Identität & Authentifizierung

Jedes Mal, wenn ein Mitarbeiter auf „Anmelden mit Google" oder „Anmelden mit Microsoft" klickt, passiert etwas Kleines, aber Bedeutsames: Ein US-Unternehmen erfährt, wann, wo und bei welchem Dienst sich diese Person authentifiziert hat. Der Identity Provider — das System, das bestätigt „ja, diese Person ist die, die sie vorgibt zu sein" — sitzt im Zentrum jeder digitalen Interaktion. Er sieht alles.

Für Organisationen ist der Identity Provider das strategisch wichtigste Stück Infrastruktur, über das die meisten IT-Abteilungen nie nachdenken. Er kontrolliert, wer auf was zugreifen kann. Er bestimmt, ob der Zugang eines ehemaligen Mitarbeiters innerhalb von Minuten widerrufen wird oder wochenlang bestehen bleibt. Er ist der zentrale Kontrollpunkt — und potenziell der zentrale Ausfallpunkt.

Und in Europa ist die Identitätsinfrastruktur überwiegend amerikanisch. Okta — der größte spezialisierte Identity Provider — meldete für das Geschäftsjahr 2025 einen Umsatz von 2,61 Milliarden US-Dollar bei 19.100 Kunden. Microsoft Entra ID (ehemals Azure AD) ist in Microsoft 365 gebündelt und damit der Standard-Identity Provider für die Hunderte Millionen Organisationen, die Microsofts Ökosystem nutzen. Google Identity erfüllt eine ähnliche Funktion für Google-Workspace-Nutzer.

Die Abhängigkeit ist strukturell. Wenn der eigene Identity Provider amerikanisch ist, unterliegen die Authentifizierungsdaten — wer hat sich wann, von wo, bei welchem Dienst angemeldet — dem CLOUD Act und US-amerikanischer Jurisdiktion. Das ist kein theoretisches Szenario — wie die geopolitische Instrumentalisierung von Softwarelizenzen zeigt. Identitätsmetadaten gehören zu den sensibelsten Daten, die eine Organisation produziert — und zu den wertvollsten für Nachrichtendienste.

Die DigiD-Kontroverse: Souveränität in der Praxis

Wer verstehen will, warum Identitätssouveränität wichtig ist, sollte in die Niederlande schauen.

DigiD ist das digitale Identitätssystem der niederländischen Regierung — das Äquivalent zur Anmeldung bei Behördendiensten. Mit 16,5 Millionen registrierten Nutzern und über 550 Millionen Logins im Jahr 2024 ist es eines der meistgenutzten nationalen Identitätssysteme in Europa.

DigiDs Infrastruktur wurde von Solvinity betrieben, einem niederländischen Managed-Hosting-Unternehmen. 2024 übernahm Kyndryl — die ehemalige IBM-Infrastruktursparte, inzwischen ein eigenständiges, in den USA börsennotiertes Unternehmen — Solvinity. Über Nacht befand sich das Unternehmen, das die Identitätsinfrastruktur der niederländischen Regierung betrieb, unter US-amerikanischer Unternehmenskontrolle.

Das niederländische Parlament reagierte scharf. Mehrere Anträge wurden verabschiedet, die die Regierung aufforderten sicherzustellen, dass die DigiD-Infrastruktur nicht von einem außereuropäischen Unternehmen kontrolliert wird. Die Regierung verpflichtete sich, den Solvinity/Kyndryl-Vertrag über 2028 hinaus nicht zu verlängern und DigiD auf souveräne Infrastruktur zu migrieren.

Der DigiD-Fall illustriert eine Verwundbarkeit, der sich die meisten Länder noch nicht gestellt haben: Identitätsinfrastruktur wird häufig an private Unternehmen ausgelagert, deren Eigentümerstruktur sich durch Übernahmen ändern kann. Ein niederländisches Unternehmen heute kann morgen eine US-Tochtergesellschaft sein. Wenn die Infrastruktur bereits dort gehostet wird, ist das Schiff der Souveränität ausgelaufen, bevor irgendjemand bemerkt hat, dass es den Hafen verlässt.

eIDAS 2.0: Europas Antwort

Die Antwort der EU auf die Fragmentierung der Identitätslandschaft ist eIDAS 2.0 (EU 2024/1183), verabschiedet im April 2024. Das Herzstück ist die European Digital Identity Wallet (EUDIW) — eine staatlich ausgegebene digitale Brieftasche, die jeder EU-Mitgliedstaat seinen Bürgern bis 2026 anbieten muss.

Das Konzept ist ambitioniert: eine einzige Wallet-App auf dem Smartphone des Bürgers, die Folgendes speichern und vorzeigen kann:

• Staatlich ausgestellte Identitätsnachweise
• Führerscheine
• Diplome und Berufsqualifikationen
• Krankenversicherungskarten
• Alle weiteren verifizierbaren Attribute

Die Wallet funktioniert sowohl online als auch offline. Sehr große Online-Plattformen (wie im Digital Services Act definiert) sind verpflichtet, die EUDIW zur Nutzerauthentifizierung zu akzeptieren. Das schafft — zumindest theoretisch — eine europäische Alternative zu „Anmelden mit Google", gestützt auf staatlich verifizierte Identität statt auf ein Unternehmenskonto.

Das Versprechen

Die potenzielle Wirkung der EUDIW ist erheblich. Bei gelungener Umsetzung würde sie:

1. Bürgern die Kontrolle über ihre Identitätsdaten geben. Anders als bei „Anmelden mit Google", wo Google als Vermittler agiert und erfährt, welche Dienste man nutzt, ist die Wallet so konzipiert, dass Nachweise direkt vorgelegt werden — ohne dass der Identity Provider die Transaktion sieht.
2. Interoperabilität in der gesamten EU schaffen. Die digitale Identität eines französischen Bürgers würde nahtlos für Dienste in Deutschland, Italien oder jedem anderen Mitgliedstaat funktionieren. Die grenzüberschreitende Identitätsprüfung — derzeit ein Albtraum bürokratischer Beglaubigungen — würde sofort möglich.
3. Die Abhängigkeit von US-amerikanischen Identity Providern für die Authentifizierung verringern. Organisationen könnten die EUDIW akzeptieren, statt Google- oder Microsoft-Konten zu verlangen.

Der Realitätscheck

Der EUDIW-Zeitplan ist ambitioniert. Mitgliedstaaten müssen die Wallet bis 2026 anbieten, basierend auf einer technischen Architektur (dem Architecture and Reference Framework, kurz ARF), die noch weiterentwickelt wird. Die Umsetzung über 27 Mitgliedstaaten hinweg — jeder mit unterschiedlichen bestehenden Identitätssystemen, unterschiedlichen Rechtsrahmen und unterschiedlichem digitalem Reifegrad — ist eine Koordinierungsaufgabe enormen Ausmaßes.

Datenschutzbedenken bestehen. Eine staatlich ausgegebene digitale Identitätsbrieftasche könnte bei schlechter Umsetzung zum Überwachungsinstrument werden — das nachverfolgt, welche Dienste Bürger wann und von wo aus nutzen. Die Architektur ist so konzipiert, dass dies verhindert wird (selektive Offenlegung, kein zentrales Logging), aber die Implementierungsdetails sind entscheidend. Bürgerrechtsorganisationen beobachten die Entwicklung aufmerksam.

Und da ist die Akzeptanzfrage. Bürger brauchen einen Grund, die Wallet zu nutzen. Wenn Behördendienste sie nicht akzeptieren, wenn private Dienste sie nicht integrieren, wenn die Nutzererfahrung umständlich ist, könnte die EUDIW zu einem weiteren gutgemeinten europäischen Digitalprojekt werden, das auf dem Papier existiert, aber nicht auf dem Smartphone.

FranceConnect: Die Erfolgsgeschichte

Frankreich hat — charakteristischerweise — nicht auf die EU gewartet. FranceConnect — Frankreichs nationale Identitätsföderation — ist seit 2016 in Betrieb und hat Mitte 2024 über 43 Millionen Nutzer, angebunden an über 1.800 Dienste.

FranceConnect funktioniert als Föderationsschicht: Bürger können ihre bestehenden staatlichen Zugangsdaten (vom Finanzamt, der Krankenversicherung oder anderen Behörden) zur Authentifizierung bei jedem angebundenen Dienst nutzen. Es ist gewissermaßen eine staatlich betriebene Identitätsföderation — bei der die authentifizierende Instanz gegenüber den Bürgern rechenschaftspflichtig ist, die sie bedient, und nicht gegenüber den Aktionären eines ausländischen Konzerns.

Das System zeigt, dass staatlich betriebene Identitätsföderation im großen Maßstab funktioniert. Sein Erfolg beruht auf zwei Faktoren: verpflichtende Integration für Behördendienste (wer einen französischen Behördendienst online anbietet, muss FranceConnect akzeptieren) und echter Komfort (Bürger können Zugangsdaten nutzen, die sie bereits besitzen, statt noch ein weiteres Konto anzulegen).

FranceConnect ist der Machbarkeitsnachweis, den eIDAS 2.0 europaweit replizieren will. Ob andere Mitgliedstaaten eine ähnliche Verbreitung erreichen, hängt davon ab, ob sie Frankreichs Strategie folgen: Integration vorschreiben, in Benutzerfreundlichkeit investieren und akzeptieren, dass Bürger etwas nicht allein deshalb nutzen, weil es souverän ist — es muss auch funktionieren.

Keycloak und Authentik: Souveräne Identität für Organisationen

Für Organisationen — im Unterschied zu Bürgern — hat die Frage der Identitätssouveränität eine andere Antwort. Die Frage lautet nicht „Welches staatliche ID-System nutzen wir?", sondern „Wer betreibt unsere Single-Sign-On-Infrastruktur?"

Zwei Open-Source-Identity-Provider haben sich als die wichtigsten Alternativen zu Okta und Microsoft Entra ID etabliert:

Keycloak

Keycloak ist das Schwergewicht. Ursprünglich von Red Hat (heute IBM) entwickelt, ist Keycloak ein CNCF-Incubating-Projekt — dieselbe Stiftung, die Kubernetes hostet. Über 6.400 Unternehmen nutzen Keycloak produktiv.

Keycloak unterstützt alles, was ein moderner Identity Provider braucht: SSO via SAML 2.0, OpenID Connect und OAuth 2.0. LDAP- und Active-Directory-Integration. Multi-Faktor-Authentifizierung. Feingranulare Autorisierungsrichtlinien. Nutzer-Self-Service. Föderation mit externen Identity Providern.

Die praktische Realität: Keycloak ist mächtig, aber nicht einfach. Deployment und Konfiguration erfordern Expertise. Die Dokumentation hat sich deutlich verbessert, aber die Lernkurve ist real. Für Organisationen mit kompetenten internen IT-Teams bietet Keycloak volle Souveränität über die Authentifizierung — keine Daten verlassen die Organisation, kein US-Unternehmen erfährt, wann sich die Mitarbeiter anmelden. Für Organisationen, die auf Managed Services angewiesen sind, kann der Betriebsaufwand abschreckend wirken.

Authentik

Authentik ist die neuere Alternative — ein Public-Benefit-Unternehmen, finanziert von Open Core Ventures. Es verfolgt einen moderneren, entwicklerfreundlichen Ansatz: einfacheres Erstsetup, eine aufgeräumtere Oberfläche und ein Fokus auf Benutzerfreundlichkeit, den Keycloak historisch vernachlässigt hat.

Authentik folgt einem Open-Core-Modell: Der Kern-Identity-Provider ist Open Source, während Enterprise-Funktionen (Audit-Logging, Outpost-Management, Premium-Support) kostenpflichtig sind. Das ist ein pragmatisches Lizenzmodell, das Community-Zugang mit kommerzieller Nachhaltigkeit in Einklang bringt.

Für kleinere Organisationen oder solche, die neu im Bereich selbstgehostetes Identitätsmanagement sind, ist Authentik oft der leichtere Einstieg. Für große Unternehmen mit komplexen Föderationsanforderungen und bestehender Active-Directory-Infrastruktur bleibt Keycloak die bewährtere Wahl.

Das Okta-ablösen-Playbook

Organisationen, die von Okta oder Microsoft Entra ID zu Keycloak oder Authentik migrieren, folgen typischerweise diesem Muster:

1. Parallel betreiben, nicht ersetzen. Den selbstgehosteten IdP parallel zum bestehenden Anbieter laufen lassen.
2. Anwendungen schrittweise migrieren. Mit internen Anwendungen beginnen, die Standardprotokolle unterstützen (SAML, OIDC). Extern erreichbare Dienste kommen später.
3. Active-Directory-Integration früh angehen. Die meisten Organisationen haben bestehende AD-Infrastruktur. Keycloaks LDAP-Föderation kann das abbilden, aber die Konfiguration ist nicht trivial.
4. Multi-Faktor-Authentifizierung einplanen. FIDO2-Hardware-Keys (YubiKey, SoloKeys) bieten die höchste Sicherheit. Passkeys bieten Komfort. Beides funktioniert mit Keycloak und Authentik.
5. Budget für Expertise einplanen. Die Software ist kostenlos. Deployment, Integration und laufende Wartung sind es nicht.

FIDO2 und Passkeys: Die Authentifizierungsrevolution

Während die Debatte um den Identity Provider eine Frage der Souveränität ist, geht es bei der Authentifizierungsmethode um Sicherheit. Und hier verschiebt sich die Landschaft rasant.

FIDO2/WebAuthn ersetzt Passwörter durch Public-Key-Kryptografie. Statt eines geteilten Geheimnisses (ein Passwort, das sowohl der Nutzer als auch der Server kennt) nutzt FIDO2 ein kryptografisches Schlüsselpaar: Der private Schlüssel bleibt auf dem Gerät (Hardware-Key oder Smartphone), der öffentliche Schlüssel wird auf dem Server gespeichert. Phishing wird praktisch unmöglich — es gibt kein Passwort, das man stehlen könnte.

Die Zahlen bewegen sich schnell. Ende 2025 verfügen 69 % der Nutzer über mindestens ein passkey-fähiges Gerät, und 48 % der 100 meistbesuchten Websites unterstützen Passkey-Authentifizierung. Microsoft hat Passkeys im Mai 2025 zur Standard-Anmeldemethode gemacht und einen Anstieg der Passkey-Nutzung um 120 % gemeldet.

Der Souveränitätsaspekt

Passkeys — die verbraucherfreundliche Implementierung von FIDO2 — synchronisieren Zugangsdaten über Cloud-Konten (iCloud-Schlüsselbund, Google Passwortmanager, Microsoft-Konto). Das ist komfortabel, wirft aber eine Souveränitätsfrage auf: Die eigenen Authentifizierungsdaten liegen auf Servern von Apple, Google oder Microsoft.

Hardware-FIDO2-Keys (YubiKey, SoloKeys, Nitrokey) haben dieses Problem nicht. Der private Schlüssel verlässt nie das physische Gerät. Keine Cloud-Synchronisierung, kein US-Unternehmen, das die Zugangsdaten verwahrt. Für Hochsicherheitsanwendungen — Behörden, Gesundheitswesen, Finanzwesen — bleiben Hardware-Keys der Goldstandard.

Die europäische Wahl lautet daher: Passkeys für den Komfort (mit US-Cloud-Abhängigkeit bei der Schlüsselspeicherung), Hardware-FIDO2-Keys für die Souveränität (mit dem Nachteil physischer Geräte) oder ein hybrider Ansatz — Passkeys für risikoarme Anwendungen, Hardware-Keys für sensible.

Keycloak und Authentik unterstützen beide FIDO2 und Passkeys. Damit lässt sich ein vollständig souveräner Authentifizierungs-Stack aufbauen: europäisch gehosteter Identity Provider + Hardware-Sicherheitsschlüssel = null US-Abhängigkeit bei der Authentifizierung.

Der IDaaS-Markt: Warum Souveränität Geld kostet

Der Identity-as-a-Service-Markt (IDaaS) wird von US-Anbietern dominiert. Allein Okta hält etwa 27 % Marktanteil, mit 2,61 Milliarden US-Dollar Umsatz (GJ2025) und 19.100 Kunden. Microsoft Entra ID, gebündelt mit Microsoft 365, ist für bestehende Microsoft-Kunden faktisch kostenlos — und damit der Weg des geringsten Widerstands für die meisten Organisationen.

Gegen „kostenlos" anzutreten, ist schwer. Wenn Identitätsmanagement in einer Suite gebündelt ist, die man ohnehin bezahlt, werden die Grenzkosten eines anderen Anbieters als reiner Zusatzaufwand wahrgenommen — selbst wenn die Gesamtbetriebskosten der gebündelten Lösung (einschließlich Lock-in-Kosten, Compliance-Risiken und Souveränitätsbedenken) höher sind.

Keycloak und Authentik sind als Software kostenlos. Als betriebene Systeme sind sie es nicht. Eine Organisation, die Keycloak betreibt, braucht Infrastruktur, Expertise, Monitoring und einen Plan für Sicherheitsupdates. Managed-Keycloak-Angebote europäischer Anbieter existieren — sind aber eine Nische im Vergleich zu Oktas vollständig verwaltetem Service.

Konkret: Für eine 500-Personen-Organisation könnte ein Managed-Keycloak-Deployment 15.000–30.000 Euro pro Jahr an Hosting und Support kosten. Oktas vergleichbarer Plan würde 50.000–100.000 US-Dollar pro Jahr kosten. Die Einsparungen sind real, setzen aber interne Kompetenz voraus, um sie zu realisieren.

Was daraus folgt

Identität ist die stille Infrastruktur des digitalen Lebens. Sie ist weniger sichtbar als Cloud-Server oder Office-Suiten, aber fundamentaler: Ohne Identität funktioniert nichts anderes. Man kann nicht auf die Cloud, die E-Mail oder den Dokumenteneditor zugreifen, ohne sich zuerst auszuweisen.

Europa baut Alternativen auf — sowohl auf Bürgerebene (eIDAS 2.0, EUDIW, FranceConnect) als auch auf Organisationsebene (Keycloak, Authentik). Die Alternativen haben sich bewährt. FranceConnects 43 Millionen Nutzer zeigen, dass staatliche Identitätsföderation skaliert. Keycloaks 6.400+ Produktivinstallationen beweisen, dass selbstgehostetes Identitätsmanagement tragfähig ist. FIDO2-Hardware-Keys beweisen, dass Authentifizierung souverän sein kann.

Die DigiD-Kontroverse in den Niederlanden zeigt, was passiert, wenn Souveränität vorausgesetzt statt sichergestellt wird: Eine einzige Unternehmensübernahme kann die Identitätsinfrastruktur eines ganzen Landes unter ausländische Kontrolle bringen. Die Lehre ist nicht, dass Outsourcing immer falsch ist — sondern dass Eigentümerschaft und Jurisdiktion der Identitätsinfrastruktur eine bewusste, überwachte Entscheidung sein müssen.

Wo Sie beginnen, hängt von Ihrem aktuellen Setup ab. Die folgenden Empfehlungen sind nach Zeithorizont gruppiert — beginnen Sie mit dem, was sofort umsetzbar ist:

Diesen Monat (geringer Aufwand, hoher Erkenntnisgewinn):

1. Identitäts-Lieferkette auditieren. Der DigiD-Fall zeigt, dass eine einzige Unternehmensübernahme die nationale Identitätsinfrastruktur unter ausländische Kontrolle bringen kann. Kartieren Sie nicht nur Ihren Softwareanbieter, sondern auch den Hosting-Provider, den Support-Dienstleister und deren Eigentümerstrukturen. Das ist eine Aufgabe für eine Woche, die Überraschungen zutage fördern kann.
2. Wissen, wo die eigenen Identitätsdaten liegen. Wenn die Antwort „Oktas US-Server" oder „Microsofts Cloud" lautet, ist das eine Souveränitätsentscheidung — treffen Sie sie bewusst statt per Default.

Dieses Quartal (Quick Wins, sofortiger Sicherheitsgewinn):

3. FIDO2 für Hochsicherheitsnutzer einführen. Hardware-Keys eliminieren den häufigsten Angriffsvektor (Phishing) und das häufigste Souveränitätsproblem (cloud-synchronisierte Zugangsdaten). Beginnen Sie mit IT-Administratoren und Führungskräften. Ein YubiKey kostet 50 €; ein Credential-Breach kostet Größenordnungen mehr.

Dieses Jahr (signifikantes Projekt, 3–6 Monate Migration):

4. Keycloak oder Authentik evaluieren für interne Anwendungen. Eine typische Migration für eine Organisation mit 50 SAML-angebundenen Applikationen dauert 3–6 Monate. Die jährlichen Einsparungen (35.000–70.000 € für eine 500-Personen-Organisation gegenüber Okta) refinanzieren den Migrationsaufwand innerhalb von 12 Monaten.

Vor 2027 (regulatorische Frist):

5. Auf eIDAS 2.0 vorbereiten. Jeder EU-Mitgliedstaat muss bis 2026 das European Digital Identity Wallet anbieten. Wenn Sie Dienste betreiben, die EU-Bürger authentifizieren, werden EUDIW-Integrationsanforderungen Sie betreffen. Beginnen Sie Ihre Bewertung spätestens Mitte 2026 — Organisationen, die sich früh vorbereiten, gestalten die Integration nach eigenen Vorstellungen; die anderen werden zu Last-Minute-Compliance-Arbeit gezwungen, ohne Spielraum für Architekturentscheidungen.

Quellen

• Okta FY2025 revenue and market share (Okta investor relations)
• DigiD usage statistics (Logius, Dutch government)
• Dutch Parliament motions on DigiD sovereignty (Tweede Kamer, 2024)
• Kyndryl acquires Solvinity (Kyndryl, 2024)
• FranceConnect statistics (DINUM)
• eIDAS 2.0 regulation (EUR-Lex)
• EUDIW Architecture and Reference Framework (GitHub)
• Keycloak joins CNCF (CNCF blog, 2023)
• Passkey adoption statistics (FIDO Alliance, 2025)
• Microsoft passkeys default (Microsoft, May 2025)
• CLOUD Act full text (Congress.gov)

Themenübersicht: Identität & Authentifizierung