Der Deutschland-Stack ist da – und Keycloak ist die Antwort auf die Frage nach IAM
March 29, 2026
Tags: #keycloak #deutschland-stack #de-stack #iam #oauth2 #oidc #digitale souveränität #digital sovereignty #open source iam
März 2026. Ein historisches Datum für die deutsche Verwaltung und für alle Unternehmen, die mit ihr arbeiten, an sie liefern oder sich an ihren Standards orientieren müssen.
Der IT-Planungsrat hat in seiner Frühjahrssitzung mit Beschluss B-2026/03-IT den Deutschland-Stack offiziell verabschiedet. Bund, Länder und Kommunen haben sich erstmals auf einen gemeinsamen technischen Rahmen verständigt – mit verbindlichen Standards, einem einheitlichen Plattformkern und einem klaren Bekenntnis zur digitalen Souveränität.
Das ist keine Pilot-Initiative mehr. Das ist Realität.
Und mitten in diesem neuen Stack steckt eine Frage, die viele IT-Entscheider gerade beschäftigt: Wer verwaltet eigentlich die Identitäten und den Zugriff auf all diese neuen Dienste?
Die Antwort lautet: KEYCLOAK.
Was ist der Deutschland-Stack eigentlich?
Kurz gesagt: Der Deutschland-Stack ist der gemeinsame technische Unterbau für die Digitalisierung der öffentlichen Verwaltung in Deutschland. Er gliedert die gesamte IT-Architektur in sieben Schichten – von der virtualisierten Infrastruktur ganz unten bis zu Künstlicher Intelligenz ganz oben – und benennt für jede Schicht konkrete offene Standards.
Das Schlüsselwort ist offen. Der Deutschland-Stack setzt explizit auf Open-Source-Technologien und interoperable Standards. Er benennt den Sovereign Cloud Stack (SCS) als verbindlichen Standard im Bereich Managed Services und Cloud. Er fordert Transparenz, Herstellerunabhängigkeit und die Möglichkeit, Anbieter zu wechseln, ohne das gesamte System neu aufzubauen.
Digitale Souveränität ist damit kein politisches Schlagwort mehr, sondern eine konkrete technische Anforderung.
Und diese Anforderung betrifft längst nicht nur Behörden. Wer künftig mit der öffentlichen Hand arbeiten, an sie liefern oder souveränitätskritische Systeme betreiben will – etwa im Gesundheitswesen, in der Finanzbranche, in der kritischen Infrastruktur oder in regulierten Märkten – kommt an diesen Standards nicht vorbei.
Identität ist das Fundament
Der Deutschland-Stack definiert als einen seiner zentralen Plattformkern-Dienste explizit die Identifikation. Das überrascht wenig, denn ohne zuverlässiges Identity and Access Management (IAM) steht jede digitale Infrastruktur auf tönernen Füßen.
IAM regelt zwei grundlegende Fragen:
- Wer bist du? – Authentifizierung: die Überprüfung einer digitalen Identität.
- Was darfst du? – Autorisierung: die Steuerung von Zugriffsrechten.
Klingt simpel. Ist es aber nicht. Moderne Architekturen bestehen aus Dutzenden von Services, APIs, Microservices, mobilen Applikationen und Browser-Clients. Jeder dieser Dienste muss wissen, wer ihn aufruft – und ob dieser Aufrufer die nötige Berechtigung hat. Über Systemgrenzen hinweg, sicher, skalierbar, ohne Vendor Lock-in.
Genau hier kommen OAuth 2.0 und OpenID Connect (OIDC) ins Spiel – die heute dominierenden offenen Standards für delegierte Autorisierung und föderierte Authentifizierung. OAuth 2.0 regelt, wer im Namen von wem auf welche Ressourcen zugreift. OIDC baut darauf auf und fügt die Identitätsebene hinzu: Wer ist der Nutzer, der gerade auf meinen Dienst zugreift?
Diese Standards sind offen, breit unterstützt – und genau das, was ein souveräner Stack braucht.
Keycloak: IAM, das zum Stack passt
Keycloak ist eine Open-Source-Identity-and-Access-Management-Lösung, die ursprünglich von Red Hat entwickelt wurde und heute von einer aktiven Community weiterentwickelt wird. Sie implementiert OAuth 2.0, OIDC und SAML 2.0 – und damit genau die offenen Standards, auf die der Deutschland-Stack setzt.
Was macht Keycloak zur richtigen Wahl?
Es ist Open Source. Kein Lizenzmodell, das über Nacht die Konditionen ändert. Kein Anbieter, der Daten abgreift. Der Source Code ist einsehbar, auditierbar und anpassbar. Das ist kein Nice-to-have, sondern eine Grundvoraussetzung für einen souveränen Stack.
Es läuft selbst gehostet. Ich betreibe Keycloak bei meinen Kunden auf deren eigener Infrastruktur – on-premise, in einer europäischen Cloud, in einem souveränen Stack. Die Identitätsdaten verlassen nie die eigene Kontrolle. Das ist DSGVO-konform, das ist souverän, das ist der Deutschland-Stack.
Es ist battle-tested und enterprise-ready. Keycloak läuft in produktiven Systemen von Kleinstunternehmen bis hin zu großen Behörden und DAX-Konzernen. Es skaliert horizontal, unterstützt Hochverfügbarkeit und lässt sich tief in bestehende Infrastrukturen integrieren.
Es implementiert die richtigen Standards. OAuth 2.0, OIDC, SAML 2.0, SCIM, LDAP-Integration – Keycloak spricht die Sprache, die moderne und auch ältere Systeme verstehen. Single Sign-On (SSO) über Systemgrenzen hinweg, Multi-Factor Authentication (MFA), Passkeys/WebAuthn, Social Login, föderierte Identitäten: alles dabei, alles standardkonform.
Es ist erweiterbar. Der Deutschland-Stack setzt auf Interoperabilität und Anpassbarkeit. Keycloak bietet eine umfangreiche Service Provider Interface (SPI), mit der sich eigene Authentifizierungsflows, Protokoll-Mapper, User-Storage-Provider und vieles mehr implementieren lassen. Keycloak passt sich an Anforderungen an – nicht umgekehrt.
Was Keycloak konkret im Deutschland-Stack leistet
Stellen wir uns ein typisches Szenario vor: Ein Bürger oder ein Mitarbeiter einer Behörde will auf einen digitalen Dienst zugreifen. Der Dienst ist eine Webanwendung, dahinter laufen mehrere REST-APIs. Die gesamte Infrastruktur läuft auf einer SCS-konformen Cloud-Plattform in Deutschland.
In genau solchen Szenarien setze ich Keycloak ein – und es übernimmt dabei mehrere Rollen gleichzeitig:
Als Authorization Server stellt Keycloak Access Tokens aus – signierte JSON Web Tokens (JWTs), die von allen nachgelagerten Diensten validiert werden können, ohne bei jedem Request eine zentrale Datenbank zu befragen. Skalierbar, performant, standardkonform.
Als Identity Broker verbindet Keycloak externe Identity Provider – etwa die BundID oder föderale SAML-Quellen – nahtlos mit der eigenen Infrastruktur. Nutzer können sich mit ihrer bestehenden digitalen Identität einloggen, ohne dass Anwendungen jeden einzelnen Provider selbst implementieren müssen.
Als User Federation Gateway bindet Keycloak vorhandene LDAP- oder Active-Directory-Verzeichnisse an. Existierende Nutzerstämme bleiben erhalten, werden aber über standardisierte Protokolle zugänglich gemacht.
Als SSO-Broker ermöglicht Keycloak, dass sich Nutzer einmal anmelden und dann ohne erneute Authentifizierung auf alle angebundenen Dienste zugreifen – über Systemgrenzen hinweg, über Organisationsgrenzen hinweg.
Als feingranularer Autorisierungs-Server implementiert Keycloak Role-Based Access Control (RBAC) und – für komplexere Szenarien – Attribute-Based Access Control (ABAC) sowie Policy-Based Access Control. Zugriffsrechte werden zentral verwaltet, auditiert und durchgesetzt.
Das alles, ohne einen einzigen Cent Lizenzkosten. Das alles, auf Basis offener Standards. Das alles, unter eigener Kontrolle.
Keycloak und die regulatorische Realität
Der Deutschland-Stack existiert nicht im Vakuum. Er entsteht in einem Umfeld verschärfter regulatorischer Anforderungen: NIS2, DSGVO, EU Data Act, BSI IT-Grundschutz. IAM ist in all diesen Frameworks ein zentrales Thema – und Keycloak liefert die Werkzeuge, um diese Anforderungen zu erfüllen.
Keycloak protokolliert sämtliche Authentifizierungs- und Autorisierungsereignisse. Es unterstützt starke Authentifizierung inklusive Passkeys und WebAuthn. Es ermöglicht eine granulare Session-Verwaltung. Kurzum: Keycloak ist nicht nur technisch souverän, sondern auch regulatorisch auf der sicheren Seite.
Warum Erfahrung hier den Unterschied macht
Keycloak zu installieren ist einfach. Keycloak richtig zu betreiben – an reale Projektanforderungen angepasst, skaliert, abgesichert und in eine komplexe Infrastruktur integriert – ist eine andere Geschichte.
Ich beschäftige mich seit 2015 professionell mit Keycloak. In dieser Zeit habe ich es in realen Projekten quer durch viele verschiedene Branchen eingesetzt und begleitet: in öffentlichen Verwaltungen, die souveräne Bürgerdienste aufbauen, in Krankenhäusern und Gesundheitsorganisationen, die mit hochsensiblen Patientendaten umgehen, in Industrieunternehmen, die ihre Fertigung und Lieferkette absichern, und in Finanzdienstleistern, die strenge regulatorische Anforderungen erfüllen müssen.
Diese Bandbreite ist kein Zufall. IAM ist kein Branchenthema – es ist ein Architekturthema. Und Keycloak löst es branchenübergreifend.
Ich kenne die Fallstricke. Ich kenne die undokumentierten Ecken der Keycloak-Internals. Ich kenne die Performance-Engpässe, die sich erst unter Last zeigen, und die Sicherheitslücken, die entstehen, wenn Konfigurationen nicht sorgfältig gesetzt werden.
Als Keycloak-Trainer, Berater und Entwickler bin ich im deutschsprachigen Raum einer der wenigen Ansprechpartner, die diese Tiefe an praktischer Erfahrung mitbringen. Dieses Wissen teile ich in Trainings, auf Konferenzen, in Fachartikeln – und natürlich direkt in Projekten.
Meine drei Säulen für Ihren Erfolg mit Keycloak
Ich helfe Unternehmen und Organisationen auf drei Wegen:
1. Beratung & Support
Sie haben konkrete Fragen zu Ihrer IAM-Architektur? Sie stehen vor dem Aufbau eines souveränen Stacks und wollen wissen, wie Keycloak dort optimal integriert wird? Sie kämpfen mit einem laufenden System, das sich nicht so verhält, wie es soll? Ich analysiere, konzipiere und löse – mit dem Fokus auf pragmatische, schlanke Lösungen statt unnötiger Komplexität.
2. Training & Schulung
Ihr Team soll Keycloak verstehen, selbstständig betreiben und weiterentwickeln können? Meine Trainings richten sich an Entwickler, DevOps Engineers und Architekten – praxisnah, direkt anwendbar, ohne unnötigen Theorie-Overhead. Ich biete sowohl Standardformate als auch individuell zugeschnittene Workshops für Ihr Team an.
3. Entwicklung & Integration
Keycloak lässt sich tief anpassen. Wenn Standardfunktionalität nicht ausreicht, entwickle ich Custom Authenticators, Custom SPI-Extensions, Token-Mapper oder vollständige Keycloak-Integrationen für Ihre Applikationslandschaft. Alles auf Basis der offiziellen SPIs – wartbar, upgradebar, zukunftssicher.
Jetzt ist der richtige Zeitpunkt
Der Deutschland-Stack ist beschlossen. Die Anforderungen an digitale Souveränität, offene Standards und DSGVO-konforme Infrastrukturen sind real und werden verbindlich. Wer jetzt in eine solide IAM-Architektur auf Basis von Keycloak investiert, baut auf einem Fundament, das exakt in dieses Umfeld passt – heute für die Verwaltungsdigitalisierung, morgen für die nächste regulatorische Anforderung, die garantiert kommt.
Warten Sie nicht, bis der Druck von außen kommt. Gestalten Sie Ihre Architektur jetzt aktiv.
Sprechen Sie mich an. Ich freue mich auf unser Gespräch!
Keycloak-Erfahrung seit 2015 – praxiserprobt, herstellerunabhängig, souverän.