Jede CISO, jeder CISO hat es schon gesagt - oder im Board-Meeting gehört: "Identity is the new perimeter." Der Satz geistert seit Jahren durch die Security-Welt. Doch die unangenehme Anschlussfrage lautet: Wenn Identität heute der Perimeter ist - warum steuern die meisten Unternehmen sie immer noch mit denselben Tools und Denkmustern wie vor zehn Jahren?
Die RSA Conference 2026 hat diese Diskrepanz unübersehbar gemacht. "Je dynamischer Cloud-Umgebungen werden und je stärker sich KI-Agenten vermehren, desto mehr verliert der klassische Netzwerk-Perimeter seine Bedeutung. Auf der RSAC 2026 ist Identität als neue Grenze in den Mittelpunkt gerückt - und die Diskussion reicht inzwischen weit über menschliche User hinaus." Auf der größten Branchenkonferenz drehte sich das Gespräch nicht mehr um Authentifizierung allein. Es ging um einen fundamentalen Shift: weg vom Verteidigen einer Netzwerkgrenze hin zur Governance für jede Identität (menschlich, Maschine und KI-Agent) in einer zunehmend grenzenlosen Umgebung.
Die Firewall ist nicht verschwunden. Sie ist nur nicht mehr die erste Verteidigungslinie. Identität hat diese Rolle übernommen. Die meisten Unternehmen haben diesen Schritt noch nicht vollzogen.
Die Angriffsfläche ist längst gewandert - sind Ihre Kontrollen mitgezogen?
Moderne Angreifer "brechen" nicht mehr ein. Sie loggen sich ein.
Laut CrowdStrikes Global Threat Report 2025 waren 79 % der Initialzugriffe malwarefrei - sie basierten auf gestohlenen Zugangsdaten, Social Engineering und dem Missbrauch legitimer Remote-Access-Tools. Die durchschnittliche Zeit, die ein Angreifer für die laterale Bewegung in einem kompromittierten Netzwerk braucht, ist auf nur noch 48 Minuten gefallen - mit einem schnellsten "Breakout" von 51 Sekunden.
Das ist die operative Realität, vor der CISOs 2026 stehen. Sobald ein Angreifer gültige Zugangsdaten besitzt, bewegt er sich lateral durch Cloud-Workloads, exfiltriert Daten und baut Persistenz auf - oft ohne jemals klassische Endpoint-Security-Tools auszulösen.
Firewalls stoppen das nicht. VPNs stoppen das nicht. Selbst MFA stoppt das nicht - jedenfalls nicht, wenn der Angriffsvektor ein legitimes Session-Token ist, ein überprivilegierter Service-Account oder ein Account, der vor drei Monaten hätte offboarded werden müssen, aber immer noch aktiv ist.
Identitätszentrierte Angriffe folgen einem klaren Muster: Die "Malware" des Angreifers ist schlicht ein gültiger Login plus Persistenz - OAuth-Missbrauch, MFA-Fatigue, Token-Diebstahl. Der Perimeter ist gewandert. Die Frage ist, ob Ihre Governance-Schicht mitgewandert ist.
Authentifizierung ist nicht Governance - und dieser Unterschied kostet Unternehmen richtig Geld
Genau hier haben viele Security-Stacks ein strukturelles Problem. SSO und MFA beantworten nur eine Frage: "Bist du wirklich du?" Das ist Authentifizierung. Wichtig. Unverzichtbar. Aber unvollständig.
Identity Governance stellt die unbequemeren Fragen:
- Solltest du wirklich noch Zugriff auf den Figma-Workspace eines Projekts haben, das vor zwei Jahren beendet wurde?
- Wer hat der externen Beraterin Zugriff auf euer produktives GitHub-Repo gegeben - und wurde der je wieder entzogen?
- Dieser Service-Account mit Admin-Rechten in Snowflake - weiß jemand, dass es ihn gibt?
- Eure ehemalige Head of Engineering ist letzte Woche in Okta offboarded worden - aber was ist mit den 30 anderen Apps, bei denen sie Direkt-Logins hatte?
Das sind keine exotischen Edge Cases. Das ist Alltag in jedem Unternehmen, das mehr als ein paar Dutzend SaaS-Tools einsetzt. Und genau hier liegen die offenen Türen, durch die Angreifer gehen.
Die Authentifizierungs-Lücke ist real: Die meisten Unternehmen haben stark in SSO und MFA investiert – Authentifizierung am Haupteingang. Doch Authentifizierung fragt nur: "Ist das Sie?" Identitätsverwaltung stellt die schwierigere Frage: "Sollten Sie diesen Zugriff haben, und hatten Sie ihn immer?" Ohne kontinuierliche Governance ist der Haupteingang verschlossen, aber die Hintertür steht weit offen.
Die Lücke zwischen Authentifizierung und Governance ist der Lebensraum von Access Sprawl: Hier sammeln sich verwaiste Konten. Hier werden überprivilegierte Identitäten zur stillen Angriffsfläche. 70 % der Security-Verantwortlichen sagen, dass Identitäts-Silos eine zentrale Ursache für Cyberrisiken in ihrem Unternehmen sind. Trotzdem behandeln viele Organisationen SSO noch immer als primäre Governance-Schicht - und steuern damit vielleicht 30 % ihres Stacks, während der Rest weitgehend ungeschützt bleibt.
| Funktion | SSO + MFA allein | SSO + Kontinuierliche Identitätsverwaltung |
|---|---|---|
| Identität bei der Anmeldung verifiziert | ✅ Ja | ✅ Ja |
| Steuert, worauf Sie nach der Anmeldung zugreifen können | ❌ Nein - breiter Zugriff gewährt | ✅ Ja - Richtlinien-gesteuert, feingranular |
| Regelt Nicht-SCIM / API-freie Apps | ❌ Nein | ✅ Ja - universelle Konnektoren |
| Erkennt verwaiste Konten | ❌ Nein | ✅ Ja - kontinuierliches Lebenszyklus-Management |
| Regelt nicht-menschliche Identitäten (Bots, KI-Agenten, Dienstkonten) | ❌ Nein | ✅ Ja |
| Automatisiert das Offboarding über ALLE Apps | ⚠️ Teilweise - SCIM-Apps nur | ✅ Ja - vollständiger Stack |
| Bietet Audit-Trail für SOC 2 / ISO 27001 | ⚠️ Beschränkt, manuelle Rekonstruktion | ✅ Ja - unveränderlich, immer aktiv |
| Durchsetzt kontinuierlich das Prinzip der geringsten Privilegien | ❌ Nein - statische Rollenzuweisungen | ✅ Ja - Zugriffsprüfungen in Echtzeit |
| Erfasst im Laufe der Zeit den Berechtigungs-Wildwuchs | ❌ Nein | ✅ Ja - automatisierte Zugriffszertifizierung |
Die 30-%-Abdeckungsfalle: Warum Ihr SSO den Großteil Ihres Stacks nicht sieht
Die Realität in den meisten Mid-Market- und Enterprise-Security-Teams sieht so aus: Ihr SSO und Ihre SCIM-Automatisierung decken die Apps ab, die es Ihnen leicht machen - Okta, Slack, Google Workspace & Co. Diese bekommen Lifecycle-Management. Alles andere? Läuft über Tickets, Excel-Listen oder das Gedächtnis einzelner Kolleg:innen.
In der Praxis automatisieren die meisten Organisationen den Zugriff nur für 20-40 % ihres Applikationsstacks. Die restlichen 60-80 % - Legacy-Systeme, Nischen-SaaS ohne Enterprise-SCIM, interne Applikationen, OT-Systeme - werden manuell gesteuert. Oder gar nicht.
Das ist aus einem simplen Grund kritisch: Die 80 %, die Sie nicht sehen, sind die 80 %, die Angreifer sich gezielt aussuchen. Jede Applikation außerhalb Ihres Governance-Perimeters ist ein potenziell verwaistes Konto, ein vergessenes Admin-Login oder eine Contractor-Session, die nie beendet wurde.
Laut Gartner sind Organisationen ohne vollständige SaaS-Sichtbarkeit fünfmal häufiger von Sicherheitsvorfällen oder Datenverlust betroffen. Das ist keine reine Compliance-Kennzahl - das ist knallhart Sicherheit.
Die Ursache ist das, was heute viele als SCIM-Steuer / SCIM-Aufschläge kennen: SCIM-basierte Provisionierung wird hinter teuren Enterprise-Plänen versteckt. Unternehmen stehen vor der Wahl, entweder massiv draufzuzahlen - oder den Zugriff per Hand zu managen. Viele Tools in einem typischen SaaS-Stack - Notion, Linear, Figma und dutzende weitere - bieten SCIM in keinem einzigen Tarif an. Die Wahl ist dann: manueller Betrieb oder teure Enterprise-Upgrades für einfaches Lifecycle-Management.
Das Security-Ergebnis: Authentifizierung sagt, der User ist verifiziert. Governance sagt, der User hat Zugriff auf Dinge, auf die er längst keinen Zugriff mehr haben sollte. Beides kann gleichzeitig stimmen - und in den meisten Organisationen ist das der Normalfall.
Eine neue Spezies von Identitäten - und die meisten Governance-Programme sehen sie nicht
Die Identitätsoberfläche ist nicht nur horizontal gewachsen (mehr Apps, mehr User). Sie hat sich in eine komplett neue Kategorie erweitert: nicht-menschliche Identitäten (NHIs) - Service-Accounts, API-Keys, OAuth-Tokens, CI/CD-Credentials und KI-Agenten.
Nicht-menschliche Identitäten übertreffen menschliche Identitäten inzwischen im Verhältnis 144 zu 1 - ein Anstieg um 56 % gegenüber dem bereits hohen Verhältnis von 92:1 im Vorjahr. Viele dieser NHIs werden nicht nur nicht aktiv verwaltet - sie bestehen viel länger als nötig: Fast die Hälfte ist älter als ein Jahr, 7,5 % zwischen fünf und zehn Jahren alt.
68 % der Unternehmen geben an, dass sie keine ausreichenden Identitätssicherheitskontrollen für KI besitzen.
Das ist die Identitäts-Angriffsfläche, die heute fast kein Unternehmen wirklich im Griff hat. "Die Evolution der Identität ist der neue Perimeter - insbesondere das Management von nicht-menschlichen Identitäten und KI-Agenten mit Kontrollen ähnlich wie im PAM." Die Konsequenz ist klar: Organisationen brauchen Echtzeit-Sichtbarkeit und Lifecycle-Management für jede Entität, die in ihren Systemen agiert.
Ein einzelner KI-Agent, der für Kundenautomation eingesetzt wird, kann 15-20 unterschiedliche nicht-menschliche Identitäten in integrierten Systemen erzeugen. Diese Identitäten authentifizieren sich programmatisch. Sie können keine MFA nutzen. Wenn ein Credential kompromittiert wird, gibt es keinen zweiten Faktor, der den Missbrauch stoppt - der Angreifer erbt exakt die Berechtigungen dieser Identität.
Ihr quartalsweiser Access-Review erfasst vielleicht menschliche Identitäten - vielleicht. Service-Accounts, API-Tokens und die Credentials Ihrer KI-Agenten rauschen fast immer durch.
Zero Trust ohne Governance ist nur Zero Trust auf dem Papier
Zero Trust - das Prinzip "never trust, always verify" für jede Zugriffsanfrage - ist zum dominierenden Architekturmodell der Zero Trust Sicherheit geworden. Identität ist endgültig zum neuen Perimeter geworden, und 2026 geht Zero Trust noch weiter und zwingt Security-Teams zum Aufbau eines konsistenten Identity Fabric.
Doch Zero Trust hat eine Voraussetzung, über die viele Anbieter nicht gerne sprechen: Sie können nichts verifizieren, was Sie nicht sehen. Kontinuierliche Authentifizierung und kontinuierliche Verifikation funktionieren nur, wenn Ihre Governance-Schicht den gesamten Stack abdeckt - jede App, jeden User-Typ, jede Identität.
Die meisten heutigen Zero-Trust- und Identity-Lösungen halten mit realen Angreifertaktiken, -techniken und -verfahren nicht Schritt. Der Grund: Sie authentifizieren hervorragend, aber sie steuern schlecht. Sie kontrollieren die Vordertür und lassen die Hintertür unbeobachtet. Wer Zugriff auf einen vergessenen Contractor-Account oder einen überprivilegierten API-Key bekommt, triggert keine Zero-Trust-Kontrolle - weil diese Identitäten nie im Scope waren.
Echte Zero Trust Sicherheit braucht eine Schicht kontinuierlicher Governance darunter:
- Komplette Applikationsabdeckung - nicht nur die 30 %, die SCIM unterstützen
- Feingranulare Zugriffskontrolle - bis auf Repo-, Channel- und Projekt-Ebene
- Kontinuierliche Access-Reviews - nicht nur quartalsweise Zugangszertifizierungen, die zu "Rubber Stamps" verkommen
- Automatisiertes Lifecycle-Management - damit Offboarding in Sekunden statt in Tagen passiert
- Non-Human-Identity-Governance - denn Service-Accounts und KI-Agenten tauchen in keinem HR-System auf
Ohne diese Schichten bleibt Zero Trust eine Vordertür-Policy in einem Gebäude mit 70 offenen Fenstern.
Wie "wirklich vollständige" Identity Governance 2026 aussieht
Das Security-Argument für vollständige Identity Governance ist kein theoretisches Gedankenspiel. Identität ist die Steuerungsebene moderner Sicherheit. Jede Zugriffsentscheidung - ob User-Login in eine Applikation, Service-Call gegen eine API oder Workflow-Ausführung durch einen KI-Agenten - läuft über ein Identitätssystem.
Diese Steuerungsebene komplett zu steuern, heißt konkret drei Dinge:
1. Universelle Abdeckung - inklusive Apps ohne SCIM oder APIs
Die meisten "modernen IGA"-Lösungen hören bei SCIM auf. Die universellen Konnektoren von Iden erreichen jede App in Ihrem gesamten Stack - unabhängig von SCIM, nativer API oder gar keiner Schnittstelle. Notion, Figma, Linear, GitHub-Repos, Legacy-Systeme und interne Tools fallen alle in Ihren Governance-Perimeter. Nicht nur die 30 %, die brav mitspielen.
2. Feingranulare Kontrolle - tiefer als Rollen und Gruppen
Provisionierung auf SCIM-Level kennt nur "drin oder draußen". Sie beantwortet nicht die Frage, welche Slack-Channels, welche GitHub-Repositories, welche Linear-Projekte. Feingranulare Kontrolle heißt: Richtlinien- und Policy-basierte Zugriffsentscheidungen auf Berechtigungsebene - genau der Ebene, die Angreifer ausnutzen. Und es ist die Ebene, auf der Auditoren und Regulierer zunehmend Antworten verlangen, wenn sie fragen: "Wer hatte wann Zugriff worauf?"
3. Kontinuierliche Governance - nicht nur periodische Zertifizierungen
Statische Access-Reviews finden quartalsweise statt. Angriffe passieren kontinuierlich. Die Identity Defined Security Alliance (IDSA) berichtet, dass 90 % der Unternehmen im letzten Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall erlebt haben. Diese Zahl hält sich, weil Governance punktuell stattfindet, während die Exponierung dauerhaft ist. Kontinuierliche Governance bedeutet: automatisierte Access-Reviews, Echtzeit-Lifecycle-Management und sofortige Deprovisionierung - statt einer Excel-Übung zum Quartalsende.
Wenn Sie sehen wollen, wo Ihre eigenen Coverage-Gaps heute liegen: Die Plattform von Iden macht diese Lücken über Ihren gesamten Stack sichtbar - inklusive der Applikationen, die Sie bisher über Tickets und Excel-Listen gesteuert haben.
Die CISO-Checkliste: Die Governance-Lücke schließen
Wenn Sie Ihre Identitätssicherheit an der tatsächlichen Bedrohungslage 2026 messen wollen, sollten Sie sich auf folgende Punkte konzentrieren:
- Umgesteuerte Applikationsfläche kartieren. Zählen Sie alle eingesetzten Apps - inklusive Shadow-IT und offiziell zugelassener Tools. Wie viele liegen außerhalb Ihres SCIM-/SSO-Perimeters? Diese Zahl ist Ihre ungemanagte Angriffsfläche im Zugriffsmanagement.
- Ihr NHI-Inventar prüfen. Service-Accounts, API-Keys, OAuth-Tokens, Bot-Accounts - gibt es eine vollständige Liste? Wissen Sie, wer der Owner ist und wann jede Identität zuletzt überprüft wurde?
- Ihr Offboarding testen. Wenn jemand das Unternehmen verlässt: Wie lange dauert es, bis der Zugriff in allen Applikationen entzogen ist? Wenn die Antwort eine Checkliste und Tickets beinhaltet, haben Sie eine Offboarding-Lücke in Ihrer Identity Governance.
- Zugriffsalter analysieren. Fahren Sie einen Report über Berechtigungen, die älter als 90 Tage sind. Wie viele wurden nie wieder geprüft? Das sind Ihre riskantesten Entitlements und ein Hotspot für Erkennung von Identitätsbedrohungen.
- Lifecycle-Policies für nicht-menschliche Identitäten prüfen. Gelten für Ihre KI-Agenten und Service-Accounts dieselben Prinzipien wie für menschliche User - Provisionierung, regelmäßige Reviews, Deprovisionierung?
Die Organisationen, die durch die identitätszentrierte Bedrohungslandschaft 2026 kommen, ohne einen größeren Vorfall zu erleiden, sind diejenigen, die Governance als Security-Funktion verstehen - nicht als Compliance-Häkchen. Die Lücke zwischen klassischer IGA und dem, was moderne, schlanke Teams wirklich brauchen ist real, und in dieser Coverage-Falle sitzt der größte Teil des Risikos für Ihre Identitätssicherheit.
SSO bringt Sie bis zur Vordertür. Vollständige Identity Governance sichert alles dahinter ab - die Apps, die niemand wirklich im Blick hat, die Accounts, die längst hätten geschlossen werden müssen, und die nicht-menschlichen Identitäten, die schneller wachsen als jede quartalsweise Kontrolle sie erfassen kann.
Der Perimeter ist Identität. Steuern Sie ihn auch so - mit echter Zero Trust Sicherheit, kontinuierlicher Authentifizierung und vollständigem Zugriffsmanagement.
Häufig gestellte Fragen
{{component:faq_placeholder}}
