige Branchen vereinen einen derart hohen Betrugsanreiz mit so strengen Erwartungen an Authentifizierungsqualität und Nutzersicherheit. Gleichzeitig sind britische Verbraucher im Banking bereits an mehr Sicherheit gewöhnt, was den Sektor zu einem praktischen Testfeld für Authentifizierungsmethoden macht, die sowohl stärker als auch einfacher sein können.

5.1 Warum die britische Finanzbranche ein natürlicher Early Adopter ist#

Die jüngsten Zahlen von UK Finance verdeutlichen Betrug im nationalen Maßstab, und das Angriffsvolumen bleibt extrem hoch. Dies macht die Qualität der Authentifizierung zu einer Kontrollmaßnahme an vorderster Front für britische Finanzdienstleistungen, nicht zu einem Back-Office-Detail.

Einige UK-spezifische Muster machen die Qualität der Authentifizierung besonders wichtig:

• Betrug bei Fernkäufen bleibt eine der größten Verlustkategorien und erreichte 2024 399,6 Millionen Pfund.
• Die Branche verhinderte 1,45 Milliarden Pfund an unbefugtem Betrug, was so beschrieben wird, als ob 67 Pence von jedem versuchten Pfund gestoppt wurden, ohne dass ein Verlust entstand.
• Telefon-Banking-Betrug wird immer noch stark durch Social Engineering getrieben, und UK Finance nennt Social Engineering ausdrücklich als den Haupttreiber in dieser Kategorie.

Vor diesem Hintergrund sind Passkeys überzeugend, weil sie klassisches Phishing und Credential Replay deutlich erschweren. Dies deckt sich direkt mit den Betrugsmechanismen, die in Großbritannien im großen Stil zu beobachten sind.

5.2 Neobanken und Digital-First-Banken: UX-getriebener Rollout#

5.2.1 Die Passkey-Strategie von Revolut im Kontext der UK-Expansion#

Britische Digital-First-Banken und Fintechs sind in der Regel Vorreiter, da sie schnell iterieren können und ihre Kunden oft schon in Mobile-First-Flows leben. Revolut ist ein bekanntes Beispiel: Es hat Passkeys für Privat- und Geschäftskonten eingeführt und positioniert sie als praktische Alternative zu Passwörtern beim täglichen Login.

Dies geschieht auch im breiteren Kontext der Expansion von Revolut in Großbritannien. Revolut gab am 25. Juli 2024 bekannt, dass es eine britische Banklizenz mit Auflagen erhalten hat und in die „Mobilisierungsphase“ der PRA eingetreten ist. Das ist wichtig, da Passkeys auf natürliche Weise in die Richtung einer Challenger-Bank passen, die digitales Vertrauen skalieren und gleichzeitig die Reibung beim Login gering halten möchte.

5.2.2 Das Passkey-Modell von Wise für sichere Kontoaktionen#

Ein zweites, für Großbritannien relevantes Beispiel ist Wise. Wise dokumentiert, wie Nutzer Passkeys einrichten und verwalten können, und gibt an, dass Passkeys nach der Einrichtung zur standardmäßigen 2-Schritt-Verifizierungsmethode für das Konto werden. Dies ist ein starkes Muster für den Finanzbereich: Passkeys sind nicht nur ein „Komfort-Feature beim Login“, sondern können auch zur Standard-Step-Up-Methode für sensible Aktionen werden.

5.3 Etablierte Banken: Passkeys sicher skalieren#

Für große etablierte Banken ist das Potenzial enorm, aber das gilt auch für die Komplexität. Die meisten High-Street-Banken betreiben bereits ausgereifte gerätebasierte Sicherheitsmodelle, einschließlich Sicherheitscodes und dedizierter „Secure Key“-Ansätze im digitalen Banking. HSBC zum Beispiel dokumentiert die Verwendung eines digitalen Sicherheitsschlüssels (Digital Secure Key) und von Sicherheitscodes als zusätzliche Sicherheitsebene für Online-Banking-Transaktionen.

Diese bestehende Ausgangslage bestimmt, wie Passkeys ins Spiel kommen. In der Praxis bewerten etablierte Unternehmen Passkeys meist anhand von Fragen wie:

• Wie können Passkeys eingeführt werden, ohne etablierte Risikokontrollen und Customer Journeys zu stören?
• Wie kann eine Übergangsphase unterstützt werden, in der mehrere Anmeldemethoden koexistieren müssen?
• Wie lässt sich vermeiden, dass sich Risiken vom Login auf schwächere Recovery-Pfade verlagern (ein wiederkehrendes Thema in nationalen Richtlinien und eine praktische Sorge für Banken)?

Das ist der Grund, warum die Einführung von Passkeys in der britischen Finanzbranche am besten als mehrstufiger Übergang verstanden wird. Neobanken können sich schnell bewegen, während etablierte Unternehmen typischerweise auf eine sichere Migration im nationalen Maßstab optimieren.

5.4 Zahlungsanbieter und Fintech-Infrastruktur#

Zahlungsanbieter spielen eine überragende Rolle dabei, Passkeys für Verbraucher greifbar zu machen, da sie Login, Checkout und Kontosicherheit abdecken. Ein besonders klarer Meilenstein in Großbritannien war die Erweiterung der Passkeys auf Nutzer im Vereinigten Königreich durch PayPal am 27. Juni 2023.

Dies ist für den britischen Markt aus zwei Gründen wichtig:

1. Es erhöht die öffentliche Bekanntheit von Passkeys außerhalb von rein technischen Kontexten.
2. Es verstärkt die Idee, dass Passkeys die Reibung in hochfrequenten, risikoreichen Abläufen verringern können, was genau der Druckpunkt für Zahlungen ist.

Neben diesen Marken tragen Fintech-Plattformen wie Wise dazu bei, Passkeys als Teil eines modernen Sicherheitsstandards zu normalisieren, insbesondere wenn Passkeys zur Standardmethode für die Step-up-Verifizierung werden.

6. Regierung und öffentliche Dienste: Passkeys für Bürger#

In Großbritannien leisten öffentliche Dienste etwas einzigartig Wirkungsvolles für die Einführung von Passkeys: Sie vermitteln den Umgang mit Passkeys in großem Maßstab. Wenn Millionen von Menschen in Regierungs- und Gesundheitsdiensten mit Passkeys in Berührung kommen, fühlen sich Passkeys nicht mehr wie ein „Tech-Feature“ an, sondern wie eine ganz normale Art, sich anzumelden. Das Ergebnis ist ein sich selbst verstärkender Effekt: Die Vertrautheit steigt, die Erwartungen wachsen und Rollouts in der Privatwirtschaft stoßen auf weniger Widerstand seitens der Nutzer.

6.1 GOV.UK One Login: Abkehr von Passwörtern#

GOV.UK One Login wurde entwickelt, um die zentrale Anmeldemöglichkeit für Bürger zu sein, wenn sie staatliche Dienste online nutzen und ihre Identität nachweisen wollen. Im Januar 2026 gab der GDS an, dass mehr als 13 Millionen Menschen es nutzen, um auf mehr als 120 Dienste zuzugreifen.

Was dies für Passkeys besonders relevant macht, ist, dass One Login Passkeys öffentlich auf seiner Roadmap als Anmeldefunktion platziert hat, mit dem Ziel, den Nutzern die Anmeldung per biometrischem Fingerabdruck oder Gesichtsscan anstelle eines Passworts zu ermöglichen. Dies ist ein starkes Signal, dass Passkeys als erstklassige Authentifizierungsmethode für Dienste auf Bürgerebene behandelt werden und nicht nur als optionales Add-on.

Ein wichtiger Meilenstein für die landesweite Akzeptanz ist die Integration reichweitenstarker Dienste. Am 9. Februar 2026 kündigte die HMRC an, dass Neukunden, die sich für digitale Dienste der HMRC registrieren, sich nun mit GOV.UK One Login anmelden können und ein Konto mit E-Mail-Adresse und Passwort anstelle einer 10- bis 12-stelligen Government Gateway ID erstellen können. Die HMRC positioniert One Login außerdem als den zukünftigen zentralen Zugangspunkt für staatliche Online-Dienste, von der Steuer über den Reisepass bis hin zur Wählerregistrierung.

Der GDS betont zudem, dass Vertrauen und Datenschutz die Grundlage bilden, dass nur minimal notwendige Daten erhoben werden und dass es keine zentrale Datenbank gibt, die Nutzerinformationen regierungsübergreifend verknüpft. Das ist einer der Gründe, warum Passkeys so gut zu öffentlichen Diensten passen: Die Authentifizierungsmethode kann die Phishing-Resistenz verbessern, ohne dass die Bürger noch mehr Geheimnisse oder Sicherheitscodes verwalten müssen.

6.2 NHS Login: Passkeys im Gesundheitswesen in großem Maßstab#

Der Zugang zum Gesundheitswesen ist eines der deutlichsten Beispiele dafür, warum es bei der Passkey-Story in Großbritannien nicht nur um Komfort geht. NHS Login positioniert Passkeys explizit als sichere Alternative zu Passwörtern und gibt an, dass Passkeys den stärksten Schutz gegen Phishing- und Hacking-Versuche bieten.

Aus Sicht des Rollouts ist das NHS Login Help Centre auch ein gutes Beispiel dafür, wie der Passkey-Support in großem Maßstab in der Praxis aussieht:

• NHS Login teilt den Nutzern mit, dass sie sich per Fingerabdruck, Gesicht, PIN, Passcode oder Muster anmelden können, je nachdem, wie sie ihr Gerät entsperren.
• Es unterstützt explizit Multi-Device-Muster und weist darauf hin, dass Nutzer mehrere Passkeys auf verschiedenen Geräten eingerichtet haben können.
• Es dokumentiert das geräteübergreifende Setup via QR-Codes und unterstützt Windows-Flows via Windows Hello oder einem externen Security Key.
• Es gibt auch eine klare Datenschutzerklärung ab: Der Passkey wird auf dem Gerät des Nutzers gespeichert und kann von NHS Login nicht eingesehen oder abgerufen werden.

Diese Kombination (klare Nutzerführung, Multi-Device-Support und explizite Recovery-Informationen) ist genau das, was den Passkey-Rollouts im öffentlichen Sektor so großen Einfluss verleiht. Sie bringen Nutzern bei, was Passkeys sind und was sie erwarten können, und setzen eine Usability-Baseline, der andere Dienste entsprechen müssen.

6.3 Anforderungen an Inklusivität und Barrierefreiheit#

Die Authentifizierung für Behörden und das Gesundheitswesen muss für jeden funktionieren, einschließlich Menschen mit älteren Geräten, begrenztem digitalen Selbstvertrauen oder Anforderungen an die Barrierefreiheit. Diese Anforderung prägt die Art und Weise, wie Passkeys in Großbritannien eingeführt werden: in der Regel als ein Upgrade-Pfad und nicht als sofortige, harte Anforderung.

Dies zeigt sich im Fokus auf Support- und Fallback-Mechanismen:

• Die Roadmap von GOV.UK One Login beinhaltet eine Backup-Methode zur Zwei-Faktor-Authentifizierung und ein flexibles Management von Zwei-Faktor-Methoden.
• Die Ankündigung der HMRC verweist Nutzer, die zusätzliche Hilfe benötigen, an den Support für Unterstützung bei ihrem GOV.UK One Login.
• NHS Login erläutert Szenarien bei Geräteverlust und weist darauf hin, dass Nutzer sich immer noch mit einem anderen Gerät mit einem Passkey anmelden oder ein Passwort verwenden können, wenn sie keinen weiteren Passkey eingerichtet haben.

Die praktische Erkenntnis daraus ist, dass britische öffentliche Dienste Passkeys in Systeme einbauen, die unter realen Bedingungen robust bleiben müssen: Gerätewechsel, verlorene Smartphones, geteilte Geräte, Barrierefreiheitsanforderungen und ein breites Spektrum an Nutzerfähigkeiten. Das erzwingt eine sorgfältige Gestaltung von Recovery, Support und sicheren Fallbacks – und genau hier scheitern oft schwächere Passkey-Implementierungen in anderen Sektoren.

7. Welche Signale von britischen Institutionen und Experten kommen#

In Großbritannien wird die Einführung von Passkeys von Institutionen vorangetrieben, die jeweils aus einem anderen Blickwinkel Druck ausüben: Sicherheitsdoktrin, Betrugsökonomie, Compliance im Zahlungsverkehr und Vertrauensanforderungen. Zusammen konvergieren sie auf das gleiche praktische Ergebnis: Phishing-resistente Authentifizierung wird zur Standarderwartung für High-Trust-Journeys.

Das NCSC setzt die Messlatte für die Authentifizierungsqualität: Das NCSC hat einen Punkt besonders deutlich gemacht: Nicht alle MFAs sind gleich, und Phishing-Resistenz ist das Unterscheidungsmerkmal, auf das es bei realen Angriffen ankommt. Dieses Framing bietet Sicherheitsteams eine starke Grundlage, um Ansätze nach dem Vorbild von FIDO2 zu priorisieren und Recovery sowie Rollout-Design als Teil des Sicherheitsmodells zu behandeln und nicht als nachträglichen Gedanken.

UK Finance macht den Business Case unmöglich zu ignorieren: Betrug wird als gesamtgesellschaftliches Problem beschrieben, nicht als Nischenthema der Sicherheit. Das macht Verbesserungen bei der Authentifizierung in vielen Finanzinstituten zu einem Thema für den Vorstand, und deshalb gewinnen Lösungen, die Phishing und Account Takeover reduzieren, ohne Reibung zu verursachen, immer mehr an Dynamik.

Die FCA hat die Authentifizierungs-UX zu einer Compliance-Bedingung gemacht: Die SCA hat starke Authentifizierung tiefer in alltägliche Customer Journeys gedrängt, insbesondere bei Zahlungen und Checkout. Die Implikation ist einfach: Wenn Sicherheitskontrollen zu Abbrüchen oder Fehlerschleifen führen, werden sie kommerziell schmerzhaft. Das steigert naturgemäß den Appetit auf Ansätze, die sowohl stark als auch reibungsarm sind.

Ofcom erhöht die Anforderungen an vertrauenswürdige User Journeys: Mit zunehmenden Anforderungen an die Online-Sicherheit und Altersverifikation benötigen Dienste Signale, die robust und für reale Menschen nutzbar sind. Dies schreibt Passkeys nicht direkt vor, bestärkt aber die generelle Richtung: Digitale Interaktionen mit höherem Vertrauen erfordern bessere Grundlagen, und Phishing-resistente Authentifizierung ist eine davon.

Zusammengenommen ist die Stoßrichtung in Großbritannien klar. Das verbleibende Unterscheidungsmerkmal wird die Umsetzung sein: konsistente UX, integrativer Support und Recovery-Pfade, die nicht still und heimlich dieselben alten Schwachstellen wieder einführen.

8. Fazit: Großbritannien am Wendepunkt der Passkey-Einführung#

Der Übergang Großbritanniens zu Passkeys ist nicht mehr hypothetisch: Andauernder Betrugsdruck, immer explizitere Erwartungen an Phishing-resistente Authentifizierung und die regierungsweite Modernisierung der Anmeldung machen Passkeys branchenübergreifend zu einer Mainstream-Priorität.

1. Was sind Passkeys und warum sind sie für Großbritannien wichtig? Passkeys ersetzen wiederverwendbare Geheimnisse durch Phishing-resistente kryptografische Credentials. Dies ist in Großbritannien entscheidend, wo die Authentifizierung das Fundament hochgradig vertrauenswürdiger Journeys in den Bereichen Banking, Behörden und Gesundheitswesen bildet.
2. Wie treiben Regulierung und Politik den Wandel voran? Britische Institutionen heben die Basis für Phishing-resistente Authentifizierung stetig an und machen stärkere, einfachere Anmeldemethoden zum praktischen Ziel für regulierte und bürgernahe Dienste.
3. Wie weit ist die Implementierung über verschiedene Sektoren hinweg fortgeschritten? Passkeys sind bereits im nationalen Maßstab durch Plattformen des öffentlichen Sektors sichtbar und werden durch die Einführung in der Finanzbranche und bei großen Verbraucherdiensten weiter verstärkt.
4. Welche Herausforderungen bleiben, um Passkeys landesweit zu skalieren? Die größten Hindernisse sind Details bei der Umsetzung, insbesondere eine inkonsistente UX und schwache Recovery-Flows, die das Phishing-resistente Login heimlich untergraben können.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Wie helfen Passkeys britischen Unternehmen, die Anforderungen an die starke Kundenauthentifizierung (SCA) zu erfüllen?#

Passkeys erfüllen die Anforderungen an die starke Kundenauthentifizierung (SCA), indem sie Besitz (das Gerät, das den privaten Schlüssel enthält) und Inhärenz (biometrische Entsperrung) kombinieren und so die Zwei-Faktor-Anforderung gemäß der von der FCA durchgesetzten UK Payment Services Regulations erfüllen. Die SCA für E-Commerce-Kartentransaktionen erreichte am 14. März 2022 die volle Konformität, und Unternehmen, die klobige Step-up-Methoden einsetzten, stellten fest, dass diese durch Kaufabbrüche an der Kasse wirtschaftlich schädlich waren. Passkeys gehen dieses Problem direkt an, indem sie eine starke Authentifizierung mit geringer Reibung bieten und die Compliance erfüllen, ohne Konversionsengpässe zu schaffen.

Warum führen britische Neobanken Passkeys schneller ein als etablierte High-Street-Banken?#

Britische Neobanken wie Revolut betreiben Mobile-First-Plattformen und können schnell iterieren, was es ihnen ermöglicht, Passkeys sowohl für Privat- als auch für Geschäftskonten als praktischen Ersatz für Passwörter bei der täglichen Anmeldung einzuführen. Etablierte Banken hingegen müssen einen sicheren Übergang bewältigen, bei dem mehrere Anmeldemethoden nebeneinander existieren, ohne das Risiko auf schwächere Wiederherstellungspfade zu verlagern, da sie bereits ausgereifte gerätebasierte Sicherheitsmodelle mit etablierten Customer Journeys betreiben. Aus diesem Grund ist die Einführung von Passkeys in der britischen Finanzbranche am besten als mehrstufiger Übergang und nicht als einmaliger Rollout zu verstehen.

Welche britischen Regierungsdienste unterstützen derzeit Passkeys und wie weit sind sie verbreitet?#

NHS Login unterstützt bereits Passkeys und gibt ausdrücklich an, dass sie den stärksten Schutz vor Phishing- und Hacking-Versuchen bieten, so dass Benutzer mehrere Passkeys auf verschiedenen Geräten einrichten können, mit geräteübergreifendem Setup via QR-Codes. GOV.UK One Login, das im Januar 2026 mehr als 13 Millionen Nutzern über 120 Dienste zur Verfügung steht, hat Passkeys als erstklassige Anmeldefunktion auf seine Roadmap gesetzt. Auch die HMRC hat angekündigt, dass sich Neukunden, die sich für digitale Dienste der HMRC registrieren, ab sofort über GOV.UK One Login anmelden können und es als den zukünftigen zentralen Zugangspunkt für Regierungsdienste positionieren.

Was ist das UK Digital Identity and Attributes Trust Framework (DIATF) und warum ist es für Passkey-Deployments wichtig?#

Die Gamma-Version des DIATF trat am 1. Dezember 2025 als das erste gesetzliche Trust Framework für digitale Verifizierungsdienste im Rahmen des Data (Use and Access) Act 2025 in Kraft und formalisierte die Governance für Identitätsverifizierungsanbieter, Attributanbieter und Wallet-Dienste. Sie legt Interoperabilitäts- und Assurance-Erwartungen fest, die Passkeys zu einem natürlichen Baustein für hochgradig vertrauenswürdige Identitäts-Journeys machen, insbesondere dort, wo sich Dienste auf verifizierte Attribute wie das Alter oder die Berechtigung zur Arbeit verlassen. Dadurch verschiebt sich die Diskussion um Passkeys in Großbritannien über den Login-Komfort hinaus hin zu Fragen der Assurance-Level, des Recovery-Designs und wie sich kryptografische Credentials in eine umfassendere digitale Vertrauensarchitektur einfügen.

Was sind die größten Herausforderungen bei der Skalierung von Passkeys in Großbritannien und wie gehen Rollouts im öffentlichen Sektor damit um?#

Die größten Hindernisse sind eine inkonsistente User Experience und schwache Recovery-Flows, die die Schwachstellen, die Passkeys beseitigen sollen, unbemerkt wieder einführen können, insbesondere wenn Nutzer Geräte verlieren oder sie mit anderen Haushaltsmitgliedern teilen. Rollouts im öffentlichen Sektor wie NHS Login adressieren dies, indem sie mehrere Passkeys auf verschiedenen Geräten unterstützen, ein geräteübergreifendes Setup mit QR-Codes dokumentieren, einen expliziten Fallback auf Passwörter anbieten, wenn kein Passkey verfügbar ist, und deutlich machen, dass Passkeys auf dem Gerät gespeichert werden und für den Service nicht zugänglich sind. Die Roadmap von GOV.UK One Login umfasst auch eine Backup-Methode zur Zwei-Faktor-Authentifizierung und eine flexible Verwaltung von Zwei-Faktor-Optionen, um älteren Geräten, Anforderungen an die Barrierefreiheit und unterschiedlichen Stufen der digitalen Zuversicht gerecht zu werden.