In vielen Vorstandsrunden läuft jedes Quartal dasselbe Gespräch: IT bittet den CFO um Budget, um Identity Governance zu modernisieren. Der CFO fragt nach einem ROI-Modell. Die IT spricht über "Security Posture" und "Compliance-Risiken". Der CFO nickt höflich - und fragt wieder nach dem ROI.
Das Meeting endet mit einem vagen Versprechen, das Thema im nächsten Zyklus noch einmal aufzugreifen.
Das Problem ist nicht, dass Identity Governance keinen finanziellen Mehrwert hätte. Das Problem ist, dass kaum jemand sie in der Sprache verpackt, in der Finanzteams tatsächlich denken: Amortisationsdauer, Kostenvermeidung und harte Einsparungen auf Budgetpositionen, die der CFO ohnehin verantwortet.
Dieser Beitrag macht genau das. Drei konkrete Budgetzeilen, echte Zahlen und ein 90-Tage-Zeitplan, der die Amortisationsdauer belastbar macht - nicht theoretisch.
Warum Identity Governance immer wieder als Kostenstelle abgestempelt wird
Identity Governance - also die automatisierte Steuerung, wer worauf Zugriff hat, über alle Applikationen im Unternehmen - landet standardmäßig im Topf "Security-Ausgaben". Allein diese Einordnung killt den Business Case, bevor er überhaupt startet.
Security-Ausgaben sind per Definition defensiv. Sie wirken wie eine Risikosteuer. CFOs finanzieren sie eher widerwillig, als Versicherung. Schaut man aber darauf, was Identity Governance tatsächlich leistet, tauchen drei der größten Effekte klar als operative Einsparungen auf - nicht als reine Sicherheitsinvestitionen:
- IT-Personalkosten - die Stunden, die Ihr Team mit manueller Provisionierung und Deprovisionierung über Dutzende Apps pro Einstellung, Rollenwechsel und Austritt verbringt
- SaaS-Lizenzverschwendung - die Zombie-Seats, die sich durch unvollständiges Offboarding, wechselnde Freelancer und Rollenänderungen ansammeln, die niemand bereinigt
- Kosten der Audit Vorbereitung - der quartalsweise Kraftakt, Screenshots zu sammeln, Logs zu exportieren und manuell die Zugangsbelege aufzubauen, die Auditoren verlangen
Das sind keine abstrakten Sicherheitsvorteile. Das sind Kostenpositionen, die heute schon in Ihrem Budget stehen - nur verteilt über IT-Gehälter, SaaS-Verträge und Audit-Gebühren. Identity Governance bündelt und senkt sie.
German (de-DE)
Berechnen Sie Ihren individuellen ROIBudgetzeile 1: Reduktion von IT-Zugriffstickets
Die Kosten, die die meisten IT-Leiter nicht auf Knopfdruck beziffern können
Fragen Sie Ihr IT-Team, wie viele zugriffsbezogene Tickets pro Monat eingehen. Fragen Sie dann, wie lange die Bearbeitung im Schnitt dauert. Die meisten kennen die exakte Zahl nicht - weil es niemand als explizite Kostenposition trackt.
Dabei ist der Aufwand erheblich. Ein Unternehmen mit 300 Mitarbeitenden, 10 New Hires pro Monat, regelmäßigen Rollenwechseln und einer gewissen Freelancer-Fluktuation erzeugt leicht 100-200 Zugriffstickets im Monat. Jedes Ticket bedeutet: in eine App einloggen, Berechtigungen nachschlagen, Änderungen manuell vornehmen und die Aktion irgendwo dokumentieren. Im Schnitt 20-30 Minuten IT-Zeit pro Ticket.
Laut Gartner kann allein automatisierte Benutzerbereitstellung den Aufwand in der Security-Administration um 14.000 Stunden pro Jahr senken und zusätzlich 6.000 Stunden Helpdesk-Zeit freimachen. Selbst bei einem Bruchteil dieser Größenordnung ist die Rechnung für Midmarket-Unternehmen überzeugend.
Für eine Organisation mit 300 Mitarbeitenden, rund 150 Zugriffstickets pro Monat und einem voll eingepreisten IT-Stundensatz von 90 $:
- Jährliches Ticketvolumen: 1.800
- Durchschnittliche Bearbeitungszeit: 30 Minuten
- Jährliche IT-Personalkosten: ca. 81.000 $
- 80 % Reduktion durch Automatisierung: rund 65.000 $ Ersparnis pro Jahr
Und das, bevor Sie die "versteckten" Kosten auf Anwenderseite einrechnen - etwa die Zeit, in der ein New Hire ohne die nötigen Tools dasitzt, oder der Tag, an dem ein Leaver weiter Zugriff hat, weil niemand das Ticket rechtzeitig bearbeitet.
Zero-Touch-Onboarding und automatisiertes Offboarding eliminieren die Ticket-Queue. Sobald ein New Hire im HRIS angelegt ist, werden Zugriffe automatisch über alle relevanten Apps im gesamten Stack provisioniert. Verlässt jemand das Unternehmen, sorgt ein einziger Trigger für die Deprovisionierung überall - nicht nur in Okta, sondern in jeder App, inklusive der Tools ohne SCIM.
Budgetzeile 2: Lizenzrückgewinnung bei Zombie-Lizenzen
Das Budgetleck, das sich jedes Jahr selbst verlängert
Das ist die Budgetzeile, die CFOs meist als erstes adressieren - weil sie direkt auf den SaaS-Rechnungen sichtbar ist, die ohnehin bezahlt werden.
Das typische Muster: Eine Mitarbeiterin geht. Die IT deaktiviert den SSO-Account. Aber ihr Notion-Workspace, die Figma-Seats, Linear-Lizenzen und die Mitgliedschaft in GitHub-Organisationen bleiben aktiv. Viele dieser Apps sind nicht an SSO-Provisionierung angebunden - entweder, weil SCIM in den Standard-Tarifen nicht enthalten ist oder weil nie jemand die Integration umgesetzt hat.
Branchenstatistiken zeigen konsistent, dass in der durchschnittlichen Organisation rund 30 % der SaaS-Lizenzen ungenutzt bleiben. Im Schnitt verschwenden Unternehmen jährlich über 135.000 $ für ungenutzte Lizenzen, Konzerne ab 1.000 Mitarbeitenden kommen im Mittel auf 21 Millionen $ pro Jahr. Für kleinere Unternehmen ist die relative Verschwendung ähnlich hoch - sie akkumuliert nur leiser.
Dazu kommt eine zweite, weniger offensichtliche Verschwendungsquelle: die SCIM-Steuer (SCIM-Aufschläge durch erzwungene Enterprise-Upgrades nur für Zugriffsautomatisierung). Viele SaaS-Anbieter - etwa Notion, Figma, Asana und andere - verstecken SCIM-Provisionierung hinter "Enterprise"-Plänen, die 5-10x teurer sind als der Standard-Tarif. Firmen, die nur einige Kernapps automatisieren wollen, zahlen plötzlich Enterprise-Preise quer durch ihren Stack. Für ein Unternehmen mit 200-300 Mitarbeitenden kann die kombinierte SCIM-Steuer über mehrere Apps hinweg leicht 50.000 $ pro Jahr übersteigen - für ein Protokoll, nicht für ein Business-Feature.
Die 30%-Deckungsfalle: Die meisten SaaS-lastigen Organisationen automatisieren nur 20-40% ihrer Apps - die SCIM-freundlichen Apps. Die verbleibenden 60-80% werden weiterhin über Tickets und Tabellen verwaltet. Dort befindet sich der Großteil der SaaS-Verschwendung, verwaiste Konten und Audit-Risiken. Ein Tool, das nur SCIM-Apps abdeckt, wird das nicht beheben - und es wird sich erst in Ihrer ROI-Berechnung zeigen, wenn es zu spät ist.
Die universellen Konnektoren von Iden erreichen jede App - unabhängig von SCIM, API oder beidem nicht - sodass nie ein Enterprise-Upgrade nötig wird, nur um Provisionierung zu automatisieren. Automatisierte Lizenzrückgewinnung läuft kontinuierlich: inaktive Seats werden identifiziert, überprüft und im gesamten Stack deprovisioniert - inklusive der Long-Tail-Apps, die SSO nie abgedeckt hat.
Organisationen, die automatisierte Lizenzrückgewinnung mit dem Wegfall der SCIM-Steuer kombinieren, holen sich typischerweise bis zu 30 % ihrer jährlichen SaaS-Ausgaben zurück. Bei einem SaaS-Budget von 500.000 $ liegen damit 150.000 $ pro Jahr in Zombie-Lizenzen und unnötigen Enterprise-Upgrades gebunden.
Budgetzeile 3: Gesparte Zeit bei der Audit Vorbereitung
Die quartalsweise "Steuer", für die niemand ein eigenes Budget plant
Wenn Ihr Unternehmen auf SOC 2, ISO 27001, HIPAA oder ähnliche Frameworks hinarbeitet, kennen Sie den Schmerz: Access-Reviews, die sich über Wochen ziehen, Belege sammeln heißt Screenshots aus einem Dutzend Admin-Panels exportieren, und Fragen zur Zugriffshistorie verlangen manuelle Korrelation von Logs aus HR, SSO und einzelnen Apps.
Ein DIY-Ansatz für SOC-2-Compliance mit Excel-Listen und Vorlagen bindet typischerweise 400-600 Stunden interner Arbeit. Selbst mit vorhandenen Tools investieren Organisationen für quartalsweise User-Access-Reviews und kontinuierliche Belegsicherung regelmäßig 200-300 Stunden pro Jahr allein in Identity-bezogene Audit Vorbereitung.
Die Kosten sind nicht nur Zeit. Für die meisten kleinen bis mittelgroßen Unternehmen liegen die Gesamtkosten eines SOC-2-Audits im Jahr 2025 typischerweise zwischen 30.000 und 50.000 $. Wenn Ihre Identity-Daten fragmentiert sind, Belege langsam zusammengetragen werden und Reviews eher als Gummistempel-Übung statt als echte Prüfung laufen, finden Auditoren mehr Abweichungen - und mehr Abweichungen bedeuten mehr Remediation, mehr Auditor-Stunden und höhere Fees.
Automatisierte Identity Governance dreht dieses Bild komplett. Immutable Audit-Logs erfassen jedes Zugriffsereignis in Echtzeit über alle Apps. Quartalsweise Access-Reviews laufen automatisch, Policy-gesteuerte Entscheidungen ersetzen Gummistempel-Approvals. Wenn ein Auditor fragt: "Wer hatte zwischen Januar und März Zugriff auf Ihre Produktionsumgebung?", lautet die Antwort ein strukturiertes, exportierbares Protokoll - kein dreiwöchiges Rekonstruktionsprojekt.
Teams, die von manuellen Access-Reviews auf kontinuierliche, automatisierte Governance umstellen, gewinnen in der Regel 60 % oder mehr der quartalsweisen Vorbereitungszeit zurück. Bei einem IT-Satz von 90 $ pro Stunde entsprechen 180 gesparte Stunden pro Jahr 16.200 $. Der noch größere Hebel liegt in sinkenden Auditor-Gebühren: Schlankere Belegpakete und weniger Ausnahmen bedeuten kürzere Audit-Zyklen und weniger verrechenbare Stunden.
Für Compliance-getriebene Organisationen ist genau diese Budgetzeile oft der entscheidende Baustein im Business Case. SOC-2- und ISO-27001-Audits werden nicht günstiger, wenn Ihr Stack wächst - aber kontinuierliche Governance verhindert, dass die Kosten linear mit Ihrem Headcount steigen.
Wie die Zahlen zusammenspielen
| Posten | Der versteckte Kostentreiber | Was automatisierte IGA-Lösungen beheben | Typische Einsparungen (300-Personen-Organisation) |
|---|---|---|---|
| 1. IT-Ticket-Reduktion | Manuelle Bereitstellung und Deprovisionierung über 30–80 Apps pro Einstellung/Austritt | Zero-Touch-Onboarding und Offboarding; automatisierte Zugriffs-Workflows eliminieren bis zu 80 % der manuellen Tickets | $40,000-$75,000 pro Jahr |
| 2. Zombie-Lizenz-Rückgewinnung | Verwaiste Lizenzen durch unvollständiges Offboarding, Auftragnehmer-Fluktuation und Rollenänderungen | Automatisierte Deprovisionierung über alle Apps hinweg (SCIM oder nicht); kontinuierliche Zugriffsüberprüfungen erkennen ungenutzte Lizenzen vor der Verlängerung | $30,000-$90,000 pro Jahr |
| 3. Audit-Vorbereitungszeit eingespart | Vierteljährliche Zugriffsüberprüfungen, Beweissammlung und fragmentierte Auditpfade über Dutzende von Apps | Unveränderliche Auditprotokolle, kontinuierliche Zugriffsüberprüfungen und vorkonfigurierte Compliance-Nachweise – immer bereit, nie durcheinander | $20,000-$40,000 pro Jahr (plus Reduktion der Auditorengebühren) |
Nutzen Sie den Rechner unten, um Ihre eigenen Zahlen durchzuspielen. Passen Sie Headcount, SaaS-Ausgaben und Ticketvolumen an Ihre tatsächliche Ausgangslage an - das Ergebnis ist ein belastbarer Startpunkt für Ihren Business Case.
Der 90-Tage-Plan: Warum die Amortisationsdauer glaubwürdig ist
Der häufigste Einwand gegen Investitionen in Identity Governance (IGA) ist nicht der Preis - es ist die Timeline. Klassische IGA-Plattformen brauchen 6-18 Monate bis zum Go-Live, erfordern Systemintegratoren und liefern am Ende oft nur Teilabdeckung. Wenn ein CFO "18 Monate bis zum Mehrwert" hört, ist das Projekt faktisch tot.
Das 90-Tage-Modell funktioniert, weil moderne Identity Governance keine 6-monatige Implementierung mehr braucht. Iden ist in unter 24 Stunden live, verbindet sich am ersten Tag mit Ihrem HRIS und SSO und zeigt sofort verwaiste Konten und Automatisierungspotenziale auf.
Verbinden Sie Iden mit Ihrem HRIS und SSO (Okta, Entra, Workday, BambooHR). Gehen Sie in weniger als 24 Stunden live, ohne Engineering erforderlich. Machen Sie sofort alle menschlichen und nicht-menschlichen Identitäten, verwaiste Konten und ungenutzte Lizenzen in Ihrem Stack sichtbar – einschließlich Apps ohne SCIM oder APIs. Hier erleben die meisten Teams ihren ersten Schock: Eine Welle von Zombie-Sitzen, von der sie nicht wussten, dass sie existieren.
Aktivieren Sie Zero-Touch-Onboarding und Offboarding. Wenn jemand beitritt, die Rolle ändert oder das Unternehmen verlässt – Iden löst automatisch die richtigen Zugriffsänderungen in jeder App aus. Ticket-Warteschlangen fallen sofort ab. Die IT gewinnt Zeit zurück. Die 80%-Reduktion der Tickets beginnt hier.
Führen Sie automatisierte Lizenzrückgewinnung über Ihren gesamten Stack durch. Iden identifiziert inaktive Lizenzen, kennzeichnet sie zur Überprüfung und entprovisioniert dort, wo sie als ungenutzt bestätigt werden - einschließlich Langtail-SaaS-Apps, die SSO nie berührt hat. Verfolgen Sie die eingesparten Ausgaben in Echtzeit. Ihr CFO wird vor Quartalsende harte Zahlen vorliegen.
Aktivieren Sie richtlinienbasierte Zugriffsüberprüfungen und eine kontinuierliche Sammlung von Audit-Belegen. Unveränderliche Protokolle, strukturierte Zugriffsaufzeichnungen und automatisierte vierteljährliche Zertifizierungen ersetzen das Screenshot-Chaos. Wenn ein Auditor fragt 'Wer hatte Zugriff auf was, und seit wann?' – lautet die Antwort mit einem einzigen Klick, nicht drei Wochen manueller Arbeit.
Bis Tag 90 liegen drei greifbare Ergebnisse vor: eine messbare Reduktion des IT-Ticketvolumens (Budgetzeile 1), eine dokumentierte Liste zurückgewonnener Lizenzen inklusive Kosteneinsparungen (Budgetzeile 2) sowie ein revisionssicherer Audit-Trail, der den nächsten quartalsweisen Access-Review-Stress ersetzt (Budgetzeile 3).
Für die meisten SaaS-lastigen Unternehmen mit 300-1.000 Mitarbeitenden ergibt sich damit eine Amortisationsdauer von deutlich unter sechs Monaten. Kein Forecast - ein Ergebnis, das Sie im nächsten Board-Meeting berichten können.
Die Coverage-Falle, die den ROI zerstört
Ein Faktor untergräbt ROI-Berechnungen bei Identity Governance immer wieder: Tools, die nur SCIM-fähige Apps abdecken.
Die meisten SaaS-lastigen Organisationen arbeiten mit 40-80 Apps im Stack. Ein typisches SCIM-only-IGA-Tool deckt davon 10-15 ab - die, die ohnehin an SSO hängen. Die restlichen 60-80 % bleiben manuell. Das heißt konkret:
- Zombie-Lizenzen in Notion, Figma, Linear und GitHub werden nie zurückgewonnen
- Offboarding bleibt für alle Apps unvollständig, die SSO nicht erreicht
- Audit-Belege für Non-SCIM-Apps erfordern weiterhin manuelle Screenshots
Analysen populärer SaaS-Apps zeigen: 57 % unterstützen SCIM in keinem einzigen Pricing-Tier, und nur 9 % bieten SCIM unterhalb der Enterprise-Ebene an. Wenn Ihr Governance-Tool nur SCIM-Apps erreicht, lösen Sie 20-30 % des Problems - zahlen aber für eine vermeintlich komplette Lösung.
Genau hier liegt der Kernunterschied zwischen SCIM-only und universeller Abdeckung. Die Konnektoren von Iden erreichen jede App in Ihrem gesamten Stack - inklusive Tools ohne SCIM, ohne API und ohne nötiges Enterprise-Upgrade. Das macht das obige ROI-Modell realistisch - nicht theoretisch.
Den internen Business Case aufbauen
Wenn Sie dieses Thema zum CFO bringen, sollten Sie es entlang von drei Achsen rahmen:
1. Harte Einsparungen mit kurzer Amortisationsdauer. Nutzen Sie die drei Budgetzeilen oben mit Ihren echten Zahlen. Rechnen Sie konservativ - der Business Case muss nicht optimistisch sein, um überzeugend zu wirken.
2. Kostenvermeidung mit Zinseszinseffekt. Zombie-Lizenzen verlängern sich automatisch. Kosten der Audit Vorbereitung steigen mit dem Headcount. Manuelles Ticketvolumen wächst mit jedem neuen Mitarbeitenden. Jedes Quartal, in dem Sie warten, erhöht Ihre Ausgangsbasis. Der ROI eines Schritts jetzt ist höher als der eines Schritts im nächsten Geschäftsjahr.
3. Risikoadjustierter Wert. Ein einziger sicherheitsrelevanter Incident rund um Identitäten - ein Ex-Mitarbeitender mit aktivem Zugriff, ein nie deprovisionierter Freelancer-Account - kann mehr kosten als Jahre an Governance-Investitionen. Verwaiste Freelancer-Konten werden zunehmend als Compliance-Verstoß gewertet unter Frameworks wie SOC 2, DORA und HIPAA. Dieses Risiko hat einen Preisschild. Beziehen Sie es in die Kalkulation ein.
Der CFO muss weder SCIM noch Access-Reviews im Detail verstehen. Er oder sie braucht drei Zahlen, einen Zeitplan und eine belastbare Antwort auf die Frage: "Wann haben wir Break-even erreicht?" Identity Governance, richtig umgesetzt, liefert alle drei.
Häufig gestellte Fragen
Wie lange dauert es, ROI aus der Identitätsverwaltung zu sehen?
Mit einer modernen, schnell bereitzustellenden Plattform wie Iden sehen die meisten Organisationen messbare Renditen innerhalb der ersten 90 Tage: Rückgewinnung verwaister Lizenzen in 2–4 Wochen, Reduktion von Tickets innerhalb des ersten Monats und Nachweise zur Einhaltung bis Tag 90. Im Gegensatz zu Legacy-IGA-Implementierungen, die 6–18 Monate bis zur Inbetriebnahme benötigen, ist Iden typischerweise in weniger als 24 Stunden live.
Was ist der Unterschied zwischen SaaS-Management und Identitätsverwaltung?
SaaS-Management-Tools erfassen, wofür Sie ausgeben und wofür. Die Identitätsverwaltung steuert wer Zugriff auf was hat – und automatisiert den Prozess der Vergabe, Änderung und des Entzugs dieses Zugriffs. Die Rückgewinnung von Zombie-Lizenzen liegt am Schnittpunkt: Man kann eine Zombie-Lizenz nicht zuverlässig zurückfordern, ohne zu wissen, wer die App tatsächlich verwendet; dafür ist Governance-Ebene Sichtbarkeit erforderlich, nicht nur ein Ausgaben-Dashboard.
Was ist mit Apps ohne SCIM? Benötigen nicht die meisten IGA-Tools SCIM?
Die meisten tun es - und das ist das Kernproblem. Apps wie Notion, Figma, Linear und Hunderte SaaS-Tools im Long-Tail bieten SCIM nicht in Standardpreisstufen an. SCIM-Nur-Tools lassen 60-80% Ihres Stack unautomatisiert. Idens universelle Konnektoren erreichen jede App – SCIM, API oder gar nichts – wo der Großteil der Zombie-Lizenzen und Zugriffslücken tatsächlich liegt.
Wie erstelle ich meinem CFO einen Business Case?
Verwenden Sie drei Posten: (1) Reduzierung der IT-Ticket-Kosten – multiplizieren Sie das monatliche Zugriffsticket-Volumen mit einer 80%-Reduktion und multiplizieren Sie das Ergebnis mit Ihrem IT-Stundensatz. (2) Zombie-Lizenz-Rückgewinnung - wenden Sie einen Verschwendungsfaktor von 25-30% auf Ihre jährlichen SaaS-Ausgaben an. (3) Audit-Vorbereitungszeit – Berechnen Sie die aktuellen Stunden, die Ihr Team für vierteljährliche Zugriffsüberprüfungen und Beweissammlung aufwendet, und wenden Sie dann eine Reduktion von 60 % an. Dann setzen Sie diese Posten gegen die realistischen Kosten einer IGA-Plattform.
Ist Identitätsverwaltung nur relevant für Branchen mit hohem Compliance-Aufwand?
Nein. Die Kostentreiber – manuelle Tickets, Zombie-Lizenzen und Audit-Vorbereitungszeit – existieren in jeder SaaS-intensiven Organisation, unabhängig von Branche. Compliance erhöht die Dringlichkeit, aber die operativen Einsparungen durch automatisierte Bereitstellung und Lizenzrückgewinnung gelten universell. Der Benchmark von 30% SaaS-Verschwendung gilt branchenübergreifend – von Tech, Logistik, Fertigung bis hin zu professionellen Dienstleistungen.
