Jeder Anbieter verspricht "vollständige" Identity Governance. Später stellt sich heraus: Gemeint ist "vollständig für Apps mit SCIM und ein paar große Systeme". Für Finanz- und Professional-Services-Unternehmen reicht das bei Weitem nicht.
Wenn Sie eine Bank, ein Fintech, einen Versicherer, Asset Manager, eine Anwaltskanzlei oder Prüfungs- bzw. Beratungsfirma in den USA, UK oder der DACH-Region leiten, leben Sie im Dauer-Audit. Rezertifizierungen, Funktionstrennung (Segregation of Duties, SoD) und Offboarding-Kontrollen sind kein Luxus - das sind Prüfungsnachweise, die Ihre Aufseher tatsächlich lesen.
Dieser Leitfaden zerlegt die drei IGA-Lösungstypen, die auf Ihrer Shortlist auftauchen werden:
- Legacy-IGA-Plattformen (SailPoint, Saviynt, One Identity)
- "Moderne" SCIM-first- bzw. SSO-nahe Tools (Okta IGA, Entra-Erweiterungen, reine Cloud-IGA)
- Plattformen mit vollständiger Abdeckung und nativer KI (wie Iden)
Wir vergleichen sie durch die Brille der Compliance im Finanzsektor: Abdeckung, Audit-Reife, Kosten und was es in der Praxis braucht, um sie mit schlanken IT- und Security-Teams zu betreiben.
Schnelle Empfehlungen (TL;DR)
Für alle, die nur querlesen, hier der Überblick auf einen Blick:
- Globale Bank oder Versicherung (10.000+ Mitarbeitende, bestehendes IAM-Team): Eine Legacy-IGA-Plattform kann weiterhin funktionieren - wenn Sie eine lange Einführung und dedizierte Administratoren einplanen.
- Mittelgroße Bank, Fintech, Asset Manager oder Professional-Services-Firma (50-2.000 Mitarbeitende): Sie brauchen End-to-End-Abdeckung und robuste Compliance, ohne ein ausuferndes IAM-Team. Plattformen mit vollständiger Abdeckung und nativer KI liegen hier meist vorne.
- Reines Cloud-Startup mit SCIM-fähigem SaaS-Stack: Eine SCIM-first- / SSO-nahe Lösung kann eine Zeit lang ausreichen - aber Sie stoßen an die "Abdeckungswand" bei Long-Tail-SaaS, Altsystemen oder externen Portalen.
Schnelle Empfehlungstabelle
| Szenario | Empfohlener Ansatz | Warum |
|---|---|---|
| Große, globale Finanzinstitution mit reifem IAM-Team | Legacy-IGA + gezielte Erweiterungen | Hochgradig anpassbar, deckt Mainframes/Hostsysteme ab, interne Ressourcen für den Betrieb |
| Regulierte mittelgroße Bank, Fintech oder Professional-Services-Firma (50-2.000 Mitarbeitende) | IGA mit vollständiger Abdeckung (z. B. Iden) | Voller Stack (inkl. Nicht-SCIM-Apps), lückenlose Audit-Spur, schneller Nutzen für schlanke Teams |
| Cloud-native Gründung mit SCIM-fähigem SaaS-Stack | SCIM-first-IGA / SSO-Add-ons | Einfacher Einstieg, integriert sich mit SSO/HR, aber langfristig begrenzte Abdeckung |
Worauf Sie bei einer IGA-Lösung für Finanz- und Professional Services achten sollten
Sie kaufen nicht nur Identity- und Access-Management. Sie kaufen im Kern Compliance- und Audit-Versicherung.
In regulierten Branchen sind das die wirklichen Kaufkriterien:
1. Regulatorik-bewusste Kontrollen und Berichte
Ihre Prüfer brauchen den Nachweis, dass Ihre Identity Governance Folgendes durchsetzt:
- SOX: Kontrollen über Systeme der Finanzberichterstattung
- GLBA, FFIEC, PCI-DSS, FCA/PRA, BaFin/MaRisk, GDPR/DORA: Minimalprinzip, Zugriffskontrollen, fristgerechte Entziehung von Berechtigungen
Studien geben die durchschnittlichen jährlichen Compliance-Kosten großer Finanzinstitute mit 5,5 Mio. US-Dollar an, während Nicht-Einhaltung über 15 Mio. US-Dollar pro Jahr kosten kann.
Dieser Aufwand zahlt sich nur aus, wenn Sie auf Abruf nachweisen können:
- Wer wann Zugriff hatte
- Welche Kontrollen toxische Kombinationen (SoD) verhindert haben
- Wie Zugriffe geprüft und entzogen wurden
Ihre IGA-Lösung sollte sofort audit-fähige Nachweise liefern - nicht einen mehrwöchigen Screenshot-Marathon auslösen.
2. Abdeckung Ihres realen Stacks (nicht nur SCIM-Apps)
Technologiestacks in Finanz- und Professional-Services-Unternehmen gehen weit über Okta und Office 365 hinaus. Typischerweise haben Sie:
- Kernbank-, Handels- und Portfoliosysteme
- ERP (SAP, NetSuite), CRM (Salesforce), Kanzlei-/Mandatsmanagement
- Dokumenten-/Signaturplattformen (SharePoint, DocuSign)
- Externe Dienstleister- und Kundenportale
- Long-Tail-SaaS und interne Tools - viele mit schwachen oder gar keinen APIs
SCIM (System for Cross-domain Identity Management) automatisiert Benutzer-Provisionierung zwischen Systemen - aber nur dort, wo es verfügbar ist.
Viele zentrale Finanz- oder Rechtssysteme unterstützen SCIM nicht - oder schalten es nur in teuren Enterprise-Lizenzen frei.
Die Analysen und Kundendaten von Iden bestätigen, was IT-Leitungen längst wissen: Die meisten SSO/SCIM-Automatisierungen erreichen nur etwa 20-40 % der Anwendungen in einem typischen mittelständischen Unternehmen; 60-80 % werden weiterhin per Tabellenkalkulationen und Tickets verwaltet.
Fragen Sie deshalb immer: "Wie steuern Sie Anwendungen ohne SCIM oder APIs?"
3. Fein granulare Kontrolle und SoD-Durchsetzung
In regulierten Umgebungen zählt, wie Zugriff gewährt wird - nicht nur, ob eine Person ein Konto hat.
Sie brauchen:
- SoD-bewusste Rollen (z. B. keine Überschneidung zwischen "darf Zahlungen freigeben" und "darf Lieferanten anlegen")
- Berechtigungen auf Entitlement-Ebene (konkrete Hauptbücher, Fonds, Mandatsakten, Dokumentbibliotheken)
- Zeitlich befristeten, Just-in-Time-Zugriff für besonders sensible Tätigkeiten
SCIM verwaltet Konten und Gruppen, nicht fein granulare Berechtigungen. Sie brauchen IGA, die bis hinunter auf Kanäle, Repositorien, Projekte, Module steuert - nicht nur den Status "Nutzer hat Salesforce".
4. Kontinuierliche Governance statt punktueller Reviews
Quartalsweise Stichtags-Reviews können permanenten Angriffen und laufenden Organisationsänderungen nicht standhalten.
Suchen Sie nach:
- Laufenden Richtlinienprüfungen (SoD-Verstöße, verwaiste Konten, inaktive privilegierte Nutzer)
- Kontextbezogenen, automatisierten Zugriffsevaluierungen (kleinere Umfänge, vorgefilterte Vorschläge)
- Automatischer Behebung (nicht genutzte Berechtigungen entfernen, Lizenzen zurückholen)
Plattformen mit vollständiger Abdeckung wie Iden setzen auf agentische Workflows - KI-gesteuerte, autonome Abläufe, die Governance kontinuierlich halten, statt "Audit-Woche-Theater" zu spielen.
5. Audit-fähige Nachweise und unveränderliche Protokolle
Im Jahr 2024 werden die durchschnittlichen Kosten einer Datenschutzverletzung auf rund 4,88 Mio. US-Dollar geschätzt - im Finanzsektor oft noch höher.
Wenn der Alarm losgeht, fordern Prüfer und Aufsichtsbehörden:
- Exakte Berechtigungen pro Identität zum Zeitpunkt des Vorfalls
- Wer den Zugriff genehmigt hat und auf Basis welcher Richtlinie
- Wie schnell der Zugriff entzogen wurde, nachdem er nicht mehr benötigt wurde
Hier sind unveränderliche Audit-Protokolle und Verschlüsselung im Bankstandard Mindestanforderung - keine nette Zugabe.
6. Gesamtkosten und Team-Fit
Legacy-Tools setzen voraus:
- Dedizierte IAM-Fachkräfte
- Budget für Berater
- Bereitschaft für Projekte mit 6-18 Monaten Laufzeit
Die meisten mittelständischen Finanz- und Professional-Services-Unternehmen können diese Last nicht tragen.
Sie wollen:
- Schnellen Nutzeneintritt (Stunden oder Tage, nicht Quartale)
- Keinen oder sehr geringen Wartungsaufwand für Ihr reales IT-/Security-Team
- Preise ohne Enterprise-Upgrades oder SCIM-Aufschläge
Iden ist auf 5 US-Dollar pro Nutzer und Monat ausgelegt, mit Go-Live in ~24 Stunden - die ersten Automatisierungen oft in weniger als einer Stunde. Das ist nicht das klassische Legacy-IGA-Modell.
Option 1 - Legacy-IGA-Plattformen (SailPoint, Saviynt, One Identity)
Legacy-IGA dominiert bei Großbanken und Versicherern. Leistungsstark, tief integriert - aber langsam in Einführung und Betrieb.
Was sie sind
- Seit Langem etablierte IGA-Plattformen für komplexe, globale Konzerne
- Ausgelegt für On-Premise-, Mainframe- und hybride Umgebungen
- Umfassende Konnektor-Bibliotheken für "klassische" Anwendungen
- Starke Individualisierung über Services und Entwicklung
Vorteile
- Tiefgehende Funktionen: Fortgeschrittene Rollenmodelle, SoD, komplexe Workflows
- Enterprise-App-Support: SAP, Oracle, Kernbankensysteme
- Von Prüfern/Analysten anerkannt: Von Aufsehern und GRC-Partnern erkannt und verstanden
- Ökosystem: Breites Netzwerk von Integratoren und Beratungspartnern
Nachteile
- Lange Implementierung: 6-18 Monate sind typisch, bis echter Produktivnutzen erreicht wird
- Kosten: Lizenzen plus meist obligatorische Professional-Services liegen oft im hohen sechs- bis siebenstelligen Bereich
- Betriebspersonal: Braucht dedizierte IAM-Admins für Betrieb und Pflege
- Abdeckungslücke: Long-Tail-SaaS, Nischenportale und Nicht-SCIM-Tools bleiben häufig manuell - außer Sie bauen individuelle Konnektoren
Am besten geeignet für
- Globale Banken, Versicherer, Kapitalmarktakteure (10.000+ Mitarbeitende)
- Organisationen mit reifem IAM-Team und entsprechendem Budget
- Umgebungen mit starkem Fokus auf Mainframe, Individualsoftware, On-Prem-Anwendungen
Preise & kommerzielles Modell
- Subskriptionen oder unbefristete Lizenzen nach Identität/Modul/Umgebung
- Umfangreiche Professional-Services für Integration, Support und laufende Änderungen
- Für ein Fintech mit 500 Personen oder eine schlanke Kanzlei kaum praktikabel
Option 2 - "Moderne" SCIM-first- / SSO-nahe Tools
Vor rund einem Jahrzehnt begannen SSO/IDPs wie Okta/Entra, Governance-Funktionen hinzuzufügen. Cloud-native IGAs mit schicken Oberflächen entstanden - aber die meisten sind durch SCIM limitiert.
Was sie sind
- SSO-Erweiterungen (Okta IGA, Entra Premium usw.)
- Cloud-native, SCIM-zentrierte IGA mit Fokus auf SaaS
- Enge HRIS-/SSO-Integrationen, einfache Einrichtung (für diese Systeme)
Vorteile
- Enge Verzahnung mit SSO
- Ideal für SaaS-lastige, SCIM-fähige Stacks
- Einfachere Einführung als klassische Legacy-IGA
- Vertraute Umgebung für SSO-fokussierte Teams
Nachteile
- Begrenzte Reichweite: Können Anwendungen ohne SCIM oder Anbieter-APIs nicht steuern
- SCIM-Aufschlag: SCIM ist häufig hinter teuren Enterprise-Tarifen der SaaS-Anbieter versteckt
- Oberflächliche Governance: Stark bei Konto-Provisionierung, schwach bei Berechtigungen auf Entitlement-Ebene, SoD und nicht-menschlichen Identitäten
- Compliance-Blindspots: Externe Portale von Dienstleistern/Kunden und Legacy-Systeme liegen oft außerhalb ihrer Reichweite
Am besten geeignet für
- Cloud-native Organisationen, deren gesamter Stack aus SCIM-fähigem SaaS besteht
- Unternehmen mit Bedarf an grundlegender Lifecycle-Automatisierung und begrenztem Compliance-Scope
- Teams, die tief in einer bestimmten SSO-Plattform stecken und Abdeckungs-Lücken in Kauf nehmen
Preise & kommerzielles Modell
- Pro Nutzer als Add-on, gebündelt mit SSO
- Versteckte Kosten durch Enterprise-Upgrades für SCIM-Support ("SCIM-Aufschlag")
- Moderater Serviceaufwand - Fokus auf Konfiguration, aber komplexe Fälle brauchen Spezialisten
Option 3 - Plattformen mit vollständiger Abdeckung und nativer KI (z. B. Iden)
Die neue Kategorie adressiert die 60-80 % der Systeme, die Legacy- und SCIM-first-Tools ignorieren. Universelle Konnektoren, feingranulare Steuerung und agentische Workflows - die moderne Antwort für schlanke, compliance-getriebene Teams.
Was sie sind
- IGA, die SSO/Legacy-IGA ergänzt - nicht nur Authentifizierung
- Universelle Konnektoren: Automatisierung für Apps mit SCIM, APIs - oder ganz ohne APIs
- Agentische Workflows: KI-gesteuerte, autonome Provisionierung, Reviews und Durchsetzung
- Entwickelt für schnell wachsende, SaaS-lastige Unternehmen mit schlanken Teams
Vorteile
Vollständige Abdeckung: Alle SaaS-Tools, externe Portale, Legacy/On-Prem - nicht nur SCIM
Fein granulare Kontrolle: Berechtigungen auf allen Ebenen; SoD sowie menschliche und nicht-menschliche Identitäten
Geschwindigkeit: Go-Live in ~24 Stunden, erste Automatisierungen in weniger als einer Stunde (Iden-Daten)
Audit/Compliance: Unveränderliche Protokolle, automatisierte Nachweise, automatisierte Zugriffsevaluierungen
Über 120 Stunden pro Quartal werden durch automatisierte Nachweise bei Reviews/Audit-Vorbereitung eingespart
Ideal für schlanke Teams: Bis zu 80 % weniger manuelle Zugriffstickets in den ersten 60 Tagen
Kosten: Lizenzrückgewinnung und Vermeidung von Enterprise-Upgrades senken SaaS-Ausgaben um bis zu 30 %
Nachteile
- Noch junges Segment: Reifegrad und Referenzen des Anbieters genau prüfen
- Kleineres Partner-Ökosystem im Vergleich zu Legacy-Giganten
- Einführungskurve: Agentische Workflows brauchen klare Leitplanken und fachliche Richtlinienverantwortliche
Am besten geeignet für
- Banken, Fintechs, Broker, Professional-Services-Unternehmen (50-2.000 Mitarbeitende)
- Organisationen mit SSO, denen aber vollständige Governance fehlt
- Teams mit realem Compliance-Druck (SOC 2, ISO 27001, SOX, DORA, PCI) ohne großes IAM-Team
Preise & kommerzielles Modell
Am Beispiel von Iden:
- SaaS-Preise von rund 5 US-Dollar pro Nutzer und Monat, passend für mittelständische Budgets
- Keine erzwungenen SCIM-Enterprise-Upgrades
- Ausgelegt auf Self-Service, minimale/keine verpflichtenden Services
Direktvergleich: Tabelle
Legacy vs. SCIM-first vs. vollständige Abdeckung in IGA
| Dimension | Legacy-IGA | SCIM-first / SSO-nah | Vollständige Abdeckung (z. B. Iden) |
|---|---|---|---|
| Primärer Einsatzbereich | Globale Konzerne mit reifem IAM | Reine SaaS-/SCIM-lastige Organisationen | Schnell wachsende, regulierte Mid-Market-Unternehmen mit gemischten Stacks |
| Abdeckung von Anwendungen | Klassische Anwendungen (stark), Long-Tail-SaaS/Portale (schwach) | Nur SCIM/API-Apps | Universell: SCIM, API, Legacy, On-Prem |
| Tiefe der Berechtigungen | Hoch (mit umfangreicher Konfiguration) | Gruppen/Rollen | Fein granular (Projekte, Module, Bots) |
| Nicht-menschliche Identitäten | Unterstützt, aber konfigurationsintensiv | Oft begrenzt | Erstrangig: Bots, Dienstkonten, KI-Agenten |
| Time-to-Value | Monate bis Jahre | Wochen bis Monate | Stunden bis Tage |
| Implementierungsmodell | Großprojekte/Berater | SSO-Konsolen-Konfiguration, teils Services | Self-Service, Plug-and-Play-Konnektoren |
| Compliance-Unterstützung | Stark, wenn vollständig umgesetzt | Gut für SCIM-Apps; Lücken außerhalb | Eingebaute kontinuierliche Governance, unveränderliche Protokolle |
| Typische TCO | Hoch (Lizenzen, Services, Personal) | Mittel (Lizenzen + SCIM-Aufschlag) | Niedriger (kein SCIM-Aufschlag, minimaler Betrieb) |
Wie Sie wählen: eine praxisnahe Evaluierungsliste
Prüfen Sie jeden Anbieter gegen diese Muss-Kriterien:
- Abdeckung: Zeigen Sie uns, wie Sie Provisionierung, Reviews und De-Provisionierung abbilden für:
- Long-Tail-SaaS
- Externe Dienstleister- und Kundenportale
- Legacy/On-Prem-Systeme ohne APIs
- Compliance: Können Sie uns heute aus der Demo heraus einen SOC-2-/ISO-27001-/SOX-fähigen Zugriffsbericht liefern?
- SoD & Berechtigungen: Wie werden SoD-Konflikte systemübergreifend modelliert? Können Sie Nachweise auf Entitlement-Ebene und entsprechende Genehmigungen zeigen?
- Lifecycle-Automatisierung: Wie werden Joiner/Mover/Leaver-Ereignisse aus HRIS/SSO ausgelöst, und garantieren Sie kein teilweises Offboarding?
- Betrieb: Wer betreibt das im Alltag? Brauchen wir eine dedizierte IAM-Rolle?
- Zeit & Kosten: Wie sieht ein realistischer Zeitplan aus, und was erleben Ihre realen Kunden aus dem Finanz-/Professional-Services-Umfeld?
Wenn Antworten ausweichend oder vage sind, dürfen Sie davon ausgehen, dass Sie eher "Theater" als echte Governance bekommen.
Unsere Einschätzung: Was für die meisten Finanz- und Professional-Services-Teams sinnvoll ist
- Banken mit 10.000+ Mitarbeitenden und Mainframes, reifen Teams: Legacy-IGA bleibt möglicherweise Ihr führendes System - aber Sie brauchen zusätzliche Abdeckung für den Long Tail und Automatisierung weit über das hinaus, was Legacy-IGA alleine leistet.
- Banken, Fintechs, PE-Fonds, Professional-Services-Firmen mit 50-2.000 Personen: Legacy-IGA ist überdimensioniert; reine SCIM-Tools lassen Sie manuell, exponiert und in jedem Audit in der Hektik.
- Für den regulierten Mittelstand passen Plattformen mit vollständiger Abdeckung wie Iden am besten zur Realität: schlanke Teams, harte Audit-Deadlines, heterogene Stacks.
Sie erhalten:
- Vollständige Abdeckung - SCIM und Nicht-SCIM
- Fein granulare Kontrolle - SoD, Entitlement-Ebene
- Kontinuierliche Governance - statt hektischem Quartals-Feuerwehrmodus
- Audit-fähige Nachweise ohne manuellen Aufwand
- Geschwindigkeit und TCO, die zu Mid-Market-Budgets passen
Wenn Ihr nächstes SOC-2-, ISO-27001-, SOX- oder DORA-Audit mit einem schlanken IT-Team vor der Tür steht, zählt das am Ende mehr als jede Marketing-Folie eines Anbieters.
FAQ
Wie unterscheidet sich IGA von IAM oder SSO im Finanzsektor?
Identity and Access Management (IAM) beschreibt den Gesamtprozess: Nutzer anlegen, Rollen verwalten, Authentifizierung. SSO und MFA lösen das Thema Anmeldung (wer Sie sind, wie Sie sich einloggen). Identity Governance and Administration (IGA) kümmert sich darum, wer welche Zugriffe haben sollte, warum und wie lange, und dokumentiert Genehmigungen, Reviews und Audit-Spuren.
Im Finanz- und Professional-Services-Umfeld interessiert Regulierer Governance deutlich mehr als das eigentliche Login-Fenster.
Welche Regularien treiben IGA-Anforderungen im Finanz- und Professional-Services-Bereich?
Zentrale Treiber sind:
- SOX: Systeme der Finanzberichterstattung
- GLBA, FFIEC: Kundendaten (USA)
- GDPR, DORA, BaFin/MaRisk: EU/Deutschland - Zugriffssteuerung, Minimalprinzip, Reaktion auf Sicherheitsvorfälle
- PCI-DSS: Karteninhaberdaten
- SOC 2 / ISO 27001: Allgemeine Zugriffe und Kontrollen (Dienstleister)
Allen gemeinsam ist die Anforderung, dass Sie jederzeit wissen, wer worauf Zugriff hat, das Minimalprinzip durchsetzen und dies sofort nachweisen können.
Brauchen wir wirklich Legacy-IGA, wenn wir unter 2.000 Mitarbeitende haben?
In der Regel nein.
Unterhalb von 2.000 Nutzern - ohne voll besetztes IAM-Team - ist Legacy-IGA:
- Langsam in der Einführung
- Aufwendig im Betrieb
- Für die meisten schlanken Teams praktisch nicht tragfähig
Plattformen mit vollständiger Abdeckung und nativer KI passen besser zu Ihrer Größe und Ressourcensituation.
Wie wichtig ist SCIM-Support bei der Auswahl einer IGA-Lösung?
SCIM ist hilfreich, wo verfügbar - es standardisiert grundlegende Konto-Provisionierung. Aber wenn "unterstützt SCIM" Ihr einziges Kriterium ist, automatisieren Sie nur einen Bruchteil Ihrer Anwendungen.
Der klügere Ansatz:
- SCIM dort nutzen, wo es wirtschaftlich sinnvoll ist
- Auf IGA bestehen, die auch Nicht-SCIM- und Legacy-Systeme steuert - ohne erzwungene Enterprise-Upgrades
Wie rechtfertige ich IGA-Investitionen gegenüber CFO oder Managing Partner?
Rahmen Sie das Thema über harte Ergebnisse:
- Regulatorisches Risiko: Bußgelder, Nachbesserungen, Reputationsschäden durch gescheiterte Audits oder Vorfälle
- Operative Effizienz: 80 % weniger Zugriffstickets, 120+ Stunden pro Quartal eingespart - konkret und messbar
- SaaS-Ausgaben: Automatisierte Lizenzrückgewinnung und Vermeidung von SCIM-Enterprise-Upgrades senken die Kosten
Sie kaufen keine "Identity-Tools". Sie kaufen Sicherheit - das Wissen, dass Regulierer, Prüfer und Kunden echte Antworten bekommen, ohne dass Sie eine Armee von Excel-Spezialisten beschäftigen müssen.
