Auf den Punkt: Automatisierte Identity Governance ermöglicht es Unternehmen, NIS2-Anforderungen zu erfüllen und gleichzeitig Lizenzkosten sowie Audit-Overhead erheblich zu senken.
Die NIS2-Richtlinie verpflichtet rund 30.000 deutsche Unternehmen zur systematischen Verwaltung von Berechtigungen. Manuelle Prozesse verursachen dabei versteckte Kosten – vom Verschleiß verwaister Lizenzen bis zu aufwändigen Audit-Vorbereitungen.
Die versteckten Kosten manueller Berechtigungsverwaltung sind erheblich. Wenn Mitarbeiter die Abteilung wechseln, Projekte beendet werden oder Beschäftigte das Unternehmen verlassen, werden Zugänge und Lizenzen in der Praxis oft mit Wochen oder Monaten Verzögerung oder gar nicht entzogen. Dadurch entstehen sogenannte Orphaned Accounts – aktive Konten ohne lebenden Eigentümer. In mittelgroßen bis großen Unternehmen betreffen diese zwischen 20 und 30 Prozent aller Nutzerkonten. Ein Unternehmen mit 500 Mitarbeitern und durchschnittlich 40 Euro monatlichen Lizenzkosten pro Kopf verschleißt bei 20 Prozent verwaisten Accounts rund 4.000 Euro pro Monat oder etwa 50.000 Euro jährlich.
Rezertifizierungen verschärfen das Problem. Manuelle Access Reviews binden nach Erhebungen von Forrester Research pro Reviewer zwei bis vier Stunden pro Zyklus. Für ein Unternehmen mit 100 Reviewern und quartalsweise durchgeführten Zertifizierungen bedeutet das 800 bis 1.600 Stunden Arbeitsaufwand pro Jahr – ohne Dokumentation und Nachverfolgung. Bei 80 Euro Stundensatz für Fachkräfte entstehen allein daraus jährliche Personalkosten von 64.000 bis 128.000 Euro. Hinzu kommt die Fehleranfälligkeit: Manuelle Prozesse führen zu Lücken und widersprüchlichen Einträgen.
Mit NIS2 haben Identitäts- und Berechtigungsthemen regulatorische Priorität erhalten. Die am 7. Dezember 2025 in Deutschland in Kraft getretene Richtlinie betrifft etwa 30.000 Unternehmen in 18 Sektoren kritischer Infrastruktur. Sie verlangt Maßnahmen zur Zugriffskontrolle, zum Identitäts- und Berechtigungsmanagement sowie zur Authentifizierung – und zwingt zur dokumentierten Nachvollziehbarkeit: Wer hat auf welcher Grundlage Zugang zu welchen Systemen. Die Sanktionen sind empfindlich: Wesentliche Einrichtungen riskieren Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Eine zentrale IGA-Plattform adressiert beide Probleme. Sie verhindert die Entstehung verwaister Accounts durch automatisierte Entzugslogik, reduziert Rezertifizierungsaufwand durch Automation und schafft eine durchgängige Dokumentation für Audits. Ohne zentrale Plattform ist Audit-Vorbereitung zeitaufwändig: Berechtigungsinformationen verteilen sich auf Active Directory, ITSM-Systeme, Excel-Tabellen und sonstige Dokumente. Der Aufwand zur Zusammenfassung historischer Zustände, Eskalationspfade und Ausnahmeregelungen liegt nach Praxiserfahrung bei mehreren Mannswochen pro Audit-Zyklus – mit hohem Fehlerrisiko.
Quelle: www.it-daily.net · Erschienen 30. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.