Jeder Anbieter verspricht "vollständige" Identity Governance. Später stellen Sie fest: Gemeint ist "vollständig für Apps mit SCIM". In diesem Beitrag geht es um die echte Lage in schnell wachsenden Tech-Unternehmen in den USA, UK und der DACH-Region: unaufhaltsame SaaS-Ausbreitung, nur teilweise SSO-Abdeckung und neue Arten von Identitäten. Darum muss Identitätsmanagement zum Rückgrat werden - nicht zu einem Nebenprojekt.

Wir nutzen aktuelle Daten zu SaaS-Nutzung, Vorfalltrends und IAM-Einführung, um zu zeigen, wo typische Ansätze scheitern - und wie eine wirklich vollständige Identity- und Access-Management-Strategie (IAM) für schlanke, wachstumsstarke Teams aussieht.

SaaS-Wildwuchs + Mitarbeiterwachstum: Identitätsschulden als Konstruktionsfehler

Die meisten schnell wachsenden Tech-Unternehmen entwerfen ihre Identitätsarchitektur nicht bewusst - sie stellen ein, führen Tools ein und verschieben "Governance klären" auf später. Bei 200-500 Mitarbeitenden bedeutet "später" dann: Rückstau an Zugriffstickets, Audit-Stress und verwaiste Konten.

Laut dem SaaS-Report von BetterCloud nutzen Unternehmen mit 200-749 Mitarbeitenden im Schnitt 96 SaaS-Anwendungen. Firmen mit 750-1.499 Mitarbeitenden kommen im Mittel auf 116.

Eine andere Analyse zeigt, dass Organisationen heute im Durchschnitt etwa 112 SaaS-Anwendungen einsetzen, große Konzerne sogar bis zu 447. Bei Tech-Unternehmen ist die Zahl oft noch höher.

So sieht das in einem Tech-Unternehmen mit 400 Mitarbeitenden aus:

  • 10-30 Anwendungen pro Person (Notion, Slack, GitHub, Jira, Figma, Linear, Miro, CRM, HR-System, Finanz-Tools, Support, Analytics ...)
  • Mehrere Identitäts-Silos: SSO, lokale App-Konten, AD/LDAP, Portale für externe Mitarbeitende
  • Dutzende "Long-Tail"-Tools ohne SCIM oder leistungsfähige Schnittstellen
  • Joiner, Mover, Leaver werden über Tickets, Tabellen und "Stammeswissen" verwaltet

Das sind Identitätsschulden: Entscheidungen, die bei 50 Personen noch funktionierten, werden bei 500 zum Bremsklotz für Sicherheit, Compliance und IT.

Wo klassische Werkzeuge versagen: SSO, Punktlösungen, Legacy-IGA

SSO: Starke Haustür, blinde Hintertür

SSO hat das Passwort-Chaos und uneinheitliche Anmeldung entschärft, war aber nie ausreichend für Governance.

Eine weltweite TechRadar-Umfrage ergab, dass 74 % der Sicherheits- und IT-Verantwortlichen SSO allein nicht für ausreichenden Schutz halten - und rund 30 % der Anwendungen außerhalb von SSO bleiben.

In diesen 30 % passiert Folgendes:

  • Externe Mitarbeitende nutzen Direkt-Logins, die Ihr Identitätsdienst (IdP) nie sieht
  • Nischen-Tools setzen auf einfache E-Mail-Passwort-Anmeldung
  • OT/ICS-Systeme, On-Premises-Software und Individualanwendungen existieren komplett außerhalb moderner IAM-Lösungen

SSO ist Ihre Haustür. Identity Governance muss auch jedes Fenster, jede Hintertür und jedes Dienstkonto absichern.

Legacy-IGA: Mit dem Messer in die Schusslinie

Legacy-IGA-Suiten wurden für große Konzerne mit dedizierten IAM-Teams gebaut - mächtig, aber schwergewichtig.

Wenn Sie ein Team mit 200-2.000 Personen sind:

  • 6-18-monatige Einführungsprojekte mit externen Beratern
  • Monate voller Aufwand, um nur eine Handvoll Systeme anzubinden
  • Spezielle Administratorrollen, nur um das System am Laufen zu halten

Für ein schnell wachsendes IT-Team mit 3-10 Personen ist das ein schlechtes Geschäft. Die Folge: Entweder Governance für Jahre verschieben oder "IGA per Tabellenkalkulation" versuchen.

"Moderne" IGA nur für SCIM: Vollständig für 20 % Ihres Stacks

Cloud-native IAM-Lösungen haben vieles vereinfacht - hören aber meist dort auf, wo SCIM endet.

Unsere Analysen und Gespräche mit Kunden zeigen ein Muster: Die einfachen SCIM-Anwendungen werden automatisiert, alles andere läuft über Tickets. Oder wie wir sagen: "Sie automatisieren 12 Anwendungen. Sie haben 60. In der Lücke geht Ihre IT in Tickets unter."

Das ist das Abdeckungsproblem:

  • SCIM-fähige Anwendungen decken vielleicht 20-40 % Ihres Stacks ab
  • Der Rest - Long-Tail-SaaS, interne Tools, OT/ICS, Legacy - bleibt manuell

Mit schnellem Wachstum wird diese unsichtbare 60-80-%-Zone zu Ihrem größten Risiko und zum größten Zeitfresser.

Warum Identitätsmanagement heute ein strategisches Rückgrat ist

Sicherheit: Angriffe folgen Identitäten

Der Data Breach Investigations Report von Verizon ist eindeutig: Zugangsdaten und der Faktor Mensch sind Haupttreiber für die meisten Vorfälle.

Der DBIR 2024 zeigt: 68 % der Sicherheitsverletzungen beinhalten einen menschlichen Faktor - Fehler, gestohlene Zugangsdaten oder Social Engineering.

Wenn jede Anwendung, jeder Bot und jede Integration Ihre Daten und Ihren Code berührt, definiert digitale Identität Ihren "Blast Radius".

Für schnell wachsende Tech-Unternehmen bedeutet das:

  • Ehemalige Mitarbeitende behalten noch Monate nach dem Austritt Zugriffe
  • Kritische Dienstkonten haben unklare Verantwortlichkeiten
  • KI-Agenten und Bots agieren mit weitreichenden, lange gültigen Token

Compliance: Prüfer ist egal, ob es "nur eine SaaS-App" ist

SOC 2, ISO 27001, HIPAA, DORA, NIS2 - verschiedene Abkürzungen, aber dieselbe Frage:

Wer hatte wann, worauf, auf Basis welcher Richtlinie Zugriff?

IAM wächst massiv. Eine Prognose erwartet von 2024-2032 ein weltweites jährliches Wachstum (CAGR) von 15,3 %, getrieben in Europa vor allem durch die DSGVO.

Wenn Sie in UK oder der DACH-Region sitzen und in Branchen wie Finanzwesen, Gesundheitswesen oder kritische Infrastruktur verkaufen, müssen Sie längst Nachweise für alle Anwendungen liefern - nicht nur für die hinter SSO.

Betrieb: Schlanke IT kann nicht im Gleichschritt mitwachsen

Identität skaliert nicht von alleine:

  • Jede Neueinstellung braucht 10-30 Anwendungen
  • Jede Rollenänderung zieht mehrere Rechteanpassungen nach sich
  • Jeder Austritt erfordert gründliche Entprovisionierung

Okta berichtet, dass 85 % der Unternehmen IAM inzwischen als zentral für Sicherheit sehen (vorher 79 %) - und nicht-menschliche Identitäten als schnell wachsende Bedrohung wahrnehmen.

Ticketgetriebenes Identitätsmanagement ist nicht nur langsam - es ist zerbrechlich.

Wie "Rückgrat-taugliches" IAM für moderne Tech-Unternehmen aussieht

Was bedeutet also echtes, rückgrat-taugliches Identity- und Access-Management für ein Tech-Unternehmen mit 200-2.000 Personen in den USA, UK oder der DACH-Region?

1. Lückenlose Abdeckung digitaler Identität

Moderne Identität umfasst:

  • Alle Menschen: Mitarbeitende, externe Kräfte, Partner, Zeitarbeitskräfte
  • Alle Nicht-Menschen: Bots, KI-Agenten, CI/CD-Konten, API-Schlüssel
  • Alle Anwendungen: mit oder ohne SCIM, mit oder ohne Schnittstelle - von Notion und Figma bis SAP und OT-Systeme

Das verstehen wir unter "vollständiger Identity Governance": die 80 % der Anwendungen und Identitäten, die andere ignorieren.

Die Plattform von Iden automatisiert die Bereitstellung für über 175 Anwendungen - einschließlich solcher ohne SCIM oder Schnittstellen - und liefert neue Konnektoren in bis zu 48 Stunden.

2. Fein granulierte, richtlinienbasierte Zugriffe

Gruppenzugehörigkeiten und "App-Level"-Zugriff reichen nicht. Sie brauchen fein granulare Steuerung für:

  • Welche Slack-Kanäle (nicht nur "Slack")
  • Welche GitHub-Repositories (nicht nur "GitHub")
  • Welche Jira-Projekte und -Rollen

Modernes IAM übersetzt Geschäftsrollen in granulare Berechtigungen, gesteuert durch Richtlinien - für Vergabe, Entzug und zeitlich begrenzte Erhöhungen von Rechten.

3. Kontinuierliche, agentische Workflows - keine Durchwink-Prüfungen

Quartalsweise Reviews kommen nicht hinterher. Angriffe sind kontinuierlich, also müssen es die Kontrollen auch sein.

Agentische Workflows - KI-gestützte, autonome Abläufe - ermöglichen:

  • Sofortige, richtlinienbasierte Auto-Genehmigung bei Niedrigrisiko-Anfragen
  • Intelligente Markierung von Risiken (SoD-Verstöße, zu hohe Privilegien)
  • Automatisierte Entprovisionierung bei HR- oder IdP-Signalen
  • Durchgängige, unveränderbare Audit-Nachweise

Unsere Kunden berichten von bis zu 80 % weniger manuellen Tickets und 120 eingesparten Stunden pro Quartal bei Reviews, sobald diese Workflows produktiv laufen.

4. Plug-and-Play-Konnektoren ohne Pflegeaufwand

Die meisten schnell wachsenden Unternehmen haben keine dedizierten IAM-Engineers. Integrationen dürfen nicht Ihren Technologie-Fahrplan sprengen.

"Zero Engineering" und universelle, gemanagte Konnektoren bedeuten:

  • Einrichtung in Minuten oder Stunden, nicht in Wochen
  • Kein "SCIM-Zwang": voller Funktionsumfang ohne erzwungene Enterprise-Upgrades
  • Zentrale Aktualisierungen, wenn Anbieter Schnittstellen oder Berechtigungen ändern

Identitätsansätze für schnell wachsende Tech-Unternehmen im Vergleich

Dimension Nur SSO Legacy-IGA-Suite Vollständige Identity Governance für schlanke Teams
Hauptfokus Authentifizierung/SSO Governance für Großunternehmen End-to-End-Identität und -Zugriff über den gesamten Stack
App-Abdeckung An IdP angebundene Apps (30 %+ fehlen) Breit, aber schwer integrierbar Universell - auch ohne SCIM & Long-Tail-SaaS
Nicht-menschliche Identitäten Minimal Stark, aber komplex Erstklassig (Bots, Agenten, Dienstkonten)
Einführungsdauer Tage Monate (mit Beratern) Stunden/Tage, Self-Service für Kernanwendungen
Eignung für Organisationen 50-2.000 Personen Teilweise Überdimensioniert Speziell für diesen Bereich entwickelt
Betriebsmodell IT-Generalist Benötigt IAM-Admin/Team Wird vom IT-Team betrieben, ohne laufenden Pflegeaufwand

Rückgrat-taugliche Identität erreichen Sie, wenn Ihr Stack wie die rechte Spalte aussieht.

Konkrete nächste Schritte für Tech-Führungskräfte

Wenn Ihnen diese Muster bekannt vorkommen, können Sie so direkt vorgehen:

  1. Quantifizieren Sie Ihre Abdeckungslücke. Listen Sie alle Anwendungen auf - markieren Sie, welche per SSO angebunden, automatisiert oder noch manuell sind. Sie werden vermutlich feststellen, dass nur 20-40 % vollständig automatisiert sind.
  2. Kartieren Sie Ihre kritischen Identitäten. Vergessen Sie Bots, CI/CD, KI und Anbieter-Integrationen nicht. Markieren Sie diejenigen mit unklarer Verantwortlichkeit oder Lebenszyklus.
  3. Verfolgen Sie Joiner-Mover-Leaver-Flows. Dokumentieren Sie für ein Team (z. B. Engineering) Bereitstellung, Änderungen und Entzug von Zugriffen über alle Anwendungen. Zählen Sie die manuellen Schritte.
  4. Priorisieren Sie nach Risiko und Reibung. Kombinieren Sie "könnte uns richtig schaden" (Produktion, Daten, Finanzen) mit "ticketintensiv" (Slack, GitHub, Jira, Notion, CRM).
  5. Testen Sie echte Identity Governance. Starten Sie mit einem fokussierten Ausschnitt - verlangen Sie vollständige Abdeckung, fein granulare Richtlinien und automatisierte Audit-Nachweise. Bauen Sie es selbst oder testen Sie eine Plattform wie Iden.

Jagen Sie keinem mythisch perfekten Endzustand hinterher - ersetzen Sie Ihre Identitätsschulden durch ein anpassungsfähiges Rückgrat.

Häufig gestellte Fragen

Worin unterscheiden sich Identitätsmanagement und Zugriffsmanagement?

Identitätsmanagement stellt sicher, dass Sie durchgängig wissen, wer oder was in Ihrem Stack existiert - Personen, Bots, Dienstkonten, Geräte - über den gesamten Lebenszyklus hinweg. Zugriffsmanagement steuert was diese Einheiten dürfen - welche Ressourcen, wann und wie.

Sie brauchen beides: eine saubere Identitätsschicht und fein granulare Richtlinien, miteinander verknüpft und immer im Gleichklang.

Reicht SSO für ein Tech-Unternehmen mit 500 Personen aus?

Nein. SSO ist für Authentifizierung unerlässlich, aber es:

  • deckt nicht jede Anwendung in Ihrem Stack ab
  • entscheidet nicht, welche Repositories, Kanäle oder Projekte erreichbar sind
  • ermöglicht keine zeitlich begrenzten oder Just-in-Time-Zugriffe
  • liefert kein vollständiges, unveränderbares Prüfprotokoll

Da rund 30 % der Anwendungen außerhalb der SSO-Blase liegen, bedeutet SSO allein: fehlende Abdeckung und mehr Handarbeit.

Warum sind nicht-menschliche Identitäten heute so wichtig?

Bots, CI/CD, Microservices, KI-Agenten - sie verfügen in der Regel über:

  • weitreichende und dauerhafte Berechtigungen
  • API-Token, die überall verstreut sind
  • keine klar benannte verantwortliche Person, die ihre Nutzung überwacht

Okta fand heraus, dass 78 % der Befragten den Zugriff auf nicht-menschliche Identitäten als ihr Hauptanliegen sehen. Sie zu ignorieren ist, als würden Sie die Bürotür abschließen, aber die Schlüssel zum Serverraum offen herumliegen lassen.

Wie sollten Tech-Unternehmen in USA/UK vs. DACH IAM angehen?

Die Grundlagen sind identisch - vollständige Abdeckung, fein granulare Kontrollen, kontinuierliche Governance. Die regulatorische Intensität unterscheidet sich:

  • USA/UK: SOC 2 und ISO entscheiden über Geschäftsabschlüsse; Prüfer verlangen Nachweise für Joiner-Mover-Leaver-Flows und Minimalprinzip.
  • DACH: DSGVO, Betriebsräte und Branchenregulierung (BaFin, DORA, NIS2) machen Transparenz und nachweisbare Datenminimierung unverhandelbar.

In jedem Fall bedeutet ein rückgrat-tauglicher Ansatz, dass Sie jederzeit beantworten können: "Wer hatte wann worauf Zugriff?" - ohne wochenlangen Aufwand.

Wo passt Iden hin, wenn wir bereits Okta oder Entra nutzen?

Okta und Entra sind Ihre Authentifizierungsschicht - solide SSO-Haustüren. Iden sitzt darüber als vollständige Identity-Governance-Schicht:

  • Bereitstellung und Entzug für jede Anwendung - auch ohne SCIM/Schnittstellen
  • Durchsetzung granularer, richtlinienbasierter Zugriffe (Repositories, Projekte, Kanäle)
  • Betrieb kontinuierlicher, agentischer Workflows: Genehmigungen, Reviews, Nachweise

Sehen Sie es so: Aus "alle können sich anmelden" wird "alle haben exakt die passenden Rechte, für genau den benötigten Zeitraum - über Ihren gesamten Stack hinweg".