Jeder Anbieter behauptet, Identität könne "warten, bis es ruhiger wird". Hyperwachstums-Tech- und Softwareunternehmen wissen: Dieser Tag kommt nie.

Wenn Sie während einer Phase rasanten Wachstums ernsthafte Identitätsverwaltung aufschieben, entstehen die Kosten nicht nur durch seltene Sicherheitsvorfälle. Sie schlagen sich viel früher nieder - als operativer Ballast, verdecktes Sicherheitsrisiko, Compliance-Schulden und verschwendete SaaS-Ausgaben - lange bevor der erste große Sicherheitsvorfall in den Schlagzeilen landet. Schauen wir uns diese Kosten an - und was sich mit einer vollständigen Identitätslösung ändert.

Hyperwachstums-Tech ist der manuellen Identitätsverwaltung entwachsen

Die meisten Scale-ups in den USA, UK und der DACH-Region folgen einem vertrauten Muster:

  • SSO läuft (Okta oder Entra), aber Zugriffsrechte jenseits des Logins werden weiterhin per Ticket gesteuert.
  • Onboarding von Mitarbeitenden hängt von Checklisten ab - nicht von richtliniengesteuerten Workflows.
  • Benutzerbereitstellung für Long-Tail-SaaS und interne Tools erfolgt in Browser-Tabs und Tabellen.

Das funktioniert - bis Kopfzahl und SaaS-Nutzung explodieren.

Eine Analyse von Productiv zeigte, dass Unternehmen im Jahr 2023 im Durchschnitt 371 SaaS-Anwendungen nutzten - rund 335 in mittelgroßen Unternehmen und 473 in Großunternehmen. Vor diesem Hintergrund agieren heute die meisten Hyperwachstums-Tech-Unternehmen.

Die manuelle Arbeit pro Identität summiert sich schnell:

  • Eine ROI-Studie zum Management von Active Directory errechnete, dass die manuelle Bereitstellung eines einzelnen Benutzerkontos typischerweise etwa 15 Minuten Helpdesk-Zeit erfordert.
  • Eine Analyse für 2025 auf Basis von Spiceworks-Umfragedaten schätzt, dass IT-Abteilungen bis zu 30 % ihrer Zeit für manuelle Identitätsaufgaben aufwenden - und mehr als 35 Arbeitsstunden pro Monat nur für das Zurücksetzen von Passwörtern.
  • Die gleiche Forschungsarbeit ergab, dass ohne spezialisierte SaaS-Operations-Plattform im Schnitt 7,12 Stunden erforderlich sind, um eine einzelne Person über alle SaaS-Tools hinweg vollständig aus dem System zu offboarden.

Für ein stark ingenieurslastiges Unternehmen mit 300-1.000 Mitarbeitenden, das monatlich 5-20 neue Leute einstellt, potenzieren sich diese Kennzahlen rasant. Hyperwachstum bedeutet nicht nur "mehr Benutzer" - es bedeutet:

  • Mehr Rollen, Teams und Sonderberechtigungen, bei denen Fehler passieren.
  • Mehr Konten für externe Dienstleister und Partner, die nicht sauber ins HR-System passen.
  • Mehr "neue Arten von Identitäten" - Bots, CI/CD-Agenten, API-Schlüssel, KI-Agenten -, die Altsysteme gar nicht als Identitäten erkennen.

Das Aufschieben erzeugt Identitätsschulden: In jedem Quartal, in dem Sie warten, fügen Sie weitere Konten, Anwendungen und Ausnahmen hinzu, die später mühsam entwirrt werden müssen.

Die operativen Kosten verspäteter Identitätslösungen

Hyperwachstums-IT-Teams spüren die Folgen zuerst als Kapazitätsengpass - nicht als Sicherheitsvorfall.

Benutzerbereitstellung und Onboarding von Mitarbeitenden

Wenn Identitätsverwaltung manuell läuft, löst jede Neueinstellung ein kleines Projekt aus:

  • HR eröffnet ein Ticket mit einer vagen Liste von Anwendungen.
  • IT oder Systemverantwortliche richten Konten in 10-30 Tools ein.
  • Zugriffsrichtlinien existieren im Kopf einzelner Personen oder auf einer vergessenen Confluence-Seite.

Schon mit nur 15 Minuten pro Kernsystem (Verzeichnisdienst, Kollaboration, Code-Hosting, Projektmanagement) verbrennt Ihr Team 1-2 Stunden IT-Zeit pro Neueinstellung - bevor Long-Tail-Tools oder Korrekturen überhaupt eingerechnet sind.

In der Praxis bedeutet das:

  • Neue Entwickler warten Tage auf Zugriff auf GitHub, Jira oder Feature-Flag-Systeme.
  • Vertriebsmitarbeitende sitzen untätig ohne CRM oder Gesprächsaufzeichnungstools.
  • Produktteams sind blockiert, weil Zugriffe auf Notion, Figma, Linear oder Miro fehlen.

Multiplizieren Sie das mit Dutzenden von Neueinstellungen pro Quartal. Sie bezahlen neue Mitarbeitende dafür, nicht produktiv zu sein, während IT als menschliche API quer durch Ihren Technologiestack fungiert.

Offboarding, Rollenwechsel und die Ticket-Fabrik

Am anderen Ende wird es noch unübersichtlicher:

  • HR markiert im HR-System einen Austritt; nur "primäre" Konten werden geschlossen.
  • Dutzende direkter SaaS-Logins, Projektbereiche und Administrationskonsolen bleiben offen.
  • Rollenwechsel ziehen sich hin, veraltete Berechtigungen bleiben Wochen oder Monate bestehen.

Gerade beim Offboarding schmerzt der Wert von 7,12 Stunden pro Person besonders. Ein Unternehmen mit 500 Mitarbeitenden und 20 % jährlicher Fluktuation verbrennt so leicht 700+ IT-Stunden pro Jahr nur für manuelle Deprovisionierung - Audits und Fehlerkorrekturen nicht mitgerechnet.

Gleichzeitig ertrinkt der Helpdesk in Tickets:

  • Neue Anwendungsanfragen (kein Self-Service-Katalog).
  • Berechtigungsänderungen (Rollen sind nicht sauber an Richtlinien gekoppelt).
  • "Kann ich temporären Zugriff auf die Produktion bekommen?" - ohne strukturierten Workflow.

Das ist das "Ticket-Inferno". In vielen Organisationen ist Identitätsarbeit im Verborgenen die größte Einzelkategorie im IT-Arbeitsvolumen.

Unsichtbares Sicherheitsrisiko: Identitätsblindflecken und Schattenzugriffe

Operative Schmerzen sind frustrierend. Sicherheitsvorfälle sind existenziell.

Der Verizon Data Breach Investigations Report 2024 stellte fest, dass 68 % der Vorfälle ein nicht böswilliges menschliches Element beinhalten - etwa Fehler oder Social Engineering. Menschliche Prozesse zur Zugriffssteuerung - Genehmigungen, Einzelfall-Ausnahmen - sind ein idealer Nährboden für genau diese Fehler.

Der Verizon DBIR 2025 berichtet, dass der Einsatz gestohlener Zugangsdaten 22 % der Datenverletzungen im Jahr 2024 ausmachte. Kombiniert man das mit Studien, laut denen 86 % einfacher Web-App-Angriffe auf gestohlenen Anmeldedaten beruhen, zeigt sich ein klares Muster: Angreifende "brechen" nicht ein - sie melden sich an.

Eine verspätete Identitätsverwaltung verstärkt diese Risiken massiv.

Überprovisionierte Zugriffe und verwaiste Konten

Ohne automatisierte, richtliniengesteuerte Joiner/Mover/Leaver-Abläufe:

  • Vermehren sich verwaiste Konten ehemaliger Mitarbeitender, Dienstleister oder Anbieter.
  • Werden Rollen überprovisioniert ("gib ihm erstmal Admin, aufräumen können wir später").
  • Unterscheiden sich MFA-Einstellungen und Zugriffsrichtlinien von Anwendung zu Anwendung.

Genau das lieben Angreifende:

  • Vergessene GitHub-Zugänge einer Ex-Entwicklerin.
  • Nie deaktivierte VPN-Zugänge eines Dienstleisters.
  • Gemeinsame "admin@"-SaaS-Logins, deren Passwort in einem Info-Stealer-Leak landet.

Schatten-IT und unkontrolliertes SaaS-Wachstum

Wenn Identitätsarbeit weh tut, umgehen Teams sie - und buchen eigenständig weitere SaaS-Dienste.

Aktuelle Zahlen aus der Tech-SaaS-Landschaft deuten darauf hin, dass Unternehmen Hunderte von SaaS-Anwendungen betreiben - ein beträchtlicher Teil davon außerhalb der Sicht von IT. Schatten-IT ist mehr als ein Ausgabenproblem - sie ist ein Governance-Blindflug:

  • Keine zentrale Sicht auf Zugriffsrechte.
  • Keine einheitlichen Kontrollen oder Offboarding-Prozesse.
  • Keine durchgängigen Protokolle für SIEM oder Audits.

Von IBM unterstützte Forschung, auf die sich TechRadar bezieht: Etwa jede dritte Sicherheitsverletzung ist auf Schatten-IT zurückzuführen - mit durchschnittlichen Kosten im mehrstelligen Millionenbereich.

Die weltweiten durchschnittlichen Kosten einer Datenverletzung lagen 2025 bei rund 4,4 Millionen US-Dollar. Für Tech- und SaaS-Unternehmen, deren Produkt im Kern aus Kundendaten besteht, können die tatsächlichen Kosten - inklusive Abwanderung, SLA-Strafen oder Auswirkungen auf Übernahmen - deutlich höher liegen.

Nicht-menschliche Identitäten und KI-Agenten

Hyperwachstums-Tech-Teams gehören zu den Vorreitern beim Einsatz von KI-Agenten, Serverless und CI/CD-Bots. Jede dieser Instanzen ist eine Identität.

Aktuelle Untersuchungen von Rubrik Zero Labs legen nahe, dass nicht-menschliche Identitäten wie KI-Agenten menschliche Nutzer in vielen Organisationen inzwischen im Verhältnis von etwa 82 zu 1 übertreffen.

Alte Identitätslösungen wurden für diese Dimension nie gebaut. Wer moderne, fein granulare Identitätslayer aufschiebt, riskiert:

  • API-Schlüssel und Dienstkonten, die zwar im Tresor liegen, aber keinem Lebenszyklus-Management unterliegen.
  • KI-Agenten mit breit gefassten, dauerhaften Rechten, die sie nicht benötigen.
  • Kein einheitliches Bild von menschlichen und nicht-menschlichen Zugriffsrechten über den gesamten Stack hinweg.

Angriffe auf Identitäten stehen inzwischen ganz oben auf der Sorgenliste globaler CISOs. In Hyperwachstums-Tech-Umgebungen wächst die Angriffsfläche schneller, als Sie Sicherheitsteams einstellen können.

Compliance- und Audit-Schulden: Wenn "später" zurückschlägt

Tech-Unternehmen in den USA, UK und der DACH-Region, die auf SOC 2, ISO 27001 oder DORA zielen, können Identität nicht als optional behandeln.

Fehler, die aus "gut genug"-Identitätsverwaltung resultieren:

  • Quartalsweise Zugriffsüberprüfungen als Tabellen-Ritual - ohne echte Kontrollen.
  • Keine unveränderlichen Audit-Logs, die Zugriffsvergaben auf konkrete Genehmigungen zurückführen.
  • Die Frage "Wer hatte wann worauf Zugriff?" wird mit Screenshots und CSVs beantwortet.

Gartner beziffert die finanziellen Auswirkungen ineffizienter Identitätsverwaltung auf rund 3,5 Millionen US-Dollar pro Jahr für ein großes Unternehmen. Nicht eingerechnet sind:

  • Deal-Blocker, wenn Kund:innen Ihr Zugriffsmodell beanstanden.
  • Verzögerte IPOs oder M&A-Transaktionen, weil die Governance Due-Diligence-Fragen nicht beantworten kann.
  • Regulatorische Strafen, wenn Offboarding und Reviews nur "auf dem Papier" existieren.

Compliance-Schulden aus aufgeschobenen Identitätslösungen begrenzen Ihre Wachstumsperspektive.

Den Business Case beziffern: Manuell vs. vollständige Identitätsverwaltung

Sie brauchen keine gigantische IGA-Plattform. Aber SSO plus Tickets reicht nicht aus.

Eine vollständige Identitätslösung für Hyperwachstums-Tech bedeutet:

  • Universelle Abdeckung (SCIM, API oder auch ohne) über SaaS und interne Tools hinweg.
  • Fein granulare Berechtigungen (Kanal-, Repository-, Projekt-Ebene - nicht nur Gruppen).
  • Richtliniengesteuerte Lebenszyklus-Automatisierung für Joiner, Mover, Leaver.
  • Kontinuierliche Governance und unveränderliche Audit-Logs statt punktueller Reviews.
  • KI-gestützte, agentenbasierte Workflows, die Entscheidungen und Nachweissammlung automatisiert übernehmen.

Iden ist speziell für SaaS-lastige Organisationen mit 50-2.000 Mitarbeitenden und schlanken Teams gebaut - mit universellen Konnektoren und granularer Steuerung für über 175 Anwendungen und nicht-SCIM-Tools.

Der Unterschied:

Kennzahl / Bereich Verspätete / manuelle Identität Frühe, vollständige Identitätsverwaltung (z. B. Iden-Ansatz)
Zeit für Benutzerbereitstellung pro Hire 1-2+ Stunden über Kern-Apps + Long-Tail-SaaS Minuten durch richtliniengesteuerte, berührungslose Workflows
Aufwand beim Offboarding pro Austritt ~7,1 Stunden über das SaaS-Portfolio hinweg im SchnittEine SaaS-Operations-Studie fand heraus, dass es im Mittel 7,12 Stunden dauert, um eine Person manuell über alle SaaS-Apps eines Unternehmens vollständig abzumelden. Sekunden bis Minuten; HRIS/IDP-Ereignis löst vollständige Deprovisionierung aus
IT-Zeit für Identitätsaufgaben Bis zu 30 % der IT-Zeit für RoutinearbeitenEinige IT-Teams berichten, dass sie bis zu 30 % ihrer Zeit für manuelle Identitätsaufgaben aufwenden - mit über 35 Arbeitsstunden pro Monat allein für Passwort-Resets. Der Großteil von Joiner/Mover/Leaver wird autonom abgewickelt; IT kümmert sich um Ausnahmen
Manuelle Zugriffs-Tickets 100 % Basislinie Interne Benchmarks bei Iden-Kund:innen zeigen eine Reduktion manueller Zugriffstickets um bis zu 80 % innerhalb der ersten 60 Tage nach Einführung.
Abdeckung nicht-SCIM- / Long-Tail-Apps Ad-hoc, Tabellen, zahlreiche Blindflecken Universelle Konnektoren für SCIM-, API- und "No-API"-Apps
Audit-Nachweise Screenshots, CSVs, verstreute Protokolle Unveränderliche Audit-Logs und Echtzeit-Zertifizierungen

Sie können teure Sicherheitsvorfälle und Bußgelder vermeiden. Aber selbst rein über operative Einsparungen - zurückgewonnene IT-Stunden pro Quartal und SaaS-Lizenzen ehemaliger Mitarbeitender - amortisiert sich eine moderne Identitätsplattform mehr als, insbesondere wenn Sie die "SCIM-Steuer" vermeiden (erzwungene Enterprise-Upgrades nur zur Automatisierung).

Praxisempfehlungen für Hyperwachstums-Tech-Teams

Um aus dieser Falle herauszukommen, brauchen Sie kein 12-Monats-IAM-Programm. Aber Sie müssen Identität als zentrales Skalierungsthema behandeln - nicht als Fußnote zu "wir haben doch Okta".

1. Klare Verantwortlichkeit für Identitätsverwaltung festlegen

Identität fällt zwischen Security, IT und DevOps hin und her. Geben Sie einem Team die eindeutige Verantwortung:

  • Definition von Zugriffsrichtlinien und Rollen.
  • Betrieb der Werkzeuge und der Lebenszyklus-Automatisierung.
  • Überwachung und Sicherstellung der Audit-Readiness.

2. Ihre tatsächliche Anwendungs- und Identitätslandschaft kartieren

Erstellen Sie eine ehrliche, schnelle Inventur:

  • Alle SaaS-, internen und Infrastruktur-Anwendungen.
  • Welche davon sind wie tief in SSO integriert.
  • Wo nicht-menschliche Identitäten (Bots, Agenten, Dienstkonten) existieren.

Rechnen Sie damit, zu finden:

  • Unverantwortete Anwendungen mit Produktivdaten.
  • Verwaiste und veraltete Admin-Konten.
  • Schatten-KI-Tools in geschäftskritischen Systemen.

3. Nicht-SCIM- und Long-Tail-Apps priorisieren

Die meisten "modernen IGA-Lösungen" unterstellen stillschweigend, dass nur SCIM-Apps relevant sind. Das war - und ist - immer nur eine Minderheit Ihres Stacks.

Fokussieren Sie die anfängliche Automatisierung auf:

  • Hochriskante, nicht-SCIM-Tools (GitHub, Notion, Figma, Linear, spezialisierte SaaS-Lösungen).
  • Bereiche mit vielen Dienstleistern oder hoher Fluktuation (Support, Partner-Portale).

Manuelle Arbeit und Risiko konzentrieren sich genau hier. Aus diesem Grund existieren die universellen Konnektoren von Iden.

4. Nicht-menschliche Identitäten als Erstklass-Bürger behandeln

Bei einem Verhältnis von 82:1 zwischen nicht-menschlichen und menschlichen Identitäten in manchen OrganisationenAktuelle Forschung von Rubrik Zero Labs ergab, dass nicht-menschliche Identitäten wie KI-Agenten menschliche Identitäten in einigen Unternehmen im Verhältnis 82 zu 1 übersteigen. ist es keine Option mehr, Bots und Agenten zu ignorieren.

Konkrete Schritte:

  • Dienstkonten, API-Schlüssel und KI-Agenten in die gleichen Lebenszyklus-Prozesse einbeziehen wie Personen.
  • Für Automatisierung dieselben Prinzipien minimaler und zeitlich begrenzter Rechte anwenden wie für Menschen.
  • Ihre Aktivitäten genauso konsequent protokollieren und überprüfen.

5. Von statischen Kontrollen zu kontinuierlichen, KI-unterstützten Entscheidungen wechseln

Quartalsweise Reviews und Jahres-Rezertifizierungen kommen gegen kontinuierliche, KI-gestützte Angriffe nicht an.

Wählen Sie Identitätslösungen, die:

  • Agentenbasierte, KI-gesteuerte Workflows nutzen, um risikoarme Anfragen automatisch zu genehmigen und Auffälligkeiten zu markieren.
  • Zugriffe fortlaufend auf Basis von Rolle, Verhalten und Kontext bewerten - nicht nur nach Organigramm.
  • Unveränderliche Audit-Spuren als Nebenprodukt der täglichen Arbeit erzeugen - nicht als separates Projekt.

So wird KI zum Produktivitätshebel für schlanke IT - nicht zum zusätzlichen Risiko.

Häufig gestellte Fragen

Woran erkenne ich, dass wir zu lange gewartet haben?

Warnsignale:

  • Die erste IT-Person verbringt den Großteil ihrer Zeit mit Bereitstellung statt mit Engineering.
  • Onboarding dauert länger als einen Tag - Zugriffe werden nur per Ticket vergeben.
  • Offboarding-Checklisten enthalten "denk daran, aus X zu entfernen" statt einfach "Flow ausführen".
  • Quartalsweise Zugriffsreviews sind hektische Tabellenübungen kurz vor Audits.

Wenn das auf Sie zutrifft, zahlen Sie den Preis bereits jetzt.

Reichen SSO plus MFA nicht aus?

SSO und MFA sind Grundvoraussetzungen - keine vollständige Lösung.

Sie beheben nicht:

  • Überprovisionierte Rollen und veraltete Anwendungsberechtigungen.
  • Verwaiste Konten außerhalb von SSO.
  • Lebenszyklus-Automatisierung für nicht-menschliche Identitäten.

Angreifende stehlen zunehmend schlicht Zugangsdaten oder betreiben Social Engineering.Der Verizon DBIR 2025 hebt gestohlene Zugangsdaten als einen der wichtigsten Einstiegsvektoren hervor - verantwortlich für rund 22 % der Vorfälle im Jahr 2024. Sobald sie im System sind, ermöglicht SSO ihnen den Zugriff auf alles - sofern darüber keine starke, kontinuierliche Governance-Schicht liegt.

Wo sollte ein SaaS-Unternehmen mit 200-500 Mitarbeitenden beginnen?

Ein pragmatischer erster Schritt:

  • HR-System und SSO als gemeinsame Quelle für Joiner/Mover/Leaver-Ereignisse integrieren.
  • Onboarding/Offboarding für die 10-15 wichtigsten Anwendungen nach Risiko/Nutzung automatisieren.
  • Für alle übrigen Zugriffe richtliniengesteuerte Antrags- und Genehmigungsworkflows einführen.
  • Die nächste Zugriffsüberprüfung auf Basis von Plattformdaten durchführen - nicht mit Tabellen.

Werkzeuge wie Iden sind so ausgelegt, dass kleine IT-Teams dieses Niveau in wenigen Tagen erreichen - ohne teure Enterprise-Beratung.

Wie argumentiere ich das Thema Identität gegenüber der Finanzleitung?

Verankern Sie es in konkreten Ergebnissen:

  • Operative Einsparungen: Zeigen Sie Ticket-Daten - IT-Stunden für Onboarding, Offboarding, Provisionierung.
  • Reduzierte SaaS-Ausgaben: Beziffern Sie Lizenzen ehemaliger Mitarbeitender oder ungenutzte Tools.
  • Risiko und Compliance: Mappen Sie Identitätslücken auf SOC-2/ISO-Kontrollen, Sicherheitsanforderungen von Kund:innen oder durchschnittliche Kosten eines Datenvorfalls.

Die weltweiten Durchschnittskosten eines Datenvorfalls liegen inzwischen im mehrstelligen Millionenbereich, und allein Ineffizienzen in der Identitätsverwaltung kosten große Organisationen Millionen pro Jahr.Gartner-Analysen beziffern die finanziellen Auswirkungen ineffizienter Identität auf 3,5 Millionen US-Dollar pro Jahr für ein großes Unternehmen. Der ROI ist damit selten schwer zu vermitteln.

Brauchen wir wirklich vollständige IGA - oder können wir Werkzeuge einfach zusammenstöpseln?

Sie können SSO, ITSM, Passwortmanager und Skripte zusammenkoppeln. Viele Teams tun das.

Die Kehrseite:

  • Mehr "Kleber-Code", der gewartet werden muss.
  • Zersplitterte Sicht auf menschliche und nicht-menschliche Identitäten.
  • Keine einzige, unveränderliche Audit-Spur für Zugriffsentscheidungen.

Eine vollständige, passgenaue Schicht für Identitäts-Governance - KI-nativ, mit universellen Konnektoren und fein granularer Steuerung - liefert Ihnen sofort Antworten auf die Frage "Wer hat worauf und warum Zugriff?". Für schlanke Hyperwachstums-Teams ist das der Unterschied zwischen skalierbarem Wachstum mit Vertrauen und dem Bezahlen von Identitätsschulden - mit Zinsen - zu einem späteren Zeitpunkt.