Identity Governance war früher eine interne Hygienemaßnahme. Spätestens 2026 ist sie eine regulatorische Kontrollfläche.

HIPAA, NIS2, DORA, CMMC 2.0 und SOC 2 verlangen inzwischen von Unternehmen, durchgängige Transparenz und Kontrolle über Zugriffe nachzuweisen - über den gesamten Applikations-Stack hinweg, nicht nur über die 20 %, die über SSO und SCIM gemanagt werden.

Dieser Leitfaden richtet sich an:

  • IT-Leiter:innen und Heads of IT (50-2.000 Mitarbeitende), die über manuelles Provisioning und Ticket-basierte Zugriffsvergabe hinausgehen wollen.
  • CISOs in regulierten Branchen - Healthcare, Finanzwesen, Energie, Defense, SaaS - die harte Nachweise für Zugriffskontrollen brauchen, nicht nur schöne Richtliniendokumente.
  • Compliance- und Risk-Verantwortliche, die bis 2026 unter HIPAA, NIS2, DORA, CMMC 2.0 und SOC 2 prüf- und durchsetzungsfähig sein müssen.

Wir vergleichen die wichtigsten Lösungsansätze - SSO-only, Legacy-IGA und universelle, automatisierte IGA - mit Fokus darauf, was wirklich rechtzeitig und kosteneffizient zur regulatorischen Einsatzfähigkeit führt.

Schnelle Empfehlungen (TL;DR)

Keine Zeit? Hier ein schneller Einstieg.

Situation Risikoprofil Empfohlener Ansatz
Tech-Unternehmen < 500 Mitarbeitende, Vorbereitung auf erstes SOC 2 Moderater regulatorischer Druck, schlankes Team Setzen Sie auf eine universelle IGA-Plattform (wie Iden), die Provisioning und Access Reviews über alle Apps hinweg automatisiert. Ergänzen Sie bei Bedarf eine leichte Compliance-Automatisierung.
Healthcare-/Finanzorganisation unter HIPAA/DORA & NIS2 Hoher regulatorischer Druck, Prüfer stellen kritische Fragen Vermeiden Sie SSO-only/SCIM-only. Wählen Sie Full-Stack Identity Governance mit automatisierten Nachweisen und HR-getriebenem Offboarding für jede App.
Defense-Auftragnehmer mit CMMC-Level-2+-Zielaufträgen ab 2026 Vertrags- bzw. regulatorische Pflicht Implementieren Sie eine umfassende IGA, ausgerichtet an den CMMC-Access-Controls (AC & IA), die systemspezifische Zugriffsbelege erzeugen kann. SSO + Spreadsheets reichen nicht.
1-3-Personen-IT-Team, 50-800 Mitarbeitende, 40-80 SaaS-Apps Schlankes Team, hohes Betriebsrisiko Wählen Sie eine schnell einführbare, ressourcenschonende IGA statt schwergewichtiger Legacy-Suiten. Achten Sie auf universelle App-Abdeckung und Inbetriebnahme in Tagen, nicht in Quartalen.
> 5.000 Mitarbeitende, großer On-Prem-Footprint, großes IAM-Team Hohe Komplexität, hohes Budget Legacy-IGA-Suiten können passen, rechnen Sie aber mit langen Projekten. Ziehen Sie universelle Connectoren in Betracht, um Lücken bei SaaS zu schließen.

Warum 2026 der regulatorische Wendepunkt für Identity Governance ist

Rahmenwerke, die früher fast nur auf Dokumentation abstellten, sind heute explizit evidenzgetrieben und zugriffskontrollzentriert.

HIPAA / HITECH

Die Security Rule von HIPAA (45 CFR 164.312) verlangt seit jeher technische Schutzmaßnahmen - eindeutige IDs und Zugriffskontrollen - für elektronische Gesundheitsinformationen (ePHI).

HITECH hat eine Vier-Stufen-Struktur für HIPAA-Sanktionen eingeführt: 100 US-Dollar pro unbekanntem Verstoß, bis zu 50.000 US-Dollar bei vorsätzlicher Vernachlässigung, gedeckelt auf 1,5 Millionen US-Dollar pro Jahr und Kategorie.

Seit 2024 setzt das HHS OCR diese Stufen deutlich strenger durch, mit höheren Abschreckungsstrafen. Manuelles Offboarding und verwaiste Konten sind damit nicht mehr nur schlechte Praxis - sie sind Haftungsrisiken.

NIS2 (deutsches NIS2-Gesetz in Kraft)

Für die EU - und besonders für Deutschland - ist 2026 das erste volle Jahr unter NIS2.

Das deutsche NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten; betroffene Unternehmen müssen sich bis zum 6. März 2026 beim BSI registrieren.

NIS2-Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen) bzw. 7 Millionen/1,4 % (wichtige Einrichtungen) erreichen - je nachdem, was höher ist.

NIS2 fordert ausdrücklich Identity- und Access-Management, starke Authentifizierung und regelmäßige Zugriffsüberprüfungen. Spreadsheets und "SSO deckt das schon ab" gelten nicht mehr als glaubwürdige Kontrollen.

DORA (Digital Operational Resilience Act)

Für Finanzdienstleister und ICT-Provider in der EU gilt DORA.

Der Digital Operational Resilience Act gilt EU-weit ab dem 17. Januar 2025.

Sanktionen: bis zu 2 % des weltweiten Jahresumsatzes oder bis zu 1 % des durchschnittlichen Tagesumsatzes pro Tag der Nichtkonformität - bis zu sechs Monate lang.

DORA verlangt ein Register of Information für alle ICT-Drittparteibeziehungen sowie granulare ICT-Zugriffskontrollen. Für jedes System müssen Sie wissen, wer welche Zugriffe hat und wie diese wieder entzogen werden.

CMMC 2.0 (US-Verteidigungssektor)

Die Final Rule von CMMC 2.0 gilt seit dem 10. November 2025; ein gestufter Rollout verankert Level-1/2-Anforderungen ab Ende 2025 in Verträgen, unabhängige Assessments nehmen bis 2026 deutlich zu.

Die Access-Control-Praktiken von CMMC - etwa AC.L2-3.1.1 - greifen direkt auf Identity Governance durch: Sie müssen korrekte Benutzerlisten, Berechtigungen und schnelle Entzugsprozesse über alle CUI-Systeme hinweg nachweisen.

SOC 2 und Überschneidungen mit anderen Rahmenwerken

Die Common Criteria CC6.x von SOC 2 fokussieren auf logischen Zugriff und den Account-Lebenszyklus.

Die SOC-2-Kriterien CC6.1 und CC6.2 verlangen eingeschränkten logischen Zugriff und sicheres Account-Management, mit Nachweisen wie Access Reviews, Deprovisioning-Logs und Change-Tickets.

Prüfer erwarten automatisierte Nachweise - nicht nur eine Richtlinie, sondern Logs und Workflows, die reale Aktivitäten in allen kritischen Anwendungen belegen.

Fazit: Manuelles Zugriffsmanagement und reine SSO-Abdeckung sind unter HIPAA, NIS2, DORA, CMMC und SOC 2 inzwischen explizite regulatorische Risikofaktoren.

Erstellen Sie revisionssichere Belege

Worauf Sie bei regulatorisch-sicherer Identity Governance achten sollten

Beginnen Sie bei den regulatorischen Anforderungen: Was wollen Prüfer konkret von Ihnen sehen? Arbeiten Sie rückwärts von diesen Nachweisfragen. Zentrale Kriterien für 2026:

1. Universelle Applikationsabdeckung (jenseits von SCIM-Apps)

SSO-/IGA-Tools automatisieren typischerweise etwa 20 % Ihres Stacks - die einfachen SCIM/API-Apps. Der Rest - Long-Tail-SaaS, Legacy-Systeme, branchenspezifische Tools - bleibt manuell.

Eine regulatorisch taugliche Plattform muss:

  • sich mit allen Apps verbinden können - unabhängig davon, ob sie SCIM/APIs unterstützen oder nicht.
  • On-Prem/Cloud sowie Vendor- und Self-Hosted-Systeme unterstützen.
  • ohne teure Enterprise-SCIM-Upgrades auskommen (keine "SCIM-Steuer").

2. Fein granulare Berechtigungen, nicht nur Gruppen

"User X hat Zugriff auf Slack" reicht weder für HIPAA noch für CMMC oder NIS2. Regulatoren fokussieren auf Least Privilege:

  • Auf welche Slack-Channels?
  • Auf welche GitHub-Repos/Branches?
  • Auf welche Jira-Projekte/ERP-Module?

Wählen Sie Identity Governance, die Berechtigungen bis auf Channel-, Repo-, Projekt- und Environment-Ebene managen kann - nicht nur Gruppenmitgliedschaften.

3. Vollständige Joiner-Mover-Leaver-Automatisierung

Alle Rahmenwerke unterstellen, dass Zugriffsänderungen zuverlässig und schnell erfolgen:

  • HR-getriebenes Onboarding, das Basiszugriffe innerhalb von Minuten vergibt.
  • Positions- oder Abteilungswechsel, die Zugriffe automatisch anpassen (verhindert Privilege Creep).
  • Offboarding, das sämtliche Zugriffe - auch außerhalb von SSO - innerhalb von Sekunden entzieht.
  • Unterstützung für nicht-menschliche Identitäten (Service Accounts, Bots, AI-Agents).

4. Automatisierte Access Reviews/Certifications

NIS2, SOC 2, ISO 27001 und CMMC verlangen regelmäßige Benutzerzugriffsprüfungen. Entscheidend ist:

  • automatisierte, je App und je Berechtigung aufgelöste Nutzerlisten.
  • Weiterleitung der Reviews an Manager bzw. System-/Datenverantwortliche.
  • revisionssichere Erfassung von Entscheidungen, Kommentaren und Entzügen.

Spreadsheets fördern Blindabstimmungen ("Rubber-Stamping") und lückenhafte Nachweise.

5. Echtzeit-Audit-Trails und Nachweise

Prüfer wollen Live-Evidenz:

  • unveränderliche Logs zu Provisioning, Änderungen und Deprovisioning.
  • Korrelation von HR-Events und Zugriffsänderungen.
  • Mapping von regulatorischen Kontrollen auf konkrete Workflows/Logs.

Identity Governance sollte gleichzeitig als Compliance-Software dienen: Nachweise werden automatisch generiert - kein hektisches Sammeln von Screenshots kurz vor dem Audit.

6. Multi-Framework-Control-Mapping

Identitäten ziehen sich durch alle Rahmenwerke. Führende Plattformen:

  • mappen eine einzelne Kontrolle (z. B. "vierteljährliche Access Review") auf HIPAA, SOC 2, ISO 27001, CMMC, NIS2 und DORA.
  • exportieren Nachweise rahmenwerkspezifisch, ohne doppelten Aufwand.

So vermeiden Sie Tool-Wildwuchs und Verwirrung in Audits.

7. Time-to-Value und operativer Overhead

Schlanke IT-Teams - 50-2.000 Mitarbeitende - können keine IAM-Projekte über 6-18 Monate stemmen.

Fragen Sie Anbieter:

  • Zeit von Vertragsunterzeichnung bis Go-Live mit 10-15 Apps?
  • Kann ein 1-3-köpfiges IT-Team die Lösung eigenständig betreiben?
  • Wie sieht der Pfad von SSO-only hin zu voller IGA aus?

8. Kostenstruktur und die SCIM-Steuer

Kosten für Identity Governance setzen sich zusammen aus:

  1. Lizenzgebühren
  2. erforderlichen Upgrades (SCIM, Add-ons, Professional Services)
  3. versteckter Handarbeit (Tickets, Nacharbeit)

Bevorzugen Sie Plattformen, die:

  • keine Enterprise-SCIM-Upgrades erzwingen,
  • Professional Services minimieren,
  • Lizenzrückgewinnung/Right-Sizing ermöglichen, um SaaS-Kosten zu senken.

German (de-DE)

Eliminieren Sie die SCIM-Steuern ab sofort

Die wichtigsten Optionen am Markt: Stärken, Schwächen, Einsatzszenarien, Kosten

Unternehmen entscheiden sich 2026 im Wesentlichen zwischen fünf Modellen:

Option 1: SSO-only + manuelle Prozesse

(Okta/Entra SSO, rudimentärer Lifecycle für einige SCIM-Apps, Tickets und Spreadsheets für den Rest)

Vorteile

  • Geringe Einstiegskosten (SSO meist bereits vorhanden)
  • Vertraute Workflows
  • Einfache Umgebungen gut abgedeckt

Nachteile

  • Keine Abdeckung für Non-SCIM- oder Spezial-Apps
  • Hohe manuelle Belastung der IT
  • Schwaches Offboarding, häufig verwaiste Konten
  • Regulatorische Nachweise sind manuell und fragmentiert
  • Kein belastbarer Nachweis von Least Privilege oder schneller Entzug

Am besten geeignet für

  • Sehr kleine, wenig regulierte Organisationen
  • Kurzfristige Übergangslösung während der Evaluierung besserer Optionen

Preisstruktur

  • SSO-Gebühren pro User plus versteckte Personalkosten; wirkt günstig, ist es aber nicht.

Erleben Sie Iden live

Option 2: Compliance-Automation-Tools + manuelle Identity

(Drata, Vanta, Secureframe, Tugboat etc. - Compliance-Automatisierung, aber keine IGA)

Vorteile

  • Sehr hilfreich für SOC-2-/ISO-27001-Dokumentation und gebündelte Evidenz
  • Gute Reports für Prüfer und Kund:innen

Nachteile

  • erzwingen oder automatisieren keine Zugriffskontrollen
  • erfordern weiterhin manuelle App-Exporte für Access Reviews
  • steuern kein Deprovisioning oder fein granulare Berechtigungen

Am besten geeignet für

  • Teams mit bereits starker Identity Governance, die primär Reporting benötigen
  • Als zusätzliche Schicht oberhalb von IGA, nicht als Ersatz

Preisstruktur

  • Typischerweise mittlerer fünfstelliger Jahresbetrag; hoher Mehrwert, wenn IGA automatisiert ist

Steuern Sie temporäre Zugriffe

Option 3: Legacy-IGA-Suiten (SailPoint, Saviynt, One Identity)

(Klassische Identity Governance für Großunternehmen)

Vorteile

  • Sehr ausgereifte Funktionen (SoD, AD/LDAP-Workflows, komplexe Freigabeprozesse)
  • Langjährige Bewährung bei Prüfern in regulierten Branchen

Nachteile

  • Ausgelegt auf Organisationen mit > 5.000 Mitarbeitenden und dedizierten IAM-Teams
  • Implementierung über Monate, hoher Beratungsaufwand
  • Hohe laufende Kosten (Lizenzen, Services, FTEs)
  • Nicht primär für SaaS-/Cloud-native Stacks konzipiert
  • Lücken bei Non-SCIM- oder Non-API-Apps, die weiter mit Spreadsheets verwaltet werden

Am besten geeignet für

  • Große, komplexe Unternehmen (starker On-Prem-Fokus, hohe IAM-Budgets)
  • Organisationen, die mehrjährige Projekte bewusst in Kauf nehmen

Preisstruktur

  • Angebotsbasiert; rechnen Sie mit erheblichen Lizenz- und Servicekosten

Testen Sie Iden für Ihren Stack

Option 4: SCIM-first "Modern IGA" & SSO-Governance-Module

(Okta Identity Governance, Entra ID Governance, SSO-nahe Tools)

Vorteile

  • Enge Integration mit SSO
  • Sehr flüssige Experience für SCIM-fähige Enterprise-Apps
  • Eingebaute Review-Workflows/Policy-Automatisierung

Nachteile

  • Deckt im Wesentlichen nur SCIM-/API-Teilmengen ab
  • Für den Großteil des Stacks bleiben Prozesse manuell, insbesondere bei:
    • Dev-Tools (GitHub, GitLab, fein granulare Berechtigungen)
    • Collaboration-/Wissens-Tools (Notion, Miro, Confluence ohne Enterprise-Pläne)
    • Branchenspezifischem SaaS/Legacy-Applikationen
  • Oft ist ein teurer App-Tarif nötig, nur um SCIM zu aktivieren
  • Erfüllt die Anforderungen an vollständige regulatorische Evidenz nicht - Prüfer erkennen diese Lücken

Am besten geeignet für

  • Organisationen, deren kritische Daten überwiegend in wenigen SCIM-fähigen Apps liegen
  • Teams, die für den Rest des Stacks mit "gut genug" Governance leben können

Preisstruktur

  • SSO-Add-ons plus höherwertige App-Subscriptions; Implementierungsaufwand variiert

Option 5: Iden - universelle, regulatorisch-sichere Identity Governance

Iden adressiert Unternehmen mit 50-2.000 Mitarbeitenden - SaaS-zentriert, SSO deckt nur einen Teil des Stacks ab, Compliance-Fristen rücken näher.

Iden automatisiert Provisioning und Zugriffsänderungen über mehr als 175 Apps hinweg, inklusive Non-SCIM-Tools wie Notion, Slack, Figma, Linear, GitHub und vielen weiteren.

Wie Iden 2026-Compliance ermöglicht

  • Universelle Abdeckung: Anbindung an jede App - ob mit SCIM, API oder ganz ohne - damit Sie die Frage "Wer hat worauf Zugriff?" für alle Umgebungen beantworten können.
  • Fein granulare Steuerung: Verwaltung von Berechtigungen auf Channel-, Repo-, Projekt- oder Environment-Ebene - nicht nur grobe Gruppenmitgliedschaften.
  • Vollständige Lifecycle-Automatisierung: Automatisiertes Onboarding, Rollenwechsel und Offboarding (inklusive Non-SSO-Apps), mit Zero-Touch-Offboarding und JIT-Access (Just-in-Time) für besonders sensible Systeme.
  • Automatisierte Reviews/Evidenz: Richtliniengesteuerte Access Reviews, Nachverfolgung von Entscheidungen und revisionssichere Logs für SOC 2, HIPAA, ISO 27001, CMMC, NIS2 und DORA - alles in einem System.
  • Multi-Framework-Mapping: Gleichzeitiges Mapping von Kontrollen auf SOC 2 CC6.x, HIPAA Security Rule, CMMC AC/IA, NIS2, DORA usw. - eine Kontrolle erfüllt viele Anforderungen.

Iden-Kund:innen verzeichnen im Schnitt ~80 % weniger manuelle Access-Tickets innerhalb von 60 Tagen, da Provisioning von Tickets auf automatisierte Workflows umgestellt wird.

Die meisten Iden-Einführungen gehen in unter 24 Stunden live; automatisierte Reviews sparen IT- und Compliance-Teams pro Quartal über 120 Stunden.

Vorteile

  • Universelle Abdeckung, inklusive Non-SCIM-/Non-API-Apps
  • Fein granulare Berechtigungen passend zu Least-Privilege-Anforderungen
  • Lifecycle-Automatisierung für schlanke IT-Teams
  • Multi-Framework-Compliance-Fit (HIPAA, NIS2, SOC 2, CMMC, DORA)
  • Keine SCIM-Steuer; Standard-App-Pläne reichen aus
  • Sehr schnelle Time-to-Value, minimaler Overhead

Nachteile

  • Optimiert für Organisationen mit 50-2.000 Mitarbeitenden; sehr große, stark kundenspezifische On-Prem-Umgebungen kombinieren Iden ggf. mit weiteren IAM-Lösungen
  • Ergänzt, statt vollständig zu ersetzen, dedizierte GRC-Suiten für breiter gefasstes Reporting

Am besten geeignet für

  • Schnell wachsende, SaaS-orientierte Organisationen (50-2.000 Mitarbeitende)
  • Healthcare-, Fintech-, Defense- und Kritische-Infrastruktur-Anbieter, die Compliance und Effizienz austarieren müssen
  • Teams, die aus der SSO-only-Phase herausgewachsen sind

Preisstruktur Iden-Preise: ca. 5 US-Dollar pro User und Monat, ohne verpflichtende Professional Services oder Enterprise-Upgrades - bezahlbar bei voller Abdeckung.

Buchen Sie Ihre 25-Minuten-Demo

Vergleichstabelle: Wie die Optionen für 2026-Compliance abschneiden

Option App-Abdeckung Fein granulare Berechtigungen Automatisierte Reviews & Evidenz Multi-Framework-Fit Time-to-Deploy IT-Overhead Kostenmuster
SSO-only + manuell Nur SCIM-Apps; Großteil manuell Begrenzt (nur Gruppen) Manuelle Spreadsheets Schwach; große Lücken SSO: Tage; vollständiger Stack: offen Hoch - Tickets, Spreadsheets SSO + hoher versteckter Personaleinsatz
Compliance-Tools + manuelle IGA Beobachten Konfiguration, erweitern Abdeckung nicht N/A (kein Enforcement-Tool) Gutes Reporting, Basis hängt von Identity-Setup ab Voll abhängig von Ihrer IGA Wochen Mittel Fünfstelliger Jahresbetrag + IGA-Kosten
Legacy-IGA-Suiten Stark im Kern; gemischt bei SaaS/Long Tail Stark, hoch konfigurierbar Stark (bei vollständiger Umsetzung) Stark, v. a. für Großunternehmen Monate bis Jahre Hoch (IAM-Team, Consultants) Hohe Lizenz-, Service- und FTE-Kosten
SCIM-first Modern IGA SCIM-Apps stark; sonst schwach Mittel (oft nur App-Ebene) Gut für SCIM; manuell für den Rest Mittel - Audit-Lücken sind relevant Wochen bis Monate Mittel bis hoch SSO-Add-ons + teure Enterprise-Upgrades
Iden (Universal IGA) Vollständiger Stack inkl. Non-SCIM/Non-API Stark, auf Ressourcenebene Stark - automatisiert, unveränderlich Stark - gezielt auf Compliance ausgelegt Stunden bis wenige Tage Niedrig ~5 US-Dollar/User/Monat; keine SCIM-Steuer

Was sollten Sie nun konkret tun?

Für Organisationen (50-2.000 Mitarbeitende) mit realen regulatorischen Deadlines in 2026 gilt:

  1. SSO-only/manuelle Prozesse erfüllen die Anforderungen an regulatorische Evidenz für HIPAA, NIS2, DORA, CMMC, SOC 2 nicht.
  2. Reine Compliance-Automatisierung reicht nicht aus: Schwache Identity-Controls führen zwangsläufig zu schwachen, wenn auch automatisierten, Dokumentationen.
  3. Legacy-IGA ist für schlanke Teams kaum praktikabel: Zeit, Risiko und Kosten kollidieren mit 2026-Fristen.
  4. SCIM-only Modern IGA löst nur einen Teil des Problems - verbleibende Lücken sind in ernsthaften Audits echte Risikofelder.
  5. Universelle, automatisierte Identity Governance (wie Iden) ist der pragmatische Ansatz: vollständige Abdeckung, fein granulare Kontrolle, Audit-Evidenz und schnelle Einführung.

Steht 2026 ein Audit oder eine Rezertifizierung an? Beginnen Sie mit Ihrem nächsten Stichtag und stellen Sie sich die Frage:

"Können wir für jede geschäftskritische App nachweisen, wer Zugriff hat, warum, wann dies zuletzt geprüft wurde und wie schnell wir den Zugriff entziehen?"

Wenn Sie diese Frage für Ihren kompletten Stack nicht sicher beantworten können, ist es Zeit, Identity Governance als kritisches 2026-Programm zu behandeln.

FAQ

Wie verhalten sich Identity Governance und Compliance-Automation-Tools zueinander?

Compliance-Automation-Tools (z. B. Drata, Vanta) unterstützen beim Mapping, Tracking und bei der Bündelung von Nachweisen. Identity Governance erzeugt die zugrunde liegende Evidenz für Zugriffskontrollen, Least Privilege und Offboarding.

Das beste Modell:

  • Identity Governance liefert vollständige, saubere Logs und Review-Trails.
  • Compliance-Plattformen ziehen diese Daten direkt, statt sich auf manuelle Sammelaktionen zu stützen.

Ohne automatisierte Identity Governance dokumentieren Compliance-Tools im Kern nur schwache Kontrollen.

Wie mappt Identity Governance auf HIPAA, NIS2, CMMC, DORA und SOC 2?

Beispiele:

  • HIPAA/HITECH - Access Control (§164.312) und Workforce Security (§164.308): eindeutige IDs, Least Privilege, schnelle Beendigung von Zugriffsrechten. Automatisiertes Provisioning, Berechtigungsmanagement und Offboarding adressieren genau diese Punkte.
  • NIS2 - Vorgaben zu Cyberrisiken und Incident-Pflichten verlangen IAM, MFA und zeitnahe Entzüge (Bußgelder: bis zu 10 Mio. Euro/2 % Umsatz).
  • CMMC 2.0 - Controls (z. B. AC.L2-3.1.1, AC.L2-3.1.2) verlangen ausschließlich autorisierte Zugriffe - automatisiertes Onboarding, Reviews und JML-Workflows liefern den Nachweis.
  • DORA - ICT-Risikomanagement und Steuerung von Drittparteien verlangen ein System- und Zugriffsregister - Identity Governance stellt diese Daten und Workflows bereit.
  • SOC 2 - CC6.x fordert logische Zugriffskontrollen und Lifecycle-Management - automatisierte Reviews und Logs sind der erforderliche Nachweis.

Wie schnell kann ein schlankes IT-Team von manuell auf automatisierte Governance wechseln?

Typische Phasen:

  1. Phase 1 (0-4 Wochen): Anbindung von Identity-Quellen (SSO, HRIS), Onboarding von 10-15 Kern-Apps, automatisiertes Offboarding - deutlich reduziertes Risiko.
  2. Phase 2 (1-3 Monate): Automatisierung von Access Reviews für Hochrisiko-Systeme, Aufbau von JIT-Workflows.
  3. Phase 3 (3-6 Monate): Ausbau auf Long-Tail-SaaS, Dienstleister, Service Accounts und Cross-Framework-Mapping.

Iden ist so konzipiert, dass Phase 1 in Stunden oder Tagen abgeschlossen werden kann - mit sofort sichtbarem Fortschritt für kommende Audits.

Brauche ich weiterhin SSO, wenn ich eine vollwertige Identity-Governance-Plattform habe?

Ja. SSO und IGA adressieren unterschiedliche Domänen:

  • SSO: Authentifizierung - Login, MFA, Sessions.
  • IGA: Autorisierung/Lifecycle - wer soll was haben und wie ändern sich Zugriffe.

Am stärksten sind Umgebungen, die SSO und IGA kombinieren. Iden ist darauf ausgelegt, sich mit Okta/Entra zu integrieren, nicht sie zu ersetzen.

Welches Risiko gehe ich ein, wenn ich noch ein Jahr warte?

Regulatorisch:

  • NIS2/DORA sind in der EU bereits durchsetzbar
  • CMMC-Verträge und Assessments nehmen 2026 Fahrt auf
  • HIPAA-Throughsetzung zieht an
  • SOC-2-Kund:innen erwarten Evidenz, nicht nur PDF-Richtlinien

Operativ:

  • Privilege Creep und verwaiste Konten nehmen zu
  • Audits und Incident Response werden teurer und aufwändiger

Wer auf regulierte Umsätze oder Verträge angewiesen ist, hat 2026 das letzte wirklich sichere Fenster, um zu handeln.

Buchen Sie Ihre 25-Minuten-Demo