Keycloak Souveränität: Warum Ihr Identity Provider am wichtigsten ist
Ihr Identity Provider hält den Schlüssel zu allem — Benutzer-Credentials, Session Tokens, Zugriffsrichtlinien und Authentifizierungs-Flows. Wenn ein System souveränes Hosting verdient, dann IAM.
Cloud-basierte Identity-Dienste wie Auth0 (Okta, USA), Azure AD (Microsoft, USA) und AWS Cognito (Amazon, USA) speichern die Authentifizierungsdaten Ihrer Nutzer auf US-Infrastruktur unter US-Recht. Der CLOUD Act erlaubt US-Behörden den Zugriff auf diese Daten ohne Schweizer Rechtsverfahren.
Warum Keycloak eine starke Wahl für Souveränität ist
Keycloak ist vollständig Open Source (Apache-2.0-Lizenz), gepflegt von Red Hat und einer grossen Community. Im Gegensatz zu proprietären IAM-Diensten:
- Kein Vendor-Lock-in — Standardprotokolle (OIDC, SAML, LDAP), portable Konfiguration
- Vollständige Code-Auditierbarkeit — der gesamte Authentifizierungs-Stack ist einsehbar
- Kein Datenabfluss-Risiko — Ihre Identitätsdaten verlassen Ihre Infrastruktur nie
- Eigenständig — keine Callbacks an externe Dienste, keine Telemetrie, keine Cloud-Abhängigkeiten
- Bewährt im Grossbetrieb — 2 Millionen Nutzer, 400 Logins/Sekunde (APA-IT/MediaKey Case Study)
VSHN betreibt Keycloak auf Schweizer Kubernetes-Infrastruktur. Die Identitäten Ihrer Nutzer bleiben unter Schweizer Recht, betrieben von einem Schweizer Team.
IAM-Souveränität im Vergleich
| Dimension | Auth0 (Okta) | Azure AD | AWS Cognito | VSHN Managed Keycloak |
|---|---|---|---|---|
| Eigentümerschaft | Okta (USA) | Microsoft (USA) | Amazon (USA) | VSHN AG (Schweiz) |
| Anwendbares Recht | US-Recht | US-Recht | US-Recht | Schweizer Recht |
| CLOUD Act | Betroffen | Betroffen | Betroffen | Nicht betroffen |
| Datenstandort | Konfigurierbar (EU-Regionen verfügbar) | Konfigurierbar | Konfigurierbar | Schweiz (cloudscale.ch, Exoscale oder nach Wahl) |
| Quellcode | Proprietär | Proprietär | Proprietär | Open Source (Keycloak) |
| Protokoll-Standards | OIDC, SAML | OIDC, SAML, WS-Fed | OIDC | OIDC, SAML, LDAP, Kerberos |
| Schlüsselverwaltung | Provider-verwaltet | Microsoft-verwaltet | AWS-verwaltet | Optional kundenverwaltet via Managed OpenBao + Swiss HSM |
| Operations-Team | USA | USA | USA | Schweiz (Swiss-only-Option) |
| Zertifizierungen | SOC 2 | SOC 2, ISO 27001 | SOC 2 | ISO 27001, ISAE 3402 Type II |
VSHN Souveränitäts-Selbstbewertung
Wir haben das EU Cloud Sovereignty Framework (v1.2.1, Oktober 2025) auf unsere eigenen Services angewendet. Dieses Framework wurde zur Bewertung von Anbietern in der EUR-180-Mio.-Ausschreibung der EU für souveräne Cloud-Dienste im April 2026 eingesetzt — drei rein europäische Anbieter erreichten SEAL-3, während ein Konsortium mit Google Cloud nur SEAL-2 erzielte.
Dies ist eine Selbstbewertung, keine formale SEAL-Zertifizierung. Wir veröffentlichen sie aus Transparenzgründen, damit Kunden unser Souveränitätsprofil anhand derselben strukturierten Kriterien beurteilen können, die auch die EU verwendet.
| # | Dimension | Gewicht | Bewertung | Nachweis |
|---|---|---|---|---|
| SOV-1 | Strategisch | 15% | Stark | Schweizer AG, kein ausländischer Mutterkonzern, alle Gesellschafter Schweizer Bürger (Handelsregister) |
| SOV-2 | Rechtlich | 10% | Stark | Schweizer Recht (AGB), kein CLOUD Act, EU-Angemessenheitsbeschluss |
| SOV-3 | Daten & KI | 10% | Stark | Schweizer Rechenzentren als Standard. Souveränes Key Management via Managed OpenBao + Swiss HSM |
| SOV-4 | Operativ | 15% | Stark | Schweizer 24/7-Betrieb, Swiss-only-Support-Option. Alle Services auf Standard-Kubernetes |
| SOV-5 | Lieferkette | 20% | Stark | Infrastruktur-agnostisch — Kunde wählt den Provider. Open-Source-Software |
| SOV-6 | Technologie | 15% | Stark | 100% Open Source. VSHN trägt bei zu K8up (CNCF), Crossplane Providers, Project Syn |
| SOV-7 | Sicherheit | 10% | Stark | ISO 27001, ISAE 3402 Type II, Swiss SOC. FINMA-regulierte Kunden |
| SOV-8 | Umwelt | 5% | Moderat | RZ-Betreiber: Green Datacenter AG (ISO 22301/27001/27701), Exoscale Nachhaltigkeit. VSHN CSR-Richtlinie |
Gesamtbewertung: SEAL-3-Äquivalent — dasselbe Niveau wie die Gewinner der EU-Souveränitätsausschreibung. Kein Anbieter weltweit erreichte SEAL-4, da dies vollständig EU/EWR-basierte Hardware-Lieferketten und Open-Source-Grundlagen erfordert — strukturelle Lücken, die alle Cloud-Anbieter betreffen.
Souveränitäts-Assessment für Ihr IAM-Setup
Sie haben Bedenken bezüglich der Jurisdiktion Ihres IAM-Anbieters? Wir bewerten Ihr Souveränitätsprofil anhand des EU-Frameworks und planen die Migration zu souveränem Keycloak auf Schweizer Infrastruktur.