Identity Governance im Mittelstand:: Wege zu schlankeren IAM-Strukturen

Teure Firewalls, ausgefeilte Verschlüsselung, moderne Endpoint-Security – all diese Investitionen haben eine gemeinsame Schwachstelle: den Menschen und seine digitalen Identitäten. In vielen Organisationen liegt das Problem nicht beim Log-in-Prozess, sondern bei dem, was danach kommt: unklare Verantwortlichkeiten, zu weitreichende Zugriffsrechte und veraltete Accounts, die niemand deaktiviert.

Der Identity Theft Resource Center (ITRC) Data Breach Report 2024 zeigt die Dimension des Problems: Fünf sogenannte Mega-Breaches waren laut ITRC für über 83 Prozent aller Opfermeldungen weltweit verantwortlich.^{[1, 2]} Vier davon hätten sich mit grundlegenden Maßnahmen im Identitäts- und Berechtigungsmanagement verhindern lassen. Insgesamt meldeten die USA im Jahr 2024 über 3.158 Datenschutzverletzungen mit rund 1,35 Milliarden Betroffenen. Als Mega-Breaches gelten laut ITRC Vorfälle, bei denen mindestens 100 Millionen Personen betroffen sind.

Gestohlene Zugangsdaten werden auf kriminellen Marktplätzen im Durchschnitt für etwa zehn US-Dollar angeboten, wie Spacelift Password Statistics 2025 dokumentiert.^[3]

Regulatorischer Druck steigt massiv

Für europäische Unternehmen verschärft sich die Lage zudem durch regulatorische Anforderungen. Die DLA Piper GDPR Fines and Data Breach Survey 2024 dokumentiert Bußgelder in Höhe von 1,2 Milliarden Euro europaweit im Jahr 2024.^[4] Seit Einführung der Datenschutz-Grundverordnung (DSGVO) summieren sich die Strafen laut der Erhebung auf insgesamt 5,88 Milliarden Euro. In Deutschland beliefen sich die kumulierten Strafzahlungen auf 89,1 Millionen Euro. Die Zahlen zeigen, dass grundlegende Schutzmaßnahmen wie Multi-Faktor-Authentifizierung in vielen Fällen fehlen und ein effektives Identitätsmanagement ein zentraler Präventionsfaktor ist.

Mit der NIS-2-Richtlinie, die nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und Fraunhofer IESE etwa 29.000 bis 29.500 deutsche Unternehmen betrifft, stehen mittelständische Firmen vor neuen Anforderungen an das Identity- und Access-Management (IAM).^[5] Für viele Unternehmen bedeutet dies, dass sie erstmals verbindliche IAM- und IGA-Prozesse einführen müssen, um Bußgelder und Haftungsrisiken zu vermeiden.

18 Monate bis zum Go-Live

Diese verschärften Vorgaben treffen auf eine IAM-Praxis, die in vielen Unternehmen noch von aufwendigen, klassischen Projekten geprägt ist. Die meisten IAM-Systeme wurden für eine andere IT-Welt konzipiert: zentralisierte Rechenzentren, klar definierte Netzwerkgrenzen, überschaubare Anwendungslandschaften. Doch die heutige Realität sieht anders aus: Hybride Cloud-Infrastrukturen, Software-as-a-Service-Anwendungen, mobile Endgeräte und externe Dienstleister haben die IT-Landschaft grundlegend verändert.

Die Folge: Jede Systemintegration wird zum eigenständigen Projekt mit individueller Entwicklungsarbeit. SAP-Anbindungen, Active-Directory-Integrationen, HR-Systeme oder Cloud-Services – alles erfordert maßgeschneiderte Schnittstellen. Branchenanalysen zeigen, dass IAM-Einführungen im Mittelstand oft zwischen 12 und 18 Monaten dauern.^[7]

Von Access-Management zu Identity-Governance

Diese Situation macht deutlich, dass klassische Implementierungsansätze an ihre Grenzen stoßen. Hier setzt Identity Governance and Administration (IGA) an – als konzeptioneller Rahmen für eine nachvollziehbare und regelbasierte Zugriffsverwaltung. Während das traditionelle Identity- und Access-Management vor allem die Bereitstellung und Kontrolle von Zugriffsrechten abbildet, rückt IGA den gesamten Lebenszyklus dieser Rechte in den Fokus – von der Vergabe über die Überprüfung bis zur Entziehung. Ziel ist eine nachvollziehbare, regelbasierte und revisionssichere Steuerung sämtlicher Identitäten und Berechtigungen im Unternehmen.

Kern einer effektiven Identity Governance ist die rollenbasierte Zugriffskontrolle. Sie ersetzt manuelle Rechtevergaben durch standardisierte Rollenmodelle, wodurch sich Berechtigungen konsistent und fehlerarm verwalten lassen. Ergänzend sorgt das Prinzip der Funktionstrennung (Separation of Duties) dafür, dass kritische Berechtigungskombinationen ausgeschlossen bleiben – etwa wenn ein Mitarbeiter gleichzeitig Bestellungen freigeben und Wareneingänge prüfen könnte.

Ebenso zentral ist die kontinuierliche Überprüfung und Rezertifizierung von Zugriffsrechten. Automatisierte Prozesse prüfen in regelmäßigen Intervallen, ob Berechtigungen noch erforderlich und angemessen sind. Änderungen im Beschäftigungsstatus – Onboarding, Rollenwechsel oder Offboarding – werden damit automatisch in der Rechteverwaltung nachvollzogen. Die lückenlose Protokollierung aller identitätsbezogenen Aktivitäten schafft zudem Transparenz und Nachweisfähigkeit gegenüber Aufsichtsbehörden und interner Revision.

Diese Governance-Funktionen sind längst kein Nice-to-have mehr, sondern regulatorische Notwendigkeit. Artikel 32 der Datenschutz-Grundverordnung (DSGVO) fordert „angemessene technische und organisatorische Maßnahmen“, um ein dem Risiko entsprechendes Schutzniveau sicherzustellen. Die NIS-2-Richtlinie geht noch weiter: Sie verlangt explizit Verfahren zur Zugriffskontrolle, Multi-Faktor-Authentifizierung sowie zur kontinuierlichen Überwachung und Protokollierung.^[6]

Klicken statt coden

Damit steigt der Druck, Identity-Management-Prozesse effizienter und zugleich revisionssicher umzusetzen. No-Code-Plattformen bieten dafür einen pragmatischen Ansatz. Sie setzen auf vorgefertigte Workflows und intelligente Automatisierung. Anstatt für jede Systemanbindung individuellen Code zu entwickeln, nutzen Unternehmen standardisierte Konnektoren und Templates. IT-Administratoren können so Geschäftsprozesse definieren und anpassen, ohne selbst programmieren zu müssen.

Der Unterschied zeigt sich in der Praxis: Während klassische IAM-Projekte oft monatelange Entwicklungszyklen für die Integration von Unternehmensanwendungen einplanen müssen, verkürzen No-Code-Plattformen diese Phase erheblich. Statt spezialisierter Entwicklungsteams können IT-Administratoren die Systeme eigenständig einrichten und konfigurieren. Der Vorteil liegt nicht nur in der beschleunigten Erstimplementierung, auch spätere Anpassungen – etwa bei Organisationsänderungen oder neuen Geschäftsprozessen – lassen sich durch Konfiguration statt durch Entwicklung umsetzen.

Moderne No-Code-IAM-Plattformen basieren auf ereignisgesteuerten Architekturen, die automatisch auf Änderungen in verbundenen Quellsystemen reagieren. Wird ein neuer Mitarbeiter im HR-System angelegt, triggert dies automatisch den Onboarding-Workflow. Austrittsdaten aktivieren systematische Deprovisioning-Prozesse über alle Systeme hinweg. Vorkonfigurierte Konnektoren für gängige Anwendungen – etwa Active Directory, Microsoft Entra ID, SAP oder Salesforce – funktionieren out of the box und werden vom Hersteller bei Systemupdates aktualisiert.

Self-Service-Portale ermöglichen es Mitarbeitern, benötigte Zugriffsrechte selbst zu beantragen. Das System prüft automatisch gegen Rollenmodelle und Funktionstrennung, leitet an die richtigen Genehmiger weiter und dokumentiert alle Schritte lückenlos. Automatisierte Compliance-Funktionen führen kontinuierlich Überprüfungen durch und melden oder korrigieren proaktiv verwaiste Accounts, Berechtigungsanhäufungen oder Policy-Verstöße.

Was eine Datenpanne wirklich kostet

Die wirtschaftlichen Auswirkungen von No-Code-IAM-Systemen zeigen sich in mehreren Dimensionen. Bei den Projektkosten und der Implementierungsdauer ergibt sich eine deutliche Reduktion gegenüber klassischen Ansätzen. Was bei traditionellen IAM-Projekten erhebliche Budgets über mehrere Jahre bindet, lässt sich mit No-Code-Lösungen deutlich ressourcenschonender umsetzen. Auch die laufenden Betriebskosten sind niedriger, da sich Updates standardisiert einspielen lassen und die Abhängigkeit von Wartungsverträgen sinkt.

Neben der Kosteneffizienz wirkt sich auch der Automatisierungsgrad unmittelbar auf das Sicherheitsniveau aus. Laut dem IBM Cost of a Data Breach Report 2024 lagen die durchschnittlichen
Kosten einer Datenpanne zuletzt bei 4,88 Millionen US-Dollar – ein Anstieg um zehn Prozent gegenüber dem Vorjahr.[1] Unternehmen, die Prozesse im Identity- und Access-Management automatisiert haben, verzeichneten dabei signifikant geringere Schadenssummen.

Zudem sanktionieren Datenschutzbehörden technische und organisatorische Defizite zunehmend konsequent – besonders mangelhafte Zugriffskontrollen und fehlende Löschkonzepte zählen zu den häufigsten Verstößen.^[4] Mit der NIS-2-Richtlinie werden ab 2025 rund 29.500 Unternehmen in Deutschland verpflichtet, verbindliche Vorgaben für Zugriffskontrollrichtlinien, Multi-Faktor-Authentifizierung und kontinuierliche Überwachung umzusetzen. Für mittelständische Organisationen ohne etabliertes IAM sind diese Anforderungen kaum zu erfüllen – umso wichtiger wird der Einsatz skalierbarer, automatisierter Lösungen.^[6]

Wo No-Code an seine Grenzen stößt

Ein No-Code-IAM eignet sich besonders für standardisierbare Prozesse und typische IAM-Anforderungen. Schätzungen gehen davon aus, dass 90 bis 95 Prozent der üblichen IAM-Anforderungen mittelständischer Unternehmen ohne Programmierung umsetzbar sind.

Komplexe, stark verästelte Berechtigungsmodelle oder proprietäre Systeme mit fehlenden Schnittstellen bleiben jedoch eine Herausforderung. In solchen Fällen kommen hybride Ansätze zum Einsatz: Standardfunktionen werden über No-Code realisiert, Spezialfälle gezielt durch Entwicklung ergänzt. Viele Plattformen bieten hierfür modulare Erweiterungen oder API-basierte Konnektoren, um auch ältere Systeme einzubinden.

No-Code reduziert den technischen Aufwand, ersetzt aber keine konzeptionelle Vorarbeit. Die Definition von Rollenmodellen, die Analyse von Geschäftsprozessen und die Festlegung von Verantwortlichkeiten bleiben jedoch erforderlich. Das größte Risiko liegt daher weniger in der Technologie selbst, sondern in unklaren Zuständigkeiten und unzureichend dokumentierten Prozessen.

In der Praxis folgen Implementierungen häufig einem phasenweisen Vorgehen. Sie beginnen mit der Identifikation von Prozessen mit hohem manuellen Aufwand, gehen über die Pilotierung mit definierten Benutzerkreisen und die sukzessive Erweiterung auf weitere Systeme bis hin zur Aktivierung von Governance-Funktionen wie Access-Reviews und Funktionstrennung.

KI und Zero Trust als Zukunftstrends

Mehrere Entwicklungen werden die Identity Governance in den kommenden Jahren prägen. Künstliche Intelligenz hält zunehmend Einzug in das Berechtigungsmanagement: KI-gestützte Systeme analysieren Zugriffsverhalten, erkennen Anomalien und liefern Hinweise auf kompromittierte Accounts. Sie schlagen automatisch optimierte Rollenmodelle vor oder identifizieren überflüssige Berechtigungen – ein wichtiger Schritt hin zu adaptiven, risikobasierten Zugriffsentscheidungen.

Gleichzeitig etabliert sich die Zero-Trust-Architektur als Leitprinzip moderner Sicherheitsstrategien. Ihr Grundsatz „Never trust, always verify“ verschiebt den Fokus weg von Netzwerkgrenzen hin zu Identitäten und Kontexten. Zugriffe werden kontinuierlich überprüft, authentifiziert und anhand von Faktoren wie Standort, Gerätetyp oder Nutzerverhalten bewertet.^[8] Damit wird die digitale Identität zum zentralen Kontrollpunkt der Sicherheitsarchitektur.

Ein weiteres Handlungsfeld betrifft nichtmenschliche Identitäten. Service-Accounts, API-Keys und Machine Identities gewinnen in automatisierten IT-Umgebungen rasant an Bedeutung
– und müssen denselben Governance-Regeln unterliegen wie Benutzerkonten.

Parallel schreitet der Übergang zu passwortlosen Verfahren voran. Passkeys, biometrische Authentifizierung und FIDO2-Standards entwickeln sich zum neuen Standard und markieren den Abschied vom klassischen Passwort – hin zu einer sichereren und zugleich nutzerfreundlicheren Authentifizierungskultur.

Fazit: Pragmatismus statt Perfektion

Die Bedrohungslage hat sich verschoben, denn digitale Identitäten sind heute das bevorzugte Angriffsziel – und zugleich der zentrale Hebel für Resilienz und Compliance. Mit der Verschärfung regulatorischer Anforderungen durch die DSGVO und NIS-2 ist nicht mehr die Frage, ob, sondern wie Unternehmen Identity Governance umsetzen.

No-Code-Ansätze bieten dafür einen pragmatischen und wirtschaftlich tragfähigen Weg. Sie verkürzen Implementierungszeiten, senken Kosten und erleichtern die Einhaltung regulatorischer Vorgaben. Zugleich schaffen sie die Grundlage für ein automatisiertes, transparentes Berechtigungsmanagement.

Die Technologie ist längst verfügbar und in der Praxis erprobt. Was vielerorts noch fehlt, ist die Entscheidung, den ersten Schritt zu tun. No-Code IAM ermöglicht einen risikoarmen Einstieg in moderne Identity Governance – mit überschaubarem Aufwand und spürbarem Sicherheitsgewinn.

Leitfaden UAM in der Praxis: So realisieren Sie mit No-Code IAM Onboarding-Automation. Jetzt downloaden.

Literatur

[1] IBM Security, Cost of a Data Breach Report 2024, August 2024, https://www.northdoor.co.uk/about-us/resources/ibm-cost-of-a-data-breach-report-2024/
[2] Identity Theft Resource Center (ITRC), 2024 Data Breach Report, Februar 2025, https://www.idtheftcenter.org/wp-content/uploads/2025/02/ITRC_2024DataBreachReport_Final_020325.pdf
[3] Spacelift, Password Statistics: How Users and Companies Manage Credentials, Januar 2025, https://spacelift.io/blog/password-statistics
[4] DLA Piper, GDPR Fines across Europe Total €1.2 Billion in 2024, Januar 2025, https://legalcommunitygermany.com/gdpr-fines-across-europe-total-e1-2-billion-in-2024-according-to-dla-piper/
[5] Fraunhofer IESE, NIS-2-Richtlinie – Zusammenfassung und Umsetzung in Deutschland, Blogbeitrag, Juli 2024, https://www.iese.fraunhofer.de/blog/nis-2-richtlinie-zusammenfassung-umsetzung-deutschland/
[6] Industrie- und Handelskammer zu Leipzig (IHK Leipzig), NIS-2-Richtlinie: Neue gesetzliche Anforderungen für Unternehmen zur IT-Sicherheit, undatiert, https://www.leipzig.ihk.de/infos-fuer-unternehmen/themen/business-digital/it-sicherheit/nis2-richtlinie-neue-gesetzliche-anforderungen-fuer-unternehmen-zur-it-sicherheit/
[7] Anakage Inc., Guide to Active Directory and Identity & Access Management, Blogbeitrag, 2025, https://anakage.com/blog/guide-to-ad-iam/
[8] Microsoft Corporation, Deploy Identity for Zero Trust, Dokumentation, undatiert, https://learn.microsoft.com/en-us/security/zero-trust/deploy/identity