Thought Leadership
Manuelle Berechtigungsprozesse kosten mehr, als IT-Entscheider ahnen: verwaiste Lizenzen, stundenlange Rezertifizierungen, Audit-Risiken. Wer auf automatisierte Identity Governance (IGA) setzt, erfüllt die NIS2-Anforderungen – und sieht den Return on Investment (ROI) oft innerhalb weniger Monate.
Es beginnt harmlos. Ein Mitarbeiter wechselt die Abteilung, ein Projektteam löst sich auf, eine Kollegin verlässt das Unternehmen. In jedem dieser Fälle sollten Berechtigungen entzogen, Lizenzen zurückgegeben und Zugänge gesperrt werden. In der Praxis passiert das – wenn überhaupt – oft mit Wochen oder Monaten Verzögerung, manchmal gar nicht.
Das Ergebnis sind sogenannte Orphaned Accounts: aktive Konten ohne lebenden, aktiven Eigentümer. Nach Erhebungen von Analysten betrifft das in mittelgroßen bis großen Unternehmen zwischen 20 und 30 Prozent aller eingerichteten Nutzerkonten. Jedes dieser Konten kostet Geld – etwa durch weiterlaufende Softwarelizenzen – und trägt gleichzeitig ein Sicherheitsrisiko in sich.
Für IT-Entscheider ist das keine abstrakte Zahl. Bei einem Unternehmen mit 500 Mitarbeitern, das pro Kopf durchschnittlich 40 Euro monatlich für Softwarelizenzen ausgibt, bedeuten 20 Prozent Orphaned Accounts rund 4.000 Euro verschwendeter Lizenzkosten – jeden Monat. Hochgerechnet auf ein Jahr sind das knapp 50.000 Euro, die schlicht im Rauschen des IT-Budgets verschwinden.
Rezertifizierung: notwendig, teuer, fehleranfällig
Ein klassisches Gegenargument lautet: „Wir machen regelmäßige Access Reviews.“ Das ist richtig und wichtig – aber in manueller Ausführung alles andere als effizient. Forrester Research hat in Untersuchungen ermittelt, dass ein einzelner Reviewer bei manuellen Zertifizierungskampagnen im Schnitt zwei bis vier Stunden pro Zyklus benötigt. Hochgerechnet auf ein Unternehmen mit 100 Reviewern und quartalsweisem Turnus ergibt das 800 bis 1.600 Stunden reinen Arbeitsaufwand pro Jahr – ohne Koordination, Nachverfolgung und Dokumentation. Bei einem durchschnittlichen Stundensatz von 80 Euro für Fachkräfte ergeben sich Personalkosten von 64.000 bis 128.000 Euro jährlich allein für das manuelle Durchklicken von Berechtigungslisten.
NIS2: Was die Richtlinie fordert
Mit der NIS2-Richtlinie, deren nationale Umsetzung in Deutschland im Dezember 2025 in Kraft getreten ist, sind Identity-Themen vom Nice-to-have zum regulatorischen Muss geworden. Betroffen sind knapp 30.000 Unternehmen in 18 Sektoren der kritischen Infrastruktur. Die Bestimmungen von NIS2 verlangen unter anderem die Umsetzung von Maßnahmen zur Zugriffskontrolle, zum Identitäts- und Berechtigungsmanagement sowie zur Benutzerauthentifizierung. Was nach IT-Fachjargon klingt, meint etwas sehr Konkretes: Wer hat auf welcher Grundlage Zugang zu welchen Systemen – und wie wird das nachgewiesen?
Die Sanktionen bei Verstößen sind empfindlich. Für wesentliche Einrichtungen sieht die Richtlinie Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ausfällt. Diese Zahlen machen deutlich: Compliance ist kein Soft Topic mehr, sondern ein handfestes Bilanzrisiko.
Der unsichtbare Kostenfaktor: Audit-Vorbereitung
Wer schon einmal ein externes Audit begleitet hat, kennt das Szenario: Mit dem Audit beginnt ein zeitintensives Zusammensuchen von Nachweisen. Historische Berechtigungszustände, Eskalationspfade, Ausnahmedokumentationen – alles muss zusammengeführt, aufbereitet und plausibel gemacht werden.
In Unternehmen ohne zentrale IGA-Plattform verteilt sich diese Information typischerweise auf das Active Directory, verschiedene ITSM-Systeme, Excel-Tabellen und sonstige Dokumente. Der Aufwand für eine Audit-Vorbereitung liegt nach Erfahrungswerten aus der Praxis oft bei mehreren Mannswochen – pro Audit-Zyklus.
Das ist nicht nur teuer. Es ist auch fehleranfällig. Lücken in der Dokumentation, widersprüchliche Einträge, fehlende Genehmigungsnachweise: Genau diese Punkte führen bei Prüfern zu Rückfragen, Findings und – im schlimmsten Fall – zu formellen Beanstandungen, die weit mehr Folgeaufwand nach sich ziehen als eine von Anfang an saubere Prozesskette.
Was eine moderne IGA-Plattform anders macht
Automatisierte Identity Governance (IGA) mithilfe einer modernen IGA-Plattform reduziert administrative Tätigkeiten und erhöht die Effizienz bei der Berechtigungsvergabe. Außerdem haben Unternehmen die Gewissheit, dass Rollen und Berechtigungen jederzeit den aktuellen organisatorischen Gegebenheiten entsprechen sowie geltende Governance- und Compliance-Anforderungen eingehalten werden.
Die Wirksamkeit eines IGA-Systems wird unter anderem bei folgenden Themen sichtbar:
1. Joiner-, Leaver- und Mover-Prozess
Wenn ein Mitarbeiter ins Unternehmen kommt, sich innerhalb des Unternehmens verändert oder das Unternehmen verlässt, werden Zugriffsrechte regelbasiert vergeben, angepasst oder entzogen – ohne manuellen Eingriff, ohne Verzögerung. Orphaned Accounts entstehen gar nicht erst.
2. Rollenmodelle
Rollenmodelle dienen dazu, Berechtigungen strukturiert und nachvollziehbar zu organisieren und zu verwalten. Dabei wird typischerweise zwischen organisatorischen Rollen, funktionalen Rollen und Applikationsrollen unterschieden. Durch die Verwendung solcher Rollenmodelle lassen sich Berechtigungen standardisiert vergeben und verwalten, was den administrativen Aufwand reduziert und die Transparenz erhöht.
3. Gezielte Rezertifizierungen
Individuelle Zugriffsrechte außerhalb definierter Rollenmodelle werden über standardisierte Antrags- und Genehmigungsprozesse vergeben. Regelmäßige Rezertifizierungen stellen die Aktualität und Angemessenheit der vergebenen Berechtigungen sicher. So bleiben die Berechtigungsstrukturen dauerhaft transparent, regelkonform und an den tatsächlichen Geschäftsanforderungen ausgerichtet.
Der Business Case: Wann rechnet sich IGA?
Die Investition in eine IGA-Plattform – Lizenz, Implementierung, Betrieb – ist nicht trivial. Für mittelständische Unternehmen sind Gesamtkosten im ersten Jahr im hohen fünf- bis sechsstelligen Bereich realistisch. Warum amortisieren sich IGA-Projekte dennoch häufig innerhalb von 12 bis 24 Monaten?
Die Antwort liegt im Zusammenwirken verschiedener Einsparungsebenen:
1. Lizenzoptimierung
Studien zeigen, dass Unternehmen durchschnittlich 20 bis 30 % ihrer Softwareausgaben für ungenutzte oder untergenutzte Lizenzen aufwenden. Zwar ist eine IGA-Lösung keine Software für Lizenzoptimierung, aber sie liefert entscheidende Hinweise über die (Nicht-) Nutzung von Accounts für das Asset Management, sodass Lizenzen in der Folge anderweitig vergeben oder gekündigt und auf diese Weise Einsparungen realisiert werden können.
2. Automatisierung von Berechtigungen
Einmal definierte Rollenmodelle automatisieren die Berechtigungsvergabe dauerhaft: Joiner-, Mover- und Leaver-Prozesse laufen regelbasiert ab, ohne manuelle Tickets und ohne Verzögerung. Das reduziert nicht nur den operativen Aufwand der IT, sondern verhindert auch die schleichende Ansammlung überschüssiger Rechte – was spätere Auditaufwände und Rezertifizierungszyklen weiter entlastet.
3. Gesteigerte Effizienz
Ein IGA-System steigert die Effizienz bei Genehmigungen, Rezertifizierungen und im Berichtswesen. Indem Reviewer vorab definierte Risikopositionen bearbeiten, verringert sich der manuelle Aufwand für Access Reviews um 60 bis 80 %. Prüfungsrelevante Berichte und Nachweise stehen auf Knopfdruck zur Verfügung, was den Vorbereitungsaufwand für Audits erheblich senkt – und Einsparungen von 50 bis 100 Personentagen pro Jahr ermöglichen kann.
4. Risikoreduktion
Der härteste ROI-Faktor ist der, den man nicht sieht, weil er nicht eintritt: ein Sicherheitsvorfall, der auf missbrauchte Accounts zurückzuführen ist. Zwischen 30 und 50 % der Cyber-Angriffe beginnen mit kompromittierten Zugangsdaten. Weisen gekaperte Accounts zusätzlich überprivilegierte Zugänge auf, sind die Folgen besonders verheerend. Laut Digitalverband Bitkom belief sich der Schaden durch Cyber-Angriffe für die deutsche Wirtschaft im Jahr 2025 auf 202 Milliarden Euro.
Fazit: NIS2-Compliance als Treiber, Kostenersparnis als Trumpf
Identity Governance wird häufig als reines Compliance-Thema betrachtet. Das ist jedoch zu kurz gedacht. NIS2 liefert den regulatorischen Druck, der in vielen Unternehmen als Anlass für längst überfällige Investitionsentscheidungen dient. Wer heute noch manuelle Berechtigungsprozesse betreibt, zahlt jeden Monat einen versteckten Preis – in Form von verschwendeten Lizenzkosten, unnötigen Personalstunden, Audit-Risiken und schlimmstenfalls Sicherheitsvorfällen, deren Ursache auf unkontrolliert gewachsene Zugriffsrechte zurückzuführen ist.
Eine automatisierte IGA-Plattform ist kein Luxus für Großunternehmen. Sie ist die wirtschaftlich rationale Antwort auf eine Herausforderung, die in jedem Unternehmen ab einer bestimmten Größenordnung existiert – und die NIS2 für bestimmte Branchen mit konkretem Sanktionspotenzial versieht. Mit einem IGA-System sichern IT-Entscheider nicht nur Compliance. Sie stärken auch Effizienz, Transparenz und Kontrolle – Werte, die sich auf der Kostenseite der Bilanz direkt niederschlagen.
