What is an IGA solution?

Identity Governance and Administration (IGA) is a software category that manages the full lifecycle of user access to applications, systems, and data. It automates provisioning and deprovisioning, enforces access policies, runs access certification campaigns, and maintains the audit records required for compliance with regulations such as SOX, GDPR, and HIPAA.

What is the difference between IAM and IGA?

IAM (Identity and Access Management) covers authentication and access control confirming who a user is and granting or denying access. IGA adds a governance layer: visibility into all access rights across the environment, policy enforcement, access review workflows, and compliance reporting. IGA systems work alongside IAM tools and address access accumulation and auditability problems that IAM alone cannot solve.

What does IGA stand for in government?

IGA stands for Identity Governance and Administration. In a government context, it refers to the same category of tools described above, applied to managing access to government systems, applications, and sensitive data in compliance with public sector regulations and frameworks.

Cybersicherheit Identität und Zugriff

IGA-Lösungen im Vergleich: 12 Anbieter mit verschiedenen Funktionen

Sena Sezer

aktualisiert am Mär 17, 2026

Siehe unsere ethischen Normen

Identity Governance and Administration (IGA) ermöglicht es Sicherheitsadministratoren, Benutzeridentitäten und Zugriffsrechte im gesamten Unternehmen zu verwalten.

Wir haben zwölf IGA-Plattformen untersucht, die Angaben der Anbieter anhand der offiziellen Produktdokumentation überprüft, die Workflows zur Zugriffszertifizierung getestet und Kundeneinsätze von One Identity, Omada, Oracle, IBM, Lumos und weiteren Anbietern verglichen. Unsere Analyse zum Preis-Leistungs-Verhältnis finden Sie hier.

IGA vs. IAM vs. PAM

Diese drei Kategorien werden oft verwechselt, weil sich ihre Anwendungsbereiche überschneiden, aber jede löst ein anderes Problem.

IAM (Identity and Access Management) ist für die Authentifizierung und Zugriffskontrolle zuständig: Es überprüft die Identität eines Benutzers und entscheidet, ob er auf ein System zugreifen darf. Single Sign-On, Multi-Faktor-Authentifizierung und bedingte Zugriffsrichtlinien fallen in diese Kategorie. IAM beantwortet die Frage: „Können Sie sich anmelden?“

IGA ergänzt IAM um eine Governance-Ebene. Während IAM den Zugriff steuert, verfolgt IGA, wer Schlüssel besitzt, wer diese ausgestellt hat, ob der Zugriff noch gerechtfertigt ist und ob dies den Erwartungen der Auditoren entspricht. Zugriffsüberprüfungen, Rollenmodellierung, Durchsetzung von Funktionstrennungsrichtlinien und Compliance-Berichte gehören zu den Funktionen von IGA. IGA beantwortet die Frage: „Sollten Sie diesen Zugriff haben und können wir ihn nachweisen?“

PAM (Privileged Access Management) konzentriert sich auf die Gruppe der Identitäten mit erweiterten Berechtigungen, wie Systemadministratoren, Datenbankbesitzer und Root-Konten. Es regelt, wann diese erweiterten Zugriffsrechte nutzen dürfen, protokolliert ihre Aktionen und sorgt für die bedarfsgerechte Bereitstellung von Berechtigungen. PAM beantwortet die Frage: „Wer kann wann und unter welchen Bedingungen als Administrator agieren?“

Wie funktioniert IGA?

Ressource: AiMultiple

Identitätsdaten gelangen aus autorisierten Quellen in die IGA-Plattform: dem HR-System, Active Directory, Identitätsanbietern und HRIS. Die Plattform verwaltet ein zentrales Identitätsrepository – die einzige verlässliche Quelle dafür, wer in der Organisation existiert, welche Rollen die einzelnen Personen innehaben und welche Zugriffsrechte sie besitzen.

Die Richtlinien-Engine übersetzt Geschäftsregeln in Bereitstellungsentscheidungen. Wenn ein Mitarbeiter eintritt, seine Rolle wechselt oder das Unternehmen verlässt, gewährt, passt oder entzieht die Plattform automatisch Zugriffsrechte für verbundene Anwendungen – ohne Eingreifen der IT-Abteilung. Die meisten Plattformen unterstützen konfigurierbare Workflow-Genehmigungen für sensible Systeme.

Zugriffszertifizierungskampagnen werden regelmäßig oder auf Anfrage durchgeführt und fordern Manager und Ressourcenverantwortliche auf, zu bestätigen, ob die Zugriffsrechte der einzelnen Nutzer noch angemessen sind. KI-gestützte Plattformen ergänzen die menschliche Überprüfung durch Peer-Group-Analysen und kennzeichnen Nutzer, deren Zugriffsrechte im Vergleich zu Kollegen in ähnlichen Positionen ungewöhnlich erscheinen.

Provisionierungs-Engines übermitteln Entscheidungen über Konnektoren, SCIM 2.0, APIs oder Adapter an die Zielanwendungen. Jede Aktion wird in einem unveränderlichen Audit-Trail protokolliert, der die Grundlage für die Compliance-Berichte bildet, die Prüfer für SOX-, DSGVO- und HIPAA-Prüfungen benötigen.

So sieht der IGA-Markt aus: Welche Plattformen eignen sich für welche Umgebungen? Wo weicht das Marketing der Anbieter von der Realität bei der Implementierung ab? Und welche neueren Marktteilnehmer sind es wert, neben den etablierten Marktführern evaluiert zu werden?

Vergleich der 12 besten IGA-Lösungen

* Basierend auf Daten von B2B-Bewertungsplattformen

** Basierend auf Daten von LinkedIn

1. Ein Identitätsmanager

One Identity Manager ist eine IGA-Plattform für Unternehmen, die auf einer tiefen Integration mit Active Directory und SAP basiert und sich vor allem durch ihren Umfang an Anpassungsmöglichkeiten und die niedrigen Lizenzkosten auszeichnet.

One Identity Manage führte ITDR-Playbooks ein, die Abhilfemaßnahmen automatisieren, Konten deaktivieren, Vorfälle kennzeichnen und gezielte Attestierungen direkt innerhalb von Governance-Workflows starten, wodurch das Zeitfenster zwischen Erkennung und Reaktion bei identitätsgetriebenen Angriffen verkürzt wird. ¹

Die SAP-zertifizierte Integration erweitert die SoD-Governance nativ in SAP-Umgebungen und deckt sowohl Rollen- als auch Berechtigungsmanagement ab.

Version 10.0 bietet darüber hinaus die Integration externer Benutzerrisikobewertungen aus UEBA-Tools von Drittanbietern, Entra ID Behavior-Driven Governance (BDG) auf Anwendungsebene zur Durchsetzung des Prinzips der minimalen Berechtigungen durch die Identifizierung ungenutzter Berechtigungen, den Import von SAP-Transaktionsnutzungsdaten zur Unterstützung von SoD-Analysen und Lizenzoptimierung sowie die standardkonforme CEF-Syslog-Formatierung für eine verbesserte SIEM-Interoperabilität. ²

Die meisten Konfigurationen lassen sich ohne Programmierung vornehmen. Komplexe Arbeitsabläufe erfordern jedoch in der Regel einen Implementierungspartner.

Einschränkungen:

Die Qualität des Supports ist ein wiederkehrender Kritikpunkt: verzögerte Antworten und unzureichende Kommunikation bezüglich Hotfixes.
Web Designer basiert auf dem älteren ASP.NET, was zu erwartbaren, aber noch nicht behobenen Leistungsproblemen führt.
Keine mobile Schnittstelle für die Selbstbedienung durch Endnutzer.
Die Verwaltung von Maschinenidentitäten über privilegierte Konten hinaus ist keine klar dokumentierte Fähigkeit.

2. ConductorOne

ConductorOne ist eine KI-basierte Identity-Governance-Plattform für Unternehmen, die manuelle Prozesse hinter sich gelassen haben, deren Implementierung herkömmlicher IGA-Systeme jedoch zu kostspielig und zeitaufwendig ist. Das Unternehmen schloss im Oktober 2025 eine Series-B-Finanzierungsrunde über 79 Millionen US-Dollar ab, angeführt von Greycroft mit Beteiligung des CrowdStrike Falcon Fund. ³

Der Unified Identity Graph integriert Zugriffs- und Berechtigungsdaten von über 300 Cloud-, Infrastruktur-, On-Premise- und Eigenentwicklungs-Anwendungskonnektoren in ein einziges Echtzeitschema. Dadurch werden die Datensilos beseitigt, die die unternehmensweite Zugriffstransparenz bisher verhindert haben. Just-in-Time-Zugriffsworkflows reduzieren dauerhafte Berechtigungen, indem sie Zugriffe bedarfsgerecht gewähren und automatisch wieder entziehen, sobald diese nicht mehr benötigt werden.

Im Jahr 2025 führte ConductorOne die Non-Human Identity Governance ein und ergänzte sie um Funktionen wie Discovery, Inventarisierung, Eigentümerzuordnung und Risikowarnungen für Servicekonten, API-Schlüssel, OAuth-Token, Zertifikate und KI-Agenten auf derselben Plattform wie die Human Identity Governance. ⁴

Zu den Kunden zählen DoorDash, Instacart, Qualtrics, Ramp und Zscaler.

Einschränkungen:

Das System ist primär auf Cloud-native und SaaS-intensive Umgebungen ausgerichtet; fundierte Kenntnisse im SAP- und Mainframe-Berechtigungsmanagement zählen nicht zu den dokumentierten Stärken.
Kleineres Partnernetzwerk als etablierte IGA-Anbieter

3. CyberArk Identitätsmanagement

CyberArk stieg im Februar 2025 durch die Übernahme von Zilla Security für 165 Millionen US-Dollar in den IGA-Markt ein. Die moderne IGA-SaaS-Plattform von Zilla ist nun in die CyberArk Identity Security Platform integriert und ergänzt die etablierten PAM-Funktionen von CyberArk. ⁵

Definition von moderner Identitätssicherheit

Das Alleinstellungsmerkmal der Plattform sind KI-Profile: Maschinelle Lernmodelle analysieren die tatsächlichen Berechtigungen in der gesamten Umgebung, um die jeweils passenden Zugriffsrechte zu ermitteln. Dadurch wird die manuelle Rollenermittlung durch ein kontinuierliches, KI-gestütztes Rollenmanagement ersetzt. CyberArk gibt an, im Vergleich zu herkömmlichen IGA-Implementierungen 80 % weniger Aufwand bei Zugriffsprüfungen und 60 % weniger Service-Tickets für die Bereitstellung zu benötigen. Diese Zahlen basieren auf Kundendaten von Zilla vor der Übernahme. ⁶

Die Identitätszuordnung bietet eine einheitliche Ansicht der Berechtigungen für menschliche und nicht-menschliche Identitäten in allen verbundenen Anwendungen. Universal Sync nutzt robotergestützte Prozessautomatisierung, um Anwendungen ohne Standard-APIs zu integrieren und so die Kluft zwischen kontrolliertem und unkontrolliertem Zugriff zu verringern. ⁷

Mit über 1.000 vorkonfigurierten Integrationen und der zugrunde liegenden CyberArk PAM-Plattform ist CyberArk für Organisationen positioniert, die IGA und Privileged Access Management von einem einzigen Anbieter wünschen.

Einschränkungen:

Das IGA-Modul ist neu integriert und befindet sich noch in der Entwicklung innerhalb der umfassenderen CyberArk-Plattform; Käufer sollten den Funktionsumfang anhand ihrer spezifischen Governance-Anforderungen überprüfen.
Die Preisgestaltung kombiniert PAM- und IGA-Lizenzierung, was für Organisationen, die lediglich Governance benötigen, komplex sein kann.

4. Lumos

Lumos ist eine autonome Identitätsverwaltungsplattform, die KI in den Mittelpunkt ihrer Architektur stellt und nicht als zusätzliche Ebene.

Albus, der KI-basierte Identitätsagent von Lumos, analysiert Zugriffsmuster, Rollenzuweisungen, HRIS-Daten und Nutzungsprotokolle, um Empfehlungen für RBAC- und ABAC-Richtlinien zu generieren. Mit der Einführung von Agentic User Access Reviews im Dezember 2025 führt Albus den ersten Durchgang von Zugriffsprüfungskampagnen autonom durch und trennt dabei risikoarme, häufig genutzte Zugriffe von Anomalien, bevor die gefilterten Ergebnisse menschlichen Prüfern präsentiert werden. Lumos verspricht eine bis zu sechsmal schnellere Kampagnenabwicklung. ⁸

Lumos führte im April 2025 seine Autonomous Policy Management-Funktion ein, die maschinelles Lernen mit agentenbasierter KI kombiniert, um RBAC- und ABAC-Richtlinien kontinuierlich zu erstellen, zu verfeinern und durchzusetzen. ⁹

Über die Governance hinaus bietet Lumos die Optimierung von SaaS-Lizenzen und identifiziert automatisch ungenutzte Lizenzen sowie Schatten-IT-Anwendungen, die IT-Teams zurückfordern oder in die Governance integrieren können. Dadurch positioniert sich Lumos an der Schnittstelle von IGA und SaaS-Management und unterscheidet sich somit von dedizierten Governance-Plattformen.

Mit über 300 Integrationen und dem Fokus auf schnelle Bereitstellung zielt Lumos eher auf Technologieunternehmen und schnell wachsende Unternehmen ab als auf die komplexen On-Premise-Umgebungen, in denen SailPoint und One Identity dominieren.

Einschränkungen:

Die Tiefe der SAP-Berechtigungsverwaltung, der Mainframe-Integration und komplexer Funktionsumkehrungen auf Transaktionsebene ist nicht dokumentiert.
Weniger geeignet für große Unternehmen mit umfangreicher, veralteter und lokaler Identitätsinfrastruktur
KI-autonome Entscheidungen erfordern eine hohe Datenqualität im zugrunde liegenden HRIS und IdP; mangelhafte Quelldaten beeinträchtigen die Qualität der Empfehlungen.

5. Microsoft Entra ID Governance

Microsoft Entra ID Governance ist eine Erweiterung für die Identitätsverwaltung der Microsoft Entra-Plattform und als Zusatzlizenz für Entra ID P1 oder P2 erhältlich. Für Organisationen, die bereits im Microsoft 365-Ökosystem integriert sind, bietet es Governance ohne die Notwendigkeit eines Drittanbieterprodukts.

Zu den Kernfunktionen gehört das Berechtigungsmanagement, das App-Rollen, Gruppenmitgliedschaften und SharePoint-Berechtigungen in Zugriffspakete mit definierten Genehmigungsworkflows, Ablaufrichtlinien und Zugriffsüberprüfungen bündelt. ¹⁰ Lifecycle-Workflows automatisieren Eintritts-, Versetzungs- und Austrittsereignisse mithilfe von HR-Triggern aus Workday und SuccessFactors. Privileged Identity Management (PIM) ermöglicht die bedarfsgerechte Aktivierung erweiterter Rollen in Entra ID und Azure. ¹¹

Der Access Review Agent (Vorschau) führt Überprüfungen über Microsoft Teams in natürlicher Sprache durch, stellt KI-generierte Empfehlungen bereit und leitet die Prüfer zu einer Entscheidung, ohne dass diese ein separates Portal aufrufen müssen. ¹²

Das Berechtigungsmanagement unterstützt nun Zugriffspakete, die auf API-Berechtigungen für Agenten-IDs beschränkt sind und die KI-Agenten-Governance innerhalb des Ökosystems von Microsoft abdecken. ¹³

Einschränkungen:

Die Governance-Funktionen sind eng auf das Microsoft-Ökosystem beschränkt; die Abdeckung von Nicht-Microsoft-SaaS-Anwendungen erfordert eine manuelle Konnektorkonfiguration.
Die Durchsetzung von SoD erfolgt richtlinienbasiert innerhalb von Zugriffspaketen und entspricht nicht der Transaktionsgranularität, die in dedizierten IGA-Plattformen verfügbar ist.
Die Lizenzierung über die Stufen P1, P2, Governance und Entra Suite hinweg ist komplex und erfordert eine sorgfältige Planung.

6. SailPoint Identity Security Cloud

SailPoint ist Marktführer im Bereich Enterprise IGA, wird von etwa der Hälfte der Fortune 500-Unternehmen genutzt und basiert auf einer KI-gesteuerten Zugriffsverwaltungsplattform . Für Organisationen, die nicht migrieren können, gibt es ein separates On-Premises-Produkt.

Die KI-Empfehlungsschicht von SailPoint führt zu einer messbaren Verhaltensänderung: Prüfer widerrufen den Zugriff doppelt so häufig, wenn KI-Empfehlungen vorliegen. Dies lässt darauf schließen, dass manuelle Prüfungen allein unter einem Problem der bloßen Bestätigung leiden.

SoD und die Verwaltung nicht-menschlicher Identitäten sind kostenpflichtige Zusatzmodule und nicht in der Basislizenz enthalten. SoD läuft über das Modul Access Risk Management (ARM). Für die Abdeckung nicht-menschlicher Dienstekonten, Bots, RPA und KI-Agenten sind Machine Identity Security und Agent Identity Security erforderlich; beides sind separate Module.

Im Jahr 2026 erweiterte SailPoint die Agent Identity Security-Konnektoren um die SaaS-Versionen von Salesforce, ServiceNow und Snowflake. Dadurch wird die Erkennung und Verwaltung von KI-Agenten innerhalb dieser Plattformen ermöglicht. Für die Verwaltung von Agentenidentitäten ist eine separate Agent Identity Security-Lizenz erforderlich. ¹⁴

SailPoint formalisierte seine Strategie der „adaptiven Identität“ und positionierte die Plattform um risikokontextgesteuerte Zugriffsentscheidungen in Echtzeit anstatt um statische Richtlinien. Dabei verwies das Unternehmen auf eine in Auftrag gegebene Studie, in der 96 % der Technologieführer unkontrollierte KI-Agenten als wachsende Bedrohung für die Unternehmenssicherheit identifizierten. ¹⁵

Einschränkungen:

SoD- und nicht-menschliche Module sind kostenpflichtige Zusatzmodule; die Kosten der Basislizenz unterschätzen die tatsächlichen Implementierungskosten.
Laut mehreren Nutzerbewertungen ist die Verwaltungskonsole weniger intuitiv als die neuerer Cloud-nativer Konkurrenzprodukte.
Es wurde für große Unternehmen mit dedizierten IAM-Teams konzipiert, mittelständische Unternehmen werden es jedoch als überdimensioniert empfinden.
IdentityIQ und Identity Security Cloud verfügen über unterschiedliche Funktionsumfänge, was zu einer Governance-Lücke für Organisationen führt, die beide Dienste nutzen.

7. Okta Identity Governance

Okta Identity Governance (OIG) ist ein als SaaS bereitgestelltes Governance-Modul, das nativ auf der Okta-Plattform für Lebenszyklusmanagement und Workflows aufbaut. Für Organisationen, die Okta bereits für Authentifizierung und Verzeichnisverwaltung nutzen, erweitert OIG die Governance, ohne dass ein separates Produkt hinzugefügt werden muss.

Die Plattform besteht aus drei Ebenen: Lifecycle Management für die Bereitstellung und Verzeichnisintegration, Okta Workflows für die codefreie Automatisierung benutzerdefinierter Identitätsprozesse und Access Governance für Zertifizierungen und Zugriffsanfragen. Die über 600 nativen Integrationen des Okta Integration Network lassen sich ohne die Entwicklung benutzerdefinierter Konnektoren auch auf die Governance übertragen. ¹⁶

Governance Analyzer liefert KI-gestützte Empfehlungen während Zertifizierungskampagnen durch die Analyse der Anmeldehäufigkeit, der letzten Zugriffsdaten und der Mitgliedschaft in Peer-Gruppen und bietet den Prüfern so einen Kontext, der über eine einfache Genehmigungs- oder Widerrufsentscheidung hinausgeht. ¹⁷

Einschränkungen:

Governance-Funktionen sind eine Erweiterung der Okta-Plattform und kein eigenständiges Produkt; Organisationen, die Okta nicht als Identitätsanbieter (IdP) nutzen, stehen vor einer höheren Einführungshürde.
Die Durchsetzungstiefe der SoD-Vorgaben und die Transparenz der Berechtigungsstufen sind geringer als bei speziell dafür entwickelten IGA-Anbietern.
Komplexe Lebenszyklusszenarien erfordern möglicherweise eine Anpassung von Okta Workflows.

8. Ping Identity (PingOne Identity Governance)

Ping Identity bietet Governance als Teil seiner PingOne Advanced Identity Cloud. Das IGA-Modul umfasst Zertifizierungskampagnen, Workflows für Zugriffsanfragen und die Durchsetzung von SoD-Richtlinien mit KI- und ML-gestützter Entscheidungsfindung. Die KI-Ebene von Ping wertet Millionen von Berechtigungen pro Minute aus, automatisiert die Genehmigung von Zugriffszertifizierungen mit geringem Risiko und hoher Zuverlässigkeit und kennzeichnet Abweichungen zur manuellen Überprüfung. ¹⁸

Vorgefertigte Templates und Mikrozertifizierungen ermöglichen gezielte Überprüfungen bestimmter Anwendungen oder Benutzergruppen, ohne dass eine vollständige Kampagne durchgeführt werden muss.

SoD-Richtlinien werden zentral definiert und bei Zugriffsanfragen ausgewertet, um schädliche Kombinationen vor der Zugriffsgewährung zu erkennen. Geplante Richtlinienprüfungen dienen zudem als Kontrollmechanismen, um unberechtigte Konten oder im Laufe der Zeit entstandene Zugriffskonflikte zu identifizieren. ¹⁹

Ping positioniert Identity Governance innerhalb einer umfassenderen föderierten IAM-Strategie, in der IGA und Authentifizierung zusammenwirken. Die Plattform ist mit PingOne, Azure AD, AWS und Salesforce kompatibel.

Einschränkungen:

Die IGA-Funktionen von Ping sind im Vergleich zu spezialisierten IGA-Anbietern noch nicht ausgereift; der Umfang der Lebenszyklusautomatisierung und die Transparenz der Berechtigungen sind geringer.
Am besten geeignet für Organisationen, die bereits Ping für Authentifizierung und Föderation nutzen und ihre Governance erweitern möchten, ohne eine weitere Plattform hinzuzufügen.

9. Saviynt Identity Cloud

Saviynt ist eine reine Cloud-Plattform, die IGA, PAM und Application Access Governance in einem einzigen Produkt vereint und sich an Unternehmen richtet, die Identitäts- und Privileged-Access-Management bei einem einzigen Anbieter konsolidieren möchten. Für Organisationen, die IGA und PAM bisher über separate Anbieter betreiben, reduziert diese Konsolidierung den Aufwand für Tools und Integration. Eine On-Premises-Version ist nicht verfügbar.

SoD ist in die Kernplattform integriert und kein kostenpflichtiges Add-on wie bei SailPoint. Die Version 2025 hat das SoD-Dashboard überarbeitet und vorkonfigurierte Regelsätze für SAP, Oracle, Salesforce und NetSuite hinzugefügt. ²⁰

Die Identitäten von Menschen, Maschinen und KI-Agenten werden auf derselben Plattform verwaltet. Im Jahr 2025 erweiterte Saviynt die Abdeckung nicht-menschlicher Daten auf Workloads und Anmeldeinformationen. Die Identitäten von Drittanbietern und Auftragnehmern werden über ein dediziertes Modul für externes Identitätsmanagement verwaltet.

Saviynt hat im Jahr 2025 die Unterstützung für SCIM-Server hinzugefügt, wodurch der Bedarf an kundenspezifischen Entwicklungen für Cloud-Anwendungsintegrationen reduziert wird.

Saviynt wirbt mit einer 75%igen Automatisierung der Zugriffsprüfungsentscheidungen und einer 70%igen Reduzierung der Entscheidungszeit. Beide Angaben stammen vom Anbieter; eine unabhängige Überprüfung liegt nicht vor. ²¹

Kundenreferenz: VF Corporation ersetzte ihre bisherige manuelle Plattform durch Saviynt, um eine einheitliche Identitätsplattform für 12 Marken zu schaffen. Der CISO von Ingredion berichtete, dass Zugriffssperrungen nahezu umgehend aufgehoben wurden und neue Mitarbeiter vom ersten Tag an Zugriff erhielten. ²²

Einschränkungen:

Keine On-Premises-Option; Organisationen mit strengen Anforderungen an den Datenstandort müssen regionales Hosting prüfen, bevor sie sich festlegen.
Die Integration von Altsystemen erfordert trotz des vorhandenen Konnektorkatalogs einen erheblichen Aufwand.

10. IBM Identitätsmanagement überprüfen

IBM Verify Identity Governance ist eine IGA-Plattform für Unternehmen, die sich durch ihr geschäftsaktivitätsbasiertes SoD-Modell auszeichnet, Verstöße mit Aktionen wie „Rechnung genehmigen“ anstatt mit Rollen regelt und für Organisationen konzipiert wurde, bei denen die Abstimmung mit Audits der wichtigste Governance-Treiber ist.

Das wichtigste architektonische Unterscheidungsmerkmal ist das SoD-Modell. Während andere Anbieter SoD über Rollen verwalten, modelliert IBM Verstöße anhand von Geschäftsaktivitäten, wie beispielsweise dem Erstellen einer Bestellung und dem Genehmigen einer Rechnung. Da Geschäftsaktivitäten statischer sind als Rollen, lassen sie sich direkter mit der Vorgehensweise von Auditoren bei der Bewertung des Zugriffsrisikos abbilden. ²³

Die umfassendere Plattform von Verify beinhaltet KI-gestützte Lösungen zur Erkennung und Reaktion auf Identitätsbedrohungen (ITDR) sowie zum Management der Identitätssicherheit (ISPM) für menschliche und nicht-menschliche Identitäten. Der Umfang der dedizierten maschinellen Identitätsverwaltung innerhalb von Verify Governance sollte insbesondere vor dem Kauf mit IBM abgeklärt werden.

Kundenreferenz: Die Commercial International Bank, Ägyptens größte Privatbank, implementierte IBM Verify Identity Governance in einer komplexen digitalen Sicherheitsumgebung. Exostar nutzte die Lösung zur Absicherung von Partner-Ökosystemen entlang globaler Lieferketten der Luft- und Raumfahrt- sowie der Verteidigungsindustrie. ²⁴

Einschränkungen:

Die Entwicklung kundenspezifischer Steckverbinder erfordert spezifische Ingenieurkenntnisse (IBM), die zunehmend selten werden.
Mehrere Markenwechsel stiften Verwirrung bei der Beschaffung und der zugehörigen Dokumentation.

11. Omada-Identität

Omada ist eine Cloud-native IGA-Plattform, die eine 12-wöchige Festpreis-Bereitstellungsgarantie bietet und sich an mittelständische bis große Unternehmen richtet, die ihre veralteten, lokal ansässigen Identitätssysteme ohne mehrjähriges Projekt migrieren möchten.

Omada hat das Cloud Application Gateway veröffentlicht: Ein selbstgehostetes Docker-Image, das die Governance auf lokale und ältere Systeme ausweitet, ohne dass Firewall-Änderungen erforderlich sind, und in weniger als 30 Minuten bereitgestellt werden kann. Es unterstützt vom Kunden verwaltete Verschlüsselungsschlüssel über HashiCorp oder Azure Key Vault.

Die Zertifizierungsworkflows nutzen einen codefreien Drag-and-Drop-Builder, wodurch der technische Aufwand für die Pflege und Anpassung von Kampagnen im Laufe der Zeit reduziert wird.

Die Notfall-Sperre, also der sofortige Entzug des Zugriffs auf alle verbundenen Systeme für eine einzelne Identität, ist eine dokumentierte Funktion, die in Verdachtsfällen von Sicherheitsverletzungen nützlich ist. ²⁵

Einschränkungen:

Die 12-wöchige Einsatzgarantie wird von mehreren unabhängigen Gutachtern angezweifelt; die tatsächlichen Zeiträume variieren.
Die Berichterstattung wird durchweg als mangelhaft eingestuft.
Die Echtzeitbereitstellung hinkt im Vergleich zu Wettbewerbern hinterher; einige Szenarien erfordern eine nahezu stapelweise Verarbeitung.
Die Verfügbarkeit von Implementierungspartnern ist im Vergleich zu SailPoint oder One Identity eingeschränkt.

12. Oracle Identitätsmanagement

Oracle bietet zwei separate IGA-Produkte an: eine ausgereifte On-Premises-Plattform (OIG) und ein neueres Cloud-natives SaaS-Produkt (OAG). Damit ist es die naheliegende Wahl für große Unternehmen, die bereits Oracle Fusion oder E-Business Suite einsetzen.

Der Hybridmodus ist eine praktische Option für Organisationen mitten in der Migration: Zugriffsüberprüfungen werden in OAG durchgeführt, während die Bereitstellung über OIG 12c fortgesetzt wird. Für Organisationen, die sich vollständig der Cloud von Oracle verschrieben haben, behauptet OAG eine Reduzierung der IT-Tickets im Zusammenhang mit der Zugriffsverwaltung um 70 % – eine Angabe des Anbieters. ²⁶

Oracle Identity Role Intelligence nutzt KI und ML, um das Mining und die Veröffentlichung von Rollen an OIG auf der Grundlage von Organisationsstruktur, Benutzerattributen und Geschäftsaktivitätsmustern zu automatisieren und so den manuellen Aufwand für die Pflege von RBAC in großem Umfang zu reduzieren.

Quelle: Oracle Identity Governance (OIG)

In SAP-Umgebungen übernimmt das Application Access Governance-Modul von OAG die Funktionstrennung auf Transaktionsebene, was eine feinere Abstufung ermöglicht als die Kontrolle auf Rollenebene.

Das Konnektor-Framework für Mainframe, LDAP, Datenbanken, Office 365, ServiceNow, Dropbox, Workspace und WebEx wird immer wieder als eine der größten Stärken des OIG hervorgehoben. Der IGA Integrations Exchange bietet einen vorkonfigurierten Katalog für beide Produkte. ²⁷

Kundenreferenz: Cummins evaluierte OAG im Hinblick auf Cloud-native Governance und nannte die Migrationsfreiheit von OIG 12c sowie die datengetriebene Analytik als Schlüsselfaktoren. ²⁸

Einschränkungen:

Bei OIG gab es in den letzten fünf Jahren nur minimale funktionale Weiterentwicklungen; bekannte Fehler und Stabilitätsprobleme, einschließlich Produktionsausfälle, sind dokumentiert.
Datenbank- und Konnektorlizenzen sind separate Posten, wodurch die Gesamtbetriebskosten im Voraus schwer abzuschätzen sind; die Amortisation dauert in der Regel zwei bis drei Jahre.
Die Verwaltung nicht-menschlicher Identitäten ist in der aktuellen IGA-Kommunikation von Oracle nicht definiert.
Außerhalb des Ökosystems Oracle (Fusion, E-Business Suite) steigt der Integrationsaufwand deutlich an.

Gemeinsame Merkmale

Alle fünf Plattformen beinhalten standardmäßig folgende Funktionen:

Identitätslebenszyklus (JML) : Automatisierung von Eintritts-, Versetzungs- und Austrittsprozessen auf Basis von HR-Daten oder Rollenzuweisungen, mit automatisierter Bereitstellung und Aufhebung der Bereitstellung über verbundene Systeme hinweg.
Zugriffszertifizierung : Regelmäßige Überprüfungskampagnen für Zugriffsrechte mit Genehmigungsworkflows für Fachbereichsleiter oder IT-Teams.
SoD-Kontrollen : Durchsetzung der Funktionstrennung durch richtlinienbasierte Konflikterkennung. SailPoint bietet dies über ein kostenpflichtiges Add-on (Access Risk Management) an; alle anderen Anbieter integrieren es in ihre Kernplattform.
Rollenbasierte Zugriffskontrolle : Es werden Rollen-Mining, Rollenmodellierung und RBAC-Richtlinienmanagement unterstützt, mit unterschiedlichem Grad an KI-gestützter Automatisierung.
Selbstbedienungszugriffsanfragen : Endbenutzerportale für Zugriffsanfragen mit konfigurierbaren Genehmigungsworkflows.
Compliance-Abdeckung : SOX und DSGVO werden von allen Produkten explizit unterstützt. HIPAA ist für SailPoint, Saviynt und IBM bestätigt; für Oracle, One Identity und Omada ist dies in der aktuellen Produktdokumentation nicht bestätigt.
Audit-Trails : Auditfähige Protokollierung und Berichtsfunktion sind in allen Plattformen enthalten.
Preisgestaltung : Keiner der fünf Anbieter veröffentlicht seine Preise. Alle nutzen Abonnement- oder Lizenzmodelle pro Identität mit modularen Erweiterungen.

KI-gesteuerte IGA

Die traditionelle Zugriffskontrollarchitektur (IGA) basierte auf statischen Regeln, manuellen Zertifizierungen und von zentralen IT-Teams verwalteten Rollenmodellen. KI verändert drei Dinge: die Art und Weise, wie Zugriffsentscheidungen getroffen werden, wie Überprüfungen durchgeführt werden und wie Bedrohungen erkannt werden.

KI-gestützte Zugriffsentscheidungen : Die Analyse von Vergleichsgruppen ermittelt, welche Zugriffsrechte für eine bestimmte Funktion, einen bestimmten Standort und eine bestimmte Abteilung üblich sind. Wenn ein Benutzer Zugriffsrechte beantragt, die nicht dem Muster seiner Vergleichsgruppe entsprechen, kennzeichnet die KI den Antrag zur manuellen Überprüfung, anstatt ihn automatisch zu genehmigen. Sowohl die Zertifizierungsempfehlungen von SailPoint als auch die KI-Engine von Saviynt nutzen diesen Ansatz. Die Anbieter geben an, dass Prüfer Zugriffsrechte deutlich häufiger widerrufen, wenn der Kontext der Vergleichsgruppe berücksichtigt wird.

Agentenbasierte Zugriffsprüfungen : Die neueste Entwicklung ist der Einsatz von KI-Agenten, die den ersten Durchgang einer Überprüfungskampagne autonom durchführen. Der Albus-Agent von Lumos und der Harbor Pilot von SailPoint können Dutzende von Datenpunkten pro Identität analysieren, risikoarme, häufig genutzte Zugriffe von Anomalien trennen und den Prüfern eine vorgefilterte Liste anstelle eines vollständigen Katalogs präsentieren. Lumos berichtete in seiner Ankündigung für den Start im Dezember 2025 von einer bis zu sechsmal schnelleren Kampagnenabwicklung.

Anomaly Erkennung und ITDR : KI-Modelle, die auf Verhaltensmustern von Identitäten trainiert wurden, können erkennen, wenn die Zugriffsaktivitäten eines Benutzers von seinem üblichen Verhalten abweichen, z. B. ungewöhnliche Anmeldezeiten, laterale Bewegungen oder Zugriffe auf Systeme, die der Benutzer noch nie verwendet hat. One Identity Manager 10.0 integrierte ITDR-Playbooks, die UEBA-Risikobewertungen von Drittanbieter-Tools einlesen und automatisierte Maßnahmen wie Kontosperrung, Vorfallskennzeichnung und gezielte Attestierung auslösen, ohne auf den nächsten Auditzyklus warten zu müssen.

Governance in natürlicher Sprache : Harbor Pilot (SailPoint), das LLM-basierte Reporting von One Identity und der MCP Server von Saviynt ermöglichen es Administratoren und Prüfern, Identitätsdaten in natürlicher Sprache abzufragen: „Wer hat Zugriff auf unsere Finanzsysteme, der sich seit 90 Tagen nicht mehr angemeldet hat?“ Dies ersetzt Datenbankabfragen und die Entwicklung benutzerdefinierter Berichte.

Die Grenzen zwischen KI-gestützter und autonomer Governance verschwimmen. ConductorOne und Lumos positionieren sich explizit als „KI-native“ bzw. „autonome“ Plattformen, auf denen KI aktiv handelt, anstatt nur Empfehlungen auszusprechen. Ältere Plattformen wie SailPoint und Saviynt erweitern ihre bestehende Governance-Infrastruktur um agentenbasierte Funktionen. Entscheidend für Käufer ist, ob KI-Entscheidungen nachvollziehbar sind und ob die Verantwortung für die endgültigen Zugriffsentscheidungen weiterhin beim Menschen liegt.

Die 8 wichtigsten Anwendungsfälle für IGA

Mitarbeiter-Onboarding : Wenn ein neuer Mitarbeiter im HR-System erscheint, stellt IGA automatisch am oder vor dem ersten Arbeitstag die Zugriffs-E-Mail-Adresse, die Kollaborationstools und die Abteilungsanwendungen bereit – ohne dass ein IT-Ticket erforderlich ist.

Rollenwechsel : Wenn ein Mitarbeiter von der Finanzabteilung in die Entwicklungsabteilung wechselt, entfernt IGA die für die neue Rolle nicht mehr relevanten Zugriffsrechte und erteilt die erforderlichen Berechtigungen. Ohne Automatisierung bleiben die alten Zugriffsrechte in der Regel dauerhaft bestehen, was zu einer Anhäufung von Berechtigungen führt.

Offboarding : Verlässt ein Mitarbeiter das Unternehmen, entzieht IGA ihm umgehend oder nach einem festgelegten Zeitplan den Zugriff auf alle verbundenen Systeme. Ingredion, ein Kunde von Saviynt, nannte die Möglichkeit der sofortigen Kündigung als Hauptgrund für die Implementierung dieser Lösung.

Externe Mitarbeiterverwaltung : Auftragnehmer, Partner und Lieferanten benötigen zeitlich begrenzte Zugriffsrechte mit regelmäßigen Verlängerungsprozessen. IGA setzt Ablaufdaten durch und fordert eine erneute Genehmigung an, bevor der Zugriff verlängert wird, anstatt Konten nach Projektende aktiv zu lassen.

Zugriffszertifizierungen : Fachbereichsleiter überprüfen regelmäßig, wer in ihrem Team Zugriff auf welche Anwendungen hat und ob dieser Zugriff weiterhin angemessen ist. KI-Plattformen reduzieren den unnötigen Genehmigungsprozess, indem sie Nachweise wie das Datum des letzten Logins, Vergleiche mit ähnlichen Nutzern und Risikobewertungen bereitstellen.

Durchsetzung der Funktionstrennung : IGA erkennt schädliche Zugriffskombinationen, z. B. wenn ein Benutzer sowohl eine Bestellung erstellen als auch genehmigen kann, und blockiert entweder die Erteilung oder kennzeichnet sie zur Überprüfung.

Verwaltung nicht-menschlicher Identitäten : Servicekonten, RPA-Bots, API-Schlüssel und KI-Agenten benötigen dieselben Lebenszykluskontrollen wie menschliche Identitäten. Alle großen Plattformen bieten mittlerweile irgendeine Form der Verwaltung nicht-menschlicher Identitäten an; Umfang und Automatisierungsgrad variieren jedoch erheblich.

Compliance- Berichterstattung : Prüfer benötigen Nachweise, dass während eines definierten Zeitraums nur autorisierte Benutzer Zugriff auf regulierte Systeme hatten. IGA erstellt Zugriffshistorienberichte, Zertifizierungsnachweise und Protokolle über Funktionsstörungen, die für SOX-, DSGVO- und HIPAA-Prüfungen geeignet sind.

FAQs

Identity Governance and Administration (IGA) ist eine Softwarekategorie, die den gesamten Lebenszyklus des Benutzerzugriffs auf Anwendungen, Systeme und Daten verwaltet. Sie automatisiert die Bereitstellung und Entzug von Zugriffsrechten, setzt Zugriffsrichtlinien durch, führt Zertifizierungskampagnen durch und pflegt die für die Einhaltung von Vorschriften wie SOX, DSGVO und HIPAA erforderlichen Prüfprotokolle.

IAM (Identity and Access Management) umfasst Authentifizierung und Zugriffskontrolle, also die Bestätigung der Benutzeridentität und die Gewährung oder Verweigerung von Zugriffsrechten. IGA ergänzt dies um eine Governance-Ebene: Transparenz aller Zugriffsrechte in der gesamten Umgebung, Durchsetzung von Richtlinien, Workflows zur Zugriffsprüfung und Compliance-Berichte. IGA-Systeme arbeiten mit IAM-Tools zusammen und beheben Probleme der Zugriffsakkumulation und der Auditierbarkeit, die IAM allein nicht lösen kann.

IGA steht für Identity Governance and Administration (Identitätsgovernance und -verwaltung). Im Regierungskontext bezeichnet es dieselbe Kategorie von Instrumenten wie oben beschrieben, die zur Verwaltung des Zugriffs auf Regierungssysteme, Anwendungen und sensible Daten in Übereinstimmung mit den Vorschriften und Rahmenbedingungen des öffentlichen Sektors eingesetzt werden.