Bitnami-Umstellung: Was Keycloak-Nutzer jetzt wissen und tun müssen

Was ändert sich konkret?

Mitte August hat eine Nachricht die Kubernetes-Community aufgeschreckt: Broadcom wird große Teile des bislang kostenlos verfügbaren Bitnami-Katalogs hinter eine Paywall stellen. Ab dem 29. August 2025 sind viele der zuvor frei zugänglichen Container-Images und Helm-Charts nur noch im Rahmen eines kostenpflichtigen Abonnements nutzbar. Besonders betroffen sind Deployments, die auf den populären Bitnami-Images für Keycloak basieren – und das sind sehr viele. Bitnami war über Jahre hinweg ein Synonym für einfache, sichere und aktuelle Deployments von Open-Source-Anwendungen in Kubernetes. Wer Keycloak in einer Cluster-Umgebung betreiben wollte, griff oft auf das Bitnami-Helm-Chart zurück, da das offizielle Keycloak-Projekt zwar einen Kubernetes-Operator bereitstellt, aber kein eigenes Chart für klassische Installationen. Mit der Umstellung ändert sich diese Selbstverständlichkeit grundlegend. Die älteren, versionierten Bitnami-Images verschwinden aus der bekannten Registry und werden in ein sogenanntes „Legacy Repository” verschoben. Dieses erhält keine Sicherheitsupdates mehr. Parallel dazu führt Broadcom die kostenpflichtigen „Bitnami Secure Images“ ein. Diese werden weiterhin gepflegt und gehärtet, stehen aber nur noch zahlenden Kunden zur Verfügung. Die Helm-Charts selbst bleiben zwar Open Source und unter der Apache-2.0-Lizenz auf GitHub verfügbar. Doch standardmäßig verweisen sie auf Images, die nach dem Stichtag ohne gültige Subscription nicht mehr zugänglich sind. Das bedeutet, dass ein „helm upgrade” plötzlich fehlschlagen kann, wenn die referenzierten Images nicht mehr heruntergeladen werden können. Für Betreiber von Keycloak-Instanzen in Kubernetes ist dies ein ernstzunehmendes Risiko, da fehlschlagende Deployments nicht nur Entwicklungs- und Testumgebungen blockieren, sondern im schlimmsten Fall auch produktive Systeme beeinträchtigen können.

Risiken und praktische Auswirkungen für Unternehmen

Noch gravierender ist die Gefahr, dass Unternehmen aus Bequemlichkeit oder Zeitdruck bei den Legacy-Images bleiben. Diese werden jedoch nicht mehr mit Sicherheitsupdates versorgt, was bei einer sicherheitskritischen Komponente wie Keycloak fatale Folgen haben kann. Schließlich verwaltet Keycloak sensible Identitäts- und Zugriffsdaten und jede ungepatchte Schwachstelle kann hier zum Einfallstor für Angreifer werden. Hinzu kommt, dass viele Teams gar nicht wissen, ob sie Bitnami-Images direkt oder indirekt nutzen. Oft ziehen andere Charts – etwa für PostgreSQL, das häufig als Backend für Keycloak dient – transitiv Bitnami-Images ein, ohne dass den Betreibern dies bewusst ist. Die Kostenfrage verschärft die Situation zusätzlich. Broadcoms Preisgestaltung zielt klar auf große Enterprise-Kunden ab, die bereit sind, für geprüfte und gehärtete Images tief in die Tasche zu greifen. In der Community kursieren Schätzungen von 50.000 US-Dollar pro Jahr und mehr – Summen, die für kleinere Unternehmen oder Open-Source-Projekte kaum zu stemmen sind.

Empfehlungen, wie Nutzer reagieren sollten

Das bedeutet für Keycloak-Nutzer, dass sie kurzfristig handeln müssen. Zunächst ist eine Bestandsaufnahme erforderlich, um festzustellen, welche Images aktuell eingesetzt werden und ob diese direkt oder indirekt von Bitnami stammen. Wer hier Klarheit schafft, kann anschließend gezielt entscheiden, wie er weiter vorgeht. Eine kurzfristige Maßnahme kann darin bestehen, die aktuell genutzten Images aus dem Legacy-Repository in eine eigene Container-Registry zu spiegeln. Dadurch wird sichergestellt, dass Deployments auch nach der Umstellung reproduzierbar bleiben. Allerdings löst diese Maßnahme das Problem fehlender Sicherheitsupdates nicht, sondern vertagt sie lediglich. Langfristig führt kein Weg daran vorbei, auf alternative Images umzusteigen. Für Keycloak bieten sich die offiziellen Container-Images des Projekts an. Wer weiterhin mit Helm-Charts arbeiten möchte, kann entweder das Bitnami-Chart forken und auf andere Images umstellen oder auf Alternativen, wie das von Codecentric gepflegte Chart, zurückgreifen. Eine besonders zukunftssichere Option ist der Einsatz des Keycloak-Operators, der von der Community gepflegt wird und viele Betriebsaufgaben automatisiert. Mit dem Operator lassen sich Keycloak-Instanzen direkt auf Basis der offiziellen Images betreiben, ohne dass man auf Bitnami angewiesen ist. Der Umstieg auf den Operator erfordert zwar etwas Einarbeitung, bietet aber klare Vorteile. Updates, Skalierung und Backups lassen sich damit deutlich eleganter umsetzen und die Abhängigkeit von Drittanbietern sinkt. Zudem können Betreiber sicherstellen, dass sie jederzeit die Kontrolle über die eingesetzten Images behalten und diese nach Bedarf härten oder anpassen können.

Fazit: Warum Bare.ID gerade jetzt eine starke Alternative und Unterstützung sein kann

Die Bitnami-Umstellung macht deutlich, wie abhängig viele Organisationen von einzelnen Bausteinen in ihrer Software-Lieferkette sind – häufig ohne es zu wissen. Keycloak ist und bleibt eine leistungsstarke Open-Source-Lösung für das Identity- und Access-Management. Der Betrieb in Eigenregie ist jedoch komplex und erfordert kontinuierliche Aufmerksamkeit. Wer die Anwendung nicht aktiv pflegt, riskiert Sicherheitsprobleme, ungeplante Kosten und Ausfälle. Genau hier kann Bare.ID eine entscheidende Rolle spielen. Als vollständig gemanagte Identity- und Access-Management-Plattform auf Basis von Keycloak übernimmt Bare.ID die gesamte Betriebsverantwortung – von der Bereitstellung über Sicherheitsupdates bis hin zur Skalierung. Unternehmen müssen sich somit nicht mehr um Container-Images, Helm-Charts oder die Härtung der Infrastruktur kümmern, sondern können sich auf ihre Kernprozesse konzentrieren. Der Betrieb erfolgt in deutscher Cloud-Infrastruktur, ist DSGVO-konform und macht keine Abhängigkeit von einzelnen Image-Anbietern wie Bitnami erforderlich. In einer Zeit, in der sich die Rahmenbedingungen im Open-Source-Ökosystem so schnell ändern können, ist es von Vorteil, auf eine Lösung zu setzen, die Stabilität und Sicherheit garantiert. Die Bitnami-Umstellung sollte für alle, die Keycloak selbst betreiben, ein Weckruf sein. Wer jetzt handelt, kann Ausfälle vermeiden und seine Plattform langfristig unabhängiger und resilienter machen. Für viele Unternehmen ist jetzt der richtige Zeitpunkt, um zu prüfen, ob ein Wechsel zu einer gemanagten Lösung wie Bare.ID nicht die bessere und sicherere Wahl ist.