Sie haben drei Wochen lang IGA-Demos gesessen. Auf der Preisseite jedes Anbieters steht dasselbe: "Vertrieb für ein individuelles Angebot kontaktieren." Dabei will Ihr CFO bis Freitag eine Budgetzahl.

Dieser Beitrag schließt diese Lücke. Er liefert kein verbindliches Angebot - das kann niemand -, aber er gibt Ihnen die Preisstruktur, realistische Spannen, die versteckten Kosten, die Budgets sprengen, und die Fragen, die eine echte Zahl von einem Vertriebshinhalter unterscheiden.

Wie IGA tatsächlich berechnet wird

Die meisten Anbieter nutzen eines von vier Modellen - häufig in Kombination.

Abonnement pro Identität / pro User ist das dominierende Modell. Keiner der großen IGA-Anbieter veröffentlicht Preise; alle arbeiten mit Pro-Identität-Abonnements oder Lizenzmodellen, ergänzt durch modulbasierte Zusatzoptionen. Entscheidend ist die Zahl der Identitäten: Verwaltete Identitäten umfassen jede Entität, die einer Zugriffsverwaltung bedarf - Mitarbeitende, externe Dienstleister, Service-Accounts, RPA-Bots und zunehmend auch KI-Agenten.

Modulbasierte Zusatzoptionen werden auf die Basislizenz aufgeschlagen. SoD und die Governance nicht-menschlicher Identitäten sind kostenpflichtige Erweiterungen, nicht im Basispaket enthalten - SoD läuft über das Access Risk Management (ARM)-Modul, und die Abdeckung nicht-menschlicher Identitäten für Service-Accounts, Bots, RPA und KI-Agenten erfordert separate Module.

Plattformgebühr plus Professional Services ist das klassische Legacy-Modell. Sie zahlen eine Basislizenz und darüber hinaus ein oft noch teureres Engagement für Implementierung, Konnektorentwicklung und Workflow-Konfiguration.

Gestufte Suiten bündeln Funktionen in Standard-, Business- und Enterprise-Tiers. SailPoint verpackt seine SaaS-Plattform in progressiv gestufte kommerzielle Suiten - Standard, Business und Business Plus -, die auf unterschiedliche Reifegrade und Compliance-Anforderungen ausgerichtet sind. Der Haken: Die Funktionen, die Sie tatsächlich brauchen, sind selten im Einstiegstarif enthalten.

IGA Pricing Models at a Glance
Pricing ModelHow It WorksWatch Out For
Per-identity/userAnnual fee × managed identity countMachine identities can outnumber humans 17:1 to 82:1, inflating counts fast
Module add-onsBase license + SoD, NHI, PAM, analytics modulesFeatures marketed as 'included' often require a paid module
Platform fee + PSLicense + separate professional services engagementPS costs routinely exceed the license in Year 1
Tiered suitesStandard → Business → Enterprise tiersGovernance features typically start at Business tier or above
Per-connectorFee per integrated application or connectorLong-tail SaaS apps trigger upcharges; SCIM-only tools leave gaps

Kosten pro User 2026: Was Käufer tatsächlich zahlen

Die folgenden Spannen basieren auf Beschaffungsdaten und veröffentlichten Drittanalysen - keine Listenpreise, die es ohnehin nicht gibt.

Legacy-Enterprise-IGA (SailPoint, Saviynt): Auf Basis von Beschaffungsdaten und Kundenberichten sind bei kleineren Deployments Jahreskosten ab ca. 75.000 € zu erwarten; mittelständische Unternehmen zahlen typischerweise 100.000-500.000 € und mehr pro Jahr. Auf User-Basis bei 1.500 Mitarbeitenden entspricht das grob 50-333 €/User/Jahr - vor Professional Services.

Okta Identity Governance: Identity Governance kostet je nach Anzahl der enthaltenen Flows zwischen 9 und 11 US-Dollar pro User und Monat, also 108-132 USD/User/Jahr - deckt aber nur Apps ab, die Okta per SCIM oder über native Integrationen erreichen kann.

Microsoft Entra ID Governance: Der Einstiegspreis liegt bei 6 USD/User/Monat; die zentralen IGA-Funktionen erfordern jedoch die Entra Suite für 11 USD/User/Monat bei jährlicher Bindung. Starkes Preis-Leistungs-Verhältnis für Microsoft-zentrierte Umgebungen - außerhalb dieses Ökosystems deutlich eingeschränkt.

Modernes Mid-Market-IGA (Lumos, Zluri, ConductorOne, Linx): Typischerweise 8-20 USD/User/Monat je nach Feature-Tier, mit geringerem PS-Bedarf. Die Preisgestaltung ist oft transparenter, die Konnektorabdeckung variiert jedoch.

Was den Preis in die Höhe treibt:

  • Anzahl der Identitäten (besonders wenn externe Dienstleister, Service-Accounts und KI-Agenten einbezogen werden)
  • Anzahl der angebundenen Applikationen und ob individuelle Konnektoren benötigt werden
  • Erweiterte Module: SoD, PAM-Integration, nicht-menschliche Identitäten, KI-Analytik
  • Mehrjährige vs. jährliche Vertragslaufzeiten - Mehrjahresverpflichtungen von 2-3 Jahren ermöglichen typischerweise 15-30 % niedrigere Pro-Identität-Preise gegenüber Jahresverträgen
lightbulb Tip

The identity count trap: Ask every vendor how they count identities. A 1,500-employee company with 300 contractors and 2,000 service accounts may be quoted on 3,800 identities — not 1,500. Get the definition in writing before you benchmark quotes.

Der PS-Eisberg

Die Lizenzgebühr ist die sichtbare Spitze. Der Eisberg darunter ist das, was Budgets zum Kentern bringt.

57 % der Unternehmen geben an, dass die hohen Kosten für Professional Services bei der Integration ein wesentliches Hindernis für den Abschluss ihrer IGA-Implementierung darstellen. [ESG Identity Security Report, Juli 2025]

Bei Legacy-Plattformen sind die Zahlen eindeutig. Professional Services machen laut Vendr-Daten aus 30 verifizierten Käufen typischerweise 30-60 % der Gesamtkosten im ersten Jahr aus. Die Implementierung ist notorisch aufwendig, dauert oft über ein Jahr bis zur Reife, und die Professional-Service-Kosten können den ursprünglichen Softwarepreis verdreifachen.

68 % der Unternehmen haben ihre gesamten IGA-Implementierungskosten um mindestens 40 % unterschätzt, wobei Professional Services die Hauptursache für Budgetüberschreitungen waren. [Gartner IGA Implementation Report, 2023]

Das Zeitproblem verstärkt das Kostenproblem. Legacy-Plattformen wie SailPoint IdentityIQ erfordern fast immer anbieter- oder partnergeführte Professional Services, mit Implementierungen von 6 bis 12 Monaten und Servicekosten, die die Softwarelizenz erreichen oder übersteigen können. Und das ist nur der Weg bis zur initialen Inbetriebnahme - nicht zur vollständigen App-Abdeckung. Der Time-to-Value eines Tools sinkt drastisch, wenn nach der Implementierung weitere 6-12 Monate benötigt werden, um alle Geschäftsapplikationen vollständig zu integrieren; bei größeren Unternehmen kann das Jahre dauern, und Warteschlangen von über 600 Applikationen mit Zeithorizonten von mehr als 8 Jahren sind dokumentiert.

Was PS-Kosten in die Höhe treibt:

  • Entwicklung individueller Konnektoren für nicht-standardisierte Apps - ein mittelgroßes Finanzinstitut berichtete von über 180.000 USD allein für die Konnektorentwicklung
  • Workflow-Anpassung, um Geschäftsprozesse in das Framework der Plattform zu übersetzen
  • Schulung und Change-Management
  • Upgrade-Kosten, wenn Major-Versionen eine Re-Implementierung erfordern

Wo sich moderne Plattformen unterscheiden: Cloud-native Plattformen wie Linx, Lumos und Zluri sind darauf ausgelegt, diese Abhängigkeit von Professional Services zu reduzieren oder zu eliminieren. Der Kompromiss liegt typischerweise in einer flacheren ERP-Integration und weniger Anpassungstiefe - was für SaaS-lastige Mid-Market-Unternehmen in Ordnung ist, für komplexe regulierte Unternehmen jedoch eine echte Einschränkung darstellt.

Die SCIM-Steuer: Der versteckte Aufschlag, den niemand nennt

Diese Kosten tauchen auf keiner Preisseite eines Anbieters auf - aber sie sind real und sie potenzieren sich.

Die meisten IGA-Tools provisionieren User über SCIM - das Standardprotokoll für automatisiertes User-Lifecycle-Management. Das Problem: Viele der Apps, die Ihr Team tatsächlich nutzt, sperren SCIM hinter ihrem teuersten Enterprise-Tarif. Ihr IGA-Anbieter kann nicht provisionieren, was die App nicht freigibt.

Das Muster zieht sich durch den gesamten SaaS-Stack:

  • Slack beschränkt den vollen SCIM-Funktionsumfang auf Enterprise Grid - den Höchsttarif für ca. 230 USD/User/Jahr -, während Teams im Business+-Tarif (180 USD/User/Jahr) zwar SSO erhalten, aber keine automatisierte Provisionierung.
  • Notion errichtet eine künstliche Barriere zwischen SSO und SCIM und zwingt Teams, die bereits 20 USD/User/Monat für Business zahlen, individuelle Enterprise-Preise auszuhandeln - nur um zu automatisieren, was ihr Identity Provider nativ leisten sollte.
  • Keines der "Big Four" unter den Projektmanagement-Tools - Monday, Asana, Notion, ClickUp - bietet SCIM in Standard-Tarifen an; alle erfordern Enterprise-Upgrades oder erzwingen schätzungsweise 458 IT-Stunden/Jahr für manuelle Provisionierung.

Die kumulierten Kosten sind erheblich. Für ein 100-köpfiges Team, das alle vier großen PM-Tools nutzt, belaufen sich die kombinierten SCIM-Aufschläge durch Enterprise-Tier-Upgrades auf 63.000-126.000 USD/Jahr. [Stitchflow-Kundendaten, 2026]

Das schafft ein sich verstärkendes Problem für SCIM-only-IGA-Tools: Sie automatisieren die Apps, die SCIM bereits unterstützen, lassen aber den Rest Ihres Stacks - oft die Mehrheit - auf manuellen Prozessen. Am Ende zahlen Sie für IGA und die SCIM-Steuer und betreiben trotzdem manuelle Provisionierung für die Apps, die durch das Raster fallen.

Nur 15 % der Unternehmen haben mehr als 80 % ihrer Applikationen in ihre IGA-Plattform integriert, und 59 % nennen Integrationsschwierigkeiten als Hauptgrund für eine unvollständige Einführung. Das ist kein Governance-Programm - das ist eine Teilautomatisierung mit einem governance-förmigen Loch darin.

Einen tieferen Einblick in die Funktionsweise der SCIM-Steuer und welche Apps betroffen sind, bietet unsere vollständige SCIM-Steuer-Analyse.

TCO-Rechenbeispiel: Unternehmen mit 1.500 Mitarbeitenden

Machen wir das konkret. Hier ist ein realistischer TCO-Vergleich für Jahr 1 und Jahr 3 bei einem Unternehmen mit 1.500 Mitarbeitenden, einem typisch SaaS-lastigen Stack (60+ Apps, Mix aus SCIM- und Nicht-SCIM-Apps), einem 2-köpfigen IT-Team und SOC 2 Type II-Anforderungen.

Annahmen:

  • 1.500 Mitarbeitende + 200 externe Dienstleister = 1.700 verwaltete Identitäten
  • 60 Apps: ca. 25 mit SCIM-Unterstützung, ca. 35 ohne
  • Kein dediziertes IAM-Team; das IT-Team übernimmt Governance neben anderen Aufgaben

Illustrative Übersicht bei 1.500 Mitarbeitenden, 60 Apps:

Kostenkomponente Legacy-Enterprise-IGA Modernes Mid-Market-IGA IGA mit universeller Abdeckung
Lizenz Jahr 1 ~180.000 € ~144.000 € ~108.000 €
Professional Services Jahr 1 ~108.000 € ~29.000 € ~5.000 €
SCIM-Steuer (App-Upgrades) ~27.840 € ~21.600 € 0 €
Gesamt Jahr 1 ~315.840 € ~194.600 € ~113.000 €
Kumuliert Jahr 3 ~720.000 €+ ~450.000 € ~280.000 €

Die Spannen sind illustrativ und basieren auf veröffentlichten Marktdaten und Beschaffungs-Benchmarks. Ihr tatsächliches Angebot variiert je nach Identitätsanzahl, App-Komplexität und verhandelten Konditionen.

Der PS-Unterschied ist der größte Hebel. Legacy-Plattformen erfordern umfangreiche Implementierungsarbeit; moderne Plattformen mit vorgefertigten Konnektoren und schnellerer Inbetriebnahme komprimieren diese Position erheblich. Die SCIM-Steuer ist der zweite Hebel - und sie gilt nur für Tools, die bei SCIM aufhören.

Wo Legacy-Enterprise-IGA noch seinen Preis wert ist: Wenn Sie ein reguliertes Unternehmen mit 10.000+ Mitarbeitenden sind, SAP-, Oracle- oder Mainframe-Integrationen betreiben, komplexe SoD-Anforderungen haben und ein dediziertes IAM-Team stellen, rechtfertigt die Tiefe von SailPoint oder Saviynt möglicherweise tatsächlich die Kosten. Für große Unternehmen in regulierten Branchen - Finanzwesen, Gesundheitswesen, öffentlicher Sektor - macht SailPoints Kombination aus Governance-Tiefe, Compliance-Automatisierung, KI-gestützter Analytik und Konnektorbreite es zur stärksten Wahl; die Investition ist erheblich, aber das Compliance-Risiko, das sie mindert, ist es auch. Das ist eine ehrliche Einschätzung, kein Verkaufsargument.

Einen vollständigen Anbietervergleich aller wichtigen IGA-Plattformen finden Sie in unserem Leitfaden Die 12 besten IGA-Anbieter 2026.

10 Fragen für ein echtes Angebot

Die meisten IGA-Vertriebszyklen sind darauf ausgelegt, die Zahl so lange hinauszuzögern, bis Sie emotional gebunden sind. Diese Fragen erzwingen früher Konkretheit.

1
How do you define a 'managed identity'?

Does it include contractors, service accounts, bots, and AI agents? Get the definition in writing. A 1,500-employee company can easily have 3,000+ billable identities once non-human accounts are counted.

2
What's included in the base license vs. add-on modules?

Ask specifically about SoD enforcement, non-human identity governance, access analytics, and workflow automation. These are commonly gated behind paid modules.

3
What is the all-in Year 1 cost including professional services?

Request a binding not-to-exceed estimate for implementation, not just a 'typical range.' PS costs routinely run 30–60% of the license fee for legacy platforms.

4
How many of our specific apps are covered out of the box?

Give them your actual app list. Ask which apps require custom connector development, and what that costs. A connector library number means nothing without knowing if your apps are in it.

5
Which apps require SCIM — and what happens to the ones that don't support it?

If the answer is 'manual process' or 'custom development,' you've found your coverage gap. Ask how non-SCIM apps are governed.

6
What is the typical time-to-first-value for a company our size?

Not 'full deployment' — first value. If the answer is 6+ months, factor that into your compliance timeline and budget for the manual work that continues in the meantime.

7
What does renewal pricing look like after Year 1?

Ask for the maximum annual increase cap. Standard contracts often allow significant year-over-year increases. Get a 3-year cost projection, not just Year 1.

8
What internal headcount is required to run this platform?

Some platforms require a dedicated IAM engineer or admin. If you're a lean team, that's a hidden cost that doesn't appear on any invoice.

9
Can you provide references from companies our size and stack complexity?

Ask specifically for companies with similar employee counts, SaaS-heavy environments, and lean IT teams — not Fortune 500 references if you're a 1,500-person company.

10
What is the offboarding process if we switch vendors in Year 2 or 3?

Data portability, contract exit terms, and migration support are rarely discussed in the sales cycle. Ask before you sign.

Das ehrliche Fazit

IGA-Preise sind bewusst undurchsichtig, weil die Gesamtkosten - Lizenz + PS + SCIM-Steuer + interner Aufwand - oft das 3- bis 5-Fache der Headline-Zahl betragen. Die Anbieter, die von dieser Intransparenz am meisten profitieren, sind jene mit den höchsten PS-Anteilen und der schmalsten App-Abdeckung.

87 % der Unternehmen sind trotz vorhandener Automatisierungstools bei zentralen IGA-Aufgaben noch immer auf manuelle Prozesse angewiesen. [ESG Identity Security Report, Juli 2025] Das ist kein Technologieversagen - es ist ein Abdeckungsversagen. Tools, die nur SCIM-fähige Apps automatisieren, lassen die Mehrheit des Stacks auf manuellen Prozessen, und die SCIM-Steuer macht es teuer, diese Lücke zu schließen.

Die Fragen, die Sie sich vor der Unterschrift stellen sollten:

  • Deckt die Plattform Ihren gesamten App-Stack ab - einschließlich Apps ohne SCIM oder APIs -, oder nur die einfachen?
  • Ist die PS-Schätzung verbindlich, oder handelt es sich um eine "typische Spanne", die sich nach Unterzeichnung des SOW ausweitet?
  • Haben Sie alle Ihre Identitäten gezählt - externe Dienstleister, Service-Accounts, Bots -, nicht nur die Kopfzahl?
  • Wie sieht die Zahl für Jahr 3 aus, nicht nur für Jahr 1?
  • Was kann Ihr schlankes IT-Team tatsächlich betreiben?

Die richtige IGA-Plattform für ein Unternehmen mit 1.500 Mitarbeitenden ist nicht dieselbe wie die richtige Plattform für eine Bank mit 50.000 Mitarbeitenden. Passen Sie das Tool an Ihre tatsächliche Komplexität an - und prüfen Sie jedes Angebot kritisch gegen die vollständige TCO-Rechnung, bevor Sie sich festlegen.