Curity
Curity ist ein schwedischer Anbieter von Identity- und API-Security-Software mit Hauptsitz in Stockholm. Der Curity Identity Server ist ein OAuth-2.
Curity
Curity ist ein schwedischer Anbieter von Identity- und API-Security-Software mit Hauptsitz in Stockholm. Der Curity Identity Server ist ein OAuth-2.0- und OpenID-Connect-Server, der vor allem in regulierten Branchen wie Banken, Telekommunikation und Retail eingesetzt wird. Curity gehört zu den europäischen Spezialisten im Bereich Customer Identity & Access Management (CIAM) und positioniert sich als Standards-First-Alternative zu US-Anbietern wie Auth0 oder Ping Identity.
Überblick
- Typ: Firma (B2B-Software, Identity & Access Management)
- Gründung: 2015
- Hauptsitz: Stockholm, Schweden
- Weitere Standorte: London, Houston
- Mitarbeiter: ca. 80–100 (Stand 2024)
- Website: curity.io
- Segment: CIAM, OAuth/OIDC, API-Security
- Geschäftsmodell: Lizenzierte On-Premise- und Cloud-Software, Subscription
Produkte
Curity Identity Server
Kernprodukt ist der Curity Identity Server, ein modularer OAuth-2.0- und OpenID-Connect-Server. Der Fokus liegt auf strikter Standard-Konformität und Erweiterbarkeit, nicht auf Out-of-the-Box-Komfort wie bei Auth0. Der Server deckt typische CIAM-Anforderungen ab: Authentifizierung, Token-Ausgabe, Federation, User Management, Multi-Factor Authentication, FAPI-Profile für Open Banking.
Funktionsbereiche:
| Bereich | Beschreibung |
|---|---|
| Authentifizierung | Passwort, MFA, Passwordless, BankID, eIDAS, WebAuthn |
| Token Service | OAuth 2.0, OIDC, FAPI 1.0/2.0, DPoP, Token Exchange |
| Federation | SAML 2.0, OIDC Federation, Social Login |
| Deployment | Container, Kubernetes, On-Premise, Cloud |
| Erweiterbarkeit | SDK in Java/JavaScript für eigene Authenticators und Procedures |
Phantom Token Approach
Curity hat das “Phantom Token Pattern” populär gemacht — Opaque Tokens am Frontend, JWTs am Backend, vermittelt über einen API Gateway. Das Muster findet sich heute in Architektur-Empfehlungen vieler Banken und Versicherer.
Weitere Komponenten
- Token Handler für Single-Page-Apps (Backend-for-Frontend-Pattern)
- Authenticator-SDKs für Java, .NET, Node.js, mobile Plattformen
- Hypermedia Authentication API (HAAPI) — eigener Ansatz für native App-Logins
Geschichte
Curity wurde 2015 von Travis Spencer und einem Team aus ehemaligen Mitarbeitern von Twobo Technologies gegründet. Das Gründerteam kam aus dem Umfeld von SAML- und OAuth-Standardisierung; mehrere Curity-Mitarbeiter sitzen in Working Groups der OpenID Foundation und IETF.
Die ersten Jahre waren Bootstrapping-Phase mit Fokus auf Banken und Telcos in den nordischen Ländern. Ab 2019/2020 begann die internationale Expansion nach UK, DACH und USA. 2022 stieg der schwedische Tech-Investor Neqst als Mehrheitsbeteiligung ein und finanzierte das Wachstum.
Wichtige Stationen:
- 2015: Gründung in Stockholm
- 2018: Erste größere Bank-Deployments in Skandinavien
- 2020: Eröffnung des US-Büros in Houston
- 2022: Einstieg von Neqst als Mehrheitsinvestor
- 2023: Eröffnung Büro in London, FAPI-2.0-Zertifizierung
- 2024: Stärkere Präsenz in DACH, Partnerschaften mit System-Integratoren
Team
- Travis Spencer — CEO und Mitgründer, langjähriger Beitrag zu OAuth-/OIDC-Standards
- Daniel Lindau — Identity Specialist, OpenID Foundation Working Groups
- Jacob Ideskog — CTO, Co-Autor mehrerer OAuth-Specs
- Per Hägerö — Chief Technology and Identity Officer
Curity beschäftigt überdurchschnittlich viele aktive Standardsmitarbeiter — das ist Teil der Marktpositionierung gegenüber Wettbewerbern, die mehr Marketing als Spec-Arbeit liefern.
Investoren und Eigentümer
- Mehrheitsinvestor: Neqst (Stockholm), seit 2022
- Fondsname: Nicht öffentlich kommuniziert
- Frühphase: Bootstrapping, Gründer-finanziert
Neqst ist ein nordischer Tech-Investor mit langfristigem Horizont und Fokus auf B2B-Software. Da der konkrete Fondsname in keiner offiziellen Pressemitteilung benannt wird, ist eine seriöse Exit-Prognose nicht möglich. Neqst ist bekannt für Haltedauern von 7–10 Jahren bei Software-Assets.
Konkurrenz
Curity bewegt sich im CIAM- und API-Security-Markt mit folgenden Wettbewerbern:
| Anbieter | Profil | Eigentümer |
|---|---|---|
| Auth0 | Developer-CIAM, Cloud-First | Okta (NASDAQ) |
| Ping Identity | Enterprise-CIAM, Workforce + Customer | Thoma Bravo (PE) |
| ForgeRock | Enterprise IAM, jetzt Teil von Ping | Thoma Bravo |
| Okta | Marktführer Workforce + CIAM | NASDAQ |
| Keycloak | Open-Source-Standard | Red Hat / IBM |
| WSO2 | API-Management + IAM | Privatbesitz, Symphony Tech |
| Connect2id | OIDC/OAuth-Server, Kopenhagen | Privatbesitz |
| IBM Verify | Enterprise IAM | IBM |
| Microsoft Entra ID | Cloud-IAM | Microsoft |
In DACH konkurriert Curity vor allem mit Keycloak-Installationen (oft Red-Hat-supportet) und mit den großen US-Cloud-Anbietern. Differenzierung gelingt über Standard-Tiefe (FAPI, eIDAS, Open Banking) und die Möglichkeit zum On-Premise-Betrieb — ein Argument, das in deutschen Bankenarchitekturen weiter zieht als bei Tech-Startups.
Marktkontext
Der CIAM-Markt wächst zweistellig, getrieben durch PSD2/PSD3, eIDAS 2.0, Open Banking, Open Finance und steigende API-Security-Anforderungen. Curity ist einer der wenigen europäischen Anbieter mit nennenswerter Standards-Mitarbeit und einem reifen Produkt — ein Punkt, der bei deutschen Banken und Versicherern an Gewicht gewinnt, wenn Datenresidenz und Vendor-Lock-in zum Vorstandsthema werden.
Quellen
- curity.io — Unternehmenswebsite
- Neqst Portfolio: Curity — Investoren-Profil
- OpenID Foundation Member: Curity — Standards-Mitarbeit
- Curity Resource Library — Whitepapers, Phantom Token Pattern
- Crunchbase: Curity — Finanzierungshistorie