Intension Logo
Jetzt kontaktieren Kontakt

Keycloak & NIS2: Was Unternehmen 2026 wirklich tun müssen 

Die EU NIS2 Richtlinie verändert gerade massiv, wie Unternehmen über Sicherheit, Identitäten und Zugriffsrechte nachdenken. Ab 2024/2025 müssen immer mehr Organisationen — darunter Industrie, kritische Infrastrukturen, Energie, Transport, Healthcare, SaaSAnbieter und Zulieferer — strengere Sicherheitsstandards einhalten.

2026 ist klar: Sicheres Identity & AccessManagement ist nicht mehr „nice to have“, sondern Pflicht. 

Keycloak ist dabei eine der stärksten Open Source Lösungen. Doch viele Unternehmen unterschätzen, wie viel NIS2 relevante Verantwortung im IAM steckt. Dieser Blogpost zeigt verständlich, was NIS2 fordert — und wie Keycloak (richtig konfiguriert) diese Anforderungen erfüllt. 

Was fordert NIS2 konkret im Bereich Identitätssicherung? 

Die Richtlinie verlangt u. a.: 

Starke Authentifizierung 

→ MFA, Passkeys, Smartcards, FIDO2 

Klare Trennung von Rollen & Berechtigungen 

→ Keine Admin „Sammelrollen“, sauberer RBAC, Least Privilege 

Nachvollziehbarkeit & Logging 

→ Wer hat wann auf welche Systeme zugegriffen? 

Risikomanagement & kontinuierliche Updates 

→ Patch Management, CVE Monitoring, zeitnahe Upgrades 

Schutz kritischer AdminZugänge 

→ IP Restriktionen, Audit Logging, MFA für Admins 

Und: Die Verantwortlichen (Management!) können haftbar gemacht werden, wenn Systeme unsicher betrieben werden. 

Wie Keycloak NIS2 Anforderungen abdeckt 

Keycloak bringt viele NIS2 relevante Funktionen bereits „out of the box“ mit — sie müssen nur sauber umgesetzt werden: 

1) Starke Authentifizierung (MFA, Passkeys, Smartcard) 

Keycloak bietet moderne MFA Mechanismen wie: 

  • WebAuthn / Passkeys 
  • TOTP Apps 
  • FIDO2 Security Keys 
  • Smartcard Integrationen 

Damit erfüllt Keycloak direkt die NIS2 Anforderungen für „Strong Customer Authentication“. 

2) Rollen & Berechtigungen nach dem Least Privilege Prinzip 

NIS2 fordert ein nachvollziehbares Rollenmodell.
Mit Keycloak gelingt das durch: 

  • RBAC über Realm & Client Rollen 
  • Organisationen für Mandanten 
  • Delegierte Administration 
  • Automatische Rollenzuweisung 

Ein großer Vorteil: Rechte können mandantenübergreifend konsistent vergeben werden – besonders passend für B2B SaaS Modelle. 

3) Logging & Audit für alle sicherheitsrelevanten Events 

Keycloak loggt u. a.: 

  • Login / Logout 
  • Fehlgeschlagene Logins 
  • Admin Aktionen 
  • Token Events 
  • IdP Fehler 

Durch Open Telemetry Unterstützung (seit 26.x) lassen sich Logs & Traces zentralisiert in Tools wie Grafana, Datadog oder SIEM Systemen auswerten. 

4) Regelmäßige Updates & CVEManagement 

Aktuelle Keycloak Versionen enthalten laufend sicherheitsrelevante Patches — z. B. Fixes in SAMLFlows, API Parsing, Token Handling oder DoS Abwehrmechanismen. 

Unternehmen müssen dafür sorgen, dass: 

  • Updates zeitnah eingespielt werden 
  • CVEs regelmäßig geprüft werden 
  • Staging Deployments existieren 
  • Backups & Rollbacks funktionieren 

Ohne diese Prozesse sind NIS2 Anforderungen nicht erfüllbar. 

5) Absicherung kritischer AdminZugänge 

Admin Zugänge sind der häufigste Angriffsvektor — NIS2 macht diese Absicherung verpflichtend: 

Empfehlungen: 

  • MFA erzwingen 
  • Auf IP Ranges beschränken 
  • Brute Force Schutz aktivieren 
  • Admin Rollen klar trennen 
  • Admin Console hinter VPN / Zero Trust 

Häufige Fehler, die gegen NIS2 verstoßen 

Aus Projekterfahrung sehen wir immer wieder: 

  • Admin Konten ohne MFA 
  • Veraltete Keycloak Versionen (6–18 Monate zurück) 
  • Keine zentralen Logs 
  • Kein gelebtes Rollenmodell 
  • Zu viele globale Admins 
  • Keine klar definierten Update Prozesse 
  • Custom Extensions ohne Security Review 
  • Unsichere Konfiguration in Kubernetes / Cloud 

Diese Themen sind unter NIS2 nicht mehr tolerierbar. 

Wie Unternehmen Keycloak NIS2konform betreiben können 

✔ 1. Security Audit / Config Review 

→ Analyse von Flows, Realms, Rollen, Logs, Infrastruktur 

✔ 2. Aufbau eines standardisierten Rollenmodells 

→ Reduzierung von Risiken & Berechtigungswildwuchs 

✔ 3. Stärkung der Admin Absicherung 

→ MFA, Restriction, Audit Logging 

✔ 4. Monitoring, Open Telemetry & SIEM Anbindung 

→ Pflicht für Nachvollziehbarkeit 

✔ 5. Patch Management etablieren 

→ Regelmäßige Reviews & Updates 

✔ 6. Härtung der Umgebung 

→ Reverse Proxy, TLS, Cluster Security, DB Härtung 

Fazit: NIS2 ist nicht nur „Security“ – es ist Identity First Security 

Mit NIS2 rückt Identity & Access Management ins Zentrum der IT Sicherheit.
Keycloak ist dafür hervorragend geeignet — aber nur, wenn es korrekt betrieben wird. 

Ein unsicheres oder ungewartetes Keycloak ist eine direkte NIS2 Verletzung.
Ein professionell konfiguriertes Keycloak hingegen ist ein starkes Sicherheits Asset. 

Du möchtest sicherstellen, dass euer Keycloak NIS2 ready ist?
Wir unterstützen dich mit: 

🔒Keycloak Security Check
→ inkl. Config Review, Flow Analyse, Logs & Infrastruktur 

🚀Keycloak as a Service (mit SLA & automatischen Sicherheits Updates)
→ keine Update Sorgen, keine Ausfälle, maximale Compliance 

easyCloak
→ sichere, delegierte Administration für Kunden, Partner & Organisationen
→ ideal für NIS2 konformes Rollen und Benutzer Management 

Wir machen dein Keycloak sicher, compliant und zukunftsfähig. 

Weitere interessante Beiträge

Alle Blog-Beiträge

Hast du Fragen?
Melde dich einfach bei uns.

Stephanie und Team
Sales Manager
+49 174 8 92 5 600
Call
LinkedIn
E-Mail
Robert-Bauer-Team-Vorstellung

    Schreib uns

    Fülle einfach und unkompliziert das Formular aus, wir melden uns bei dir.

    Hey, wie kann ich dir helfen?

    WordPress Plugin Entwicklung von WordPress-Agentur aceArt.