Identität ist nicht länger nur ein Teilbereich der Cybersicherheit - sie ist die zentrale Steuerebene. Für schnell wachsende Tech- und Software-Unternehmen in den USA, im Vereinigten Königreich und in der DACH-Region steht Identity Security heute im Schnittfeld von Cyberrisiko, Datenschutz, Cloud-Sicherheit und regulatorischem Druck.

Dieser Beitrag beleuchtet die Veränderungen in Bedrohungslage und Regulierung, warum traditionelle Zugriffsverwaltung 2026 scheitert und was eine zukunftsfähige Identity Governance für SaaS-lastige Unternehmen mit schlanken IT-Teams leisten muss.

1. Identität ist heute die primäre Angriffsfläche

Für Angreifer ist das Ausnutzen von Identitäten schneller und günstiger als das Schreiben eigener Exploits - die Daten sprechen eine klare Sprache.

Der Verizon Data Breach Investigations Report 2024 zeigt, dass 68 % der Sicherheitsverletzungen ein "Human Element" beinhalten - Fehler, Missbrauch von Berechtigungen, gestohlene Zugangsdaten oder Social Engineering. Dieser Trend setzt sich im DBIR 2025 fort: Fast 60 % der Vorfälle haben eine menschliche Komponente.

Bedrohungsanalysen zeichnen ein noch drastischeres Bild. Der Global Incident Response Report 2026 von Palo Alto Networks kommt zu dem Ergebnis, dass schwache Identitätskontrollen zu 90 % aller Cybervorfälle beitrugen und identitätsbasierte Techniken in 65 % der Fälle den Erstzugriff ermöglichten. Verizons DBIR 2025 zeigt, dass gestohlene Zugangsdaten rund 22 % der Sicherheitsverletzungen im Jahr 2024 verursachten.

Für Tech- und Software-Unternehmen, die überwiegend im Browser arbeiten - GitHub, Jira, Notion, Cloud-Konsolen, CI/CD, Kundendaten - ist Identität der eigentliche Perimeter. Sobald ein Angreifer eine funktionsfähige Identität in Okta, Entra, Google Workspace oder in einer zentralen SaaS-Anwendung erbeutet, folgt als nächster Schritt die laterale Bewegung.

Vom "Wir halten sie draußen" zum "Wir gehen davon aus, dass sie drin sind"

Zero-Trust-Architektur, wie sie etwa das NCSC in Großbritannien betont, geht von einem grundsätzlichen Misstrauen aus. Sie überprüft Identität, Kontext und Risikosignale bei jedem einzelnen Zugriff - nicht nur beim Anmelden. Das steht im klaren Gegensatz zu älteren Perimeter-Modellen, die sich auf VPNs und Firewalls stützen.

Für heutige Technologie-Stacks ergeben sich eindeutige Konsequenzen:

  • Identitätsdiebstahl und Missbrauch von Zugangsdaten sind zentrale Cyberrisiken, keine Randerscheinungen.
  • Identity- und Access-Management (IAM) muss ein laufender Prozess sein, nicht nur eine vierteljährliche Übung.
  • Governance umfasst heute auch externe Dienstleister, Servicekonten, Bots und KI-Agenten - eine "neue Art von Identitäten", die in vielen aktuellen Richtlinien kaum berücksichtigt wird.

Wenn Ihre Identitätskontrollen schwach sind, sind Zero Trust und Cloud-Sicherheit im Wesentlichen nur Fassade.

2. SaaS-Wildwuchs + Mitarbeiterwachstum = Blindflecken bei Identitäten

Wachstumsstarke Tech-Unternehmen in den USA/UK und der DACH-Region stehen vor derselben Realität: mehr Beschäftigte, mehr Anwendungen, überlastete IT-Teams.

Aktuelle SaaS-Benchmarks zeigen, dass Unternehmen im Durchschnitt rund 106 Anwendungen einsetzen. Selbst Firmen mit 75-199 Beschäftigten nutzen etwa 44 Anwendungen - mittelgroße Organisationen können leicht über 100 kommen. Stark technologiegetriebene Unternehmen liegen oft noch deutlich darüber.

Studien zu SaaS-Ausgaben deuten darauf hin, dass 30-50 % der Budgets für ungenutzte oder kaum genutzte Lizenzen verschwendet werden. Diese Verschwendung weist auf tiefere Identitätsprobleme hin: verwaiste Konten, "Zombie-Lizenzen" und mangelnde Transparenz darüber, wer worauf Zugriff hat.

In Idens ICP - SaaS-lastige Unternehmen mit 50-2.000 Beschäftigten - sehen wir typischerweise:

  • 5-20 Neueinstellungen pro Monat, jede mit Onboarding in 10-30 Anwendungen.
  • Automatisierung nur für einen Bruchteil der SCIM-fähigen Anwendungen; 60-80 % des Stacks (Long-Tail-SaaS, interne Tools, Legacy-Systeme) werden per Tickets oder Tabellenkalkulationen bereitgestellt.
  • Externe Mitarbeiter und Entwickler, die nicht in die Standardprozesse für Eintritts-, Rollenwechsel- und Austrittsmanagement eingebunden sind.

Das schafft Blindflecken bei Identitäten:

  • Zugriff wird in Okta entfernt, aber Direktlogins in Tools mit E-Mail/Passwort funktionieren weiterhin.
  • GitHub- oder Cloud-Rollen werden "nur für ein Projekt" vergeben - und nie wieder entzogen.
  • Alte Slack-, Jira- oder Notion-Konten bleiben aktiv, weil niemand alle Arbeitsbereiche regelmäßig prüft.

Aus Sicherheitssicht wird die Frage "Wer hat worauf seit wann Zugriff?" praktisch unbeantwortbar, ohne wochenlange manuelle Recherche.

3. Regulierung entwickelt sich schneller als die meisten IAM-Stacks

In allen drei Regionen ist Identity- und Access-Management inzwischen ein Thema auf Vorstandsebene - nicht nur eine IT-Konfiguration.

3.1 Vereinigte Staaten: Identitätsfehler werden zur Meldepflicht

Seit dem 18. Dezember 2023 müssen börsennotierte US-Unternehmen wesentliche Cybersicherheitsvorfälle innerhalb von vier Geschäftstagen nach Feststellung der Wesentlichkeit auf dem Formular 8-K melden und ihr Risikomanagement im Formular 10-K beschreiben.

Diese "wesentlichen Vorfälle" beginnen immer häufiger mit Identität:

  • Gestohlene Administratorzugänge in der Cloud
  • Fehlkonfigurierte Zugriffe auf Produktionsdaten
  • Unvollständiges Offboarding, bei dem kritische Konten aktiv bleiben

Wer an die Börse gehen, große Finanzierungsrunden einwerben oder an regulierte Kunden verkaufen will, sieht schwache Identity Security deshalb nicht nur in Audits, sondern auch in öffentlichen Berichten wieder.

3.2 Vereinigtes Königreich: Zero Trust und identitätszentrierte Resilienz

Das NCSC steuert Organisationen in Richtung Zero-Trust-Modelle, bei denen Identität und Zugriff im Zentrum der Cyberresilienz stehen.

Parallel nähert sich das Vereinigte Königreich mit dem Cyber Security and Resilience Bill den EU-Regeln für kritische Infrastrukturen an, stützt sich auf das NCSC Cyber Assessment Framework und fordert ausdrücklich eine starke Identity Governance.

3.3 DACH & EU: NIS2, DORA, BSI IT-Grundschutz

Für Unternehmen aus der DACH-Region - insbesondere jene mit EU-Kunden - ist Identity Security inzwischen verbindliches Recht:

  • NIS2 musste bis 17. Oktober 2024 in nationales Recht überführt sein und weitet Sicherheits- und Meldepflichten für wesentliche und wichtige Einrichtungen aus.
  • DORA für Finanzinstitute und kritische IKT-Dienstleister ist seit 17. Januar 2025 vollständig anwendbar und setzt harmonisierte Anforderungen an die digitale Resilienz fest.

In Deutschland treibt das IT-Grundschutz-Rahmenwerk des BSI ein Informationssicherheits-Managementsystem (ISMS) voran, in dem Identität und Zugriff als Basisschutz und nicht als Option gelten.

In den USA, im Vereinigten Königreich und in der DACH-Region erwarten Aufsichtsbehörden heute, dass Sie nachweisen können, wer worauf zugegriffen hat, mit welcher Berechtigung, wie lange - und dass Sie Zugriffe zügig entziehen können, auch für Dritte und Maschinenidentitäten.

Statische, tabellengesteuerte Zugriffsrezensionen reichen dafür nicht mehr aus.

4. Zero Trust und Cloud-Sicherheit erfordern durchgängige, kontinuierliche Identity Governance

Die meisten Tech-Unternehmen haben die offensichtlichen Cloud-Sicherheitsmaßnahmen umgesetzt:

  • Einführung von SSO (Okta, Entra, Google Workspace)
  • Ergänzung durch MFA und bedingten Zugriff
  • Automatisierung für einen Teil der SCIM-fähigen Anwendungen

Dann stoßen sie an eine Wand.

Unsere Analysen decken sich mit dem Marktbild: SSO und "moderne IGA"-Werkzeuge automatisieren 20-40 % des Stacks (SCIM-Anwendungen) und lassen 60-80 % (Long-Tail-SaaS, interne Tools, OT/ICS, Portale) im manuellen Modus zurück.

Hier liegt die eigentliche Lücke im Jahr 2026:

Bereich Ansatz von gestern Realität 2026 für Tech- & Software-Teams
Sicherheitsmodell Netzwerkperimeter + VPN Zero Trust: Identität als Perimeter
Abdeckung Nur SCIM-Anwendungen (20-40 % des Stacks) 100 % der Anwendungen (SCIM, API oder gar nichts davon)
Governance Jährliche/vierteljährliche Reviews Kontinuierliche, ereignisgesteuerte Zugriffsgovernance
Identitäten im Scope Nur Mitarbeitende Mitarbeitende, Externe, Partner, Bots, KI-Agenten
Steuerungsgranularität Gruppen/Rollen im SSO Fein granular auf Ressourcenebene (Repos, Kanäle, Projekte, Umgebungen)

Wenn Ihr Identitätsmanagement bei SSO und MFA endet:

  • Haben Sie weiterhin unvollständiges Offboarding (Ehemalige mit aktiven Konten).
  • Führen Sie weiterhin "Abnick-Reviews" mit wenig Einsicht durch.
  • Bleiben die meisten Ihrer SaaS-Anwendungen anfällig für Missbrauch von Zugangsdaten.

Vollständige Identity Security im Jahr 2026 bedeutet:

  • Vollständige Abdeckung: jede Anwendung, ob SCIM-fähig oder nicht - auch solche ohne APIs.
  • Kontinuierliche Governance: Richtlinien und agentische Workflows (KI-gestützt, autonom) greifen in Echtzeit, nicht nur quartalsweise.
  • Unveränderliche Prüfpfade: protokollierte, revisionssichere Nachweise jeder Bereitstellung, Entziehung, Genehmigung und Ausnahme - auf Bankniveau.

5. Wie ein zukunftsfähiger Identity-Security-Stack aussieht

Für 3-10-köpfige IT-Teams in Tech-Unternehmen mit 200-2.000 Mitarbeitenden kann "zukunftsfähig" nicht bedeuten, ein eigenes IAM-Team aufzubauen oder eine gigantische Plattform auszurollen. Die Lösung muss anschlussfertig sein - ohne Entwicklungsaufwand, ohne Wartungsballast.

Im Jahr 2026 brauchen praxisnahe Identitäts-Stacks für Tech & Software:

  1. Universelle Cloud-Abdeckung

    • Anbindung jeder Anwendung in Minuten - ob mit SCIM, API oder ohne beides.
    • Kein "SCIM-Aufpreis": keine 5-10-fach höheren "Enterprise"-Gebühren nur für Provisionierung.

  2. Fein granularen, minimalen Zugriff (Least Privilege)

    • Steuerung auf Ebene von Repository, Projekt, Umgebung oder Kanal - nicht nur auf App-Ebene.
    • Zeitlich begrenzter, bedarfsgesteuerter Zugriff für sensible Aufgaben.

  3. Automatisierung des gesamten Lebenszyklus (Joiner-Mover-Leaver)

    • Standardzugriffe ("Birthright Access") aus HRIS/IDP in Minuten.
    • Vollautomatisches Offboarding für alle Identitäten - menschlich und nicht-menschlich, in jeder Anwendung.

  4. Kontinuierliche Reviews und automatisierte Nachweise

    • Dauerhafte Kontrollen, die Berechtigungsaufwuchs erkennen, bevor er im Audit auffällt.
    • Prüfbereite, unveränderliche Protokolle für SOC 2, ISO 27001, NIS2/DORA und SEC-Offenlegung.

  5. Kostenbewusste Identity Security

    • Automatisierte Rückgewinnung und Optimierung von Lizenzen.
    • Iden-Kunden berichten von bis zu 30 % weniger SaaS-Ausgaben, weil sie auf SCIM-Upgrades verzichten und ungenutzte Lizenzen zurückholen.

  6. Agentische Workflows - keine manuellen Tickets

    • KI-gestützte Workflows genehmigen risikoarme Anfragen automatisch, setzen Kontrollen durch, räumen veraltete Zugriffe auf und sammeln Prüfnachweise.

Über Iden-Einführungen hinweg konnten Teams rund 80 % weniger manuelle Zugriffstickets verzeichnen, pro Quartal etwa 120 Stunden bei Reviews einsparen und produktiv nutzbare Abdeckung für 175+ Anwendungen in Stunden statt Monaten erreichen. Genau solche Ergebnisse sollten Sie von jeder Lösung erwarten.

6. Konkrete nächste Schritte für 2026

Wenn Sie IT, Sicherheit oder Betrieb in einem Tech- oder Software-Unternehmen in den USA, im Vereinigten Königreich oder in der DACH-Region verantworten, bietet sich folgender pragmatischer 90-Tage-Plan an.

1. Erfassen Sie Ihre reale Identitätsfläche

  • Listen Sie alle SaaS-, Cloud- und internen Anwendungen auf - nicht nur die SSO-Kataloge.
  • Zählen Sie Mitarbeitende, Externe, Servicekonten, Bots, KI-Agenten.
  • Markieren Sie, welche Anwendungen automatisiert, teilautomatisiert oder komplett manuell verwaltet werden.

2. Verknüpfen Sie Identität mit Ihrer regulatorischen Exponierung

  • USA: Verknüpfen Sie Identitätslücken mit SEC-Offenlegungspflichten und Kundenverträgen.
  • Vereinigtes Königreich: Ordnen Sie Kontrollen an den Zero-Trust-Leitlinien des NCSC und an CAF-Assessments aus.
  • DACH/EU: Richten Sie Governance an NIS2/DORA aus und in Deutschland zusätzlich am IT-Grundschutz.

3. Definieren Sie Ihre "Minimum Viable Governance"

  • Fordern Sie vollautomatisches Offboarding über alle Anwendungen hinweg.
  • Verlangen Sie fein granulare Kontrolle für Produktion, Quellcode und Kundendaten.
  • Setzen Sie ein Ziel: keine tabellenbasierten Zugriffsreviews mehr zum Jahresende.

4. Pilotieren Sie eine vollständige Governance-Schicht

  • Starten Sie mit 10-15 besonders wertvollen Anwendungen aus Entwicklung, Vertrieb/Marketing und Backoffice.
  • Messen Sie Ticketvolumen, Offboarding-Dauer, Auditaufwand und SaaS-Verschwendung - vorher und nachher.
  • Spürbare Ergebnisse sollten sich in wenigen Wochen zeigen.

Ob Sie Iden oder eine andere Plattform nutzen: Halten Sie an diesem Anspruch fest - vollständige Abdeckung, fein granulare Kontrolle und kontinuierliche Governance, schnell geliefert und von einem schlanken Team beherrschbar.

Häufig gestellte Fragen

Worin unterscheidet sich Identity Security von "bloßer" Zugriffsverwaltung?

Zugriffsverwaltung umfasst Authentifizierung (SSO, MFA) und grundlegende Autorisierung. Identity Security deckt den gesamten Lebenszyklus ab (Bereitstellung, Änderung, Entzug), den Kontext (Rolle, Risiko, Verhalten) sowie die fortlaufende Überprüfung, ob Zugriffe weiterhin angemessen sind. Sie ist der Schnittpunkt von Cybersicherheit, Identität, Datenschutz und Compliance.

Müssen wir alles ersetzen, um 2026 auf Zero Trust umzustellen?

Nein. Zero Trust bedeutet vor allem, Annahmen zu verschärfen - nicht, den gesamten Stack auszutauschen. Behalten Sie SSO, MFA und Cloud-Sicherheitskontrollen bei, ergänzen Sie aber kontinuierliche Identitätsüberprüfung, fein granulare Autorisierung und stärkere Segmentierung. Leitlinien von Institutionen wie dem NCSC beschreiben Zero Trust als Evolution, die auf einer starken Identity Governance aufbaut.

Wie sollten wachsende SaaS-Unternehmen Identity Security priorisieren?

Für schnell wachsende Tech- und Software-Unternehmen ist Identität oft die Investition mit der höchsten Hebelwirkung:

  • Sie adressiert den Großteil der Angriffsmuster (Zugangsdaten, Social Engineering, Missbrauch von Berechtigungen).
  • Sie reduziert die Anzahl an IT-Tickets und die Verschwendung von SaaS-Lizenzen deutlich.
  • Sie vereinfacht Compliance und Kundenaudits.

Sie ersetzt weder Endpunkt- noch Netzwerkkontrollen, aber im Jahr 2026 bringt das Schließen von Identitätslücken einen höheren Security-ROI als das Hinzufügen eines weiteren Einzellösungs-Tools.