Identity Security

Identity Security als digitale Hygiene: Der unterschätzte Cybersecurity-Hebel

, Omada | Autor: Herbert Wieler

Identity Security als digitale Hygiene: Der unterschätzte Cybersecurity-Hebel

Identity Security benötigt mehr Sichtbarkeit im Unternehmen

Ein einziger Handgriff kann Leben retten. Was Ignaz Semmelweis 1847 mit dem Händewaschen in der Medizin bewies, gilt heute in ähnlicher Form für die Cybersicherheit: Die wirksamsten Schutzmaßnahmen sind oft unspektakulär, aber geschäftskritisch. Identity Security ist genau dieser unterschätzte Gamechanger – sie verhindert Angriffe, bevor sie sichtbar werden.

Als der Wiener Arzt Ignaz Semmelweis im 19. Jahrhundert vorschlug, sich vor medizinischen Eingriffen die Hände zu waschen, sank die Sterblichkeitsrate auf seiner Station drastisch. Die Fachwelt reagierte zunächst mit Ablehnung. Zu einfach schien die Idee, zu groß ihre Wirkung. Heute ist Hygiene im Krankenhaus nicht verhandelbar. Sie ist kein Zusatz, sondern die Grundlage, auf der moderne Medizin überhaupt funktioniert.

Thomas Müller-Martin, Field Strategist DACH bei Omada Identity erklärt den Stellenwert von Identity Security im Unternehmen.

In der IT steht Identity Security an einem vergleichbaren Punkt. Sie regelt, wer auf welche Systeme, Daten und Anwendungen zugreifen darf. Sie entfernt verwaiste Konten, reduziert unnötige Berechtigungen und sorgt dafür, dass Unternehmen Audits bestehen. Vor allem aber verhindert sie, dass kompromittierte Zugangsdaten zum Einfallstor für Angreifer werden.

Thomas Müller-Martin
Thomas Müller-Martin, Field Strategist DACH bei Omada

Wenn ein Ransomware-Angriff scheitert, weil gestohlene Credentials keinen gültigen Zugriff mehr ermöglichen, war häufig ein gut konfiguriertes Identitätsmanagement der entscheidende Faktor. Das Problem: Im Unternehmen bekommt davon oft niemand etwas mit – schon gar nicht in der Führungsebene. Was nicht sichtbar ist, muss sich jedes Quartal neu rechtfertigen. Im schlimmsten Fall wird Identity Security als Kostenstelle wahrgenommen oder als Bremse für digitale Veränderung.

Dabei liegt das eigentliche Problem nicht in der Leistung der Identity-Teams, sondern in ihrer Kommunikation. Viele Teams messen Erfolg in Kategorien, die außerhalb der IT kaum verstanden werden: angebundene Systeme, abgeschlossene Rezertifizierungen, bereinigte Rollenmodelle oder korrigierte Berechtigungsstrukturen. Für Vorstände klingt das schnell nach Fachsprache. Was das Management braucht, sind klare geschäftliche Kennzahlen.

Statt „20 Systeme wurden onboarded“ sollte die Botschaft lauten: „20 potenzielle Einstiegspunkte für Angreifer wurden geschlossen.“ Statt „Rezertifizierungskampagne abgeschlossen“ braucht es Aussagen wie: „400 nicht mehr legitime Berechtigungen wurden entzogen.“ Und statt Identity Governance als reines IT-Projekt zu beschreiben, muss deutlich werden: Ein modernes IAM ermöglicht dem Unternehmen, sicher zu wachsen, neue Anwendungen schneller einzuführen und Transformation kontrolliert voranzutreiben.

Genau hier entscheidet sich, ob Identity Security als technisches Pflichtprogramm oder als strategische Geschäftsfunktion verstanden wird. Denn Führungskräfte investieren nicht in abstrakte IT-Prozesse. Sie investieren in geringeres Risiko, höhere Resilienz, schnellere Skalierung und nachweisbare Compliance.

Ohne diese Sichtbarkeit entsteht ein gefährlicher Kreislauf: kein Budget, keine Kapazität. Keine Kapazität, keine strategische Arbeit. Keine strategische Arbeit, noch weniger Sichtbarkeit. Viele Identity-Teams arbeiten deshalb wie Feuerwehrleute. Sie rücken aus, wenn es brennt, löschen das aktuelle Problem und warten auf den nächsten Alarm: ein Support-Ticket, eine neue Systemanbindung, unsaubere HR-Daten, eine Audit-Anfrage oder ein plötzlich entdecktes Schattenkonto.

Was fehlt, ist der Brandschutzbeauftragte. Also eine Funktion, die systematisch denkt, präventiv plant und dafür sorgt, dass Sicherheitsvorfälle gar nicht erst entstehen. In Industrieanlagen, Flughäfen, Krankenhäusern oder bei kritischer Infrastruktur ist dieses Prinzip selbstverständlich. Im Identity Management dominiert dagegen vielerorts noch immer das Feuerwehrprinzip: reagieren, wenn es brennt, statt Risiken vorher zu reduzieren.

Dieser Zustand wird zunehmend unhaltbar. Unternehmen stehen vor einer neuen Identitätsrealität. Nicht-menschliche Identitäten – etwa Service Accounts, Bots, Schnittstellen, Workloads oder Maschinenidentitäten – übersteigen die Zahl menschlicher Nutzer längst um ein Vielfaches. Gleichzeitig bringen KI-Agenten neue Governance-Fragen mit sich: Wer darf einen Agenten starten? Welche Daten darf er nutzen? Welche Aktionen darf er ausführen? Und wer haftet, wenn automatisierte Entscheidungen Sicherheitsgrenzen überschreiten?

Hinzu kommt der regulatorische Druck. NIS2 erhöht die Anforderungen an Cyber-Risikomanagement, Governance und Nachweispflichten in vielen kritischen und wichtigen Sektoren. DORA verlangt im Finanzsektor seit Januar 2025 eine deutlich robustere digitale operationale Resilienz. Beide Entwicklungen zeigen: Cybersicherheit ist keine rein technische Disziplin mehr. Sie ist Führungsaufgabe.

Genau wie Hygiene im Krankenhaus kann Identity Security nicht als einmaliges Projekt behandelt werden, das irgendwann abgeschlossen ist. Sie ist eine dauerhafte Querschnittsfunktion. Sie funktioniert nur, wenn Business, IT, Security, HR und Operations gemeinsam Verantwortung übernehmen. Berechtigungen entstehen schließlich nicht nur in der IT. Sie entstehen durch Rollenwechsel, neue Projekte, neue Anwendungen, externe Dienstleister, Fusionen, Cloud-Migrationen und zunehmend auch durch Automatisierung und KI.

Deshalb braucht Identity Security dieselbe Selbstverständlichkeit wie Händewaschen im Krankenhaus. Niemand würde heute ernsthaft diskutieren, ob Hygiene nur dann betrieben werden sollte, wenn gerade Budget übrig ist. Niemand würde sie als Innovationsbremse bezeichnen. Im Gegenteil: Hygiene schafft erst die sichere Grundlage für medizinischen Fortschritt. Identity Security erfüllt dieselbe Funktion für digitale Unternehmen.

IT-Verantwortliche müssen diesen Zusammenhang klarer übersetzen. Entscheidend sind unmissverständliche Indikatoren: Wie viele risikobehaftete Berechtigungen wurden entfernt? Wie viele verwaiste Konten wurden geschlossen? Wie schnell werden Zugriffe bei Rollenwechseln angepasst? Wie viele kritische Systeme sind in die Governance eingebunden? Wie stark sinkt das Risiko, dass kompromittierte Zugangsdaten zu kritischen Informationen führen?

Solche Kennzahlen machen Identity Security sichtbar. Sie zeigen, dass es nicht um administrative Kontrolle geht, sondern um geschäftliche Resilienz. Sie belegen, dass Identitätsmanagement Transformation nicht ausbremst, sondern absichert. Und sie helfen Führungskräften zu verstehen, warum Investitionen in Identity Governance, Access Management und automatisierte Rezertifizierung keine IT-Kosten sind, sondern Risikomanagement.

Der Vergleich mit Semmelweis zeigt: Manchmal sind es einfache Prinzipien, die ganze Systeme verändern. Händewaschen wurde zur Grundlage moderner Medizin. Identity Security kann zur Grundlage moderner digitaler Resilienz werden. Voraussetzung ist, dass Unternehmen sie nicht länger als unsichtbare Hintergrundfunktion behandeln, sondern als strategisches Fundament ihrer Cyberabwehr.

Nur wer dieses Fundament sichtbar macht, kann es pflegen, ausbauen und gegen neue Bedrohungen absichern. In einer Zeit von Ransomware, KI-Agenten, Cloud-Abhängigkeiten und strengeren Compliance-Anforderungen ist Identity Security deshalb weit mehr als ein IT-Thema. Sie ist der Hygienestandard der digitalen Wirtschaft.