DuoKey logotype

HashiCorp Vault und BSL 1.1: Was sich ändert und was zu tun ist

DuoKey14 April 2026
HashiCorp Vault und BSL 1.1: Was sich ändert und was zu tun ist

HashiCorp Vault und BSL 1.1: Was sich ändert und was zu tun ist

Inhaltsverzeichnis

  1. Was sich bei der HashiCorp-Lizenz geändert hat
  2. Was das für Vault-Enterprise-Nutzer bedeutet
  3. OpenBao: Die Open-Source-Alternative
  4. DuoKey SD-HSM: Enterprise-Sicherheit ohne Hardware
  5. Der Migrationspfad
  6. Erwartete Vorteile

Im August 2023 kündigte HashiCorp an, Vault - sowie seine anderen Produkte - unter der Business Source Licence 1.1 (BSL 1.1) neu zu lizenzieren. Die Änderung wurde als Maßnahme gegen große Cloud-Anbieter dargestellt, die HashiCorp-Produkte monetarisieren, ohne dazu beizutragen. Für Enterprise-Nutzer von Vault gehen die Folgen weiter.

Was sich bei der HashiCorp-Lizenz geändert hat

Vor August 2023 wurde HashiCorp Vault unter der Mozilla Public Licence 2.0 (MPL 2.0) vertrieben - einer echten Open-Source-Lizenz, die von der Open Source Initiative anerkannt ist. Jede Organisation konnte Vault ohne Einschränkungen nutzen, untersuchen, ändern und weitergeben.

BSL 1.1 ist keine Open-Source-Lizenz. Sie verbietet die Verwendung der Software in einem „konkurrierenden Produkt oder Dienst". Was „konkurrierend" bedeutet, legt HashiCorp einseitig fest und kann sich ohne Vorankündigung ändern. Nach vier Jahren wird der BSL-Code in eine bestimmte Open-Source-Lizenz umgewandelt - aber bis dahin steht die nächste Version bereits unter BSL.

In der Praxis gilt: Vault ist nun proprietäre Software. Sie sind Kunde von HashiCorp - kein Teilnehmer eines offenen Ökosystems.

Was das für Vault-Enterprise-Nutzer bedeutet

Wer HashiCorp Vault Enterprise betreibt, steht vor einer verschärften Kostenstruktur:

  • Preisgestaltung per Client-Token: Vault Enterprise kostet ca. 500 EUR pro Client-Token und Jahr. Eine Organisation mit 200 Tokens zahlt allein 100.000 EUR jährlich für Lizenzen - ohne Infrastruktur, Betrieb oder Auto-Unseal-Kosten.
  • Jährliche Preiserhöhungen: HashiCorp erhöht die Vault-Enterprise-Preise regelmäßig um 10–15 % pro Jahr. In Kombination mit dem Token-Wachstum können sich die Kosten alle zwei bis drei Jahre verdoppeln.
  • Auto-Unseal-Abhängigkeit: Produktionstaugliches Auto-Unseal erfordert entweder teure Cloud-KMS-Dienste oder physische HSM-Geräte - beides mit zusätzlichen Kosten und Anbieterbindung.
  • Herstellerabhängigkeit: Mit BSL ist Ihre Verhandlungsposition bei der Verlängerung schwach. Ein glaubwürdiger Community-Fork unter der alten Lizenz fehlte - bis jetzt.

Das Ergebnis ist eine sich zuspitzende Kostenspirale mit zunehmender Herstellerabhängigkeit und keinem natürlichen Ausweg unter dem alten Modell.

OpenBao: Die Open-Source-Alternative

OpenBao ist ein von der Community gepflegter Fork von HashiCorp Vault, der als Reaktion auf den BSL-Lizenzwechsel entstanden ist und nun von der Linux Foundation geleitet wird. Er wird unter MPL 2.0 vertrieben - einer echten Open-Source-Lizenz.

Wichtige Fakten zu OpenBao:

  • 100 % API-Kompatibilität mit HashiCorp Vault: Jede Authentifizierungsmethode, jede Secrets-Engine und jede Policy funktioniert identisch. Anwendungen erfordern keine Code-Änderungen.
  • Steuerung durch das Technical Steering Committee der Linux Foundation: Kein einzelnes Unternehmen kontrolliert die Roadmap. Das Projekt kann ohne Konsens der Community nicht neu lizenziert werden.
  • Keine Token-Lizenzgebühren: OpenBao ist in jeder Größenordnung kostenlos nutzbar. Keine Token-Gebühren, keine Verlängerungsverhandlungen, keine überraschenden Preiserhöhungen.
  • Aktive Entwicklung: OpenBao wird von Organisationen gepflegt, die es produktiv einsetzen - darunter der zertifizierte EU-Partner von DuoKey, ein OpenBao-Co-Maintainer und Mitglied des Linux Foundation TSC.

Für Organisationen, die heute Vault betreiben, ist OpenBao ein direktes Migrationsziel. Die API ist identisch, die Werkzeuge sind kompatibel und der Migrationspfad ist gut etabliert.

DuoKey SD-HSM: Enterprise-Sicherheit ohne Hardware

OpenBao löst das Lizenzproblem. Enterprise-Deployments benötigen jedoch weiterhin zuverlässiges Auto-Unseal, Seal Wrap und 24/7-Betrieb. Hier kommen DuoKey SD-HSM und DuoKey SD HSM ins Spiel.

Auto-Unseal und Seal Wrap via MPC

DuoKey SD-HSM ersetzt Cloud-KMS und physische HSMs durch Multi-Party Computation (MPC). Anstatt dass eine einzelne Hardware-Grenze den Unseal-Schlüssel hält, verteilt MPC das Schlüsselmaterial auf mehrere unabhängige Parteien. Der Schlüssel existiert niemals im Klartext - weder während der Übertragung, noch im Speicher, noch auf dem Datenträger.

Das ist kein Ersatz für fehlendes HSM-Hardware. Es ist architektonisch überlegen. Ein physisches HSM ist ein einzelner Angriffspunkt: Wird das Gerät kompromittiert, ist der Schlüssel kompromittiert. Bei MPC muss ein Angreifer gleichzeitig mehrere geografisch und organisatorisch getrennte Knoten kompromittieren, um etwas Nützliches zu erlangen.

Einen detaillierten Vergleich finden Sie unter MPC vs. HSM: Welcher Key-Management-Ansatz schützt Ihr Unternehmen?

DuoKey SD HSM

DuoKey bietet ein vollständig verwaltetes Deployment an, das von demselben Team bereitgestellt wird, das das Projekt co-pflegt:

  • 24/7-Überwachung, Alarmierung und Incident-Response
  • Automatisierte Updates und Sicherheits-Patches
  • Hochverfügbarkeitskonfiguration von Anfang an
  • EU-gehostet, volle Datensouveränität
  • Pauschalpreisgestaltung - Kosten steigen nicht mit der Anzahl Ihrer Tokens

Das beseitigt die Betriebslast, die selbst verwaltetes Vault oder OpenBao im großen Maßstab aufwendig macht. Ihr Team konzentriert sich auf die Nutzung von Secrets - nicht auf die Verwaltung der Infrastruktur, die sie schützt.

Der Migrationspfad

Eine typische Migration von HashiCorp Vault Enterprise zu DuoKey SD HSM dauert zwei bis vier Wochen - ohne Anwendungsausfälle und ohne Code-Änderungen.

Woche 1 - Analyse: DuoKey inventarisiert Ihr Vault-Deployment - Namespaces, Policies, Secrets-Engines, Authentifizierungsmethoden und Integrationen. Ein Migrationsplan mit Zeitplan und Risikominimierung wird vereinbart.

Wochen 1–2 - Deployment: DuoKey deployt managed OpenBao in HA-Konfiguration. DuoKey SD-HSM MPC wird für Auto-Unseal und Seal Wrap konfiguriert. Die Infrastruktur wird validiert.

Wochen 2–3 - Datenmigration: Secrets, Policies und Konfigurationen werden mit bewährten Werkzeugen migriert. Alle Client-Integrationen werden gegen den neuen Cluster getestet.

Wochen 3–4 - Umstellung: Anwendungen werden durch Aktualisierung von VAULT_ADDR auf OpenBao umgeleitet. Leistungs- und Fehlerüberwachung bestätigt die erfolgreiche Migration. Vault Enterprise wird dekommissioniert.

Eine schrittweise Migration - paralleler Betrieb von Vault und OpenBao während der Übergangsphase - wird vollständig unterstützt.

Erwartete Vorteile

Organisationen, die diese Migration abgeschlossen haben, verzeichnen regelmäßig folgende Ergebnisse:

60–80 % Reduktion der TCO im Secrets-Management. Die Abschaffung der Token-Lizenzgebühren und der Ersatz von physischem HSM oder Cloud-KMS durch DuoKey SD-HSM MPC beseitigt die zwei größten Kostentreiber. Für ein 200-Token-Deployment, das bisher 100.000 EUR pro Jahr allein an Vault-Lizenzen zahlte, sind die Einsparungen sofort und substanziell.

Keine Code-Änderungen erforderlich. Die 100-prozentige API-Kompatibilität zwischen OpenBao und Vault bedeutet, dass Ihre Anwendungen ohne Anpassungen weiter funktionieren. Kein Refactoring, keine Regressionstests, keine Schulungsaufwände.

Verbesserte Sicherheitslage. MPC-basiertes Auto-Unseal eliminiert die einzelnen Angriffspunkte, die Cloud-KMS und physischem HSM-Auto-Unseal inhärent sind. Schlüssel existieren nirgendwo im System im Klartext.

Planbare, konstante Kosten. DuoKey SD HSM wird pauschal abgerechnet. Das Hinzufügen neuer Services erhöht Ihre Lizenzrechnung nicht. Infrastrukturwachstum ist kein Kostenereignis mehr.

Langfristige Lizenzstabilität. OpenBao unter der Linux-Foundation-Governance kann nicht durch eine Einzelentscheidung eines Anbieters neu lizenziert werden. Was heute kostenlos ist, bleibt es auch.

Wenn Sie eine Vault-Verlängerung planen oder Ihre Optionen vor einer Kostenüberprüfung abwägen, lohnt es sich, die Migration zu OpenBao mit DuoKey SD-HSM genauer zu prüfen. Die API-Kompatibilität beseitigt das übliche Risiko beim Wechsel einer Secrets-Management-Plattform, und die Wirtschaftlichkeit ist klar.

Mehr über die DuoKey-Lösung für OpenBao erfahren oder Gespräch mit unserem Team buchen, um Ihr spezifisches Deployment zu besprechen.

Referenzen

Verwandte Ressourcen

Mehr zum Thema Key-Management

MPC vs. HSM: Welcher Schlusselverwaltungsansatz sichert Ihr Unternehmen?

MPC vs. HSM: Welcher Schlusselverwaltungsansatz sichert Ihr Unternehmen?

Read more