Vergleich Auth0 vs. Bare.ID - die Auth0 Alternative

IAM SaaS-Lösungen wie Auth0 und Bare.ID haben den Vorteil, dass Betrieb, Hosting und Entwicklung vom Anbieter übernommen werden und beim Kunden somit kein Aufwand für den eigenständigen Betrieb sowie die Integration von Sicherheitsupdates entsteht. Die Kosten einer SaaS-Lösung sind zudem je nach benötigtem Leistungsumfang durch Wegfall weiterer Ressourcen auch für KMUs tragbar und deutlich günstiger als vergleichbare OnPremise Lizenz-Modelle.

Auth0 (seit 2021: Teil von Okta) ist einer der führenden US-amerikanischen Anbieter für Identity- und Access-Management in der Cloud und bietet einen ähnlichen Funktionsumfang wie Bare.ID. Beide SaaS-Anbieter unterstützen Unternehmen, ihre Login- und Authentifizierungsprozesse abzusichern und gleichzeitig die Benutzerfreundlichkeit via Single Sign-On zu erhöhen. Da digitale Souveränität vor allem im Cloud-Umfeld eine große Rolle spielt, ist Auth0 als US-amerikanischer Anbieter im Rahmen deutscher Sicherheitsanforderungen allerdings als riskant einzustufen. Inwieweit Serverstandorte eine Rolle spielen und sich Bare.ID ansonsten von Auth0 differenziert wird im Nachfolgenden weiter erläutert:

Hosting & Betrieb

Auth0 als US-amerikanische Lösung setzt im Wesentlichen auf Amazon Webservices als Cloud Infrastruktur, Bare.ID dagegen nutzt als Infrastruktur den in Deutschland bereitgestellten Managed Openstack von SysEleven. Bare.ID hostet also im Vergleich zum US-amerikanischen Mitbewerber ausschließlich in Deutschland, mehrfach redundant und selbst KRITIS-Verordnung-konform Georedundant. Das mehrfach redundante Setup von Bare.ID garantiert in jedem Tarif eine Verfügbarkeit von 99,9%, womit unabhängig von Tarif-Level ein zuverlässiger Einsatz möglich ist. Auth0 dagegen bietet SLAs bzgl. Verfügbarkeit erst ab Custom Enterprise Tarifen an und schränkt damit kleinere Anbieter in ihrer zuverlässigen Nutzung ein. Eine weitere starke Differenzierung ist, dass Bare.ID das etablierte IAM Open Source Framework Keycloak im Kern verwendet, erweitert um eine eigene Benutzeroberfläche und zahlreiche Features. Da es im Bereich IT-Sicherheit immer von Vorteil ist, wenn immer möglich auf etablierte Standards und Open Source-Bibliotheken zuzugreifen, ist Keycloak eine solide Basis. Allerdings haben Unternehmen oft Schwierigkeiten mit dem eigenständigen Hosting einer solchen sicherheitsrelevante Software nach in entsprechender Güte und suchen aktiv Keycloak-as-a-Service. Zudem besteht dadurch mit Bare.ID kein Vendor Lock-In, das heißt bei einem gewünschten Anbieter-Wechsel können Daten und Konfiguration einfach mitgenommen werden.

Datenschutz und Compliance

Unternehmen im europäischen, speziell deutschsprachigen Gebiet unterliegen den strengen DSGVO-Richtlinien und branchenspezifischen Regularien. Eine DSGVO konforme Nutzung ist nur möglich, wenn durch technische Maßnahmen sichergestellt ist, dass persönliche Daten entweder nur verschlüsselt die EU verlassen oder andere organisatorische Maßnahmen die Auswertung dieser verhindern. Im Falle von Logins und Identitätsverwaltung ist dies jedoch nahezu unmöglich, da um ein Login durchzuführen bzw. die Identität zu verwalten diese im Klartext bei dem im Drittland gehosteten Anbieter vorliegen muss. Die DSGVO konforme Nutzung stellt die relevanteste Differenzierung der Anbieter dar, im Gegensatz zum US-amerikanische Anbieter Auth0 bietet nur Bare.ID DSGVO-konformen Cloud Service. Zudem bildet Bare.ID in der Grundkonfiguration bereits gesetzliche und branchenspezifische Sicherheitsanforderung ab und kann dadurch selbst in stark regulierten Bereichen konform eingesetzt werden.

MFA-Varianten

Auth0 und Bare.ID bieten verschiedene Authentifizierungsverfahren, welche nach Bedarf aktiviert werden können. Von grundlegenden Methoden wie OTP via E-Mail, SMS oder Authenticator-App, über WebAuthn bis zu passwortloser Authentifizierung bieten die beiden Anbieter ein breites Spektrum. Allerdings ermöglicht Bare.ID in jedem Tarif die Auswahl aus allen verfügbaren MFA-Verfahren, während bei Auth0 alle Tarife unter Enterprise lediglich Authenticator App MFA inkludieren. Bare.ID ermöglicht darüber hinaus die Mobiltelefon bzw. Windows basierte Mehrfaktor Authentifizierung "Sicherer Login bei Webdiensten" der secunet Security Networks AG für passwortlose Authentifizierung, welche alle aktuellen gesetzlichen Sicherheitsauflagen erfüllt, BSI-Richtlinien entspricht und in diesem Umfeld führender Anbieter am deutschen Markt ist - ohne Integrationsaufwände und mit einem Klick aktivierbar.

Support

Als SaaS-Lösungen bieten sowohl Auth0 als auch Bare.ID einen dedizierten Support an sowie Unterstützung bei der Implementierung. Als deutsches Unternehmen steht der Bare.ID Support den Kunden allerdings in selbiger Sprache zur Verfügung und bietet im Vergleich zu Auth0 einen erstklassigen Support zu europäischen Arbeitszeiten.

Fazit

Wie bereits zu Beginn erläutert ist die ausschlaggebendste Differenzierung der beiden Anbieter, dass Auth0 nicht als DSGVO konformer Cloud Service genutzt werden kann, während Bare.ID digitale Souveränität realisiert. Diese Differenz ist so entscheidend, da sich die Anforderungen an IT-Sicherheit, sowohl in der Privatwirtschaft als auch im öffentlichen Sektor, in den letzten Jahren durch verschiedene Regularien drastisch erhöht und der Bedarf an deutschzertifizierten Partnern im Software-Umfeld durch verschiedene Beschlüsse gestiegen ist. Wie auch in unserem Artikel über Zero Trust-Architektur (Link) erwähnt, wird eine Stärkung der heimischen Wirtschaft vor allem im Cloud-Umfeld vom Bundesinnenministerium forciert. Zudem sollen gerade im Umfeld der kritischen IT-Infrastruktur (KRITIS) langfristig nur noch Anbieter mit kontrollierter deutscher oder europäischer Herkunft eingesetzt werden und eine Lösung wie Auth0 wäre an dieser Stelle nicht zukunftsfähig.

Mehr erfahren? Das Bare.ID Experten-Team steht Ihnen mit Erfahrung zur Seite und berät Sie gerne, wie unsere Lösung in Ihre IT-Umgebung passen kann. Vereinbaren Sie einfach einen unverbindlichen Beratungstermin über unser Kontaktformular und unser Team setzt sich schnellstmöglich mit Ihnen in Verbindung.