Der Login beginnt mit einem Passwort, danach folgt ein SMS-Code, dann vielleicht noch eine Authenticator-App. Für viele Menschen ist digitale Sicherheit vor allem eines geworden: lästig. Die Folge sind wiederverwendete Passwörter, vergessene Zugangsdaten und steigende Sicherheitsrisiken. Passkeys versprechen erstmals einen Ausweg aus diesem jahrzehntealten Zielkonflikt zwischen Komfort und Schutz. Warum scheitern trotzdem viele Unternehmen bei der Einführung, obwohl die Technologie längst verfügbar ist?

Alle kennen es: Man möchte sich bei einer Website oder App anmelden und soll ein sicheres Passwort wählen. Für jeden Dienst ein anderes, am besten mit Sonderzeichen und regelmäßigem Wechsel. In der Realität nutzen die meisten Menschen trotzdem überall dasselbe, einfache Passwort. Wer dann noch einen SMS-Code abtippen oder eine Authenticator-App öffnen muss, empfindet Sicherheit vor allem als lästig. Über Jahre wurde dieser Konflikt zwischen Anwendungsfreundlichkeit und Sicherheit eher verwaltet als gelöst.

Für Unternehmen ist diese Bequemlichkeit teuer. Vergessene Passwörter verursachen Supportaufwand. Wiederverwendete Zugangsdaten begünstigen Account-Takeovers und jede zusätzliche Schutzstufe macht den Login umständlicher. Hinzu kommt, dass Unternehmen Nutzende im Anmeldeprozess verlieren und Verfahren wie MFA (Multi-Faktor-Authentifizierung, also zusätzliche Sicherheitsabfragen wie SMS-Codes oder Authenticator-Apps) zusätzliche Kosten verursachen, etwa für den SMS-Versand.

Aus Sicherheitsperspektive ist das größte Problem das Phishing. Solange der Login auf einer Information beruht, die Nutzende kennen und eingeben müssen, bleibt sie angreifbar. Angreifende müssen das System hierzu gar nicht hacken. Es genügt, Nutzende auf gefälschte Seiten oder in künstlich erzeugte Dringlichkeitssituationen zu lenken. Gerade in Zeiten, in denen generative KI solche Angriffe immer überzeugender macht, verschärft sich das Problem weiter.

Die einfachste Login-Methode ist zugleich die sicherste

Passkeys setzen genau dort an, wo Passwörter scheitern: bei der Frage, wie Anmeldung gleichzeitig sicher und einfach sein kann. Sie ersetzen nicht einfach ein Passwort durch ein moderneres Login-Verfahren, sondern verändern die Grundlogik der Anmeldung und damit auch, was Bequemlichkeit bedeutet.

Passkeys sind zwei Faktoren in einem Schritt

Passkeys basieren auf den von der FIDO Alliance entwickelten Industriestandards für passwortlose Authentifizierung. Der Verband vereint führende Technologieunternehmen wie Apple, Google und Microsoft. Statt eines Passworts nutzen User ein kryptografisches Schlüsselpaar aus privatem und öffentlichem Schlüssel. Der private Schlüssel wird auf dem Gerät gespeichert und per Fingerabdruck, Gesichtserkennung oder Geräte-PIN entsperrt. Damit vereinen Passkeys zwei Faktoren in einem einzigen Schritt: einen Besitzfaktor (das Gerät mit dem privaten Schlüssel) und einen Inhärenzfaktor (die Biometrie) bzw. Wissensfaktor (Geräte-PIN). Apple, Google und Microsoft unterstützen diesen Standard seit 2022 flächendeckend und in der EU sind mehr als 95 Prozent der Endgeräte Passkey-ready.

Der größte Vorteil: Es gibt kein Passwort mehr, das man sich ausdenken, merken, vergessen oder auf einer gefälschten Seite eingeben könnte. Jeder Passkey ist zudem an die Domain gebunden, für die er erstellt wurde. Phishing läuft damit ins Leere: selbst wenn die Person auf einer gefälschten Seite landet und den Passkey verwenden möchte, funktioniert dies technisch nicht, da die Domain nicht übereinstimmt.

Was Unternehmen von Passkeys haben

Was für die Kundschaft ein Gewinn an Einfachheit ist, zahlt sich auch für Unternehmen aus. Amazon konnte durch Passkeys sechsmal schnellere Anmeldungen erreichen und Branchendaten zeigen Conversion-Steigerungen um bis zu 30 Prozent. Gleichzeitig können die Kosten für SMS-basierte Verfahren und für Support-Tickets rund um vergessene Passwörter um 20 bis 50 Prozent sinken.

Doch all das setzt eine Bedingung voraus, die regelmäßig unterschätzt wird: Anwenderinnen und Anwender müssen Passkeys nicht nur erstellen, sondern auch aktiv nutzen. Passkeys lediglich als eine von vielen Login-Optionen bereitzustellen, reicht nicht aus.

Verfügbar heißt noch nicht genutzt

Man stelle sich vor: Ein Unternehmen investiert mehrere Monate Entwicklungszeit und integriert Passkeys im Kund:innenzugang. Der Launch wird intern als Erfolg gefeiert. Doch drei Monate später nutzen weniger als fünf Prozent der Kund:innen die neue Anmeldemethode. Passwörter dominieren weiterhin, denn Nutzende bleiben bei dem, was sie kennen. Die erhofften Einsparungen bei SMS-Kosten und Support-Tickets bleiben aus und auch der Sicherheitsgewinn verpufft. Genau dieses Szenario erleben viele Unternehmen. Nicht weil die Technologie nicht funktioniert, sondern weil der Passkey-Rollout ohne Adoption-Strategie geplant wurde.

Wenn Passkeys nur in den Sicherheitseinstellungen versteckt sind, erstellen die wenigsten Nutzenden einen. Und selbst Personen, die bereits einen Passkey erstellt haben, greifen aus Gewohnheit oft wieder zum Passwort zurück oder werden durch Passwort-Autofill-Funktionen dazu verleitet.

Damit eine hohe Adoption gelingt, braucht es deshalb eine klare Adoption-Strategie: einen durchdachten User-Flow, eine verständliche Kommunikation und klare Verantwortlichkeiten im Unternehmen.

Was eine gute Passkey Adoption Strategie ausmacht

Der erste Hebel ist der User-Flow selbst. Passkeys sind kein simples Feature-Toggle, sondern ein eigenständiges Produkt- und Managementthema.

Erfolgreiche Einführungen bei Amazon, Google und Microsoft zeigen: Die höchste Nutzung erreicht man, wenn Passkeys aktiv angeboten werden und nicht nur in den Einstellungen verfügbar sind. Das gilt vor allem an zwei Stellen.

Bei der Passkey-Erstellung funktioniert es am besten, wenn Nutzende direkt nach einer erfolgreichen Passwort-Anmeldung aufgefordert werden, einen Passkey anzulegen. In genau diesem Moment sind sie eingeloggt und offen dafür, den nächsten Login einfacher zu gestalten.

Um eine hohe Passkey-Nutzungsrate im Login zu erreichen, sollte die Website Passkeys aktiv anbieten und nicht nur als eine Option neben anderen anzeigen. Ein separater „Login mit Passkey“-Button wird von den meisten Nutzenden schlicht übersehen. Startet die Passkey-Anmeldung dagegen automatisch, sobald Nutzende ihre E-Mail-Adresse eingeben, nutzen bis zu 50 bis 80 Prozent der Nutzenden Passkeys. Voraussetzung ist, dass das System vorher erkennt, ob auf dem jeweiligen Gerät überhaupt ein Passkey vorhanden ist. Andernfalls landen Nutzende in Sackgassen mit verwirrenden QR-Codes und Fehlermeldungen.

Genauso entscheidend sind die weniger offensichtlichen Fälle: Wie funktioniert die Anmeldung nach einem Gerätewechsel? Was passiert, wenn Nutzende ihr Gerät verlieren? Läuft der Anmeldeprozess auf allen Plattformen gleich zuverlässig? Nutzende, die Passkeys einmal erfolglos ausprobiert haben, kehren selten zurück. Daher ist eine saubere Gestaltung der User-Flows essenziell für eine hohe Adoption.

Wie man Passkeys richtig an Nutzende kommuniziert

Der zweite Hebel ist die Art der Kommunikation. Die wenigsten Nutzenden beschäftigen sich freiwillig mit Sicherheit. Was sie wirklich überzeugt, sind die alltäglichen Vorteile: schneller einloggen, nichts mehr merken müssen, kein Zurücksetzen, kein Warten auf Codes.

Das klingt banal, ist aber eine wichtige Entscheidung in der Kommunikation. Unternehmen, die Passkeys als Sicherheits-Upgrade positionieren, erreichen einen kleinen Teil der Nutzenden, die sich ohnehin für Sicherheit interessieren. Die breite Mehrheit erreicht man über Komfort. Das ist kein Widerspruch zur Sicherheitsstrategie, sondern ihr wirksamster Hebel

Passkeys sind Teamarbeit, nicht IT

Der dritte Hebel für eine hohe Passkey Adoption sind klare Verantwortlichkeiten im Unternehmen. Passkeys scheitern selten an der Technik, sondern oft daran, dass sich niemand wirklich zuständig fühlt. Eine erfolgreiche Einführung erfordert mindestens vier Rollen, die zusammenspielen.

• Sicherheit definiert die Anforderungen und verantwortet den Schutz vor Phishing.
• Produkt verantwortet die Anwendungsführung und bestimmt den passenden Moment für die Aktivierung.
• Operations übernimmt Support, Recovery und Monitoring.
• Management muss die Passkey-Login-Rate zu einer Kennzahl machen, die intern genauso ernst genommen wird wie die Conversion-Rate oder der NPS. Denn was nicht gemessen und an Geschäftsergebnisse geknüpft wird, bekommt weder Ressourcen noch Aufmerksamkeit.

Solange diese Rollen nicht klar zugeordnet sind, fällt die Verantwortung in die Lücken dazwischen. Passkeys werden dann gleichzeitig von allen und von niemandem verantwortet und die Adoption bleibt niedrig.

Passkeys machen Bequemlichkeit zum Sicherheitsvorteil

Anwenderinnen und Anwender wollen es einfach. Weil Sicherheit den Zugang oft erschwert hat, haben sie sich Abkürzungen gesucht: wiederverwendete Passwörter oder ignorierte Warnhinweise. Mit Passkeys ändert sich diese Logik. Der einfachste Weg ist auf einmal auch der sicherste. Passkeys sind bequemer als Passwörter, SMS-Codes oder Authenticator-Apps und gleichzeitig in Sachen Schutz deutlich überlegen.

Für Unternehmen wird das zur strategischen Chance: Sie müssen Kund:innen nicht mehr zu Sicherheit überreden, sondern geben ihnen das, was sie sowieso wollen: mehr Komfort. Genau das treibt die Adoption. Jede zusätzliche Passkey-Anmeldung bedeutet eine weitere geschützte Person. Serviceorientiertes Handeln und Kund:innenschutz stehen sich nicht länger im Weg, sondern können beide verbessert werden.

Diese Chance realisiert aber nur, wer den Anmeldeablauf, die Kommunikation und die Verantwortlichkeiten im Unternehmen zusammendenkt. Einer dieser drei Hebel allein reicht nicht. Erst im Zusammenspiel entfalten Passkeys ihr volles Potenzial: als der Punkt, an dem sich Bequemlichkeit und Sicherheit nicht mehr widersprechen, sondern gegenseitig verstärken.