Von Hakan Akcan · Reepa Solutions
Container-Technologie ist 2026 im deutschen Mittelstand angekommen — von der Software-Entwicklung über Build-Server bis zu produktiven Workloads in Kubernetes-Clustern und auf eigenen Linux-Hosts. Damit rückt eine Frage in den Vordergrund, die vor fünf Jahren noch keine war: welche Container-Laufzeit sollte Ihr Unternehmen einsetzen? Die Antwort lautet seit 2022 nicht mehr automatisch „Docker“. Drei Entwicklungen haben das Bild verschoben: erstens die kostenpflichtige Subscription für Docker Desktop ab einer bestimmten Firmengröße, zweitens der Aufstieg von Podman als ernstzunehmende Alternative mit besserer Sicherheits-Architektur, drittens die Etablierung von containerd als Standard-Laufzeit unter Kubernetes nach dem Wegfall der Docker-Shim. Dieser Artikel ordnet den Stand 2026 ein, zeigt die Stärken und Schwächen der drei Laufzeiten, erklärt die Docker-Desktop-Lizenz-Falle, liefert eine Compatibility-Matrix, beschreibt die Migration von Docker zu Podman in vier Schritten und gibt am Ende eine klare Reepa-Empfehlung. Für die Einordnung in die Gesamt-Cloud-Strategie siehe unseren Cloud-und-DevOps-Guide für den Mittelstand.
Wo wir 2026 stehen
Vor fünf Jahren war Docker faktisch das Synonym für Container. Heute ist das Bild differenzierter. Drei Markt-Verschiebungen prägen die Lage 2026.
Erstens die Docker-Desktop-Lizenz. Im August 2021 hat Docker Inc. angekündigt, dass die Desktop-Variante des Werkzeugs für Unternehmen ab einer bestimmten Größe kostenpflichtig wird — wirksam seit Januar 2022, mit kurzen Übergangsfristen. Mittelständische Unternehmen mit mehr als 250 Mitarbeitenden oder mehr als 10 Millionen US-Dollar Jahresumsatz müssen seither pro Entwicklungs-Arbeitsplatz eine Subscription zwischen 5 und 24 US-Dollar pro Monat zahlen. Bei einer Entwicklungs-Abteilung mit 80 Personen sind das jährlich zwischen 5.000 und 23.000 US-Dollar — eine Position, die in keiner IT-Budget-Planung vor 2022 vorhanden war und die Geschäftsführungen aufmerksam machen lässt.
Zweitens der Aufstieg von Podman. Das von Red Hat initiierte Projekt war anfangs ein Nischen-Werkzeug aus dem RHEL-Umfeld. Mit den Versionen 3 und 4 hat sich Podman zu einer vollwertigen Docker-Alternative entwickelt — daemonless, rootless, kompatibel zur OCI-Spezifikation, mit nativer Unterstützung für Compose-Files. Seit 2023 gibt es auch Podman Desktop, eine grafische Oberfläche, die Docker Desktop ersetzen kann. Für Unternehmen, die die Lizenz-Kosten umgehen wollen, ist Podman die naheliegende technische Antwort.
Drittens der Wechsel von Kubernetes auf containerd. Mit Kubernetes 1.24 (Mai 2022) wurde die Docker-Shim entfernt. Seither ist containerd die Standard-Laufzeit auf den meisten Kubernetes-Knoten. Das hat zwei Folgen: Erstens spielt Docker im produktiven Cluster-Betrieb keine Rolle mehr — Docker-Images laufen weiter, aber die Docker-Engine ist nicht installiert. Zweitens wird die Lücke zwischen Entwickler-Tooling (lokal mit Docker oder Podman) und Produktions-Laufzeit (containerd unter Kubernetes) zur architektonischen Realität, die Sie aktiv gestalten müssen.
Aus diesen drei Strömungen folgt eine Frage, die jedes mittelständische Unternehmen 2026 beantworten sollte: Wollen Sie weiter automatisch auf Docker setzen, oder ergibt es betriebswirtschaftlich und technisch mehr Sinn, einen der Alternativ-Wege zu prüfen?
Docker — Desktop, Engine, Compose, Hub-Pricing
Docker als Produkt zerfällt heute in mehrere unterschiedliche Komponenten, die getrennt betrachtet werden müssen.
Die Docker Engine ist die ursprüngliche Container-Laufzeit auf Linux — ein zentraler Daemon (dockerd), eine Kommandozeile (docker) und eine REST-API. Die Engine ist und bleibt Open-Source unter der Apache-2.0-Lizenz und kann kostenlos auf jeder Anzahl von Servern eingesetzt werden. Wenn Sie also von „Docker auf dem Server“ sprechen, fallen für diese Nutzung keinerlei Lizenz-Kosten an.
Docker Desktop ist die kommerzielle Anwendung für Windows und macOS, die eine virtuelle Linux-Maschine im Hintergrund startet und eine grafische Oberfläche bietet. Diese Komponente ist seit 2022 ab einer bestimmten Firmengröße kostenpflichtig. Die Subscription-Stufen sind aktuell: Personal (kostenlos), Pro (rund 5 USD pro Nutzer und Monat), Team (rund 9 USD) und Business (rund 24 USD). Für die meisten mittelständischen Unternehmen ist die Pro- oder Team-Stufe wirtschaftlich vertretbar, die Business-Stufe lohnt sich erst bei höheren Compliance-Anforderungen.
Docker Compose ist das Werkzeug zur Definition von Multi-Container-Anwendungen über eine YAML-Datei. Es ist seit Version 2 in die Docker-CLI integriert (docker compose statt docker-compose) und Open-Source verfügbar. Compose-Files sind heute der De-facto-Standard, um Entwicklungs-Umgebungen lokal nachzubilden — und sie funktionieren weitgehend auch unter Podman.
Docker Hub ist die zentrale öffentliche Registry für Container-Images. Auch hier gibt es seit 2020 eine kommerzielle Komponente: für anonyme und unauthentifizierte Nutzer gilt ein Pull-Rate-Limit von 100 Anfragen pro 6 Stunden pro IP-Adresse, für authentifizierte Free-Nutzer 200 pro 6 Stunden. Bezahlte Stufen heben das Limit auf praktisch unbegrenzt. In Build-Pipelines, die häufig dieselben Basis-Images ziehen, ist das ein realer Engpass und führt häufig zur Einrichtung eines eigenen pull-through-Caches (etwa via Harbor oder Sonatype Nexus).
Die Stärken von Docker bleiben unbestritten: die größte Marken-Bekanntheit, die umfangreichste Dokumentation, das größte Ökosystem an Tutorials, und auf Windows und macOS die ausgereifteste Desktop-Erfahrung. Schwächen sind die Lizenz-Kosten, die Daemon-Architektur mit Root-Privilegien als Standard, und die strategische Unsicherheit, weil Docker Inc. als kommerziell getriebenes Unternehmen weitere Komponenten kostenpflichtig stellen könnte.
Podman — daemonless, rootless, systemd-native
Podman ist die von Red Hat entwickelte Container-Laufzeit, die ursprünglich für RHEL und Fedora gedacht war, heute aber auf allen großen Linux-Distributionen, auf Windows (via WSL2) und auf macOS (via QEMU) verfügbar ist.
Die wichtigste architektonische Unterscheidung zu Docker ist das Fehlen eines zentralen Daemons. Wenn Sie einen Podman-Befehl ausführen, startet Podman einen kurzlebigen Prozess unter Ihrem Benutzer-Konto, der den Container startet, läuft, beobachtet — und wenn der Container beendet ist, beendet sich auch der Podman-Prozess. Das hat zwei Vorteile: Erstens entfällt der Single-Point-of-Failure eines Root-Daemons, der bei einem Absturz alle laufenden Container in Mitleidenschaft zieht. Zweitens wird die Angriffsfläche reduziert, weil kein dauerhaft aktiver privilegierter Prozess existiert, der eine Schwachstelle haben könnte.
Die zweite große Stärke ist die native rootless-Unterstützung. Podman-Container laufen standardmäßig als unprivilegierter Benutzer und nutzen Linux-User-Namespaces, um innerhalb des Containers eine Root-Illusion herzustellen, ohne tatsächliche Root-Rechte auf dem Host zu haben. Falls ein Container ausbricht, hat der Angreifer die Rechte des Container-Starters, nicht die Rechte des System-Roots. Docker kann mittlerweile ebenfalls rootless betrieben werden, aber das ist nicht der Default und erfordert zusätzliche Konfiguration.
Die dritte Besonderheit ist die enge Integration mit systemd. Podman kann mit dem Befehl podman generate systemd vollständige Service-Unit-Dateien für laufende Container erzeugen, sodass Container wie reguläre System-Services beim Boot starten und über systemctl verwaltet werden. Damit entfällt der Bedarf an einem separaten Container-Orchestrierungs-Layer für einfache Single-Host-Deployments — eine Eigenschaft, die viele mittelständische Linux-Administratoren sehr schätzen.
Podman Desktop, seit 2023 verfügbar, schließt die letzte verbliebene Lücke gegenüber Docker Desktop. Die grafische Oberfläche bietet ähnliche Funktionen — Container-Übersicht, Image-Management, Compose-Unterstützung, Kubernetes-Integration über minikube oder kind — und ist vollständig kostenfrei.
containerd + nerdctl als dritte Option
Neben Docker und Podman existiert eine dritte, oft übersehene Option: containerd in Kombination mit nerdctl. containerd ist eine minimale Container-Laufzeit, die ursprünglich aus Docker herausgelöst wurde, heute ein eigenständiges CNCF-Projekt ist und auf den meisten Kubernetes-Knoten als Standard-Laufzeit eingesetzt wird.
Allein betrieben hat containerd nur eine sehr technische Befehlszeile (ctr), die für tägliche Entwicklungs-Arbeit unbequem ist. Diese Lücke schließt nerdctl — ein Tool, das eine docker-kompatible CLI für containerd bereitstellt. Wer also bereits docker-Befehle gewohnt ist, kann auf einem containerd-System mit nerdctl-Befehlen weiterarbeiten, die in der Syntax fast identisch sind.
Die zusätzlichen Stärken von containerd plus nerdctl gegenüber Docker und Podman sind drei: Erstens unterstützt nerdctl moderne Features wie Lazy-Pull (Images werden erst beim Zugriff vollständig geladen), verschlüsselte Images und IPFS-Verteilung — Funktionen, die Docker nicht bietet. Zweitens ist containerd architektonisch noch minimaler als Podman und verbraucht weniger Ressourcen, was bei Knoten mit vielen Containern relevant wird. Drittens ist containerd ohnehin die Laufzeit, auf der Ihre produktiven Kubernetes-Workloads tatsächlich laufen — Sie nutzen also lokal dieselbe Engine wie in der Produktion.
Die Schwäche von containerd plus nerdctl ist die geringere Verbreitung und damit weniger Tutorials, weniger Community-Support und keine eigene Desktop-Anwendung. Wir empfehlen diese Variante hauptsächlich für Teams mit starkem Kubernetes-Fokus und Linux-Affinität.
Die Lizenz-Falle Docker Desktop
Die Docker-Desktop-Lizenz ist der wirtschaftliche Auslöser, der viele mittelständische Unternehmen heute zur Re-Evaluierung ihrer Container-Strategie zwingt. Die Regeln sind seit 2022 eindeutig, werden aber nach unserer Beobachtung in vielen Firmen schlicht nicht beachtet.
- SchwellwerteKostenpflichtig wird Docker Desktop für jedes Unternehmen mit mehr als 250 Mitarbeitenden ODER mehr als 10 Millionen US-Dollar Jahresumsatz. Es reicht eines der beiden Kriterien — beide gelten nicht kumulativ.
- KostenstellenPro Entwickler-Arbeitsplatz mit Docker Desktop fallen je nach Subscription-Stufe zwischen 60 und 288 US-Dollar pro Jahr an. Bei 50 Entwickler-Arbeitsplätzen sind das 3.000 bis 14.400 US-Dollar jährlich.
- Was nicht betroffen istDie Docker Engine auf Linux-Servern, Docker Compose als Open-Source-Tool, Docker Build und auch die kommandozeilen-basierte Nutzung von Docker via WSL2 ohne Docker-Desktop-GUI. Wenn Sie also auf Windows die Docker-CLI in einer WSL2-Ubuntu nutzen und die Docker-Desktop-Anwendung nicht installieren, sind Sie nicht lizenzpflichtig.
- Compliance-RisikoDocker Inc. hat in den vergangenen Jahren in mehreren dokumentierten Fällen mittelständische Unternehmen kontaktiert und Lizenz-Nachzahlungen verlangt. Eine Compliance-Prüfung über installierte Docker-Desktop-Versionen mit nachträglicher Rechnung über mehrere Jahre ist ein reales Szenario.
- Vermeidungs-WegeDrei legitime Optionen: Erstens die Subscription kaufen und sauber dokumentieren. Zweitens Docker Desktop deinstallieren und stattdessen Podman Desktop oder Rancher Desktop einsetzen. Drittens auf Windows die WSL2-Variante ohne Desktop-GUI nutzen, was lizenzrechtlich unproblematisch ist, aber Entwickler-Komfort kostet.
Kostenlose Container-Strategie-Beratung
Sie überlegen, ob Docker Desktop in Ihrer Firma noch die richtige Wahl ist, oder ob ein Wechsel zu Podman wirtschaftlich und technisch sinnvoll ist? Wir bieten ein 30-minütiges Erstgespräch ohne Kosten — wir bewerten Ihre Lizenz-Lage, Ihr Tooling und liefern eine klare Empfehlung mit Migrations-Pfad und realistischem Aufwand.
Kostenlose Container-Strategie-Beratung anfordernCompatibility-Matrix
Die gute Nachricht: Container-Images und Compose-Files sind heute weitgehend kompatibel zwischen den drei Laufzeiten. Die folgende Matrix zeigt die wichtigsten Punkte im Überblick — sie ist als Praxis-Orientierung gedacht, nicht als vollständige technische Referenz.
| Funktion | Docker | Podman | containerd + nerdctl |
|---|---|---|---|
| OCI-Image-Format | Volle Unterstützung | Volle Unterstützung | Volle Unterstützung |
| Dockerfile-Build | Nativ via BuildKit | Nativ via Buildah | Nativ via BuildKit |
| docker-compose.yml | Native Unterstützung | podman compose oder podman-compose | nerdctl compose |
| Daemonless-Modus | Optional rootless | Standard | Standard |
| Rootless-Container | Optional, Konfig nötig | Standard | Standard |
| Desktop-GUI | Docker Desktop (kostenpflichtig) | Podman Desktop (frei) | Rancher Desktop (frei) |
| Kubernetes-Knoten-Laufzeit | Nein (seit K8s 1.24) | Möglich via CRI-O | Standard |
| Windows-Native (ohne WSL2) | Nein, braucht WSL2 oder Hyper-V | Nein, braucht WSL2 | Nein, braucht WSL2 |
| macOS-Unterstützung | Über Docker Desktop | Über Podman Machine | Über Rancher Desktop |
| Lizenz-Modell | Engine frei, Desktop kostenpflichtig | Vollständig Apache-2.0 | Vollständig Apache-2.0 |
In der Praxis treten Inkompatibilitäten am häufigsten an drei Stellen auf: bei sehr Docker-spezifischen Compose-Features (etwa configs oder secrets im Swarm-Modus), bei Build-Kit-Erweiterungen wie SSH-Forwarding zur Build-Zeit und bei der Netzwerk-Konfiguration mit speziellen Treibern. Für 90 Prozent der Standard-Workloads — Web-Anwendungen, Datenbanken, Hintergrund-Worker, CI/CD-Build-Images — funktioniert die Migration ohne Anpassung am Code.
Migration Docker → Podman in 4 Schritten
Der Wechsel von Docker zu Podman ist in den meisten Projekten ein überschaubares Vorhaben. Die folgenden vier Schritte beschreiben das übliche Vorgehen — der Zeitaufwand liegt für ein typisches mittelständisches Team zwischen einem und fünf Arbeitstagen, je nach Anzahl der betroffenen Projekte.
- Schritt 1 — BestandsaufnahmeListen Sie alle Stellen auf, an denen Docker eingesetzt wird: Entwickler-Arbeitsplätze, Build-Server, lokale Test-Umgebungen, CI/CD-Pipelines. Notieren Sie für jede Stelle die verwendeten Compose-Files, Dockerfiles und Docker-spezifischen Befehle in Scripts. Diese Inventarliste ist die Grundlage für die folgenden Schritte.
- Schritt 2 — Parallel-Installation auf einem Pilot-ArbeitsplatzInstallieren Sie Podman Desktop auf einem ausgewählten Entwickler-Arbeitsplatz, ohne Docker Desktop sofort zu deinstallieren. Konfigurieren Sie den alias docker=podman auf der Shell-Ebene, sodass bestehende Befehle ohne Anpassung funktionieren. Testen Sie ein bis zwei zentrale Projekte vollständig durch — Build, Run, Compose-Up, Volume-Mounts, Netzwerke.
- Schritt 3 — Anpassung der PipelinesPassen Sie CI/CD-Pipelines an, sodass sie Podman statt Docker nutzen oder beide unterstützen. Die meisten modernen CI-Systeme (GitLab CI, GitHub Actions, Jenkins) unterstützen Podman nativ als Runner-Backend. Wichtig: Build-Images, die spezielle Docker-Features nutzen (BuildKit-Cache-Mounts, SSH-Forwarding), müssen Sie auf Podman-Äquivalente umstellen. Mehr dazu in unserem Cluster zu CI/CD-Pipeline aufbauen.
- Schritt 4 — Roll-out auf die BelegschaftVerteilen Sie Podman Desktop auf alle Entwickler-Arbeitsplätze, dokumentieren Sie eine kurze Migrations-Anleitung mit den drei oder vier wichtigsten Unterschieden zur Docker-CLI, und deinstallieren Sie Docker Desktop nach einer Übergangsfrist von typischerweise vier Wochen. Begleiten Sie die Migration mit einer kurzen Sprechstunde, damit Fragen schnell beantwortet werden.
In unseren Projekten ist der häufigste Stolperstein nicht die Technik, sondern die Gewohnheit. Entwickler, die seit Jahren mit Docker arbeiten, brauchen ein bis zwei Wochen, bis Podman-Befehle in den Fingern sitzen. Der alias docker=podman hilft erheblich, weil er die Lern-Hürde auf wenige Edge-Cases reduziert.
Performance — Build, Start, Memory
In unabhängigen Benchmarks und in unserer eigenen Praxis liegen die drei Laufzeiten in der reinen Performance sehr nahe beieinander — Unterschiede von wenigen Prozent, die in den meisten Anwendungs-Szenarien nicht entscheidungsrelevant sind. Die folgende Übersicht zeigt typische Beobachtungen aus einer Build-Pipeline-Messung 2025.
| Metrik | Docker | Podman | containerd + nerdctl |
|---|---|---|---|
| Build-Zeit (typisches Node.js-Image) | Referenz 100 % | 105 – 110 % | 95 – 100 % |
| Container-Start-Zeit (kalt) | Referenz 100 % | 90 – 95 % | 85 – 90 % |
| Speicherbedarf des Laufzeit-Daemons | 80 – 200 MB dauerhaft | 0 MB im Leerlauf | 30 – 60 MB dauerhaft |
| Speicherbedarf pro Container | Referenz 100 % | 95 – 100 % | 90 – 95 % |
Die wichtigste Beobachtung: Podman ist im Leerlauf der ressourcen-schonendste der drei, weil kein Daemon im Hintergrund läuft. Bei vielen parallel laufenden Containern liegt containerd leicht vorn, weil es noch schlanker ist als Docker oder Podman. Für die Build-Geschwindigkeit ist Docker mit BuildKit der schnellste, weil dort über Jahre die meiste Optimierungs-Arbeit geflossen ist. Insgesamt sind die Unterschiede gering genug, dass die Entscheidung nicht primär an der Performance hängen sollte.
Sicherheit — rootless, SELinux, User-Namespaces
Sicherheit ist eines der stärksten Argumente für Podman und containerd. Die Unterschiede zur Docker-Standard-Konfiguration sind erheblich und für regulierte Branchen (Finanzdienstleister, Gesundheits-Sektor, kritische Infrastruktur unter NIS2) audit-relevant.
Der wichtigste Punkt ist die rootless-Architektur. Bei Podman und containerd laufen Container standardmäßig als unprivilegierter Benutzer, mit Linux-User-Namespaces, die innerhalb des Containers eine Root-Illusion erzeugen, ohne dass der Container tatsächlich Root-Rechte auf dem Host hätte. Wenn ein Container-Prozess durch eine Schwachstelle aus dem Container ausbricht, hat er die Rechte des Container-Starters — also typischerweise eines Service-Accounts mit minimalen Berechtigungen, nicht die Rechte des System-Roots. Docker kann ebenfalls rootless betrieben werden, aber das ist nicht der Standard und wird in vielen Installationen schlicht nicht aktiviert.
Der zweite Punkt ist SELinux. Auf Red-Hat-basierten Systemen (RHEL, Rocky, Alma, Fedora) ist Podman tief in SELinux integriert und erzeugt pro Container ein eigenes SELinux-Label, sodass Container untereinander und vom Host-System sauber isoliert sind. Docker unterstützt SELinux ebenfalls, aber die Konfiguration ist aufwändiger und wird seltener konsequent umgesetzt.
Der dritte Punkt sind User-Namespaces auf Datei-Ebene. Podman bildet die Container-User-IDs auf Host-User-IDs aus einem reservierten Bereich (typischerweise ab 100000 aufwärts) ab. Selbst wenn ein Container-Prozess ein File mit Root-Eigentum erzeugt, gehört dieses File auf dem Host einem unprivilegierten User. Diese Eigenschaft ist sicherheits-technisch ein erheblicher Gewinn und wird in regulierten Audits zunehmend nachgefragt. Mehr zu den begleitenden organisatorischen Anforderungen in unserem Cluster zu Serverless vs Container und zur Cluster-Härtung in Kubernetes für den Mittelstand.
Wann was wählen
Die Wahl zwischen Docker, Podman und containerd hängt von Kontext und Zielsetzung ab. Die folgende Entscheidungs-Hilfe fasst die gängigen Konstellationen zusammen.
- Docker Desktop bleibt sinnvollWenn Ihre Firma unter 250 Mitarbeitenden und unter 10 Mio USD Jahresumsatz liegt (keine Lizenzpflicht), oder wenn externe Toolchains (proprietäre IDE-Integrationen, spezielle Schulungs-Inhalte) Docker zwingend voraussetzen. Auch in Schulungs-Kontexten ist Docker oft die geringere Reibung.
- Podman ist die Standard-WahlFür mittelständische Unternehmen ab 250 Mitarbeitenden, die die Lizenz-Kosten umgehen wollen, oder für sicherheits-sensitive Umgebungen mit hohem Audit-Anspruch. Auch für Teams, die viele kurzlebige Container starten und vom daemonless-Design profitieren.
- containerd plus nerdctl lohnt sichFür Teams mit starkem Kubernetes-Fokus, die lokal dieselbe Laufzeit nutzen wollen wie in der Produktion. Auch für sehr ressourcen-arme Hosts (Edge-Geräte, kleine Cloud-VMs), wo der minimale Footprint zählt.
- Hybrid-Modell ist erlaubtSie müssen sich nicht für eine Laufzeit entscheiden. Viele Teams nutzen Podman auf Entwickler-Arbeitsplätzen, containerd auf Kubernetes-Knoten und Docker Engine auf wenigen Spezial-Servern parallel. Wichtig ist nur, dass die OCI-Image-Pipeline einheitlich bleibt.
Reepa-Empfehlung
Für den deutschen Mittelstand lautet unsere Standard-Empfehlung 2026: Podman als Default-Wahl, Docker nur dort, wo zwingend notwendig, containerd auf Kubernetes-Knoten. Diese Empfehlung gilt für die große Mehrheit unserer Projekte und beruht auf drei Argumenten.
Erstens das wirtschaftliche Argument: Die Docker-Desktop-Lizenz-Kosten fallen für jedes mittelständische Unternehmen ab 250 Mitarbeitenden an und summieren sich bei einer typischen Entwicklungs-Abteilung auf vier- bis fünfstellige Jahresbeträge. Diese Kosten lassen sich durch Podman vollständig vermeiden, ohne dass die tägliche Arbeit der Entwicklungs-Teams nennenswert beeinträchtigt wird.
Zweitens das sicherheits-technische Argument: Die rootless-Architektur und die nativen User-Namespaces von Podman reduzieren die Auswirkungen einer Container-Schwachstelle erheblich. Für Branchen unter NIS2, ISO 27001 oder DSGVO-Audits ist diese Eigenschaft zunehmend ein Vorteil im Audit-Bericht.
Drittens das strategische Argument: Docker Inc. ist ein kommerziell getriebenes Unternehmen, das in den vergangenen Jahren mehrfach kostenpflichtige Komponenten neu eingeführt hat (Desktop-Subscription, Pull-Rate-Limits, kommerzielle Build-Tools). Wer heute auf Docker setzt, akzeptiert das Risiko weiterer kommerzieller Engführungen. Podman und containerd sind in Cloud-Native-Stiftungen verankert (CNCF, Red Hat) und damit strategisch weniger volatil.
Die Migration ist in den meisten Projekten ein überschaubares Vorhaben — typisch zwei bis fünf Arbeitstage für ein mittelständisches Team mit zehn bis dreißig Entwicklungs-Arbeitsplätzen. Der wirtschaftliche und sicherheits-technische Gewinn rechtfertigt diesen Aufwand in fast allen Fällen. Den passenden Cloud-Kontext zur Container-Entscheidung diskutieren wir in unserem Cluster zu Serverless vs Container.
Häufige Fragen
Ist Docker Desktop für Firmen wirklich kostenpflichtig?
Ja. Seit Januar 2022 verlangt Docker Inc. eine kostenpflichtige Subscription für Docker Desktop, sobald Ihr Unternehmen mehr als 250 Mitarbeitende oder mehr als 10 Millionen US-Dollar Jahresumsatz hat. Für kleinere Firmen, persönliche Nutzung, Schulung und Open-Source-Projekte bleibt Docker Desktop kostenlos. Wichtig: Die Docker Engine selbst (Linux-Daemon ohne Desktop-GUI) ist nach wie vor frei unter Apache-2.0. Die Lizenz betrifft also nur die Desktop-Anwendung auf Windows und macOS, nicht den Server-Betrieb.
Kann ich meine bestehenden Dockerfiles und docker-compose.yml mit Podman weiterverwenden?
In den meisten Fällen ja. Podman folgt der OCI-Spezifikation und versteht denselben Image-Build-Befehl wie Docker. Für Compose-Files gibt es zwei Wege: erstens podman-compose als drop-in-Replacement für docker-compose, zweitens das podman-Subkommando „podman compose“, das ab Podman 4.1 mit echtem Docker-Compose-CLI funktioniert. Probleme treten typischerweise bei sehr Docker-spezifischen Features auf — Docker-Swarm-Modus, Docker-Networks mit speziellen Treibern oder Build-Kit-Features wie SSH-Forwarding im Build. Für 90 Prozent der Standard-Workloads ist die Migration eine reine Befehls-Substitution.
Ist Podman wirklich sicherer als Docker?
Podman hat zwei architektonische Vorteile bei der Sicherheit: erstens läuft kein zentraler Root-Daemon, sondern jeder Befehl startet einen eigenen kurzlebigen Prozess unter Ihrem Benutzer-Account. Zweitens unterstützt Podman von Haus aus rootless-Container, bei denen die Container-Prozesse als unprivilegierter Benutzer laufen und User-Namespaces nutzen. Beides reduziert die Angriffsfläche, falls ein Container ausbricht. Docker kann mittlerweile ebenfalls rootless betrieben werden, aber der Daemon bleibt ein architektureller Single-Point-of-Failure. In der Praxis ist Podman die sicherere Standard-Wahl, Docker erreicht vergleichbare Sicherheit nur mit zusätzlicher Konfiguration.
Was ist containerd und wie unterscheidet es sich von Docker und Podman?
containerd ist eine schlanke Container-Laufzeit, die ursprünglich aus Docker herausgelöst wurde und heute ein eigenständiges CNCF-Projekt ist. Kubernetes nutzt containerd standardmäßig, seit die Docker-Shim 2022 entfernt wurde. Für Entwickler-Workflows fehlt containerd eine bequeme Befehlszeile — diese Lücke schließt nerdctl, ein Tool, das eine docker-kompatible CLI für containerd bietet und zusätzlich moderne Features wie Lazy-Pull und verschlüsselte Images unterstützt. containerd ist die richtige Wahl, wenn Sie eine produktions-orientierte, minimale Laufzeit ohne CLI-Ballast suchen, typischerweise auf Kubernetes-Knoten.
Welche Runtime empfiehlt Reepa für den deutschen Mittelstand 2026?
Unsere Standard-Empfehlung lautet: Podman auf Entwickler-Arbeitsplätzen (Windows, macOS, Linux), Podman oder containerd in der Produktion auf Linux-Servern, Docker Engine nur dort, wo bestehende Toolchains oder externe Vorgaben es zwingend verlangen. Die Begründung ist dreifach: Erstens umgeht Podman die Docker-Desktop-Lizenzkosten ab 250 Mitarbeitenden vollständig. Zweitens ist die rootless-Architektur sicherheits-technisch der bessere Standard. Drittens ist die Compatibility zu Docker-Befehlen und OCI-Images so hoch, dass die Migration in den meisten Projekten innerhalb weniger Tage abgeschlossen ist. Bei reinen Kubernetes-Clustern ist containerd ohnehin die Standard-Wahl auf Knoten-Ebene.
Bereit, Ihre Container-Strategie sauber aufzustellen?
Sprechen wir 30 Minuten unverbindlich. Wir bewerten Ihre aktuelle Docker-Nutzung, prüfen die Lizenz-Lage, schlagen einen Migrations-Pfad zu Podman oder containerd vor und liefern einen realistischen Fahrplan für die ersten 90 Tage — inklusive Schulungs-Konzept für Ihre Entwicklungs-Teams.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Begleitet mittelständische Unternehmen bei der Container- und Kubernetes-Strategie, von der Werkzeug-Auswahl über Migration bis zum sicheren Produktiv-Betrieb. Schreibt regelmäßig über Cloud-Architektur, DevOps und IT-Sicherheit.
Geprüft am: 22. Mai 2026 · Mehr über Hakan