In diesem Exklusivinterview spricht Rahul mit Thomas Darimont, Digital Identity Consultant und Keycloak-Community-Experte, über die sich wandelnde Sicherheitslandschaft im Bereich Identity Management und das vielversprechende Shared Signals Framework (SSF), das die Art und Weise, wie wir mit Sicherheitsvorfällen in föderierten Systemen umgehen, revolutionieren könnte.
⏱ Lesezeit: 7 Minuten
Pioniere der digitalen Identitäten: Verbesserung der Sicherheit durch Shared Signals
Rahul: Thomas, vielen Dank, dass du dir nach deinem Vortrag auf dem Keycloak Dev Day 2025 Zeit für dieses Gespräch genommen hast. Könntest du unseren Lesern, die sich vielleicht noch nicht so gut in diesem Bereich auskennen, einen kurzen Überblick über Keycloak und seine Bedeutung in der heutigen digitalen Landschaft geben?
Thomas: Gerne, Rahul. Keycloak ist eine Open-Source-Lösung für Identitäts- und Zugriffsmanagement, die für viele Unternehmen zu einer wichtigen Infrastruktur geworden ist. Sie übernimmt Authentifizierungs- und Autorisierungsprozesse und bestimmt im Wesentlichen, wer innerhalb digitaler Umgebungen auf was zugreifen kann. Was es besonders leistungsstark macht, ist, dass es nun unter dem Dach der Cloud Native Computing Foundation steht, obwohl Red Hat weiterhin stark an der Entwicklung beteiligt ist. Diese Stiftung verleiht Keycloak eine hohe Glaubwürdigkeit im Unternehmensbereich und bewahrt gleichzeitig die Innovationsvorteile von Open Source.
Rahul: Der Keycloak Dev Day 2025 in Darmstadt ist gerade zu Ende gegangen. Kannst du uns deine Eindrücke von der Veranstaltung schildern und uns sagen, was es über das Keycloak-Ökosystem aussagt?
Thomas: Ich war völlig überwältigt von der Breite und Tiefe des Keycloak-Wissens, das auf der Veranstaltung präsentiert wurde. Sie hat sich zu einer der wichtigsten Konferenzen für das Erlernen und den Austausch von Keycloak-Best-Practices entwickelt. Wir hatten über 170 Teilnehmer, 18 Vorträge, eine Keynote und mehr als 25 Referenten und Maintainer. Für eine eintägige, projektspezifische Veranstaltung ist das eine bemerkenswerte Teilnehmerzahl.
Das Besondere daran ist, dass es sich wirklich um ein „Klassentreffen der Community” für Keycloak-Entwickler handelt. Am Tag zuvor fand ein Hackathon vor der Konferenz statt, bei dem Menschen aller Qualifikationsstufen einen Beitrag leisten konnten – indem sie Fehler behoben, Funktionen hinzugefügt, die Dokumentation verbessert oder die Liste der Probleme bereinigt haben. Dieser praktische Ansatz verkörpert den Open-Source-Ethos: Man nutzt Keycloak nicht nur, sondern hilft auch dabei, es aufzubauen und seine Ausrichtung zu beeinflussen.
Rahul: Dein Vortrag konzentrierte sich auf das Shared Signals Framework. Kannst du erklären, was SSF ist und warum es für die Identitätssicherheit wichtig ist?
Thomas: Das Shared Signals Framework ist ein neuer Standard, der eine kritische Sicherheitslücke in föderierten Identitätssystemen schließt. Denk zum Beispiel daran, wie du dein Google-Login für mehrere Dienste verwenden kannst – das ist föderierte Identität. SSF schafft eine standardisierte, sichere Möglichkeit für alle verschiedenen Komponenten in diesem Ökosystem – Identitätsanbieter und die Dienste, bei denen du dich anmeldet – Sicherheitsinformationen schnell auszutauschen.
Dabei kann es sich um kritische Warnmeldungen handeln, wie „Die Sitzung dieses Benutzers muss beendet werden“ oder „Wir glauben, dass diese Anmeldedaten kompromittiert sein könnten“. Die wichtigste Neuerung ist die Standardisierung – die zuverlässige Kommunikation zwischen verschiedenen Systemen in Bezug auf Sicherheit war bisher eine Herausforderung, und SSF soll dieses Problem lösen.
Rahul: Das klingt bedeutend. Kannst du uns anhand eines praktischen Beispiels zeigen, wie SSF in einem realen Szenario funktionieren könnte?
Thomas: Stell dir folgendes Szenario vor: Du meldest dich bei deiner Bank, deinem Gesundheitsportal und deinen Arbeitsanwendungen an, wobei du jeweils einen einzigen Identity Provider (IDP) verwendest. Wenn dieser IDP ohne SSF kompromittiert wird, wissen deine Bank und andere verbundene Dienste möglicherweise nichts von der Sicherheitsverletzung. Sie würden weiterhin Anmeldungen akzeptieren, wodurch eine erhebliche Schwachstelle entstehen würde, über die Angreifer potenziell auf alle deine verbundenen Dienste zugreifen könnten.
Mit SSF würde der kompromittierte IDP sofort ein Signal senden: „Es gibt ein Problem mit diesem Benutzer.“ Die verbundenen Dienste würden dieses Signal empfangen und könnten sofort Maßnahmen ergreifen – Benutzer überall abmelden, Konten vorübergehend sperren, Passwortzurücksetzungen erzwingen oder strengere Authentifizierungsmethoden für nachfolgende Anmeldeversuche verlangen. Damit wird die Sicherheitsverletzung viel schneller eingedämmt als mit herkömmlichen Methoden.
Rahul: Es geht also darum, von reaktiver zu proaktiver Sicherheit überzugehen?
Thomas: Genau. Anstatt darauf zu warten, dass jeder Dienst verdächtige Aktivitäten unabhängig voneinander erkennt, ermöglicht SSF den Austausch von Informationen in Echtzeit von der Quelle, die das Problem zuerst identifiziert hat. Dieser Wechsel von reaktiven zu proaktiven Sicherheitsmaßnahmen kann die Auswirkungen von Sicherheitsvorfällen drastisch reduzieren.
Rahul: Wie passt Keycloak in das SSF-Ökosystem?
Thomas: Ich habe einen Proof of Concept demonstriert, der zeigt, wie Keycloak als SSF-Empfänger funktioniert. Das ist vielversprechend, da es zeigt, dass Keycloak eine wichtige Rolle in diesem Sicherheitsökosystem spielen könnte. Die Details der Implementierung sind jedoch noch nicht endgültig festgelegt – die Community diskutiert noch, ob die SSF-Funktionalität direkt in den Kern von Keycloak integriert oder als separates Add-on entwickelt werden soll.
Wichtig ist, dass die Keycloak-Community ernsthaft untersucht, wie SSF zur Verbesserung der Sicherheit genutzt werden kann. Dies passt perfekt zum Open-Source-Ansatz, bei dem die Community gemeinsam den besten Implementierungsweg festlegt.
Rahul: Apropos Community: Wie siehst du die allgemeine Entwicklung und die zukünftige Ausrichtung von Keycloak?
Thomas: Die Keycloak-Community ist bemerkenswert lebendig. Es ist nicht nur Red Hat, das Code vorantreibt, sondern es gibt auch erhebliche Beiträge von Menschen, die Keycloak täglich in Produktionsumgebungen einsetzen. In der Community entstehen regelmäßig neue Funktionen, detaillierte Blogbeiträge, in denen Implementierungsansätze erläutert werden, und gemeinsame Best Practices.
Diese Vielfalt an Beiträgen ist sowohl eine Herausforderung als auch eine Stärke. Während es Zeit braucht, um in Open Source einen Konsens zu erzielen, führen die unterschiedlichen Perspektiven zu einem robusteren, flexibleren Produkt. Die Verbreitung von Keycloak in verschiedenen Branchen zeigt diese Flexibilität – es ist nicht nur für eine Nische konzipiert, sondern kann viele verschiedene Identitätsszenarien bewältigen. Diese Anpassungsfähigkeit ist entscheidend, da Identitätsmanagement von Natur aus komplex und unübersichtlich ist. Die Tatsache, dass Keycloak in so vielen Kontexten effektiv funktioniert, deutet darauf hin, dass sein Kerndesign grundsätzlich solide ist.
Rahul: Du hast erwähnt, dass du Keycloak für Neulinge zugänglicher machen willst. Welche Initiativen gibt es in dieser Richtung?
Thomas: Das ist etwas, das mir besonders am Herzen liegt. Wir arbeiten daran, die Dokumentation zu verbessern, insbesondere durch das Hinzufügen von praktischeren Schritt-für-Schritt-Anleitungen für gängige Szenarien wie die Sicherung von Single-Page-Anwendungen oder mobilen Apps.
Keycloak ist zwar leistungsstark, aber diese Leistungsfähigkeit kann beim ersten Kontakt einschüchternd wirken. Bessere Beispiele und Dokumentationen tragen dazu bei, diese Einstiegshürde zu senken. Die Frage, wie man die zugrunde liegende Komplexität reduzieren kann, ohne dabei an Leistungsfähigkeit einzubüßen, ist immer eine Herausforderung, aber eine gezielte Verbesserung der Dokumentation ist ein praktischer erster Schritt, während die längerfristigen Diskussionen über die Architektur weitergehen.
Rahul: Was wären für jemanden, der sich für einen Beitrag zu Keycloak interessiert, gute Einstiegspunkte in die Community?
Thomas: Es gibt mehrere zugängliche Wege. Einer der einfachsten ist die Bereitstellung von Übersetzungen über die WebLate-Plattform. Man muss nicht programmieren, aber man macht Keycloak weltweit zugänglicher – das ist eine bedeutende Wirkung.
Entwickler sollten mit den Richtlinien für Mitwirkende im Code-Repository beginnen. Dort wird erklärt, wie man Code formatiert, Tests durchführt und Änderungen einreicht – also der Standardprozess. Für Beiträge zum Code sucht man nach Issues mit der Kennzeichnung „help wanted“ – dabei handelt es sich in der Regel um kleinere Aufgaben wie Bugfixes, Tippfehler oder UI-Optimierungen, mit denen man die Codebasis kennenlernen kann, ohne sich gleich beim ersten Beitrag an etwas Großes zu wagen.
Tests sind für Sicherheitssoftware von entscheidender Bedeutung. Jede echte Codeänderung erfordert gute Integrationstests, und die Community arbeitet daran, das Testframework selbst zugänglicher zu machen. Einfacheres Testen führt zu mehr Tests, was wiederum zu zuverlässigerer Software führt – ein positiver Kreislauf.
Außerdem darf man die Community als Ressource nicht unterschätzen. Tritt den Slack-Kanälen bei, nimm an Online-Meetups teil und erwäge die Teilnahme an Veranstaltungen wie dem Dev Day oder dem bevorstehenden KeyKloon in Amsterdam. Der Austausch mit anderen Nutzern liefert oft das praktischste Wissen und die besten Einblicke.
Rahul: Birgt es ein Risiko, sich so stark auf die Unterstützung der Community zu verlassen? Was passiert, wenn wichtige Mitwirkende ausscheiden?
Thomas: Das ist bei Open Source immer ein Thema, aber eine gesunde Community ist nicht von nur ein oder zwei Personen abhängig. Das Ideal, das Keycloak anstrebt, ist es, neue Mitwirkende zu fördern und Wissen breit zu streuen. Dadurch wird das Fachwissen verteilt und die Kontinuität gewährleistet, auch wenn sich die Beteiligung einzelner Personen im Laufe der Zeit natürlich verändert.
Rahul: Zum Abschluss: Was sind deiner Meinung nach die wichtigsten Entwicklungen, die sich für das Identitätsmanagement und speziell für Keycloak abzeichnen?
Thomas: Standards wie das Shared Signals Framework stellen einen großen Fortschritt bei der Sicherung von Verbundidentitätssystemen dar. Da unser digitales Leben zunehmend vernetzt ist und Dienste häufig mit zentralen Identitätsanbietern verbunden sind, wird die Sicherheit dieser Verbindungen immer wichtiger.
Keycloaks Fokus auf die Implementierung offener Standards bei gleichzeitiger Beibehaltung seines community-orientierten Entwicklungsansatzes positioniert es gut für die Zukunft. Gutes Identitätsmanagement ist nicht mehr optional – es ist grundlegend für die digitale Sicherheit. Die Kombination aus der technischen Grundlage von Keycloak und seiner engagierten Community schafft eine leistungsstarke Plattform für die Bewältigung neuer Sicherheitsheranforderungen.
Rahul: Eine letzte Frage – was sollten Unternehmen aus diesem Gespräch über SSF und Identitätsmanagement mitnehmen?
Thomas: Ich würde jedem empfehlen, darüber nachzudenken, wie stark die digitalen Dienste mittlerweile miteinander vernetzt sind. Man denke an alle Online-Dienste, die das eigene Unternehmen nutzt, und wie diese miteinander verbunden sind. Und nun stelle man sich vor, diese könnten Sicherheitswarnungen in Echtzeit über etwas wie SSF austauschen – wie würde das die Sicherheitslage verändern? Die potenziellen Auswirkungen sind erheblich.
Unabhängig davon, ob man Keycloak bereits nutzt oder sich gerade erst mit Identitätsmanagement-Lösungen beschäftigen, ist die Zusammenarbeit mit der Community von unschätzbarem Wert. Schau dir das Projekt an, besuche ein Meetup, nimm an Diskussionen teil. Insbesondere im Bereich der Sicherheit führt dieses gemeinsame Lernen und der Austausch von Erfahrungen zu einem stärkeren Schutz für alle.
Rahul: Thomas, vielen Dank für diese wertvollen Einblicke in Keycloak und das Shared Signals Framework.
Thomas: Es war mir ein Vergnügen, Rahul. Vielen Dank, dass du dazu beiträgst, das Bewusstsein für diese wichtigen Entwicklungen im Bereich der Identitätssicherheit zu schärfen.
Dieses Interview wurde aus Gründen der Übersichtlichkeit und Länge bearbeitet. Seid gespannt auf die nächste Folge unserer Reihe „Pioniere der digitalen Identität“, in der wir uns weiter mit den Technologien und Standards befassen, die die Verwaltung von Identitäten im digitalen Zeitalter verändern.
