Alle Beiträge

Auth selbst bauen oder kaufen: die Rechnung, die Sie nicht kommen sehen

AuthagonalJune 30, 2026
authbuild-vs-buyssosecuritysaas

Mit KI aus dem englischen Original übersetzt. Original lesen

Authentifizierung ist das Feature, von dem jeder Entwickler überzeugt ist, es an einem Wochenende bauen zu können – und damit hat er recht. Sie können ein Login-Formular, eine Benutzertabelle und eine E-Mail zum Zurücksetzen des Passworts bis Sonntagabend bauen. Das Wochenende ist real. Das Wochenende ist aber nicht der Preis. Der Preis ist alles, was danach kommt, nach einem Zeitplan, den Sie nicht festlegen, für ein System, das Sie nie abschalten können.

Der Teil, den Sie für die Aufgabe halten

E-Mail und Passwort. Eine Sessions-Tabelle. Ein „Passwort vergessen"-Link, der einen Token per E-Mail schickt. Social Login, wenn Sie es gründlich angehen. Das ist wirklich ein Wochenende, und wäre das die ganze Aufgabe, sollten Sie es unbedingt selbst bauen. Es ist nicht die ganze Aufgabe, und das wissen Sie auch – weshalb Sie einen Bauen-oder-Kaufen-Artikel lesen, statt es einfach zu bauen.

Die Rechnung, die Sie nicht kommen sehen

Sie besitzen jetzt dauerhaft eine Angriffsfläche. Passwort-Hashing – und das erneute Hashen jedes Nutzers an dem Tag, an dem Ihnen klar wird, dass Ihr bcrypt-Kostenfaktor für Hardware von 2019 abgestimmt war. Rate Limiting und Account-Sperrung. Credential Stuffing, denn Ihr Login-Endpunkt landet innerhalb eines Monats nach dem Start auf jeder Breach-Replay-Liste. Und der große Brocken: Haftung. An dem Tag, an dem Sie Anmeldedaten speichern, werden Sie zum Ziel, und eine Datenpanne ist kein abstraktes Risiko mehr in der Preisfolie eines anderen. Es ist Ihr Vorfall, Ihre Offenlegungs-E-Mail, das Vertrauen Ihrer Kunden und womöglich Ihre Aufsichtsbehörde.

Die Protokoll-Arbeit schlägt in dem Moment auf, in dem Sie an irgendjemanden Ernstzunehmenden verkaufen. Enterprise-SSO bedeutet SAML, und SAML bedeutet XML-Signaturprüfung, die ein eigenes CVE-Genre ist (Sie wollen Signature Wrapping wirklich nicht in Produktion treffen; mehr dazu hier). SCIM bedeutet, Provisionierung und Deprovisionierung zu bauen, und Deprovisionierung ist eine Sicherheitskontrolle: Machen Sie sie falsch, behält ein entlassener Mitarbeiter seinen Zugang. MFA bedeutet Enrollment, Recovery-Codes und die Support-Schlange, wenn jemand sein Telefon verliert. Audit-Logs bedeuten Aufbewahrung und Manipulationssicherheit, denn der SOC 2-Auditor des Kunden wird danach fragen, und „wir loggen irgendwo in eine Datei" ist keine Antwort.

Der operative Rattenschwanz endet nie. Schlüsselrotation und JWKS. Session-Invalidierung, die über Geräte hinweg tatsächlich funktioniert. Token-Widerruf. Und Rufbereitschaft, für das eine System in Ihrem Stack, das, wenn es ausfällt, alles mitreißt: Niemand meldet sich an, kein API-Aufruf authentifiziert, Ihr ganzes Produkt ist eine 500er-Seite. Auth ist Tier Zero. Sie verpflichten sich, ein Tier-Zero-Sicherheitssystem für immer am Laufen zu halten, mit genau dem Personal, das Sie eigentlich für Ihr echtes Produkt einsetzen wollten.

Der Compliance-Rattenschwanz kommt jährlich. SOC 2, ISO 27001, der Sicherheitsfragebogen eines Interessenten: Jeder fragt im Detail nach jedem Punkt oben. Auditoren sind von „wir haben es selbst gebaut" nicht beeindruckt. Auth zu kaufen erlaubt Ihnen, auf die Kontrollen eines Anbieters zu verweisen; es selbst zu bauen macht diese Kontrollen zu Ihren – zu dokumentieren, nachzuweisen und zu verteidigen, Jahr für Jahr.

Wann Bauen tatsächlich die richtige Entscheidung ist

Das ist kein „immer kaufen"-Pitch, denn das wäre unehrlich, und Sie würden es sofort durchschauen. Bauen Sie Ihre eigene Auth, wenn:

  • Es ein kleines internes Tool hinter einem VPN ist, eine Handvoll Nutzer, keine Compliance-Fläche. Das Wochenende ist wirklich die ganze Aufgabe.
  • Auth ist Ihr Produkt. Wenn Sie ein Identity-Unternehmen aufbauen, dann bauen Sie Identity. Es ist Ihr Alleinstellungsmerkmal, nicht Ihr Overhead.
  • Sie wirklich ungewöhnliche Anforderungen haben, die zu keinem Anbieter passen, und ein dediziertes Sicherheitsteam, das das Ergebnis über dessen gesamte Lebensdauer verantwortet. Beachten Sie beide Hälften dieses Satzes. Das Team ist die teure Hälfte.

Außerhalb dieser Fälle ist die Rechnung einfacher, als sie aussieht. Die Kosten von „Bauen" waren nie das erste Wochenende. Es ist die dauerhafte Verantwortung für ein sicherheitskritisches System, das Ihr Produkt kein bisschen besser macht, nur stärker zu Ihrem eigenen.

Die ehrliche Neubetrachtung

Auth selbst zu bauen macht Ihr Produkt für keinen einzigen Kunden wertvoller. Niemand hat je Ihre Software gekauft, weil Sie die SAML-Signaturprüfung selbst geschrieben haben. Es verwandelt Auth nur vom Problem eines anderen in Ihres, für immer, und verbraucht die Entwicklungsarbeit, die Sie in das hätten stecken können, wofür die Leute tatsächlich bezahlen.

Der übliche Einwand gegen das Kaufen – dass Auth-Anbieter ein Vermögen verlangen, um die Enterprise-Features freizuschalten – ist real. Aber das ist ein Argument darüber, welcher Anbieter, nicht über Bauen oder Kaufen. Ein großer Teil dieser Rechnung ist eine Feature-Steuer, die Sie nicht zahlen müssen. Kaufen Sie Auth, die SSO, SCIM, MFA und Audit-Logs ohne die Mautstation pro Verbindung enthält, und die Frage nach Bauen oder Kaufen beantwortet sich größtenteils von selbst.

Bevor Sie einen Sprint in ein Login-System stecken, lohnt es sich, genau zu sehen, was Enterprise-Kunden davon verlangen werden. Hier ist, was enthalten ist – in jedem Tarif.