Letztes Jahr, Mandant aus dem Maschinenbau, knapp 80 Mitarbeitende. Deren Entwickler hatte einen soliden .NET-Stack aufgebaut: ASP.NET Core, SQL Server, IdentityServer für Single Sign-On zwischen zwei internen Applikationen. Alles gut dokumentiert, alles läuft. Dann kommt er ins Meeting und sagt: "Ich hab gerade nachgeschaut — wir bräuchten eigentlich die Duende-Lizenz. Die kostet 1.500 Dollar pro Jahr. Für eine Firma in unserem Umsatzbereich."
Ich hab ihn erstmal gefragt, ob er weiß, was sie heute konkret mit IdentityServer machen. Antwort: zwei interne Apps, OAuth2, ein paar Claims. Dann hab ich ihn gefragt, warum er damals IdentityServer genommen hat. Antwort: "War halt der Standard." Das ist das Muster, das ich in 70 Prozent der Mittelstands-.NET-Projekte sehe. Nicht falsch entschieden — aber die Entscheidung ist irgendwann ohne Kontext getroffen worden, und jetzt steht man vor Konsequenzen, die keiner auf dem Radar hatte.
Was Maarten Balliauw schreibt
Maarten Balliauw, fast zwölf Jahre Developer Advocate bei JetBrains — federführend für .NET, maßgeblich am Aufbau von JetBrains Rider beteiligt — wechselt Anfang 2025 zu Duende Software. Der Beitrag ist zu einem großen Teil ein herzlicher Abschied: Dankesworte an Kollegen, Erinnerungen an Highlights wie den Rider-Launch oder das "C# for Babies"-E-Book. Beruflich geht es ihm darum, bei Duende Customer Success und Developer Advocacy für IdentityServer und verwandte Tools zu übernehmen. Es ist ein gut geschriebener, ehrlicher Karrierepost — kein Produktmarketing, keine heißen Takes. Für jemanden, der die .NET-Community kennt, ist es schlicht ein Abschied von einem der sichtbarsten Gesichter der Szene.
Was der Beitrag nicht macht: Er geht nicht auf das ein, was der Wechsel zu Duende inhaltlich bedeutet — und genau da wird es für den Mittelstand interessant.
Was das in einem KMU mit 30 bis 300 Mitarbeitenden wirklich auslöst
Duende Software ist nicht irgendein Tool-Anbieter. Die haben 2022 IdentityServer übernommen — das bis dahin meistgenutzte Open-Source-Framework für OAuth2 und OpenID Connect im .NET-Ökosystem — und auf ein kommerzielles Lizenzmodell umgestellt. Seitdem gilt: Wenn du IdentityServer 6+ in einer kommerziellen Anwendung betreibst, brauchst du eine bezahlte Lizenz. Für Unternehmen mit über einer Million Dollar Jahresumsatz kostet die Starter-Tier 1.500 Dollar pro Jahr. Für größere Unternehmen mehr.
Das klingt nach wenig. Für viele Mittelständler war es trotzdem ein Schock — nicht wegen der Summe, sondern wegen des Prinzips. Man hatte sich auf "das ist OpenSource, das kostet nichts" verlassen, ohne je in die Lizenzbedingungen geguckt zu haben. Und plötzlich musste eine Entscheidung getroffen werden: lizenzieren, migrieren, oder stillhalten und hoffen, dass niemand nachfragt.
Ich hab in den letzten zwei Jahren mindestens fünf Mandate gehabt, wo genau das auf dem Tisch lag. Das Ergebnis war jedes Mal anders:
- Mandant 1, Softwarehaus, 45 Mitarbeitende: Hat lizenziert. 1.500 Dollar, kein Problem, war die richtige Entscheidung weil IdentityServer tief verankert war.
- Mandant 2, Industrie, 120 Mitarbeitende: Hat auf Keycloak migriert. Drei Monate Aufwand, aber danach sauberer, weil sie ohnehin Mixed-Stack hatten (Java-Services im Hintergrund).
- Mandant 3, Handel, 60 Mitarbeitende: Hat sich entschieden, gar nichts zu tun — weil ihre einzige "Nutzung" ein internes Dev-Tool war, das nie in Produktion gegangen ist. Richtige Entscheidung.
- Mandant 4, Dienstleister, 200 Mitarbeitende: Hat zwei Jahre gezögert, läuft immer noch auf IdentityServer 4 (die letzte Free-Version), und akkumuliert technische Schulden, die irgendwann schmerzhaft werden.
Das Muster: Die Entscheidung war selten technisch schwierig. Sie war organisatorisch schwierig, weil niemand Ownership hatte.
Was der Artikel auslässt — und was du davon mitnehmen solltest
Maartens Post ist kein Ratgeber. Er will auch keiner sein. Aber wer den Wechsel zu Duende liest und denkt "schön für ihn", ohne einmal kurz zu checken, ob man selbst IdentityServer im Einsatz hat — der lässt eine nützliche Erinnerung liegen.
Das Konkrete für dich:
Schritt 1: Inventur. Weißt du, ob irgendwo in deinem Stack IdentityServer läuft? Nicht "ich glaube schon" — weißt du es? Ein grep -r "IdentityServer" in deinen Repos reicht als Einstieg.
Schritt 2: Version prüfen. IdentityServer 4 ist die letzte MIT-lizenzierte Version. Ab Version 6 (also Duende IdentityServer) gilt das kommerzielle Modell. Wenn du auf 4 bist: kein akutes Problem, aber auch keine Sicherheitsupdates mehr. Wenn du auf 6+ bist und keine Lizenz hast: du hast eine Compliance-Lücke.
Schritt 3: Alternativen kennen. Keycloak ist die naheliegendste Open-Source-Alternative — gut dokumentiert, Java-basiert, läuft als Docker-Container, Community aktiv. Für .NET-zentrierte Teams ist die Integration etwas mehr Aufwand als bei IdentityServer, aber machbar. Microsoft Entra ID (früher Azure AD) ist eine Option wenn du ohnehin in der Azure-Welt bist und die Kosten dort bereits trägt. Für kleine Szenarien (ein bis zwei Apps, interne Nutzer) kann auch ein einfacherer Ansatz wie ASP.NET Core Identity ohne OAuth-Framework ausreichen.
Schritt 4: Entscheidung dokumentieren. Egal was du tust — lizenzieren, migrieren, nichts tun — schreib es auf. Mit Begründung. Damit in zwei Jahren nicht wieder jemand vor demselben Rätsel sitzt.
Was ich Maartens Wechsel zugutelte: Dass jemand mit seiner Reichweite und .NET-Erfahrung jetzt bei Duende ist, bedeutet wahrscheinlich bessere Dokumentation, bessere Community-Kommunikation, und weniger "wir haben einfach das Lizenzmodell geändert und gehofft, dass niemand murrt". Das ist gut. Aber es ändert nichts daran, dass du die Hausaufgabe in deinem Stack selbst machen musst.
Der vollständige Original-Beitrag von Maarten Balliauw: Time for a change... Moving from JetBrains to Duende Software
Wenn du gerade nicht weißt, ob und wie IdentityServer oder OAuth2 in deinem Stack steckt — oder ob deine Lizenz-Situation sauber ist — dann ist das genau die Art von Frage, für die ich das hier mache:
— Bernhard