Ein Keycloak Security Audit ist eine systematische Sicherheitsüberprüfung Ihrer Keycloak-Installation durch loginfactor. Geprüft werden alle sicherheitsrelevanten Konfigurationen: Realm-Settings, Client-Konfigurationen, Authentifizierungs-Flows, Identity Federation, Rollen und Berechtigungen sowie Betriebsaspekte. Sie erhalten einen dokumentierten Report mit allen Findings, Risikobewertung und priorisierten Handlungsempfehlungen – verwendbar für interne Dokumentation oder externe Compliance-Audits.
Keycloak ist mächtig, aber komplex – und Fehlkonfigurationen fallen nicht auf, bis es zu spät ist. Ein Audit durch loginfactor deckt typische Schwachstellen auf: Wildcard-Redirect-URIs die Phishing ermöglichen, fehlende PKCE bei Public Clients, zu lange Token-Lebensdauern, deaktivierter Brute-Force-Schutz oder vergessene Admin-Accounts. Besonders wenn Ihre Installation gewachsen ist, von einem Vorgänger übernommen wurde oder ein Compliance-Audit ansteht, schafft ein Security Audit Klarheit.
loginfactor empfiehlt: mindestens einmal jährlich, zusätzlich nach größeren Änderungen (neue Identity Provider, Major Upgrades, Architektur-Änderungen). Für Unternehmen mit Compliance-Anforderungen ist ein regelmäßiger Rhythmus sinnvoll – halbjährlich oder jährlich, je nach Risikoklasse. loginfactor bietet dafür Audit-Verträge mit planbaren Kosten.
Ein Keycloak Audit prüft Konfiguration und Best Practices von innen – mit Admin-Zugang und Dokumentationsziel. Ein Penetration Test simuliert Angriffe von außen, ohne Insider-Wissen. Beides ergänzt sich: Das Audit findet Fehlkonfigurationen systematisch, der Pentest zeigt, was ein Angreifer tatsächlich ausnutzen könnte. loginfactor führt Security Audits durch; für Pentests empfehlen wir spezialisierte Partner.
loginfactor bietet drei Audit-Formate: (1) Einmaliges Audit – umfassende Bestandsaufnahme mit detailliertem Report für eine Momentaufnahme. (2) Regelmäßiges Audit – wiederkehrende Prüfung (halbjährlich oder jährlich) für kontinuierliche Sicherheit und Compliance. (3) Workshop-Format – gemeinsame Analyse mit Ihrem Team inklusive Know-how-Transfer, damit Sie zukünftig selbst prüfen können.
Die Kosten richten sich nach Umfang und Komplexität: Anzahl der Realms, angebundene Identity Provider, Custom Extensions und gewünschte Tiefe der Analyse. Ein typisches Audit für eine mittelgroße Installation liegt im niedrigen vierstelligen Bereich. loginfactor erstellt nach einem kostenlosen Erstgespräch ein individuelles Angebot – unverbindlich und transparent.
Nach einem Erstgespräch legen wir gemeinsam die Arbeitsweise fest: Remote-Analyse mit Read-Only-Zugang zu Ihrer Admin-Konsole, gemeinsame Session per Remote Desktop, oder Workshop vor Ort bzw. online. Die Analyse selbst dauert je nach Umfang wenige Tage. Sie erhalten einen dokumentierten Report mit allen Findings, Risikobewertung und priorisierten Empfehlungen. Optional besprechen wir die Ergebnisse gemeinsam und planen die Umsetzung.
Ja. Der Audit-Report von loginfactor dokumentiert den Sicherheitsstatus Ihrer IAM-Infrastruktur – genau das, was Auditoren sehen wollen. Er zeigt identifizierte Risiken, durchgeführte Prüfungen und empfohlene Maßnahmen. Viele Kunden nutzen den Report als Nachweis für ihr ISMS oder als Grundlage für Maßnahmenpläne im Rahmen von Zertifizierungen.
Ja. loginfactor übernimmt auf Wunsch die Umsetzung aller Audit-Empfehlungen: Konfigurationsänderungen, Extension-Entwicklung, Performance-Optimierung, Architektur-Anpassungen oder Migration zu Managed Hosting. So erhalten Sie Analyse und Lösung aus einer Hand – ohne erneutes Einarbeiten eines neuen Dienstleisters.
Ja. Neben Audits und Beratung bietet loginfactor auch Managed Keycloak an: Cloud Hosting in deutschen Rechenzentren (DSGVO-konform, kein US-Cloud-Anbieter) oder On-Premises-Support für Ihre eigene Infrastruktur. Nach einem Audit ist oft der ideale Zeitpunkt für einen Wechsel zu Managed Hosting – die Konfiguration ist geprüft, Schwachstellen sind dokumentiert, und loginfactor kennt Ihre Umgebung bereits.
