Zurück zum Blog|Identity

Auth0 Alternative 2026: Warum Unternehmen auf souveränes Authentik wechseln

1. Juni 2026
Timo WevelsiepTimo Wevelsiep
authhost

Auth0 Alternative 2026: Warum Unternehmen auf souveränes Authentik wechseln

Auth0 rechnet pro aktivem Nutzer ab, gehört zu Okta und unterliegt dem CLOUD Act. Authentik bietet dieselben Protokolle, DSGVO-Hosting und planbare Kosten.

authhost.de Blog

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Inhaltsverzeichnis

TL;DR – Das Wichtigste in 60 Sekunden

  • MAU-Pricing skaliert gegen Sie: Auth0 rechnet pro Monthly Active User ab – kostenpflichtige Pläne starten bei 35 US-Dollar/Monat (B2C Essentials, 500 MAU) und reichen über 240 US-Dollar (B2C Professional) bis 800 US-Dollar (B2B Professional). Mit jedem Tier-Sprung steigt die Rechnung [1].
  • Preis-Erhöhung 2023: Auth0 hob die Overage-Kosten der Essentials-Pläne von 0,023 auf 0,07 US-Dollar pro MAU an – rund 300 Prozent – und reduzierte zugleich den Basis-Umfang von 1.000 auf 500 MAU [2].
  • Auth0 gehört zu Okta: Seit dem 3. Mai 2021 ist Auth0 eine Okta-Einheit (≈ 6,5 Mrd. US-Dollar All-Stock) – und damit ein US-Konzern unter US-Jurisdiktion [3][4].
  • CLOUD-Act-Problem: Auch die EU-Region löst das Souveränitätsthema nicht – Datenresidenz ist nicht Datensouveränität [5].
  • Authentik: Open Source (MIT-Lizenz), alle relevanten Protokolle, moderne MFA, aktiv weiterentwickelt [8][10].
  • Managed via authhost: Open Source plus 24/7-Betrieb auf deutscher Infrastruktur – ab 34,90 €/Monat, unbegrenzte Nutzer, DSGVO-konform.

Warum überhaupt eine Auth0-Alternative?

Auth0 ist technisch stark und bei Entwicklern beliebt – die Plattform hat den modernen CIAM-Markt mitgeprägt. Wer Auth0 heute neu einkauft oder eine Vertragsverlängerung verhandelt, stößt aber auf vier strukturelle Punkte, die in Verkaufsgesprächen selten im Vordergrund stehen. Jeder für sich ist verkraftbar – in Kombination werden sie zum strategischen Risiko.

Das Kostenproblem: MAU-Pricing trifft wachsende Dienste

Auth0 rechnet nach Monthly Active Users ab – nach Nutzern, die sich pro Monat mindestens einmal anmelden. Die kostenpflichtigen Pläne beginnen bei B2C Essentials ab 35 US-Dollar/Monat für 500 MAU, B2C Professional ab 240 US-Dollar; im B2B-Bereich liegt Essentials bei 150 US-Dollar und Professional bei 800 US-Dollar pro Monat [1]. Die kostenlose Stufe deckt seit September 2024 bis zu 25.000 MAU ab – darüber wird es kostenpflichtig, und die Abrechnung folgt Tier-Stufen: Wer eine MAU-Schwelle überschreitet, springt in die nächsthöhere Preisstufe, oft ohne proportionalen Übergang.

Hinzu kommt eine bemerkenswerte Preis-Historie. Ende 2023 hob Auth0 die Overage-Kosten der Essentials-Pläne von 0,023 auf 0,07 US-Dollar pro MAU an – ein Plus von rund 300 Prozent – und reduzierte gleichzeitig den im Basispreis enthaltenen Umfang von 1.000 MAU für 23 US-Dollar auf 500 MAU für 35 US-Dollar [2]. Für kleine, aber wachsende Nutzerbasen verschob das die effektiven Kosten spürbar nach oben. Genau das ist die strukturelle Eigenheit eines MAU-Modells: Der Erfolg eines Dienstes – mehr aktive Nutzer – treibt direkt die Identity-Rechnung.

Die Enterprise-Connection-Falle im B2B

Der zweite versteckte Kostentreiber betrifft B2B-Szenarien. Wer geschäftliche Kunden per Enterprise-SSO (SAML/OIDC-Connections) anbinden will, braucht in der Regel die teureren B2B-Pläne – Enterprise-Connections sind in den B2C-Plänen nicht vorgesehen. Selbst im B2B-Professional-Plan zu 800 US-Dollar/Monat ist die Zahl der inkludierten Enterprise-Connections begrenzt (häufig in der Größenordnung weniger Verbindungen); darüber heißt es „Vertrieb kontaktieren" [1][6]. Für ein wachsendes B2B-SaaS bedeutet das: Jeder größere Kunde, der seine eigene Identity-Föderation mitbringt, kann die Identity-Kosten in einen anderen Vertragsrahmen heben.

Authentik löst das strukturell anders: SAML- und OIDC-Connections sind nicht limitiert oder tarifgebunden. Über den eingebauten Proxy Provider und das LDAP-Outpost lassen sich zudem auch Anwendungen absichern, die selbst kein SSO können – ohne Aufpreis pro Verbindung.

Auth0 ist heute Okta – mit allem, was dazugehört

Auth0 wurde am 3. Mai 2021 von Okta übernommen – in einer All-Stock-Transaktion im Wert von rund 6,5 Milliarden US-Dollar [3][4]. Die Plattform wird zwar als eigenständige Einheit innerhalb von Okta geführt, gehört aber strategisch und rechtlich zum Okta-Konzern. Für die Vendor-Risiko-Bewertung ist das relevant: Auth0 teilt damit die Konzernstruktur und die US-Jurisdiktion von Okta – einem Anbieter mit mehreren dokumentierten Sicherheitsvorfällen in den letzten Jahren, darunter der Support-System-Breach von Oktober 2023, bei dem Angreifer über ein kompromittiertes Service-Konto auf Dateien von 134 Kunden zugriffen; in hochgeladenen HAR-Dateien enthaltene Session-Tokens ermöglichten anschließend die Übernahme von fünf Kunden-Sessions [7]. Wer die Auth0-Frage stellt, sollte daher auch die Okta-Perspektive mitdenken.

Das CLOUD-Act-Problem für deutsche Unternehmen

Auth0 bietet eine EU-Region, in der CIAM-Daten in europäischen Rechenzentren liegen [5]. Das löst die Datensouveränität aber nicht vollständig. Entscheidend ist nicht nur, wo die Daten liegen, sondern wer rechtlich auf sie zugreifen kann. Als US-Konzern unterliegt Auth0/Okta dem US CLOUD Act, der amerikanische Unternehmen verpflichtet, US-Behörden auf Anfrage Zugriff auf Kundendaten zu gewähren – unabhängig vom Speicherort [5]. Datenresidenz in der EU ist also nicht gleich Datensouveränität: Erstere garantiert den Speicherort, Letztere schränkt den Zugriff durch ausländische Betreiber ein. Und NIS2 verlangt explizit Maßnahmen zur Sicherheit der Lieferkette – die Konzernzugehörigkeit zu einem US-Anbieter ist hier ein Punkt, den eine saubere Risikoanalyse benennen muss.

Was kostet das wirklich? Total Cost of Ownership im Vergleich

Die folgende Tabelle zeigt die echten Gesamtkosten für einen typischen Mittelständler, der Auth0 für internes Mitarbeiter-SSO und einige B2B-Connections einsetzt – modelliert über ein B2B-Professional-Szenario. Sie unterscheidet bewusst zwischen reinem Auth0-SaaS, einem komplett selbst betriebenen Authentik (DIY) und Managed Authentik via authhost. Die Auth0-Zahlen sind als realistische Größenordnung zu verstehen, nicht als Festpreis – das tatsächliche MAU-Volumen und die Zahl der Enterprise-Connections bestimmen den Endbetrag.

Kostenstelle Auth0 B2B Professional (SaaS) Self-Hosted Authentik (DIY) authhost Business (Managed)
Lizenz / Basis-Plan ab ~800 USD/Monat (B2B Professional) 0 € (Open Source, MIT) inklusive
Abrechnungsmodell pro MAU + Tier-Sprünge flatrate (Eigenbetrieb) monatlich kündbar, Pauschale
MAU-Overage ~0,07 USD/MAU über Tier entfällt entfällt
Enterprise-Connections (SAML/OIDC) begrenzt, darüber „Vertrieb" unbegrenzt unbegrenzt
Implementierung & Setup Jahr 1 Eigen-/Beratungsaufwand 50–100 Std. Eigenarbeit (≈ 5.000–10.000 €) enthalten + persönlicher Setup-Call
Server-Infrastruktur – (SaaS) ~30–60 €/Monat inklusive
24/7 Monitoring je nach Plan/Add-on Eigenleistung inklusive
Patch-Management & CVE-Response beim Anbieter (intransparent) Eigenleistung inklusive
Backups & Disaster Recovery Eigenleistung inklusive
DSGVO-Hosting Deutschland EU-Region möglich, aber CLOUD Act Eigenleistung nativ in Deutschland
Auftragsverarbeitungsvertrag (AVV) komplex (US-Konzern) Eigenleistung inklusive
Größenordnung Jahr 1 ~10.000–20.000+ USD ≈ 11.000–18.000 € 1.258,80 €
Laufende Kosten ab Jahr 2 steigt mit MAU & Connections ≈ 4.000–8.000 €/Jahr 1.258,80 €/Jahr
Datensouveränität EU-Region, aber US-Jurisdiktion volle Kontrolle volle Kontrolle, DE-Hosting
Open Source / auditierbar nein ja ja

Die Zahlen für authhost Business beziehen sich auf den Plan zu 104,90 €/Monat bei jährlicher Abrechnung (1.258,80 €/Jahr) – unbegrenzte Nutzer inklusive. Der entscheidende strukturelle Unterschied: Bei Auth0 wächst die Rechnung mit jedem aktiven Nutzer und jeder Enterprise-Connection, bei authhost bleibt die Pauschale gleich – egal, ob der 50. oder der 5.000. Nutzer dazukommt.

Was die Tabelle ehrlich nicht zeigt

Es wäre unseriös, Auth0 nur als „teuer" darzustellen. Drei Bereiche, in denen Auth0 wirklich stark ist:

  • eine exzellente, entwicklernahe Dokumentation und ausgereifte SDKs für praktisch jede Plattform,
  • viele vorgefertigte Social- und Enterprise-Connections sowie eine große Erweiterungs-Bibliothek (Actions/Rules),
  • bewährte CIAM-Ergonomie für Consumer-Logins inklusive Universal Login und gehosteter Login-Seiten.

Für ein reines Consumer-SaaS mit hohem Entwicklungs-Tempo und überschaubarer MAU-Zahl kann Auth0 die richtige Wahl sein. Für den deutschen Mittelstand mit internem Mitarbeiter-SSO, gemischten B2B-Szenarien und klaren DSGVO- und NIS2-Anforderungen ist die Antwort jedoch oft eine andere.

Vergleich basiert auf öffentlich verfügbaren Informationen, Stand Mai 2026. Auth0-Preise in US-Dollar, authhost-Preise in Euro. Funktionen, Preise und Tarife können sich jederzeit ändern – bitte direkt beim jeweiligen Anbieter prüfen. Auth0® und Okta® sind Marken der Okta, Inc. Authentik ist Open-Source-Software; das Projekt wird von der Authentik Security, Inc. (USA) gepflegt. authhost ist ein unabhängiger Managed-Hosting-Anbieter und steht in keiner Verbindung zu diesen Unternehmen.

Authentik: Die moderne Open-Source-Alternative

Authentik ist ein Open-Source Identity Provider, der 2018 gestartet wurde und sich explizit als modernere Alternative zu kommerziellen IdPs positioniert [8]. Das Projekt hat über 21.000 GitHub Stars [10] und wird aktiv weiterentwickelt.

Dieselben Protokolle wie Auth0 – ohne Pro-Nutzer-Lizenz

Authentik unterstützt alle relevanten Standards: OAuth 2.0, OpenID Connect, SAML 2.0, LDAP, RADIUS und SCIM [8]. Für SSO interner und Cloud-Anwendungen, MFA für Mitarbeiter und zentrale Benutzerverwaltung bietet Authentik denselben funktionalen Kern wie Auth0 – nur eben quelloffen und ohne MAU- oder Connection-basierte Lizenz. Über das Proxy-Outpost lassen sich auch Anwendungen absichern, die selbst kein SSO können, und das LDAP-Outpost bindet Legacy-Systeme und Netzwerkgeräte an. Zusätzlich bietet Authentik ein Remote Access Gateway für RDP, SSH und VNC – eine Funktion, die in klassischen CIAM-Plattformen wie Auth0 nicht vorgesehen ist [8].

Die Flow-Engine: Authentifizierungs-Logik ohne Code

Das Herzstück von Authentik ist das Flow-System. Statt starrer Konfigurationsmasken setzen Sie Authentifizierungs-Workflows aus einzelnen „Stages" zusammen – Identifikation, Passwort, MFA, Consent – und steuern sie per Policy dynamisch:

  • Zugriff aus dem Firmennetzwerk? → 2FA überspringen.
  • Login von einer unbekannten IP? → Hardware-Key verlangen.
  • Neuer Mitarbeiter? → Automatisch der richtigen Gruppe zuordnen.

Das alles konfigurieren Sie über die Admin-UI – ohne Code, ohne YAML-Dateien. Diese visuelle Flexibilität entspricht funktional dem, was Auth0 über programmatische Actions und Rules abbildet – nur ohne dass jede Anpassung in Vendor-spezifischem Code landet.

Moderne MFA: Passkeys, WebAuthn, Hardware-Keys

Authentik unterstützt das volle Spektrum moderner Mehr-Faktor-Authentifizierung: TOTP über Authenticator-Apps, WebAuthn und Passkeys als phishing-resistente Verfahren, FIDO2-Hardware-Keys wie YubiKey, E-Mail-OTP sowie die Duo-Integration [8]. Damit erfüllt Authentik die Authentifizierungs-Anforderungen, die NIS2 von regulierten Unternehmen verlangt – ohne dass dafür ein höherer Tarif fällig wird.

Open Source mit verlässlicher Governance

Authentik steht unter der MIT-Lizenz und ist damit auch kommerziell frei nutzbar [9]. Hinter dem Projekt steht die Authentik Security, Inc., organisiert als US-amerikanische Public Benefit Corporation – eine Struktur, die das Open-Source-Versprechen rechtlich absichert. Das Unternehmen hat zugesagt, keine Features aus der Open-Source-Version in die Enterprise-Version zu verschieben; der Trend geht in die andere Richtung – Remote Access Control wurde 2025 von Enterprise zu Open Source verschoben [9]. Für die Vendor-Risiko-Bewertung ist das ein wichtiger Unterschied zu einem reinen SaaS-Modell, in dem Funktionen und Preise einseitig geändert werden können.

Authentik vs. Auth0: Der Feature-Vergleich

Kriterium Auth0 Authentik (via authhost)
Protokolle OAuth2, OIDC, SAML, (Enterprise-Connections tarifgebunden) OAuth2, OIDC, SAML, LDAP, RADIUS, SCIM
Open Source / auditierbar ✓ (MIT-Lizenz)
Pauschalpreis ohne MAU-Logik ✗ (MAU-/Connection-Pricing) ✓ (Flatrate, unbegrenzte Nutzer)
Self-Hosting / volle Datenkontrolle ✗ (SaaS, EU-Region möglich)
DSGVO-Hosting in Deutschland ➖ (EU-Region, aber US-Jurisdiktion)
MFA: TOTP, WebAuthn/Passkeys, FIDO2
Application Proxy für Apps ohne SSO ➖ (eingeschränkt)
Remote Access Gateway (RDP/SSH/VNC)
Visuelle Flow-Engine ohne Code ➖ (Actions/Rules per Code)
Vorgefertigte Social-/App-Connections ✓ (sehr breit) ➖ (kleinerer Katalog, dafür Proxy-/LDAP-Outpost)
Unbegrenzte SAML/Enterprise-Connections ✗ (tarifgebunden)
Vendor-Lock-in-Risiko hoch keines (Export jederzeit möglich)

✓ = vollständig erfüllt · ➖ = teilweise / mit Einschränkung · ✗ = nicht erfüllt

Vergleich basiert auf öffentlich verfügbaren Informationen, Stand Mai 2026. Funktionen und Tarife können sich jederzeit ändern. Auth0® und Okta® sind Marken der Okta, Inc.

Die Open-Source-Alternativen im Überblick

Authentik ist nicht der einzige quelloffene Identity Provider. Ein kurzer Überblick, wo die Stärken liegen:

Tool Technologie Sweet Spot Einschränkung
Authentik Python (Django) + Go Modernes UI, Flow-Engine, Hybrid-Setups im Mittelstand Flexibilität bringt Komplexität mit
Keycloak Java / Quarkus Enterprise-Standard, Red-Hat-Backing, Multi-Realm Steile Lernkurve, hoher Ressourcenbedarf
Authelia Go Schlanker Auth-Proxy für Reverse-Proxy-Setups Kein vollwertiger IdP
Zitadel Go SaaS-First, Multi-Tenancy, API-zentriert Komplexerer Self-Hosting-Pfad
Ory Go (mehrere Komponenten) Cloud-native, API-first, sehr granular Vielteilige Architektur, hohe Einstiegshürde

Für den Mittelstand mit gemischtem Cloud- und Legacy-Stack trifft Authentik den Sweet Spot zwischen Funktionsumfang und Betreibbarkeit am besten. Wer den direkten Vergleich sucht: In Authentik vs. Authelia vs. Keycloak gehen wir die drei meistgenutzten Optionen im Detail durch, in der Keycloak Alternative für den Mittelstand zeigen wir, warum Keycloak für kleinere Teams oft überdimensioniert ist, und in Authentik vs. Entra ID ordnen wir Authentik gegenüber Microsofts Identity-Plattform ein.

NIS2 und DSGVO: Warum souveränes Identity-Management 2026 zählt

Für deutsche Entscheider ist die Frage nach einer Auth0-Alternative nicht nur eine Kostenfrage, sondern zunehmend eine regulatorische.

Was NIS2 konkret fordert

Die NIS2-Richtlinie verlangt von betroffenen Unternehmen ein Bündel an Risikomanagement-Maßnahmen – darunter explizit Multi-Faktor-Authentifizierung beziehungsweise kontinuierliche Authentifizierung, Zugriffskontrolle, Maßnahmen zur Sicherheit der Lieferkette und nachvollziehbare Protokollierung [11]. Cybersicherheit wird damit zur Leitungsaufgabe: Die Verantwortung lässt sich nicht mehr vollständig an einen Dienstleister delegieren. Zentrales, sauber dokumentiertes Identity-Management ist genau einer der Bausteine, die in einem NIS2-Kontext nachgewiesen werden müssen.

Warum die Lieferkette beim US-Anbieter ein Audit-Thema ist

Ein zentraler Identity Provider in der Hand eines US-Konzerns ist bei den NIS2-Punkten „Sicherheit der Lieferkette" und „Datensouveränität" ein Punkt, der dokumentiert und begründet werden muss – die EU-Region ändert daran wegen des CLOUD Act nur bedingt etwas. Authentik, betrieben als Managed Service auf deutscher Infrastruktur, dreht dieses Argument um: Hosting in Deutschland, AV-Vertrag inklusive, quelloffene und damit auditierbare Software, volle Datenkontrolle. Die Compliance-Verantwortung bleibt beim Unternehmen – aber die technische und organisatorische Basis stimmt.

Self-Hosting vs. Managed: Die ehrliche Rechnung

Self-Hosting spart die Lizenzkosten – aber es ist nicht kostenlos. Wer Authentik selbst betreibt, übernimmt Einrichtung, Sicherheitsupdates, Datenbankpflege, Backups, Monitoring und TLS-Zertifikate. Vor allem aber übernimmt er die Verantwortung für die Verfügbarkeit: Fällt der Identity Provider aus, kommt niemand mehr in die angeschlossenen Anwendungen. Das verlangt im Ernstfall eine 24/7-Bereitschaft, die kleine IT-Teams selten dauerhaft leisten können.

authhost ist der Mittelweg. Wir betreiben Ihre dedizierte Authentik-Instanz als Managed Service auf Infrastruktur in Deutschland – mit automatischen, vorab getesteten Updates, täglichen Backups, 24/7-Monitoring und deutschsprachigem Support von einem Team, das Authentik im eigenen Stack produktiv einsetzt. Sie behalten die volle Datenkontrolle und die Open-Source-Freiheit; den Betriebsaufwand übernehmen wir. Die Funktionsübersicht zeigt, was in jeder Instanz steckt.

Migration von Auth0 zu Authentik: Der realistische Pfad

Die gute Nachricht: Eine Migration ist protokollorientiert und damit risikoarm planbar. Weil Authentik dieselben Standards spricht wie Auth0 – OIDC, SAML, SCIM –, lässt sich der Wechsel schrittweise und ohne harten Stichtag durchführen.

  1. Authentik parallel aufsetzen. Die neue Instanz läuft neben Auth0, ohne dass etwas abgeschaltet wird.
  2. Anwendungen App für App umstellen. Jede Anwendung wird einzeln neu verbunden – typischerweise wenige Minuten pro App.
  3. Nutzerverzeichnis übernehmen. Nutzer und Profile lassen sich exportieren und via SCIM oder Bulk-Import übernehmen; Passwörter wandern bei Bedarf über einen Bulk-Export oder per Just-in-Time-Migration beim ersten Login.
  4. Nach erfolgreichem Cut-over Auth0 abkündigen. Erst wenn alles läuft, endet der Auth0-Vertrag.

Der Parallelbetrieb ist der Schlüssel: Dieselbe Anwendung kann übergangsweise mit Auth0 und Authentik verbunden sein, sodass Sie kontrolliert umschalten. Realistischer Zeitrahmen für ein mittelständisches Setup: 1–4 Wochen, abhängig von der Anzahl der Apps, dem MFA-Setup und etwaiger Custom-Logik (bei Auth0 oft Actions/Rules, die in Authentik als Flows nachgebaut werden). Im Business-Plan begleitet ein persönlicher Setup-Call die Migration, im Enterprise-Plan kommt eine individuelle Onboarding-Begleitung dazu.

authhost: Managed Authentik auf deutscher Infrastruktur

authhost betreibt Authentik als vollständig verwalteten Service – dedizierte Instanz, Hosting in Deutschland, DSGVO-konform. Drei Pläne, alle mit unbegrenzten Nutzern:

  • Starter – ab 34,90 €/Monat: Dedizierte Authentik-Instanz, SSO (OIDC, SAML, LDAP, SCIM, RADIUS), MFA, Login Flows, Proxy Provider, Remote Access Gateway, 24/7-Monitoring, automatische Backups & Updates, E-Mail-Support (48 h). Empfohlen bis 250 Nutzer.
  • Business – ab 104,90 €/Monat: Alles aus Starter, plus mehr Hardware-Ausstattung, Priority Support (4 h SLA) und persönlicher Setup-Call. Empfohlen bis 1.000 Nutzer.
  • Enterprise – auf Anfrage: Für mehr als 1.000 Nutzer. Dedizierte Infrastruktur, dedizierter Ansprechpartner (2 h SLA), Custom Onboarding, 99,99 % SLA-Garantie, On-Premise-Option.

Alle Pläne sind monatlich kündbar, ohne Einrichtungsgebühr, mit AV-Vertrag und automatischen Backups. Jeder Plan enthält eine 7-tägige kostenlose Testphase.

→ Pläne & Preise ansehen | → Kostenlos testen

Fazit

Auth0 ist eine technisch ausgereifte CIAM-Plattform – und für reine Consumer-Dienste mit hohem Entwicklungs-Tempo bleibt sie eine valide Option. Aber für den deutschen Mittelstand hat sich die Rechnung verschoben: MAU-Pricing, tarifgebundene Enterprise-Connections, die Konzernzugehörigkeit zu Okta und die CLOUD-Act-Problematik machen Auth0 2026 zu einer schwer planbaren und regulatorisch unbequemen Option.

Authentik liefert dieselben Kernfunktionen quelloffen, ohne MAU-Lizenz und mit voller Datenkontrolle. Die einzige echte Hürde ist der Betriebsaufwand – und genau den nimmt authhost ab: Managed Authentik auf deutscher Infrastruktur, DSGVO-konform, mit planbaren Kosten ab 34,90 €/Monat. Wer eine souveräne, zukunftssichere Auth0-Alternative sucht, findet sie hier.

Jetzt Managed Authentik testen →

Quellen

  1. Auth0 – Offizielle Pricing-Übersicht: auth0.com
  2. SSOJet – Auth0 Pricing & MAU-Overage-Erhöhung 2023: ssojet.com
  3. Auth0 – „Okta Completes Acquisition of Auth0" (Abschluss 3. Mai 2021): auth0.com
  4. Information Age – Okta schließt 6,5-Mrd.-USD-Übernahme von Auth0 ab: information-age.com
  5. Gupta Deepak – Data Residency vs. Sovereignty in CIAM (CLOUD Act): guptadeepak.com
  6. Auth0 Community – Enterprise-(SAML)-Connections & B2B-Pläne: community.auth0.com
  7. Okta Security – Root Cause des Support-System-Breach (Oktober 2023): sec.okta.com
  8. Authentik – Offizielle Website & Features (Protokolle, MFA, Proxy, RAC): goauthentik.io
  9. Authentik – Open Source RAC & Lizenz-Commitment: goauthentik.io
  10. Authentik – GitHub Repository (MIT-Lizenz): github.com
  11. NIS2-Richtlinie (EU) 2022/2555 – Risikomanagement-Maßnahmen (Art. 21): eur-lex.europa.eu

Häufige Fragen

Was ist Auth0 und wer steht dahinter?
Auth0 ist eine Customer-Identity-Plattform (CIAM) für Login, SSO und Nutzerverwaltung in Web- und Mobil-Apps, ursprünglich entwicklerorientiert. Seit dem 3. Mai 2021 gehört Auth0 zu Okta, das die Plattform in einer rund 6,5 Milliarden US-Dollar schweren All-Stock-Transaktion übernommen hat. Auth0 wird als eigenständige Einheit innerhalb von Okta geführt, ist aber rechtlich ein US-Konzern und damit dem US CLOUD Act unterworfen.
Ist Authentik wirklich eine vollwertige Auth0-Alternative?
Für die meisten Anwendungsfälle ja. Authentik unterstützt dieselben Protokolle wie Auth0 – OAuth 2.0, OpenID Connect, SAML 2.0, LDAP, SCIM und zusätzlich RADIUS –, bietet moderne MFA inklusive WebAuthn und Passkeys, einen Application Proxy für Apps ohne native SSO-Unterstützung sowie ein Remote Access Gateway für RDP, SSH und VNC. Auth0 punktet bei vorgefertigten Social-Connections, der entwicklernahen Dokumentation und der ausgereiften CIAM-Ergonomie. Für interne Mitarbeiter-SSO und gemischte B2B-Setups im Mittelstand sind beide funktional vergleichbar.
Wie rechnet Auth0 ab und warum wird es im Wachstum teuer?
Auth0 rechnet nach Monthly Active Users (MAU) ab – also nach Nutzern, die sich pro Monat mindestens einmal anmelden. Die kostenpflichtigen Pläne beginnen bei B2C Essentials ab 35 US-Dollar pro Monat für 500 MAU, B2C Professional ab 240 US-Dollar; im B2B-Bereich beginnt Essentials bei 150 US-Dollar und Professional bei 800 US-Dollar pro Monat. Die Abrechnung erfolgt in Tier-Stufen: Wer eine MAU-Schwelle überschreitet, springt in die nächsthöhere Preisstufe. Ende 2023 erhöhte Auth0 zudem die Overage-Kosten der Essentials-Pläne von 0,023 auf 0,07 US-Dollar pro MAU – ein Plus von rund 300 Prozent.
Was kostet Authentik im Vergleich zu Auth0 wirklich?
Authentik selbst ist als Open-Source-Software (MIT-Lizenz) kostenlos – Kosten entstehen durch Server, Einrichtung und Betrieb. Mit Managed Authentik via authhost zahlen Sie eine Pauschale ab 34,90 €/Monat, unabhängig von der Nutzerzahl. Auth0 dagegen skaliert mit den aktiven Nutzern: Schon ein kleiner B2C-Dienst mit ein paar tausend MAU oder ein B2B-Setup mit mehreren Enterprise-Connections landet schnell im vier- bis fünfstelligen Jahresbereich – Tendenz steigend mit jedem zusätzlichen aktiven Nutzer.
Warum ist der Datenstandort bei Auth0 für deutsche Unternehmen ein Thema?
Auth0 bietet zwar eine EU-Region, in der CIAM-Daten in europäischen Rechenzentren liegen. Entscheidend ist aber nicht nur, wo die Daten liegen, sondern wer auf sie zugreifen kann: Als US-Konzern unterliegt Auth0/Okta dem US CLOUD Act, der amerikanische Anbieter verpflichtet, US-Behörden auf Anfrage Zugriff auf Kundendaten zu gewähren – unabhängig vom Speicherort. Datenresidenz in der EU ist daher nicht dasselbe wie Datensouveränität. Ein selbst oder in Deutschland gehostetes Authentik entzieht sich dieser Jurisdiktion.
Wie funktioniert die Migration von Auth0 zu Authentik?
Die Migration ist protokollorientiert und damit risikoarm. Da Authentik dieselben Standards spricht (OIDC, SAML, SCIM), lassen sich Anwendungen einzeln umkonnektieren, ohne Auth0 sofort abzuschalten. Typischer Pfad: Authentik parallel aufsetzen, Apps Schritt für Schritt umstellen, das Nutzerverzeichnis exportieren und via SCIM synchronisieren, nach erfolgreichem Cut-over Auth0 abkündigen. Realistischer Zeitrahmen: 1–4 Wochen je nach Anzahl der Apps, MFA-Setup und Custom-Logik. Passwörter lassen sich bei Bedarf über einen Bulk-Export oder Just-in-Time-Migration übernehmen.
Ist Self-Hosting nicht zu komplex für den Mittelstand?
Authentik ist deutlich einfacher zu betreiben als etwa Keycloak, bleibt aber eine IAM-Lösung, die laufend gewartet werden muss: Sicherheitsupdates, Backups, Monitoring und idealerweise 24/7-Bereitschaft – denn fällt der Identity Provider aus, kommt niemand mehr in die angeschlossenen Anwendungen. Genau deshalb gibt es Managed-Services wie authhost: Sie übernehmen den operativen Aufwand, der Kunde behält die volle Datenkontrolle.
Welche MFA-Optionen unterstützt Authentik?
Authentik unterstützt alle modernen MFA-Methoden: TOTP über Authenticator-Apps, WebAuthn und Passkeys als phishing-resistente Verfahren, FIDO2-Hardware-Keys wie YubiKey, E-Mail-OTP sowie die Duo-Integration. Damit deckt Authentik den vollen Standard ab – inklusive der phishing-resistenten Verfahren, die für eine NIS2-konforme Authentifizierung relevant sind.
Was passiert, wenn ich authhost wieder verlassen will?
Ihre komplette Authentik-Konfiguration läuft in einer dedizierten Instanz in standardisierten Open-Source-Formaten – Datenbank, Flows, Nutzer, Policies. Wer wechseln möchte, exportiert seine Instanz und betreibt sie selbst weiter oder zieht zu einem anderen Anbieter. Es gibt keine proprietären Lock-in-Mechanismen. Das ist ein zentraler Souveränitätsvorteil gegenüber einem reinen SaaS-IdP wie Auth0.
Welcher authhost-Plan ist der richtige für mein Unternehmen?
Die Wahl hängt vor allem von Nutzerzahl und Support-Anforderungen ab. Bis etwa 250 Nutzer reicht in der Regel der Starter-Plan (ab 34,90 €/Monat) mit 48-Stunden-E-Mail-Support und allen Kernfunktionen. Bis etwa 1.000 Nutzer empfehlen wir den Business-Plan (ab 104,90 €/Monat) mit 4-Stunden-SLA, persönlichem Setup-Call und höherer Hardware-Ausstattung. Ab 1.000 Nutzern oder bei Anforderungen wie 99,99 % SLA-Garantie, dediziertem Ansprechpartner mit 2-Stunden-Reaktionszeit oder On-Premise-Deployment ist der Enterprise-Plan die richtige Wahl. Jeder Plan enthält eine 7-tägige kostenlose Testphase.
Timo Wevelsiep

Geschrieben von

Timo Wevelsiep

Founder, merkaio

Gründer von merkaio. Managed Authentik Identity Hosting. Fokus auf Identity Management, SSO und Zero-Trust-Architektur.

LinkedIn

Managed Authentik anfragen

Wir betreiben Ihre dedizierte Authentik-Instanz inklusive Hosting, Updates, Monitoring und Support. Schreiben Sie uns kurz, welche Anwendungen, Nutzerquellen und SSO-Protokolle Sie anbinden möchten. Wir melden uns innerhalb von 24 Stunden.

Timo Wevelsiep

Ihr Ansprechpartner

Timo Wevelsiep

Gründer, merkaio

[email protected]

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.