Eine Zahl sollte jede IT-Leitung und jeden Finanzverantwortlichen nervös machen: Laut dem 2025 SaaS Management Index verschwenden Unternehmen im Durchschnitt 21 Millionen US-Dollar pro Jahr für unbenutzte SaaS-Lizenzen - ein Plus von 14,2 % gegenüber dem Vorjahr. Das ist kein reines Großkonzern-Phänomen. Für ein Unternehmen mit 500 Mitarbeitenden sieht die Rechnung proportional genauso unschön aus.

Das sind keine Lizenzen, die niemand bestellt hat. Das sind Seats, die für echte Mitarbeitende gekauft wurden - Mitarbeitende, die gegangen sind, die Rolle gewechselt haben oder das Tool schlicht nicht mehr nutzen. Und in den meisten Unternehmen laufen diese Seats weiter durch. Monat für Monat. Still und leise.

Der Grund dafür ist weder ein Excel-Problem noch ein Prozessproblem - auch wenn es genau so aussieht. Es ist ein Abdeckungsproblem. Ihr SSO sieht nur das, was daran angeschlossen ist. Der Großteil Ihres SaaS-Stacks nicht.

Die unbequeme Mathematik der Zombie-Lizenzen

Laut Zylo's 2025 SaaS Management Index bleiben 52,7 % der gekauften SaaS-Lizenzen ungenutzt, die durchschnittliche SaaS-Nutzungsrate fällt damit auf 47,3 %. Noch einmal zum Mitlesen: Weniger als die Hälfte der Lizenzen, für die Ihr Unternehmen bezahlt, wird aktiv genutzt.

Die SaaS-Ausgaben liegen inzwischen im Schnitt bei 4.830 US-Dollar pro Mitarbeitendem und Jahr, ein Anstieg von 21,9 % gegenüber dem Vorjahr - damit wird das Problem der unbenutzten Softwarelizenzen mit jedem Renewals-Zyklus teurer. Für ein Unternehmen mit 500 Mitarbeitenden sind das rund 2,4 Millionen US-Dollar SaaS-Ausgaben pro Jahr - mit über 1,2 Millionen US-Dollar potenziell ungenutztem Budget.

Die Ursachen sind nicht mysteriös:

  • Ehemalige Mitarbeitende, deren Accounts nie in allen Applikationen geschlossen wurden
  • Rollenwechsel, die neue Zugriffe hinzufügen, alte Berechtigungen aber nicht entfernen
  • Wachstums-Seats, die vorsorglich für geplante Neueinstellungen gekauft wurden, die nie kamen
  • Shadow-IT - Tools, die Fachbereiche ohne Einbindung der zentralen IT eingeführt haben

Mehr als ein Drittel der Applikationen eines Unternehmens sind laut Zylo's 2024 Report Shadow-IT; 67 % der IT-Leitungen nennen unerlaubte Softwarekäufe als eine der größten SaaS-Herausforderungen.

Und jetzt der Teil, der in den meisten Vendor-Demos nicht vorkommt: Die meisten Identity-Management-Werkzeuge sehen - und steuern - nur einen Bruchteil Ihres Stacks.

Finden Sie ungenutzte Lizenzen

Warum SSO die teuersten Zombie-Lizenzen nicht sieht

SSO ist ohne Frage sinnvoll. Es zentralisiert Authentifizierung, reduziert Passwort-Wildwuchs und bietet einen zentralen Punkt zur Zugriffskontrolle. Aber SSO hat einen systemischen Blindspot, über den in Pitch-Decks kaum jemand gern spricht.

SSO kontrolliert die Vordertür. Nicht das, was dahinter passiert.

Wenn eine Mitarbeiterin oder ein Mitarbeiter in Ihrem Identity-Provider (Okta, Microsoft Entra, Google Workspace) deprovisioniert wird, löst dieses Ereignis ein Signal zum Entzug von Zugängen aus - aber nur für Applikationen, die per SCIM oder eine kompatible API angebunden sind. Alle anderen Tools, die diese Person genutzt hat? Der Account bleibt offen. Wenn das Tool Zugangsdaten direkt speichert, kann sich der User sogar weiterhin einloggen, ohne das SSO überhaupt zu berühren.

star Important

Der SCIM-Blindspot in einem Satz: Wenn ein Mitarbeiter das Unternehmen verlässt, sendet dein SSO/IdP ein Deprovisionierungssignal aus – aber es erreicht nur Apps, die über SCIM oder API verbunden sind. Jede andere App, die dein Mitarbeiter verwendet hat? Hat weiterhin ein aktives, kostenpflichtiges Konto. Dort entstehen Zombie-Lizenzen.

Das Ausmaß dieser Lücke ist größer, als die meisten Teams denken. Branchenanalysen gehen konsistent davon aus, dass 20-40 % der Applikations-Accounts außerhalb der SSO- oder SCIM-Abdeckung liegen, und SCIM erreicht typischerweise nur 15-25 % des gesamten App-Stacks eines Unternehmens - der Großteil Ihrer Tools wird also manuell oder gar nicht gesteuert. Manuelle Deprovisionierungs-Anfragen scheitern in 40-60 % der Fälle - wegen Verzögerungen oder weil sie schlicht untergehen - und lassen Zugriffe auf unbestimmte Zeit offen.

So entsteht eine Offboarding-Realität in zwei Geschwindigkeiten:

  • Tier 1 (SCIM-angebunden): Okta sendet das Signal, der Zugriff wird automatisch entzogen. Sauber.
  • Tier 2 (alles andere): Irgendwer erstellt ein Ticket. Vielleicht wird es bearbeitet. Vielleicht ist der App-Owner im Urlaub. Vielleicht wurde das Tool von einem Team gekauft, das inzwischen umorganisiert wurde - und niemand weiß mehr, wem es "gehört".

In Tier 2 entstehen Zombie-Lizenzen.

Wie die SCIM-Steuer das Problem verschärft

An dieser Stelle wird es noch teurer. Viele Ihrer wichtigsten Tools - Notion, Figma, Linear, Slack in bestimmten Tarifen und Dutzende weitere - unterstützen technisch gesehen SCIM. Aber sie koppeln SCIM an Enterprise-Upgrades, die 3-10× so viel kosten wie der Basistarif.

SCIM-Provisionierung erfordert typischerweise ein Upgrade auf Pläne, die das 2-4-fache des Basistarifs kosten - wirtschaftlich sinnvoll ist SCIM damit nur für einen kleinen Teil des Stacks.

Das ist die SCIM-Steuer: Sie zahlen einen Aufpreis nicht für Fach-Features, sondern für ein Protokoll, das Sie brauchen, um Zugriffe zu automatisieren. Das Ergebnis ist eine schmerzhafte Wahl - Enterprise-Upgrade bezahlen, um einige wenige kritische Apps zu automatisieren, oder im günstigeren Tarif bleiben und den Zugriff weiter manuell verwalten.

Die Realität in den meisten Unternehmen: Sie zahlen die SCIM-Steuer für fünf bis zehn hoch priorisierte Tools - und akzeptieren, dass der Rest manuell bleibt. Genau dieser Rest produziert Zombie-Lizenzen im Autopilot.

Und selbst wenn Sie überall die SCIM-Steuer zahlen, hat SCIM Grenzen. Es regelt das Anlegen und Löschen von Accounts - aber keine feingranularen Berechtigungen, keine rollenbasierte Zugriffstiefe, keine Kanal- oder Repository-Ebene. Ein deprovisionierter User-Account mag geschlossen sein, während ein verwaister Service-Account oder ein aktiver API-Key weiterläuft - unbemerkt.

Senken Sie Ihre SaaS-Ausgaben

Wie sieht die Gesamtkostenrechnung aus? Die eigenen Zahlen prüfen

Die wahren Kosten von Zombie-Lizenzen bestehen nicht nur aus brachliegenden Seat-Gebühren - es ist die Summe aus ungenutzten Lizenzen, SCIM-Steuer, manuellem IT-Aufwand und dem Sicherheitsrisiko durch verwaiste Konten, die als offene Angriffsflächen im System bleiben.

Mit diesem Rechner können Sie abschätzen, was Ihre aktuelle Abdeckungslücke Sie wirklich kostet:

Die Ergebnisse überraschen viele. Ein 500-Personen-Unternehmen mit durchschnittlichen SaaS-Ausgaben von 4.830 US-Dollar pro Mitarbeitendem und Jahr - im Rahmen des Zylo-2025-Benchmarks - sitzt auf rund 1,27 Millionen US-Dollar potenziell rückgewinnbarer Lizenzverschwendung, noch bevor die SCIM-Steuer eingerechnet ist.

Buchen Sie Ihre 25-Minuten-Demo

SaaS Management vs. Identity Governance - warum der Unterschied hier entscheidend ist

Eine kategorische Verwechslung trägt dazu bei, dass sich das Problem hält. SaaS-Management-Tools entdecken, welche Applikationen Sie haben, und tracken Ausgaben. Identity Governance steuert, wer worauf Zugriff hat - und automatisiert den kompletten Identity Lifecycle vom Eintritt bis zum Austritt.

Die Lizenzrückgewinnung von Zombie-Lizenzen sitzt genau an der Schnittstelle. Sie müssen wissen, dass es eine App gibt (Discovery, klassisch aus dem Software Asset Management), wissen, wer dort einen Account hat (Identitäts-Sichtbarkeit), und diesen Zugriff beim Austritt oder Rollenwechsel auch tatsächlich entziehen oder den Seat freigeben (Lifecycle-Automatisierung). Die meisten Werkzeuge decken nur einen Teil davon ab.

SaaS-Management-Plattformen zeigen Ihnen, dass Sie 12.000 US-Dollar pro Jahr für Notion-Lizenzen ausgeben. Sie deprovisionieren aber nicht automatisch die 23 Accounts von Personen, die im letzten Jahr gegangen sind. Identity Governance - konsequent umgesetzt - kann beides.

Die Lücke entsteht, weil:

  1. SaaS-Management-Tools zwar die Ausgaben sehen, aber keine Möglichkeit haben, direkt auf Identitäten zu wirken
  2. SSO/SCIM-Lösungen zwar angebundene Tools steuern, aber für die 60-80 % der Applikationen blind bleiben, die nicht integriert sind
  3. Legacy-IGA-Anbieter (SailPoint, Saviynt) theoretisch mehr Fläche abdecken, aber 6-18 Monate Implementierungszeit und ein dediziertes IAM-Team brauchen - unpraktisch für ein 500-Personen-Unternehmen mit schlankem IT-Team

Das Ergebnis: etwas Governance für die SCIM-angebundene Minderheit und eine riesige Identity-Blindzone für den Rest.

Zombie-Lizenzen finden und zurückholen: ein pragmatisches Playbook

Wenn Sie heute mit einem manuellen Audit arbeiten, bringt diese Reihenfolge erfahrungsgemäß den schnellsten Hebel:

1
Kartieren Sie Ihren vollständigen App-Stack – nicht nur das, was SSO kennt.

Erstellen Sie eine Liste aller SaaS-Tools, die Ihre Teams tatsächlich verwenden, aus Ihrem IdP, HRIS, Spesenabrechnungen und Daten von Browser-Erweiterungen. Sie werden mit hoher Wahrscheinlichkeit 30–60 % der Apps finden, auf die SSO bislang keinen Zugriff hatte. Das sind die Blindstellen, in denen Zombie-Lizenzen leben.

2
Konten von Mitarbeitenden identifizieren, die das Unternehmen verlassen haben.

Überprüfen Sie Ihre HR-Offboarding-Aufzeichnungen gegenüber aktiven Konten in jeder App. In Tools ohne SCIM bedeutet dies manuelle Exporte oder Prüfungen im Admin-Panel. Markieren Sie jedes Konto, das für einen Benutzer existiert, der das Unternehmen verlassen hat – das sind Ihre bestätigten Zombie-Lizenzen, aktiv und abrechnungsrelevant.

3
Identifizieren Sie tatsächlich inaktive Konten.

Für Mitarbeitende, die noch im Unternehmen sind, ziehen Sie, sofern verfügbar, Daten zum letzten Login. Lizenzen, die 60 Tage oder länger nicht genutzt wurden und keine Aktivität aufweisen, sind hervorragende Kandidaten für Downgrade oder Rückforderung. In Apps ohne Nutzungs-APIs verlassen Sie sich auf Admin-Exporte oder führen dies von Hand durch.

4
Kosten berechnen und nach Ausgaben priorisieren.

Multiplizieren Sie die Anzahl Zombie- und inaktiver Konten mit den Kosten pro Benutzerlizenz. Sortieren Sie nach dem Gesamtverlust, nicht nur nach der Kontenzahl. Beginnen Sie mit Ihren teuersten Tools: Salesforce, GitHub, Figma, Notion, Jira. Dort zahlt sich die Rückgewinnung am schnellsten aus.

5
Automatisieren Sie kontinuierlich Rückgewinnung und Deprovisionierung.

Einmalige Audits veralten sofort. Der einzige Weg, die Ansammlung von Zombie-Lizenzen zu verhindern, ist eine kontinuierliche, automatisierte Deprovisionierung über Ihren gesamten Stack – ausgelöst, sobald jemand Ihr HRIS verlässt oder Rollen wechselt. Dazu ist eine universelle Abdeckung erforderlich, nicht nur SCIM.

Der ehrliche Hinweis: Ein manuelles Audit ist immer nur eine Momentaufnahme. Die erste Runde bringt echte Einsparungen - Deloitte-Studien zeigen, dass Unternehmen bis zu 27 % ihrer Cloud- und SaaS-Ausgaben für ungenutzte Ressourcen verschwenden, und die meisten Firmen bestätigen das bei ihrem ersten gründlichen Audit. Aber nach drei Monaten manuellem Aufräumen beginnen Zombie-Lizenzen sich wieder zu stapeln. New Hires kommen dazu. Menschen gehen. Rollen ändern sich. Die einzige nachhaltige Lösung ist eine automatisierte, kontinuierliche Deprovisionierung über den gesamten Stack.

German (de-DE)

Eliminieren Sie die SCIM-Steuern ab sofort

Wie vollständige Abdeckung in der Praxis aussieht

Das Versprechen "komplette" Identity Governance bedeutet bei vielen Anbietern: komplett für Applikationen mit SCIM. Das sind vielleicht 20-35 % Ihres Stacks. Vollständige Abdeckung meint: jede Applikation zu erreichen - unabhängig von SCIM, mit API oder ganz ohne.

So zeigt sich dieser Unterschied im Alltag:

FähigkeitSSO / SCIM-exklusive ToolsIden (Universal IGA)
Anwendungsabdeckung20–40 % Ihres Stacks (nur SCIM-fähig)100 % – SCIM, API oder keines von beidem
Zombie-Lizenz-Erkennung❌ In Nicht-SCIM-Apps unsichtbar✅ Automatisch erkannt und zurückgewonnen
Vollständigkeit des Offboarding-Prozesses⚠️ Teilweise – manuelle Nachverfolgung erforderlich für Nicht-SCIM-Apps✅ Vollständige Lebenszyklus-Automatisierung über alle Apps
SCIM-Gebühr erforderlich?❌ Ja – Upgrades des Enterprise-Plans, um Schlüssel-Apps zu automatisieren✅ Nein – verbindet sich mit jeder App auf Standard-Plänen
Lizenzrückgewinnung❌ Manueller Audit erforderlich✅ Automatisiert, kontinuierlich, richtliniengesteuert
Feinkörnige Kontrolle⚠️ Nur Gruppen-/Rollenebene✅ Berechtigungen auf Kanal-, Repository- und Projektebene
Bereitstellungszeit⚠️ 6–18 Monate für Legacy IGA✅ In ca. 24 Stunden live
Reduzierung der SaaS-Ausgaben❌ Keine automatisierte Rückgewinnung✅ Bis zu 30 % SaaS-Kosteneinsparungen

Die universelle Konnektor-Technologie von Iden erreicht jede Applikation in Ihrem Stack - Notion, Figma, Linear, GitHub, Slack, Jira und über 170 weitere - inklusive Tools ohne SCIM-Unterstützung und ohne Enterprise-Upgrade-Pflicht. Wenn jemand im HRIS oder im SSO austritt, stößt Iden automatisierte Deprovisionierung in allen angebundenen Apps gleichzeitig an. Nicht nur in den SCIM-fähigen.

Das Ergebnis ist mehr als nur SaaS Kostenoptimierung - es ist Identity-Hygiene im großen Maßstab. Keine verwaisten Konten, über die sich Auditoren freuen. Keine Ex-Mitarbeitenden mit aktivem Notion-Login sechs Monate nach dem letzten Arbeitstag. Keine SCIM-Steuer für Applikationen, die Sie auch ohne Enterprise-Tarif hätten automatisieren können.

Für Teams, die auf SOC 2, ISO 27001 oder HIPAA hinarbeiten, ist das außerdem die Basis für revisionssichere, audit-bereite Access-Governance - die Art, bei der die Antwort auf "Wer hatte wann Zugriff worauf?" keine drei Wochen Excel-Forensik erfordert.

Und im Gegensatz zu Legacy-IGA-Projekten, die 6-18 Monate bis zum Go-Live brauchen, ist Iden in etwa 24 Stunden einsatzbereit - angebunden an Ihr bestehendes SSO und HRIS als "Sources of Truth", mit Zero Engineering-Aufwand für Integrationen.

Schließen Sie Sicherheitslücken beim Austritt

Was das für IT-Leitung und Finance unterm Strich bedeutet

Zombie-Lizenzen sind kein Budget-Kuriosum. Sie sind das vorhersehbare, messbare Ergebnis davon, Identity Governance mit einem Werkzeug (SSO) zu betreiben, das nie dafür gedacht war, den gesamten Stack zu steuern.

Die Rechnung ist klar:

  • 52,7 % der gekauften SaaS-Lizenzen bleiben ungenutzt - das entspricht im Durchschnitt 21 Millionen US-Dollar verschwendeten Ausgaben pro Organisation und Jahr
  • 60-80 % Ihrer Applikationslandschaft liegen außerhalb der SCIM-Reichweite - Zombie-Lizenzen entstehen automatisch, sobald jemand geht oder die Rolle wechselt
  • Die SCIM-Steuer treibt die Kosten für jede App nach oben, die Sie über Enterprise-Upgrades automatisieren wollen
  • Manuelle Audits machen das Problem sichtbar, lösen es aber nicht - nur kontinuierliche, automatisierte Deprovisionierung über den gesamten Stack behebt es dauerhaft

Wenn Sie als schlankes IT-Team die Identity-Themen für ein Unternehmen mit 200-2.000 Mitarbeitenden stemmen, brauchen Sie keine IGA-Monolithen mit 18-monatigem Projektplan. Sie brauchen vollständige Abdeckung, automatisiertes SaaS Lizenzmanagement über den gesamten Identity Lifecycle und Lizenzrückgewinnung, die im Hintergrund läuft, ohne Ihren Kalender zu sprengen.

Genau so sieht vollständige Identity Governance aus. Nicht "komplett für SCIM-Apps". Komplett.

Häufig gestellte Fragen

help_outlineWas genau ist eine Zombie-SaaS-Lizenz?expand_more

Eine Zombie-Lizenz ist eine bezahlte SaaS-Lizenz, die aktiv bleibt und dem Benutzer in Rechnung gestellt wird, der sie nicht mehr benötigt – am häufigsten ein ausgeschiedener Mitarbeiter, dessen Konto in einer bestimmten App nie deaktiviert wurde. Zombies werden genannt, weil die Person weg ist, die Lizenz aber weiterhin Budget verbraucht.

help_outlineWarum kann mein SSO das nicht einfach regeln?expand_more

SSO steuert die Eingangstür – es verwaltet die Authentifizierung (wer sich anmelden kann). Aber es regelt nur Apps, die über SCIM oder API mit ihr verbunden sind. Für jede andere App in Ihrem Stack sendet SSO kein Signal, wenn ein Benutzer aus dem System entfernt wird. Das Konto bleibt offen. Hat die App ein gespeichertes Passwort, kann der Benutzer – oder jeder mit diesen Anmeldeinformationen – sich weiterhin direkt anmelden.

help_outlineWas ist die SCIM-Gebühr?expand_more

Die SCIM-Gebühr ist die Prämie, die Sie zahlen, um automatisierte Bereitstellung in Apps freizuschalten, die SCIM-Unterstützung in ihrer Enterprise-Preisstufe bündeln. Tools wie Notion, Figma, Linear und andere verlangen 3-10x den Basispreis für Pläne, die SCIM enthalten. Sie zahlen nicht für Funktionen – Sie zahlen für ein Protokoll. Iden beseitigt die SCIM-Gebühr, indem es sich mit jeder App verbindet, ohne dass Enterprise-Aufwertungen erforderlich sind.

help_outlineWie viele Apps in einem typischen Unternehmen mit 500 Mitarbeitern liegen außerhalb des SSO/SCIM-Bereichs?expand_more

Forschungen zeigen konsistent, dass 60-80% des gesamten App-Stacks betroffen sind. Ein Unternehmen mit 80 SaaS-Tools hat möglicherweise nur 20-30 davon über SSO via SCIM verbunden. Der Rest wird manuell verwaltet – oder gar nicht. Dort sammelt sich der Großteil der Zombie-Lizenzen an.

help_outlineWas ist der Unterschied zwischen SaaS-Management und Identitätsverwaltung?expand_more

SaaS-Management-Tools verfolgen Ausgaben und entdecken, welche Apps Sie haben. Identitätsverwaltung steuert, wer Zugriff auf was hat – und automatisiert den gesamten Lebenszyklus vom Onboarding bis zum Offboarding. Die Rückforderung von Zombie-Lizenzen liegt an der Schnittstelle beider Bereiche: Sie müssen wissen, dass Apps existieren (SaaS-Management) und dann tatsächlich den Zugriff in ihnen entfernen oder wiederherstellen (Identitätsverwaltung). Iden erledigt beides.

help_outlineWie schnell kann Iden anfangen, Lizenzen zurückzufordern?expand_more

Iden kann in ca. 24 Stunden live gehen. Im Gegensatz zu veralteten IGA-Plattformen, die Monate für die Implementierung benötigen, verbindet sich Iden mit Ihrem bestehenden SSO und HRIS als zuverlässige Quelle, erkennt Konten und markiert ungenutzte Lizenzen über Ihren gesamten Stack – einschließlich Apps ohne SCIM oder APIs.