Identity Governance
Identity Governance und KI-Agenten: Interview mit Dr. Heiko Klarl, CEO von Nexis
Ohne Transparenz bleibt Identity Governance Stückwerk
In dem Interview erläutert Dr. Klarl (CEO von Nexis ), warum Identity Governance angesichts des wachsenden Drucks durch KI-Agenten, DORA und NIS2 grundlegend überdacht werden muss.
Er erklärt, warum viele Unternehmen den Überblick über ihre Zugriffsstrukturen verloren haben – insbesondere im Hinblick auf nicht-menschliche Identitäten, deren Zahl mittlerweile die der menschlichen Nutzer im Verhältnis von bis zu 100:1 übersteigt.
Das Gespräch befasst sich auch damit, warum Nexis im aktuellen Gartner-Bericht „Voice of the Customer“ für Identity Governance and Administration besonders hoch bewertet wird und was Kunden an Nexis schätzen, was ihnen bei etablierten Anbietern fehlt.
Herr Dr. Klarl, Identity Governance wird oft als reines Compliance-Thema gesehen. Gleichzeitig steigen die Anforderungen durch DORA, NIS2 und den Einsatz von KI-Agenten deutlich. Wo steht die Branche heute – und wo sollte sie stehen?
Viele Unternehmen haben inzwischen Identity-Governance-Lösungen eingeführt. Was häufig fehlt, ist jedoch ein verlässlicher Gesamtüberblick. In der Praxis ist oft nicht eindeutig nachvollziehbar, wer oder was auf welche Systeme und Daten zugreift. Besonders deutlich wird das in gewachsenen IT-Landschaften, die durch unterschiedliche Technologien und zahlreiche historische Entscheidungen geprägt sind. Ein wesentlicher blinder Fleck sind nicht-menschliche Identitäten. Dazu zählen Service-Accounts und technische Nutzer, aber auch zunehmend KI-Agenten. Ihre Zahl liegt in vielen Organisationen längst deutlich über der der menschlichen Nutzerinnen und Nutzer, teilweise im Verhältnis von 50:1 oder sogar 100:1. Trotzdem werden sie häufig nicht vollständig erfasst und nur unzureichend in Governance-Strukturen eingebunden.
Gleichzeitig nimmt der regulatorische Druck weiter zu, etwa durch DORA, NIS2 oder neue Anforderungen im Bereich KI-Governance. Viele bestehende Systeme sind dafür nicht ausgelegt. Sie wurden in einer Zeit entwickelt, in der Dynamik und Automatisierung noch eine Nebenrolle spielten. Heute entsteht daraus eine spürbare Lücke zwischen formaler Compliance und tatsächlicher Kontrolle im operativen Alltag. Oft wird Identity Governance noch immer als nachgelagerte Kontrollfunktion verstanden. Und genau darin liegt das strukturelle Problem. Sie sollte vielmehr ein aktiver Bestandteil der Steuerung sein.
Voraussetzung dafür ist eine konsistente und vollständige Sicht auf alle Identitäten und Berechtigungen – unabhängig davon, in welchem System sie entstehen. Dabei geht es nicht nur um Transparenz im Sinne einer Bestandsaufnahme. Entscheidend ist, aus diesen Informationen konkrete Entscheidungen abzuleiten. Im Grunde geht es darum, herauszufinden, welche Zugriffe wir wirklich brauchen und wo dabei Risiken entstehen. Gleichzeitig sollten wir uns anschauen, welche Berechtigungen sich einfach über die Zeit angesammelt haben und heute eigentlich keine fachliche Begründung mehr haben.
Nexis wird im aktuellen „Voice of the Customer“-Report von Gartner im Bereich Identity Governance and Administration besonders stark bewertet. Was sehen Ihre Kunden bei Ihnen, das sie bei etablierten Anbietern vermissen?
Ein wiederkehrendes Thema ist die Komplexität klassischer IGA-Projekte. In vielen Organisationen dauert es lange, bis ein stabiler und im Alltag nutzbarer Zustand erreicht ist. Gerade in Umgebungen mit mehreren Systemen, gewachsenen Rollenmodellen und verteilten Zuständigkeiten entsteht schnell eine hohe Einstiegshürde. Dadurch fehlt häufig eine belastbare Ausgangsbasis. Zwar sind Tools vorhanden, trotzdem bleibt unklar, welche Identitäten tatsächlich existieren und wie die vergebenen Berechtigungen über Systemgrenzen hinweg zusammenhängen.
Hinzu kommt, dass Identity Governance oft innerhalb der IT verortet bleibt. Fachbereiche, die Entscheidungen über Zugriffe mittragen müssen, haben häufig gar keinen direkten Zugang zu den relevanten Informationen oder können deren Bedeutung nur eingeschränkt einordnen. Das erschwert Abstimmungen und verlangsamt Entscheidungen. Ein weiteres Problem zeigt sich im Übergang von Analyse zu Umsetzung. Risiken werden durchaus erkannt, etwa kritische Berechtigungskombinationen oder historisch gewachsene Strukturen. Doch daraus konkrete Maßnahmen für die Praxis abzuleiten, ist oft aufwendig, vor allem wenn mehrere Systeme betroffen sind. In vielen Fällen fehlt weniger die Erkenntnis als vielmehr die Verbindung zur praktischen Umsetzung.
Wenn Sie einem IT-Verantwortlichen, der seine Identity Governance 2026 neu aufstellen möchte, heute nur einen Rat geben könnten – welcher wäre das?
In erster Linie würde ich empfehlen, nicht sofort mit den Tools oder der Zielsetzung zu starten. Stattdessen sollte der erste Schritt eine ehrliche Bestandsaufnahme sein. Im Kern geht es um eine einfache, aber entscheidende Frage: Lässt sich kurzfristig, verlässlich und vollständig nachvollziehen, wer oder was auf welche Daten zugreift?
Dazu gehören nicht nur menschliche Nutzerinnen und Nutzer, sondern auch technische Accounts und automatisierte Prozesse, einschließlich KI-basierter Systeme. In der Praxis zeigt sich häufig, dass genau diese Transparenz fehlt. Ohne diese Klarheit basieren alle weiteren Entscheidungen auf unsicherer Grundlage. Erst wenn ein verlässliches Gesamtbild vorliegt, lassen sich tragfähige Strukturen entwickeln, etwa in Form von Prozessen, Governance-Modellen oder gezielter Automatisierung. Fehlt diese Basis, bleibt Identity Governance fragmentiert und reagiert nur auf einzelne Probleme, statt sie systematisch zu steuern.
