Ein Kommentar von Dr. Heiko Klarl, CEO bei Nexis
IAM-Budgets entstehen in der Regel im Januar – auf der Grundlage von Annahmen, die sich im Laufe des Jahres oft als unvollständig herausstellen. Die Jahresmitte ist der natürliche Korrekturpunkt. Und 2026 kommt dieser Moment mit besonderem Gewicht: NIS2 und DORA greifen, der EU AI Act rückt näher, und immer mehr Unternehmen merken, dass gut gemeinte Jahresplanung und regulatorische Realität auseinanderfallen können.
Was das erste Halbjahr sichtbar macht
Das erste Halbjahr bringt zutage, was Planungsrunden nicht vorhersehen können. Rezertifizierungskampagnen sind gelaufen, Auditanfragen sind eingegangen, Compliance-Lücken und Audit-Findings, die im Q1 noch abstrakt wirkten, haben sich zu konkreten Baustellen entwickelt. Hinzu kommt der operative Aufwand manueller Prozesse, der sich über sechs Monate wieder einmal zu einem handfesten Kostenfaktor summiert – auch wenn er selten als solcher in der Budgetzeile auftaucht: Stunden für E-Mail-Ketten, Wochen für das Nachfassen von Genehmigungen, Ressourcen, die in Spreadsheets fließen statt in Projekte und ein Ergebnis, das dennoch nicht gut genug ist.
Wo Unternehmen Geld ausgeben, das sie nicht ausgeben müssten
Die sichtbarste und zugleich am einfachsten vermeidbare Position ist die manuelle Zugriffszertifizierung. Ein mittelgroßes Unternehmen, das vierteljährliche Rezertifizierungen ohne Automatisierung betreibt, bindet pro Zyklus drei bis sechs Wochen internen Aufwand – verteilt auf IT, Compliance und Fachbereiche. In der IAM-Budgetzeile erscheint das nicht, wohl aber in Personalkosten, Berateraufwand und verschobenen Projekten.
SoD-Verstöße (Segregation of Duties) sind eine eigene Kostenkategorie – und eine besonders unangenehme, weil sie oft erst in externen Prüfungen ans Licht kommen. Berechtigungskonflikte, die sich über Monate unbemerkt aufgebaut haben, entstehen nicht durch Fahrlässigkeit, sondern weil schlicht keine systemübergreifende Sicht über IAM-Silos existiert. Der Aufwand um Abhilfe zu schaffen und der Auditbefund wären mit den richtigen Werkzeugen vollständig vermeidbar gewesen.
Warum die Diskussion jetzt in der Vorstandsetage angekommen ist
NIS2 und DORA haben die Governance-Diskussion aus der IT-Abteilung in die Vorstandsetage verlagert. Führungskräfte tragen heute persönliche Verantwortung für nachweisbare Sicherheitsmaßnahmen, und das verändert grundlegend, wie Investitionen in diesem Bereich begründet werden müssen.
Drei Argumente treffen dabei regelmäßig:
- Reduktion von Auditkosten:Automatisierte Zugriffsrechtsdokumentation (Berechtigungskonzept) verkürzt die externe Prüfungsvorbereitung messbar und wiederholt.
- Quantifizierung von Risiken:Sichtbarkeit ermöglicht es, Identity-bezogene Risiken zu beziffern und zu priorisieren und versetzt Entscheider in die Lage, fundierte Abwägungen zu treffen.
- Regulatorische Absicherung:Nachweisbare Zugriffskontrollen senken die Wahrscheinlichkeit von Prüfungsbefunden, die unter NIS2 und DORA erhebliche finanzielle und reputationsbezogene Konsequenzen nach sich ziehen können.
Die Jahresmitte ist damit nicht nur ein natürlicher Budgetkorrekturpunkt. Sie ist der Moment, in dem Unternehmen ehrlich bilanzieren können, wo Identity Governance und Visibility heute stehen – und was es kostet, wenn sie es nicht tun. Ein strukturierter Blick auf Rollenmodell, SoD-Konflikte und Identitätsdatenqualität, idealerweise mit einem Benchmark-Vergleich zur eigenen Branche, liefert genau die Zahlen, die Entscheider für eine fundierte Budgetentscheidung brauchen.
Mehr Infos unter https://nexis-secure.com/platform-overview/nexis-health-check/
