Zurück zum Blog|Identity

Okta Alternative 2026: Warum Authentik für DSGVO-bewusste Unternehmen die richtige Wahl ist

14. Mai 2026
Timo Wevelsiep
authhost

Okta Alternative 2026: Warum Authentik für DSGVO-bewusste Unternehmen die richtige Wahl ist

Okta ist teuer, US-gehostet und mehrfach kompromittiert. Authentik bietet alle Enterprise-Features, DSGVO-Hosting in Deutschland und planbare Kosten.

authhost.de Blog

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Inhaltsverzeichnis

TL;DR – Das Wichtigste in 60 Sekunden

  • Kostenfalle Pro-Nutzer-Pricing: Okta kostet 100 Mitarbeiter rund 20.000 US-Dollar pro Jahr an Lizenz – mit Implementierung, Support und Add-ons summiert sich das erste Jahr auf das 2- bis 3-fache [1][2].
  • SSO-Tax: Wer Okta einsetzt, zahlt bei vielen SaaS-Tools im Stack Aufpreise für "Enterprise SSO" – ein oft fünfstelliger versteckter Kostenblock [4].
  • Vendor-Risiko: Mehrere dokumentierte Sicherheitsvorfälle in drei Jahren – beim Support-System-Breach von Oktober 2023 wurden die Kontaktdaten aller Okta-Support-Nutzer exfiltriert [6].
  • Authentik: Open Source (MIT-Lizenz), alle Enterprise-Protokolle, moderne MFA, aktiv weiterentwickelt [8][10].
  • Managed via authhost: Open Source plus 24/7-Betrieb auf deutscher Infrastruktur – ab 34,90 €/Monat, unbegrenzte Nutzer, DSGVO-konform.

Warum überhaupt eine Okta-Alternative?

Wer Okta heute neu einkauft oder eine Vertragsverlängerung verhandelt, stößt auf vier strukturelle Probleme, die in Verkaufsgesprächen selten thematisiert werden. Jedes für sich ist verkraftbar – in Kombination werden sie zum strategischen Risiko.

Das Kostenproblem: Pro-Nutzer-Pricing trifft den Mittelstand

Okta veröffentlicht keine vollständigen Preise. Öffentlich einsehbar ist: Die Starter Suite beginnt bei rund 6 US-Dollar pro Nutzer und Monat, die im Mittelstand häufige Essentials Suite liegt bei etwa 17 US-Dollar pro Nutzer und Monat [1]. Bei 100 Mitarbeitern sind das 20.400 US-Dollar Lizenzkosten pro Jahr – bevor irgendetwas implementiert wurde. Hinzu kommen ein Mindest-Jahresvertrag und eine jahresweise Abrechnung ohne echte monatliche Kündigungsoption.

Die wahren Kosten zeigen sich erst nach der Unterschrift. Rechnet man Implementierung, Support und Add-ons hinzu, liegt das erste Jahr laut öffentlichen Datensätzen von Vendr und CheckThat.ai bei etwa dem 2- bis 3-fachen der reinen Lizenzkosten [2][3]. Für 100 Nutzer auf Essentials bedeutet das rund 40.000 bis 80.000 US-Dollar Gesamtkosten im ersten Jahr. Zur Einordnung: Der mediane Okta-Jahresvertrag liegt nach Vendrs verifizierten Transaktionsdaten bei rund 43.840 US-Dollar [2].

Die SSO-Tax: Wie Okta jedes andere Tool teurer macht

Der versteckte Kostentreiber heißt SSO-Tax: Viele SaaS-Anbieter verlangen einen deutlichen Aufschlag auf ihre Standard-Pläne, sobald man "Enterprise SSO" mit einem Drittanbieter wie Okta nutzen möchte. AccessOwl dokumentiert Aufschläge in einer breiten Spanne, mit einem typischen Korridor von 15 bis über 100 Prozent [4].

Beispielrechnung: Ein Mittelständler mit 100 Nutzern und rund 20 SaaS-Tools im Stack zahlt durch die SSO-Tax schnell mehrere zehntausend Euro zusätzlich pro Jahr – allein dafür, dass Okta sich überhaupt mit den Tools verbinden darf. Authentik löst das strukturell anders: Über den eingebauten Proxy Provider und das LDAP-Outpost lassen sich auch Tools schützen, die nativ kein SAML unterstützen – ohne dass der jeweilige SaaS-Anbieter dafür einen teureren Tarif sehen muss.

Die Breach-Geschichte: Mehrere Vorfälle in drei Jahren

Wer einen Identity Provider einkauft, kauft Vertrauen. Genau dieses Vertrauen hat Okta in den letzten Jahren wiederholt strapaziert:

  • Januar 2022: Die Gruppe Lapsus$ kompromittierte den Subprozessor Sitel, der Zugang zu Okta-Support-Systemen hatte. Rund 366 Kunden waren potenziell betroffen [5].
  • Oktober 2023: Angreifer drangen über gestohlene Zugangsdaten in Oktas Support-System ein. Okta bezifferte den Impact zunächst auf "ein Prozent der Kunden" – bei 134 Kunden wurden Support-Dateien abgegriffen, teils mit aktiven Session-Tokens, was zu Folgeangriffen auf 1Password, BeyondTrust und Cloudflare führte. Später musste Okta einräumen, dass zusätzlich die Namen und E-Mail-Adressen aller Okta-Support-Nutzer im exfiltrierten Datensatz enthalten waren [6].
  • 2024 und danach: Wiederholt Folgevorfälle und Diskussionen um Session-Token-Sicherheit [7].

Ein zentraler Identity Provider ist ein hochattraktives Angriffsziel, weil er Zugang zu tausenden nachgelagerten Anwendungen bündelt. Wer Okta einsetzt, kauft sich damit einen Single Point of Failure mit prominenter Angriffsfläche. Bei einer selbst gehosteten Authentik-Instanz verteilt sich dieses Risiko über viele kleine, unabhängige Installationen statt einer einzigen, global sichtbaren SaaS.

Das CLOUD-Act-Problem für deutsche Unternehmen

Selbst bei perfekter Technik bleibt für deutsche Unternehmen das regulatorische Problem: Okta ist ein US-Konzern und damit dem US CLOUD Act unterworfen. Das Gesetz verpflichtet amerikanische Unternehmen, US-Behörden auf Anfrage Zugriff auf Kundendaten zu gewähren – unabhängig vom Speicherort der Daten. Für DSGVO-relevante Workloads ist das ein Konflikt, der mit einem Auftragsverarbeitungsvertrag nur notdürftig überspielt wird. Und NIS2 verlangt explizit Maßnahmen zur Sicherheit der Lieferkette – ein US-Anbieter mit dokumentierter Breach-Historie ist hier kein Argument für, sondern gegen die Wahl.

Was kostet das wirklich? Total Cost of Ownership im Vergleich

Die folgende Tabelle zeigt die echten Gesamtkosten für einen typischen Mittelständler mit 100 Mitarbeitern. Sie unterscheidet bewusst zwischen reinem Okta-SaaS, einem komplett selbst betriebenen Authentik (DIY) und Managed Authentik via authhost.

Kostenstelle Okta Essentials (SaaS) Self-Hosted Authentik (DIY) authhost Business (Managed)
Lizenz / Software ~20.400 USD/Jahr (17 USD × 100 × 12) 0 € (Open Source, MIT) inklusive
Mindestvertrag Jahresvertrag, Mindestabnahme flexibel monatlich kündbar
Implementierung & Setup Jahr 1 ~20.000–40.000 USD 50–100 Std. Eigenarbeit (≈ 5.000–10.000 €) enthalten + persönlicher Setup-Call
Server-Infrastruktur – (SaaS) ~30–60 €/Monat inklusive
24/7 Monitoring Premium-Support extra Eigenleistung inklusive
Patch-Management & CVE-Response intransparent Eigenleistung inklusive
Backups & Disaster Recovery Eigenleistung inklusive
DSGVO-Hosting Deutschland komplex (US-Cloud) Eigenleistung nativ in Deutschland
Auftragsverarbeitungsvertrag (AVV) komplex Eigenleistung inklusive
SSO-Tax bei Drittanbieter-Tools oft 5.000–15.000 €/Jahr umgehbar via Proxy/LDAP umgehbar via Proxy/LDAP
Gesamtkosten Jahr 1 ~40.000–80.000 USD ≈ 11.000–18.000 € 1.258,80 €
Laufende Kosten ab Jahr 2 ~22.000–35.000 USD/Jahr ≈ 4.000–8.000 €/Jahr 1.258,80 €/Jahr
Datensouveränität US-Cloud + CLOUD Act volle Kontrolle volle Kontrolle, DE-Hosting
Open Source / auditierbar nein ja ja

Die Zahlen für authhost Business beziehen sich auf den Plan zu 104,90 €/Monat bei jährlicher Abrechnung (1.258,80 €/Jahr) – unbegrenzte Nutzer inklusive. Das ergibt bei 100 Mitarbeitern rund 12,59 € pro Nutzer und Jahr. Zum Vergleich: Okta Essentials liegt bei etwa 204 US-Dollar pro Nutzer und Jahr – und die Pro-Nutzer-Logik dreht sich um, denn bei authhost bleibt die Pauschale gleich, egal ob der 50. oder der 500. Nutzer dazukommt.

Was die Tabelle ehrlich nicht zeigt

Es wäre unseriös, Okta nur als "teuer und unsicher" darzustellen. Drei Bereiche, in denen Okta wirklich stark ist:

  • ein sehr großer Marketplace mit tausenden vorgefertigten App-Integrationen,
  • ausgereifte Customer-Success-Programme mit dediziertem Ansprechpartner in den Top-Tarifen,
  • KI-gestützte Threat-Protection in den höchsten Plänen.

Für hochkomplexe, multinationale Setups mit dutzenden Spezial-Integrationen kann Okta die richtige Wahl sein. Für den deutschen Mittelstand mit 50–1.000 Mitarbeitern, standardisierten SaaS-Anwendungen und klaren DSGVO- und NIS2-Anforderungen ist die Antwort jedoch meist eine andere.

Vergleich basiert auf öffentlich verfügbaren Informationen, Stand Mai 2026. Okta-Preise in US-Dollar, authhost-Preise in Euro. Funktionen, Preise und Tarife können sich jederzeit ändern – bitte direkt beim jeweiligen Anbieter prüfen. Okta® ist eine Marke der Okta, Inc. Authentik ist Open-Source-Software; das Projekt wird von der Authentik Security, Inc. (USA) gepflegt. authhost ist ein unabhängiger Managed-Hosting-Anbieter und steht in keiner Verbindung zu diesen Unternehmen.

Authentik: Die moderne Open-Source-Alternative

Authentik ist ein Open-Source Identity Provider, der 2018 gestartet wurde und sich explizit als modernere Alternative zu kommerziellen IdPs wie Okta positioniert [8]. Das Projekt hat über 21.000 GitHub Stars [10] und wird aktiv weiterentwickelt.

Dieselben Protokolle wie Okta – ohne Lizenzgebühren

Authentik unterstützt alle relevanten Standards: OAuth 2.0, OpenID Connect, SAML 2.0, LDAP, RADIUS und SCIM. Für SSO interner und Cloud-Anwendungen, MFA für Mitarbeiter und zentrale Benutzerverwaltung bietet Authentik denselben funktionalen Kern wie Okta – nur eben quelloffen und ohne Pro-Nutzer-Lizenz. Über das Proxy-Outpost lassen sich auch Anwendungen absichern, die selbst kein SSO können, und das LDAP-Outpost bindet Legacy-Systeme und Netzwerkgeräte an.

Die Flow-Engine: Authentifizierungs-Logik ohne Code

Das Herzstück von Authentik ist das Flow-System. Statt starrer Konfigurationsmasken setzen Sie Authentifizierungs-Workflows aus einzelnen "Stages" zusammen – Identifikation, Passwort, MFA, Consent – und steuern sie per Policy dynamisch:

  • Zugriff aus dem Firmennetzwerk? → 2FA überspringen.
  • Login von einer unbekannten IP? → Hardware-Key verlangen.
  • Neuer Mitarbeiter? → Automatisch der richtigen Gruppe zuordnen.

Das alles konfigurieren Sie über die Admin-UI – ohne Code, ohne YAML-Dateien. Diese visuelle Flexibilität ist der Punkt, an dem sich Authentik am deutlichsten von klassischen IdPs absetzt.

Moderne MFA: Passkeys, WebAuthn, Hardware-Keys

Authentik unterstützt das volle Spektrum moderner Mehr-Faktor-Authentifizierung: TOTP über Authenticator-Apps, WebAuthn und Passkeys als phishing-resistente Verfahren, FIDO2-Hardware-Keys wie YubiKey, E-Mail-OTP sowie die Duo-Integration. Damit erfüllt Authentik die Authentifizierungs-Anforderungen, die NIS2 von regulierten Unternehmen verlangt – ohne dass dafür ein höherer Tarif fällig wird.

Open Source mit verlässlicher Governance

Authentik steht unter der MIT-Lizenz und ist damit auch kommerziell frei nutzbar [9]. Hinter dem Projekt steht die Authentik Security, Inc., organisiert als US-amerikanische Public Benefit Corporation – eine Struktur, die das Open-Source-Versprechen rechtlich absichert. Das Unternehmen hat zugesagt, keine Features aus der Open-Source-Version in die Enterprise-Version zu verschieben; der Trend geht in die andere Richtung – Remote Access Control wurde 2025 von Enterprise zu Open Source verschoben [9]. Für die Vendor-Risiko-Bewertung ist das ein wichtiger Unterschied zu klassischen SaaS-Modellen.

Authentik vs. Okta: Der Feature-Vergleich

Kriterium Okta Authentik (via authhost)
Protokolle OAuth2, OIDC, SAML, LDAP, SCIM OAuth2, OIDC, SAML, LDAP, RADIUS, SCIM
Open Source / auditierbar ✓ (MIT-Lizenz)
Pauschalpreis ohne Pro-Nutzer-Kosten ✗ (Pro-Nutzer-Pricing) ✓ (Flatrate, unbegrenzte Nutzer)
Self-Hosting / volle Datenkontrolle ✗ (reine US-Cloud)
DSGVO-Hosting in Deutschland
MFA: TOTP, WebAuthn/Passkeys, FIDO2
Application Proxy für Apps ohne SSO ➖ (eingeschränkt)
Remote Access Gateway (RDP/SSH/VNC)
Visuelle Flow-Engine
Vorgefertigte App-Integrationen ✓ (sehr großer Marketplace) ➖ (kleinerer Katalog, dafür Proxy-/LDAP-Outpost)
KI-gestützte Threat-Detection ✓ (in Top-Tarifen) ➖ (Policies & Posture-Regeln)
Vendor-Lock-in-Risiko hoch keines (Export jederzeit möglich)

✓ = vollständig erfüllt · ➖ = teilweise / mit Einschränkung · ✗ = nicht erfüllt

Vergleich basiert auf öffentlich verfügbaren Informationen, Stand Mai 2026. Funktionen und Tarife können sich jederzeit ändern. Okta® ist eine Marke der Okta, Inc.

Die Open-Source-Alternativen im Überblick

Authentik ist nicht der einzige quelloffene Identity Provider. Ein kurzer Überblick, wo die Stärken liegen:

Tool Technologie Sweet Spot Einschränkung
Authentik Python (Django) + Go Modernes UI, Flow-Engine, Hybrid-Setups im Mittelstand Flexibilität bringt Komplexität mit
Keycloak Java / Quarkus Enterprise-Standard, Red-Hat-Backing, Multi-Realm Steile Lernkurve, hoher Ressourcenbedarf
Authelia Go Schlanker Auth-Proxy für Reverse-Proxy-Setups Kein vollwertiger IdP
Zitadel Go SaaS-First, Multi-Tenancy, API-zentriert Komplexerer Self-Hosting-Pfad
Ory Go (mehrere Komponenten) Cloud-native, API-first, sehr granular Vielteilige Architektur, hohe Einstiegshürde

Für den Mittelstand mit gemischtem Cloud- und Legacy-Stack trifft Authentik den Sweet Spot zwischen Funktionsumfang und Betreibbarkeit am besten. Wer den direkten Vergleich sucht: In Authentik vs. Authelia vs. Keycloak gehen wir die drei meistgenutzten Optionen im Detail durch, und in der Keycloak Alternative für den Mittelstand zeigen wir, warum Keycloak für kleinere Teams oft überdimensioniert ist.

NIS2 und DSGVO: Warum souveränes Identity-Management 2026 zählt

Für deutsche Entscheider ist die Frage nach einer Okta-Alternative nicht nur eine Kostenfrage, sondern zunehmend eine regulatorische.

Was NIS2 konkret fordert

Die NIS2-Richtlinie verlangt von betroffenen Unternehmen ein Bündel an Risikomanagement-Maßnahmen – darunter explizit Multi-Faktor-Authentifizierung beziehungsweise kontinuierliche Authentifizierung, Zugriffskontrolle, Maßnahmen zur Sicherheit der Lieferkette und nachvollziehbare Protokollierung [11]. Cybersicherheit wird damit zur Leitungsaufgabe: Die Verantwortung lässt sich nicht mehr vollständig an einen Dienstleister delegieren. Zentrales, sauber dokumentiertes Identity-Management ist genau einer der Bausteine, die in einem NIS2-Kontext nachgewiesen werden müssen.

Warum US-Anbieter ein Audit-Risiko sind

Ein US-gehosteter Identity Provider mit dokumentierter Breach-Historie ist in einer NIS2-Argumentation keine Stärke, sondern eine Schwäche – sowohl beim Punkt "Sicherheit der Lieferkette" als auch bei der Datensouveränität. Authentik, betrieben als Managed Service auf deutscher Infrastruktur, dreht dieses Argument um: Hosting in Deutschland, AV-Vertrag inklusive, quelloffene und damit auditierbare Software, volle Datenkontrolle. Die Compliance-Verantwortung bleibt beim Unternehmen – aber die technische und organisatorische Basis stimmt.

Self-Hosting vs. Managed: Die ehrliche Rechnung

Self-Hosting spart die Lizenzkosten – aber es ist nicht kostenlos. Wer Authentik selbst betreibt, übernimmt Einrichtung, Sicherheitsupdates, Datenbankpflege, Backups, Monitoring und TLS-Zertifikate. Vor allem aber übernimmt er die Verantwortung für die Verfügbarkeit: Fällt der Identity Provider aus, kommt niemand mehr in die angeschlossenen Anwendungen. Das verlangt im Ernstfall eine 24/7-Bereitschaft, die kleine IT-Teams selten dauerhaft leisten können.

authhost ist der Mittelweg. Wir betreiben Ihre dedizierte Authentik-Instanz als Managed Service auf Infrastruktur in Deutschland – mit automatischen, vorab getesteten Updates, täglichen Backups, 24/7-Monitoring und deutschsprachigem Support von einem Team, das Authentik im eigenen Stack produktiv einsetzt. Sie behalten die volle Datenkontrolle und die Open-Source-Freiheit; den Betriebsaufwand übernehmen wir. Die Funktionsübersicht zeigt, was in jeder Instanz steckt.

Migration von Okta zu Authentik: Der realistische Pfad

Die gute Nachricht: Eine Migration ist protokollorientiert und damit risikoarm planbar. Weil Authentik dieselben Standards spricht wie Okta – SAML, OIDC, SCIM –, lässt sich der Wechsel schrittweise und ohne harten Stichtag durchführen.

  1. Authentik parallel aufsetzen. Die neue Instanz läuft neben Okta, ohne dass etwas abgeschaltet wird.
  2. Anwendungen App für App umstellen. Jede Anwendung wird einzeln neu verbunden – typischerweise wenige Minuten pro App.
  3. Nutzerverzeichnis via SCIM synchronisieren. Das User-Lifecycle-Management läuft über Standard-Provisioning.
  4. Nach erfolgreichem Cut-over Okta abkündigen. Erst wenn alles läuft, endet der Okta-Vertrag.

Der Parallelbetrieb ist der Schlüssel: Dieselbe Anwendung kann übergangsweise mit Okta und Authentik verbunden sein, sodass Sie kontrolliert umschalten. Realistischer Zeitrahmen für ein mittelständisches Setup: 1–4 Wochen, abhängig von der Anzahl der Apps, dem MFA-Setup und etwaigen Custom Flows. Im Business-Plan begleitet ein persönlicher Setup-Call die Migration, im Enterprise-Plan kommt eine individuelle Onboarding-Begleitung dazu.

authhost: Managed Authentik auf deutscher Infrastruktur

authhost betreibt Authentik als vollständig verwalteten Service – dedizierte Instanz, Hosting in Deutschland, DSGVO-konform. Drei Pläne, alle mit unbegrenzten Nutzern:

  • Starter – ab 34,90 €/Monat: Dedizierte Authentik-Instanz, SSO (OIDC, SAML, LDAP, SCIM, RADIUS), MFA, Login Flows, Proxy Provider, Remote Access Gateway, 24/7-Monitoring, automatische Backups & Updates, E-Mail-Support (48 h). Empfohlen bis 250 Nutzer.
  • Business – ab 104,90 €/Monat: Alles aus Starter, plus mehr Hardware-Ausstattung, Priority Support (4 h SLA) und persönlicher Setup-Call. Empfohlen bis 1.000 Nutzer.
  • Enterprise – auf Anfrage: Für mehr als 1.000 Nutzer. Dedizierte Infrastruktur, dedizierter Ansprechpartner (2 h SLA), Custom Onboarding, 99,99 % SLA-Garantie, On-Premise-Option.

Alle Pläne sind monatlich kündbar, ohne Einrichtungsgebühr, mit AV-Vertrag und automatischen Backups. Jeder Plan enthält eine 7-tägige kostenlose Testphase.

→ Pläne & Preise ansehen | → Kostenlos testen

Fazit

Okta war lange die naheliegende Wahl für Identity- und Access-Management – und ist es für manche multinationale Konzerne weiterhin. Aber für den deutschen Mittelstand hat sich die Rechnung verschoben: Pro-Nutzer-Pricing, SSO-Tax, eine Breach-Historie und die CLOUD-Act-Problematik machen Okta 2026 zu einer teuren und regulatorisch unbequemen Option.

Authentik liefert dieselben Kernfunktionen quelloffen, ohne Lizenzgebühren und mit voller Datenkontrolle. Die einzige echte Hürde ist der Betriebsaufwand – und genau den nimmt authhost ab: Managed Authentik auf deutscher Infrastruktur, DSGVO-konform, mit planbaren Kosten ab 34,90 €/Monat. Wer eine souveräne, zukunftssichere Okta-Alternative sucht, findet sie hier.

Jetzt Managed Authentik testen →

Quellen

  1. Okta – Offizielle Pricing-Übersicht: okta.com
  2. Vendr – Okta Pricing & verifizierte Transaktionsdaten: vendr.com
  3. CheckThat.ai – Okta Pricing Deep Dive: checkthat.ai
  4. AccessOwl – Okta Cost & die SSO-Tax: accessowl.com
  5. Breachsense – Okta Data Breach Case Study (Vorfall-Historie): breachsense.com
  6. InformationWeek – Massive Okta Breach 2023: informationweek.com
  7. VentureBeat – Was Oktas Vorfälle über Identity-Security aussagen: venturebeat.com
  8. Authentik – Offizielle Website & Positionierung: goauthentik.io
  9. Authentik – Open Source RAC & Lizenz-Commitment: goauthentik.io
  10. Authentik – GitHub Repository: github.com
  11. NIS2-Richtlinie (EU) 2022/2555 – Risikomanagement-Maßnahmen (Art. 21): eur-lex.europa.eu

Häufige Fragen

Ist Authentik wirklich eine vollwertige Okta-Alternative?
Für die allermeisten Anwendungsfälle ja. Authentik unterstützt alle relevanten Protokolle (OAuth2, OIDC, SAML 2.0, LDAP, RADIUS, SCIM), moderne MFA inklusive Passkeys und WebAuthn, einen Application Proxy für Apps ohne native SSO-Unterstützung sowie ein Remote Access Gateway für RDP, SSH und VNC. Oktas verbleibender Vorsprung liegt im riesigen App-Marketplace und in KI-gestützter Threat-Detection der Top-Tarife. Für den Mittelstand mit standardisierten Anwendungen sind beide Plattformen funktional vergleichbar.
Was kostet Authentik im Vergleich zu Okta wirklich?
Authentik selbst ist als Open-Source-Software (MIT-Lizenz) kostenlos – Kosten entstehen durch Server, Einrichtung und Betrieb. Ein selbst betriebenes Authentik kostet bei einem typischen 100-Personen-Setup im ersten Jahr realistisch 11.000–18.000 € inklusive Eigenaufwand; Okta Essentials liegt im ersten Jahr je nach Implementierung bei 40.000–80.000 US-Dollar. Mit Managed Authentik via authhost zahlen Sie eine Pauschale ab 34,90 €/Monat – ohne Pro-Nutzer-Kosten.
Wie funktioniert die Migration von Okta zu Authentik?
Die Migration ist protokollorientiert und damit risikoarm. Da Authentik dieselben Standards nutzt (SAML, OIDC, SCIM), lassen sich Anwendungen einzeln umkonnektieren, ohne Okta sofort abzuschalten. Typischer Pfad: Authentik parallel aufsetzen, Apps Schritt für Schritt umstellen, Nutzerverzeichnis via SCIM synchronisieren, nach erfolgreichem Cut-over Okta abkündigen. Realistischer Zeitrahmen: 1–4 Wochen je nach Anzahl der Apps, MFA-Setup und Custom Flows.
Ist Self-Hosting nicht zu komplex für den Mittelstand?
Authentik ist deutlich einfacher zu betreiben als etwa Keycloak, bleibt aber eine IAM-Lösung, die laufend gewartet werden muss: Sicherheitsupdates, Backups, Monitoring und idealerweise 24/7-Bereitschaft – denn fällt der Identity Provider aus, kommt niemand mehr in die angeschlossenen Anwendungen. Genau deshalb gibt es Managed-Services wie authhost: Sie übernehmen den operativen Aufwand, der Kunde behält die volle Datenkontrolle.
Was passiert, wenn ich authhost wieder verlassen will?
Ihre komplette Authentik-Konfiguration läuft in einer dedizierten Instanz in standardisierten Open-Source-Formaten – Datenbank, Flows, Nutzer, Policies. Wer wechseln möchte, exportiert seine Instanz und betreibt sie selbst weiter oder zieht zu einem anderen Anbieter. Es gibt keine proprietären Lock-in-Mechanismen. Das ist ein zentraler Souveränitätsvorteil gegenüber einem reinen SaaS-IdP.
Erfüllt Authentik die NIS2- und DSGVO-Anforderungen?
Authentik bietet die technischen Voraussetzungen für eine NIS2-konforme Identity-Governance: Multi-Faktor-Authentifizierung, Audit-Logs, starke Authentifizierungsprotokolle und granulare Berechtigungskonzepte. Bei einem Managed-Service wie authhost kommen die organisatorischen Aspekte hinzu, die DIY-Setups oft fehlen: Hosting in Deutschland, AV-Vertrag inklusive, deutscher Ansprechpartner. Die Compliance-Verantwortung bleibt beim Unternehmen – die Plattform liefert die Bausteine.
Wie sicher ist Authentik im Vergleich zu Okta?
Beide Systeme haben Stärken. Okta hat ein professionelles Security-Team und ausgereifte Schutzmechanismen – aber auch mehrere dokumentierte Sicherheitsvorfälle in drei Jahren; beim Support-System-Breach von Oktober 2023 wurden die Kontaktdaten aller Okta-Support-Nutzer exfiltriert. Authentik ist als Open-Source-Projekt vollständig auditierbar. Der wichtigste strukturelle Vorteil: Eine selbst gehostete Instanz ist kein zentrales Hochwert-Ziel wie ein SaaS mit zehntausenden Kunden – Angreifer fokussieren sich auf Single Points of Failure mit hohem Multiplikator.
Welche MFA-Optionen unterstützt Authentik?
Authentik unterstützt alle modernen MFA-Methoden: TOTP (Authenticator-Apps), WebAuthn und Passkeys als phishing-resistente Verfahren, FIDO2-Hardware-Keys wie YubiKey, E-Mail-OTP sowie Duo-Integration. Damit deckt Authentik den vollen Standard ab – inklusive der MFA-Optionen, die bei manchen kommerziellen IdPs erst in höheren Tarifen oder als Add-on verfügbar sind.
Was sind die ehrlichen Schwächen von Authentik?
Drei Punkte gehören realistisch genannt. Erstens: Die Flexibilität bringt eine gewisse Komplexität mit – wer nur einfachste SSO-Funktionen braucht, ist mit einem schlankeren Tool eventuell schneller. Zweitens: Der Katalog vorgefertigter Integrationen ist kleiner als Oktas Marketplace; exotische Enterprise-Tools müssen manchmal manuell angebunden werden. Drittens: Es gibt keinen Managed-SaaS vom Hersteller selbst – wer keine eigene Infrastruktur betreiben will, braucht einen Partner wie authhost.
Warum Authentik und nicht Keycloak?
Beide sind solide Open-Source-IdPs, zielen aber auf unterschiedliche Sweet Spots. Keycloak ist der Java-Veteran mit Red-Hat-Backing und sehr breitem Feature-Set – aber mit steiler Lernkurve und hohem Ressourcenbedarf. Authentik setzt auf einen modernen Python-Stack, eine visuelle Flow-Engine und geringeren Infrastrukturbedarf. Für hochkomplexe Multi-Realm-Enterprise-Setups ist Keycloak oft pragmatischer; für moderne Mittelstands-Setups mit gemischtem Cloud- und Legacy-Stack ist Authentik meist die ergonomischere Wahl. Mehr dazu in unserem Keycloak-Vergleich.
Brauche ich für Authentik dedizierte Hardware?
Nein. Authentik läuft als Docker-Compose-Stack und ist genügsam: Server und Worker benötigen im Leerlauf typisch 300–500 MB RAM pro Komponente, der komplette Stack aus Server, Worker und PostgreSQL kommt mit 2–3 GB RAM aus. Für produktive Lasten plant man großzügiger, ein kleiner Server genügt aber. Hochverfügbare Multi-Node-Setups skalieren horizontal. Bei Managed Authentik via authhost entfällt die Infrastruktur-Frage komplett.
Welcher authhost-Plan ist der richtige für mein Unternehmen?
Die Wahl hängt vor allem von Nutzerzahl und Support-Anforderungen ab. Bis etwa 250 Nutzer reicht in der Regel der Starter-Plan (ab 34,90 €/Monat) mit 48-Stunden-E-Mail-Support und allen Kernfunktionen. Bis etwa 1.000 Nutzer empfehlen wir den Business-Plan (ab 104,90 €/Monat) mit 4-Stunden-SLA, persönlichem Setup-Call und höherer Hardware-Ausstattung. Ab 1.000 Nutzern oder bei Anforderungen wie 99,99 % SLA-Garantie, dediziertem Ansprechpartner mit 2-Stunden-Reaktionszeit oder On-Premise-Deployment ist der Enterprise-Plan die richtige Wahl. Jeder Plan enthält eine 7-tägige kostenlose Testphase.

Geschrieben von

Timo Wevelsiep

Founder, merkaio

Gründer von merkaio. Managed Authentik Identity Hosting. Fokus auf Identity Management, SSO und Zero-Trust-Architektur.

LinkedIn

Individuelle Anfrage oder Beratung?

Für Enterprise-Anfragen, individuelle Konfigurationen oder eine persönliche Beratung. Schreiben Sie uns eine kurze Nachricht – wir melden uns innerhalb von 24 Stunden bei Ihnen.

Timo Wevelsiep

Ihr Ansprechpartner

Timo Wevelsiep

Gründer, merkaio

[email protected]

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.