Podman hat mit Version 6.0 ein Update veröffentlicht, das die Architektur der beliebten Docker-Alternative an mehreren Stellen grundlegend erneuert. Für IT-Leiter im deutschen Mittelstand lohnt sich ein genauer Blick: Die rootless und daemonless Bauweise von Podman gilt seit Jahren als Sicherheitsvorteil gegenüber klassischen Docker-Umgebungen, und Version 6.0 vertieft diesen Ansatz mit einem modernisierten Netzwerk-Stack und überarbeiteten Verwaltungswerkzeugen.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Podman 6.0 wechselt von slirp4netns und iptables zu Netavark, Pasta und nftables
  • Quadlets erhalten REST-API-Unterstützung für deklarative, systemd-integrierte Verwaltung
  • Die Docker-API-Kompatibilität hat sich verbessert, Migrationen sollen einfacher werden
  • Für BSI- und NIS2-relevante Umgebungen bleibt die rootless Architektur der zentrale Sicherheitsvorteil

Warum gilt Podman als sicherer als Docker?

Blauer Mini-Container mit Fingerabdruckscanner und ein Schlüssel mit 6.0-Anhänger
Docker nutzt einen Root-Daemon für Containerverwaltung, was Sicherheitsrisiken birgt. Podman arbeitet ohne Daemon und ist dadurch sicherer

Der Kernunterschied zwischen beiden Systemen liegt tief in der Architektur. Docker setzt auf einen Daemon namens dockerd, der dauerhaft als root-Prozess läuft und sämtliche Container verwaltet. Wird eine Anwendung innerhalb eines Containers kompromittiert, steigt damit das Risiko einer Privilege-Escalation auf den gesamten Host. Podman verzichtet komplett auf diesen Daemon und startet Container stattdessen als eigenständige Kindprozesse direkt unter der Rechteebene des aufrufenden Nutzers. Ein kompromittierter Container erlangt im schlimmsten Fall nur die Rechte des jeweiligen Linux-Nutzerkontos, nicht automatisch Root-Zugriff auf den Host.

Container-Technologie
Podman 6.0: Rootless Container als Sicherheits-Baustein

Warum die daemonless Architektur für IT-Leiter im deutschen Mittelstand jetzt strategisch relevant wird.

Docker
Daemon-basiert
  • dockerd läuft dauerhaft als root-Prozess
  • Kompromittierter Container kann Host-Root gefährden
  • Exponierte Docker-Sockets sind häufige Fehlkonfiguration
Podman
Rootless & daemonless
  • + Kein Daemon, Container laufen als Kindprozesse
  • + Rechte bleiben auf Ebene des Nutzerkontos begrenzt
  • + Geringere Angriffsfläche für laterale Bewegungen
Die technischen Neuerungen in Version 6.0
Neuer Netzwerk-Stack
Netavark, Pasta und nftables ersetzen slirp4netns und iptables.
Quadlets mit REST-API
Deklarative, systemd-integrierte Verwaltung mit besserem Datei-Tracking.
Docker-Kompatibilität
Verbesserte API-Kompatibilität erleichtert den Umstieg bestehender Skripte.
Der Netzwerk-Stack-Wechsel im Überblick
slirp4netns + iptables
Netavark + Pasta + nftables

„Der Verzicht auf einen privilegierten Daemon ist kein Nice-to-have mehr, sondern wird für Unternehmen mit NIS2-Pflichten zu einem dokumentierbaren Baustein der Risikobewertung.“

— Michael Dobler, Herausgeber Dr. Web
Warum das für deutsche Unternehmen zählt
BSI-Grundschutz & ISO 27001
Rootless Setups erfüllen das Prinzip der geringsten Rechte direkter und sind leichter auditierbar.
NIS2-Nachweispflicht
Die Architekturentscheidung wird Teil der Dokumentation gegenüber Prüfstellen.
KRITIS-Umgebungen
Reduzierte Angriffsflächen für laterale Bewegungen im Netzwerk sind ein handfester Vorteil.
CI/CD ohne Umbau
Verbesserte Docker-API-Kompatibilität erlaubt Umstellungen ohne Codeänderungen.
Empfohlener Migrationspfad für IT-Leiter
1
Unkritischen Service als Piloten auswählen
2
Setup mit podman-compose oder Quadlets im Staging testen
3
Netzwerk-Policies unter nftables und Netavark prüfen
4
Rechtevergabe dokumentieren, realistischen Zeitplan setzen

Die Netzwerk-Modernisierung ist die tiefgreifendste Neuerung dieser Version. Podman wechselt von slirp4netns und iptables zu Netavark, Pasta und nftables und reduziert damit Angriffsflächen im Netzwerk-Namespace, während gleichzeitig die Wartbarkeit für sicherheitskritische Deployments steigt. Ergänzt wird das durch experimentelle Pesto-Unterstützung für rootless Port-Forwarding, die auch die korrekte Quell-IP für Container in eigenen Netzwerken erhält.

Auch die Quadlets haben ein Upgrade erhalten. Die systemd-Einheiten zur deklarativen Container-Verwaltung unterstützen jetzt eine REST-API, verbessertes Datei-Tracking und zusätzliche Suchpfade für Distributionspakete. Wer bereits mit Quadlets arbeitet, um Container ohne Docker-typischen Daemon-Zugriff zu betreiben, profitiert direkt von der saubereren Verwaltung.

Wie ordnet sich das in die Container-Landschaft ein?

Rootless und daemonless Architekturen sind kein Nischentrend, sondern eine direkte Antwort auf jahrelange Sicherheitsvorfälle rund um exponierte Docker-Daemons. Ungeschützte Docker-Sockets im Internet zählen seit Jahren zu den häufigsten Fehlkonfigurationen in Cloud-Umgebungen, weil ein Zugriff auf den Socket faktisch Root-Zugriff auf den gesamten Host bedeutet. Podman, ursprünglich von Red Hat für RHEL entwickelt, hat sich zum bekanntesten Gegenentwurf etabliert und findet zunehmend Einsatz in Kubernetes-nahen Umgebungen, bei OpenShift-Kunden und bei Behörden mit hohen Sicherheitsanforderungen. Docker reagiert im Gegenzug mit verbesserter API-Kompatibilität, um Bestandsnutzer zu halten. Dieses Muster spiegelt sich auch in Podman 6.0: Die überarbeitete Docker-Kompatibilität soll den Umstieg erleichtern, ohne bestehende Skripte umschreiben zu müssen.

Der Verzicht auf einen privilegierten Daemon wird für Unternehmen mit NIS2-Pflichten zu einem Baustein in der Risikobewertung.

— Michael Dobler, Herausgeber Dr. Web

Was bedeutet das für deutsche Unternehmen?

Für Unternehmen mit Pflichten unter BSI-Grundschutz, ISO 27001 oder branchenspezifischen KRITIS-Vorgaben ist die Audit-Tauglichkeit ein handfester Vorteil. Ein Setup ohne privilegierten Daemon erfüllt das Prinzip der geringsten Rechte direkter und reduziert Angriffsflächen für laterale Bewegungen im Netzwerk. Unter NIS2 mit seiner verschärften Nachweispflicht für technische und organisatorische Maßnahmen wird eine solche Architekturentscheidung zunehmend Teil der Dokumentation gegenüber Prüfstellen.

Konkret empfiehlt sich für IT-Leiter, bestehende Docker-Compose-Setups zunächst mit podman-compose oder generierten Quadlet-Units in einer Testumgebung parallel zu betreiben, bevor eine produktive Migration erfolgt. Die verbesserte Docker-API-Kompatibilität von Version 6.0 lässt sich nutzen, um CI/CD-Pipelines ohne Codeänderungen umzustellen.

Der Wechsel von iptables zu nftables und Netavark sollte in bestehenden Netzwerk-Policies vorab im Staging getestet werden, da ältere Netzwerk-Monitoring-Tools hier Kompatibilitätsprobleme zeigen können. Unternehmen, die Container-Workloads zusammen mit Webprojekten betreiben, sollten die Infrastrukturfrage ohnehin ganzheitlich denken.

Ein Blick auf unseren WordPress Hosting Vergleich zeigt, welche Hosting- und Infrastrukturentscheidungen sich mit rootless Container-Strategien sinnvoll kombinieren lassen. Wer die Migration jetzt plant, sollte klein anfangen: ein unkritischer Service als Pilot, saubere Dokumentation der Rechtevergabe und ein realistischer Zeitplan schlagen einen überstürzten Komplett-Umstieg zuverlässig.

4,1 14 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?