Identity Governance vs. Identity Management: Unterschiede erklärt

Nikolai Fomm
COO und Mitbegründer
May 18, 2026
1
minute of reading
Identity governance vs identity management

Wenn Ihr IT-Team jemals zu Beginn eines Audits hektisch eine Zugriffsliste zusammenstellen musste oder festgestellt hat, dass ein ehemaliger Mitarbeitender noch drei Monate nach seinem Austritt in Salesforce eingeloggt ist, dann haben Sie bereits die Lücke zwischen Identity Management und Identity Governance erlebt. Beide Begriffe werden häufig synonym verwendet. Sie bedeuten jedoch nicht dasselbe.

Identity Management ist die operative Schicht: Sie stellt sicher, dass die richtige Person sich mit den richtigen Zugangsdaten bei der richtigen Anwendung anmelden kann. Identity Governance ist die Kontrollschicht: Sie entscheidet, ob dieser Zugriff überhaupt existieren sollte, überprüft ihn regelmäßig und liefert die Nachweise, die ein Prüfer benötigt.

In einer SaaS-lastigen Umgebung mit Hunderten von Anwendungen, Dutzenden von Zu- und Abgängen pro Quartal und Frameworks wie ISO 27001, SOC 2 und NIS2 im Scope führt die Gleichsetzung beider Konzepte direkt zu Berechtigungsakkumulation, verwaisten Konten und Auditbeanstandungen. Dieser Leitfaden erläutert den Unterschied, wann Sie welches Konzept benötigen, und wie eine moderne Plattform wie Corma beide in einem einzigen Tool für europäische IT-Teams abdeckt.

Schnellantwort: der Unterschied in einem Satz

Identity Management beantwortet die Frage: "Wer sind Sie, und wie melden Sie sich an?" Es setzt Zugriffsrechte in Echtzeit durch: Authentifizierung, SSO, MFA und Provisioning. Identity Governance beantwortet: "Sollten Sie diesen Zugriff haben, warum, und können wir das belegen?" Es steuert Zugriffsrechte durch Richtlinien, periodische Überprüfungen, Zertifizierung und Audit-Trails.

Identity Management ist ohne Governance möglich. Die meisten wachsenden Unternehmen praktizieren das eine Zeitlang. Identity Governance ohne Identity Management darunter funktioniert nicht: Governance benötigt ein sauberes Inventar von Identitäten und Berechtigungen, um handeln zu können.

Was ist Identity Management?

Identity Management (IAM, auch Identity and Access Management genannt) ist die Disziplin und die Werkzeuge, die festlegen, speichern und durchsetzen, wer ein Benutzer in den digitalen Assets einer Organisation ist. Es deckt den vollständigen Identitätslebenszyklus ab: Kontoerstellung beim Eintritt, Aktualisierungen bei Rollenwechseln und Deaktivierung beim Austritt.

In der Praxis ist Identity Management das, was Ihre Benutzer täglich wahrnehmen:

  • Sie melden sich einmalig über Single Sign-On (SSO) an und greifen auf alle ihre Anwendungen zu, ohne das Passwort erneut eingeben zu müssen.
  • Sie authentifizieren sich mit Multi-Faktor-Authentifizierung (MFA), um zu belegen, dass sie die sind, die sie vorgeben zu sein.
  • Ihr Konto wird beim Eintritt automatisch in den richtigen SaaS-Anwendungen angelegt, häufig über SCIM-Provisioning, das vom HRIS oder Identity Provider ausgelöst wird.
  • Ihre Zugriffsrechte verschwinden am Tag ihres Austritts (in der Theorie).

Der Identity Provider (IDP) steht im Zentrum dieser Schicht. Gängige Lösungen sind Microsoft Entra ID, Google Workspace, Okta und JumpCloud. Die Standards SAML, OAuth und OpenID Connect (OIDC) regeln den Authentifizierungs-Handshake; SCIM übernimmt das Provisioning von Konten in nachgelagerte Anwendungen.

Eine tiefergehende technische Analyse des Zusammenspiels dieser Protokolle finden Sie in unserem Artikel über SSO, SCIM und SAML für automatisiertes Provisioning.

Was ist Identity Governance?

Identity Governance, häufig als IGA (Identity Governance and Administration) bezeichnet, ist die Richtlinien- und Aufsichtsschicht, die auf Identity Management aufbaut. Ihre Aufgabe ist es sicherzustellen, dass jede Berechtigung, die jeder Identität gewährt wird, begründet, überprüft, rezertifiziert und auditierbar ist.

Während IAM Zugriffsrechte durchsetzt, steuert IGA diese. Die zentralen Fragen, die IGA beantwortet:

  • Wer hat Zugriff auf was, und warum?
  • Entspricht dieser Zugriff der aktuellen Rolle und den Verantwortlichkeiten des Benutzers?
  • Gibt es Berechtigungen, die gegen die Funktionstrennung (SoD) verstoßen, zum Beispiel ein Finance-Nutzer, der sowohl Zahlungen erstellen als auch genehmigen kann?
  • Wann hat ein Manager zuletzt bestätigt, dass dieser Zugriff noch benötigt wird?
  • Können wir einen Nachweispfad für den Prüfer erstellen, ohne zwei Wochen dafür aufzuwenden?

IGA bringt Zugriffsüberprüfungen (auch Zertifizierungskampagnen genannt), Rollen-Mining, Berechtigungsmanagement, Richtliniendurchsetzung und Compliance-Reporting ins Spiel. Es ist direkt mit Frameworks verknüpft: ISO 27001 (Anhang A.5.18 und A.8.2 zu Zugriffsrechten), NIS2 (Artikel 21 zu Zugangskontrollmaßnahmen), SOC 2 (Common Criteria 6.x) und SOX (IT General Controls). Unsere vollständige Roadmap für Benutzerzugriffsüberprüfungen zur ISO-27001-Konformität erläutert den Zertifizierungsaspekt im Detail.

Identity Governance vs. Identity Management: direkter Vergleich

Die klarste Art, den Unterschied zu erfassen, ist ein direkter Vergleich beider Konzepte entlang der operativ relevanten Dimensionen.

Identity Management vs. Identity Governance: direkter Vergleich

Dimension Identity Management (IAM) Identity Governance (IGA)
Kernfrage Wer sind Sie, und wie melden Sie sich an? Sollten Sie diesen Zugriff haben, und können wir das belegen?
Hauptfokus Authentifizierung und Zugriffssteuerung Zugriffsrichtlinien, Zertifizierung und Prüfung
Typischer Verantwortlicher IT-Betrieb Sicherheit, Compliance, interne Revision
Wichtigste Funktionen SSO, MFA, Passwort-Reset, Benutzerverzeichnis, einfaches Provisioning Zugriffsüberprüfungen, Rollen-Mining, Funktionstrennung, Zertifizierung, Audit-Trail
Betroffene Standards SAML, OAuth, OIDC, SCIM, LDAP ISO 27001, NIS2, SOC 2, SOX, DSGVO (Art. 32)
Auslösendes Ereignis Ein Benutzer meldet sich an, tritt ein oder verlässt das Unternehmen Ein Audit, eine behördliche Anfrage, eine Risikoüberprüfung
Hauptrisiko bei Fehlen Unautorisierter Zugriff, schwache Passwörter, Sicherheitsverletzung durch gestohlene Zugangsdaten Berechtigungsakkumulation, verwaiste Konten, Audit-Versagen, regulatorische Bußgelder
Ergebnis Eine funktionierende Anmeldung und die richtigen Berechtigungen Ein Attestierungsbericht, ein Behebungsprotokoll, ein bestandenes Audit
Zeithorizont Echtzeit (jede Sitzung) Periodisch (quartalsweise, halbjährliche Überprüfungen)
Fazit Setzt Zugriffsrechte durch Steuert und prüft Zugriffsrechte

Ein einfacher Praxistest: Fragen Sie Ihren IT-Verantwortlichen "Wer kann heute in NetSuite eine Überweisung genehmigen, und wann wurde dieser Zugriff zuletzt überprüft?". Wenn er die erste Antwort hat, haben Sie IAM. Wenn er beide Antworten hat, haben Sie IGA darüber.

Warum der Unterschied 2026 wichtig ist

Drei Kräfte haben die IAM/IGA-Unterscheidung in den letzten 24 Monaten zu einem Vorstandsthema gemacht.

1. Der regulatorische Druck hat sich verschärft. Die EU-NIS2-Richtlinie, die 2024-2025 in den Mitgliedstaaten umgesetzt wurde, verlangt ausdrücklich "angemessene Maßnahmen zur Verwaltung und Kontrolle des Zugangs zu Netz- und Informationssystemen" mit dokumentierten Überprüfungsprozessen. Lesen Sie unsere NIS2-Compliance-Analyse für die operativen Auswirkungen. ISO 27001:2022 Anhang A verstärkt dieselben Anforderungen an Zugriffsüberprüfungen.

2. SaaS-Sprawl hat die Angriffsfläche vervielfacht. Ein typisches Scale-up mit 200 Mitarbeitenden betreibt heute zwischen 100 und 200 SaaS-Anwendungen. Die meisten davon liegen außerhalb des IDP-Scopes (kein SAML, kein SCIM). Genau dort häufen sich verwaiste Konten und überprovisionierte Zugriffsrechte an.

3. Missbrauch von Zugangsdaten bleibt der häufigste Angriffsvektor. Der Verizon 2024 Data Breach Investigations Report identifiziert regelmäßig gestohlene Zugangsdaten und menschliche Faktoren bei der Mehrheit der Datenschutzverletzungen, wobei ein Großteil der Angriffe Konten ausnutzt, die hätten deaktiviert, eingeschränkt oder gar nicht erst gewährt werden sollen. Das ist das Territorium der Governance, nicht der Authentifizierung.

Anders ausgedrückt: SSO und MFA einzuführen reduziert die Wahrscheinlichkeit einer Kompromittierung. Zugriffsüberprüfungen durchzuführen und Berechtigungen zu zertifizieren reduziert den Schadenradius, wenn eine Kompromittierung eintritt, und macht das Audit verteidigungsfähig.

Kernfunktionen von Identity Management

Ein reifes Identity Management Stack deckt folgende Funktionen ab:

  • Zentrales Identitätsverzeichnis. Eine einzige Quelle der Wahrheit für alle Mitarbeitenden-, Auftragnehmer- und Dienstkontenidentitäten, in der Regel unterstützt von Microsoft Entra ID, Okta, Google Workspace oder JumpCloud.
  • Single Sign-On (SSO). Eine Authentifizierung, die den Zugriff auf verbundene Anwendungen freigibt, in der Regel über SAML 2.0 oder OIDC.
  • Multi-Faktor-Authentifizierung (MFA). Ein zweiter Faktor (Authenticator-App, FIDO2-Schlüssel, Push-Benachrichtigung) als zusätzliche Schicht über dem primären Zugangsdaten.
  • Automatisiertes Provisioning und Deprovisioning. Kontoerstellung, -aktualisierung und -deaktivierung, die über SCIM an nachgelagerte Anwendungen weitergegeben werden, oder über API-Konnektoren, wenn SCIM nicht verfügbar ist.
  • Self-Service-Funktionen. Passwort-Reset, MFA-Registrierung, einfache Zugriffsanfragen, die ohne IT-Ticket bearbeitet werden.
  • Sitzungsverwaltung. Token-Lebensdauer, bedingter Zugriff, Gerätezustandsprüfungen, geografische Einschränkungen.

Der Long Tail der SaaS-Anwendungen, die kein SCIM sprechen, ist der Bereich, in dem die meisten Identity-Management-Programme undicht werden. Wir haben die Lösungen in unserem Artikel über IAM-Implementierungsstrategie behandelt.

Kernfunktionen von Identity Governance

Ein reifes Identity-Governance-Programm ergänzt eine Kontrollschicht über IAM:

  • Zugriffszertifizierungskampagnen. Periodische Überprüfungen, bei denen Manager oder Systemeigentümer bestätigen, dass aktuelle Berechtigungen weiterhin angemessen sind. In der Regel quartalsweise für risikoreiche Anwendungen, halbjährlich für die übrigen.
  • Rollen-Mining und rollenbasierte Zugriffskontrolle (RBAC). Definierung jobbasierter Berechtigungspakete, damit neue Einsteiger eine kohärente Basislinie erhalten statt ad-hoc-Erteilungen. Unser schrittweiser RBAC-Implementierungsleitfaden vertieft den Modellierungsaspekt.
  • Funktionstrennung (SoD). Erkennung und Blockierung von Berechtigungskombinationen, die Betrugs- oder Compliance-Risiken erzeugen.
  • Berechtigungs- und Anfrageverwaltung. Ein formaler Zugriffsanfrage-Workflow mit Manager-Genehmigung, zeitlich begrenzten Erteilungen und vollständiger Begründungsdokumentation.
  • Richtlinien-Engine. Regeln, die automatisch das Least-Privilege-Prinzip, Ablaufdaten für temporäre Zugänge und Rezertifizierungsintervalle durchsetzen.
  • Audit-Trail und Reporting. Zeitgestempelte, unveränderliche Protokolle jeder Rechtevergabe, -änderung und -entziehung, in auditfertigen Formaten exportierbar.
  • Risikobasierte Zugriffsanalyse. Identifizierung von Ausreißern (Benutzer mit ungewöhnlich breitem Zugriff im Vergleich zu ihrer Peer-Gruppe), ruhenden Konten, Berechtigungsakkumulation.

Ein gut geführtes IGA-Programm verwandelt den Zugriff von einem auf Mundpropaganda basierenden Durcheinander in eine dokumentierte, verteidigungsfähige operative Disziplin.

Wann brauchen Sie IAM, IGA oder beides?

Nicht jedes Unternehmen benötigt beide Schichten von Anfang an. Die richtige Antwort hängt von der Mitarbeiterzahl, der regulatorischen Exposition und dem SaaS-Footprint ab.

Wann brauchen Sie IAM, IGA oder beides?

Unternehmensprofil Was Sie typischerweise brauchen Warum
Frühphasiges Startup (unter 50 Mitarbeitende) IAM-Grundlagen: SSO, MFA, einfaches SCIM-Provisioning Geringe Nutzerzahl, wenig SaaS-Sprawl. Priorität ist die Zentralisierung von Anmeldungen und der Abbau von Passwort-Schulden, bevor Audits zum Thema werden.
Wachsendes KMU (50 bis 250 Mitarbeitende) IAM + erste IGA-Ebene: automatisiertes Provisioning, Lebenszyklusmanagement, erste Zugriffsüberprüfungen Der SaaS-Stack übersteigt oft 100 Anwendungen. Joiner-Mover-Leaver wird unübersichtlich, verwaiste Konten entstehen, erste ISO-27001- oder SOC-2-Anforderungen kommen auf.
Mid-Market (250 bis 1.000 Mitarbeitende) Vollständiges IAM + IGA: Zertifizierungskampagnen, Rollen-Mining, Funktionstrennung Mehrere Geschäftsbereiche, externe Dienstleister, M&A-Aktivitäten. Prüfer erwarten quartalsweise Zugriffszertifizierungen und klare Nachweise.
Großunternehmen (über 1.000 Mitarbeitende) IAM + IGA + PAM: vollständiges Identity-Governance-Programm mit risikobasierten Kontrollen Starker regulatorischer Druck (SOX, NIS2, branchenspezifische Vorschriften). Privilegierte Konten und Drittpartei-Zugänge werden zu Hochrisikobereichen.
Reguliertes KMU (Finanz, Gesundheit, öffentlicher Sektor EU) IGA von Anfang an, auch bei geringer Mitarbeiterzahl NIS2, DORA oder branchenspezifische Regelungen gelten unabhängig von der Unternehmensgröße. Zugriffszertifizierung und Audit-Trail sind nicht verhandelbar.
Moderne SaaS-Realität IAM und IGA konvergieren zunehmend in einer Plattform App-spezifisches Provisioning, Governance und Kostenkontrolle lassen sich in einem Tool besser verwalten als in dreien.

Zwei Muster sind erwähnenswert:

  • Regulierte Branchen überspringen den schrittweisen Ansatz. Ein Fintech oder Healthtech mit 60 Mitarbeitenden benötigt IGA-Kontrollen von Anfang an, unabhängig von der Größe. NIS2, DORA und branchenspezifische Regeln warten nicht.
  • Die "Governance kommt später"-Falle. Jeder CIO, der vierteljährliche Zugriffsüberprüfungen "nach dem nächsten Meilenstein" versprochen hat, führt bei einem Audit schließlich eine Panikprüfung durch. Je früher IGA-Funktionen in die IAM-Plattform eingebettet werden, desto günstiger sind sie zu unterhalten.

Speziell für europäische Mid-Market-Organisationen bietet unsere Übersicht der besten IAM-Lösungen für mittelständische Unternehmen einen guten Ausgangspunkt.

Die Konvergenz von IAM und IGA

Vor fünf Jahren wurde der IGA-Markt von Enterprise-only-Plattformen (SailPoint, Saviynt, One Identity) dominiert, die neben einem Identity Provider standen und dedizierte FTEs erforderten. Die Trennung zwischen "IAM-Team" und "Governance-Team" war real.

Diese Trennung löst sich aus drei Gründen auf:

  • Der SaaS-Stack ist zu dynamisch für Zwei-Tool-Architekturen. Wenn Anwendungen jedes Quartal kommen und gehen, ist das Synchronisieren zweier separater Plattformen ein dauerhaftes Integrationsprojekt.
  • Prüfer erwarten zunehmend verknüpfte Nachweise. Die Rechtevergabe, die Genehmigung, die periodische Überprüfung und das Deprovisioning-Ereignis in einem einzigen Trail zu zeigen, ist besser als Exporte aus drei Tools zusammenzustellen.
  • Moderne SaaS Management Platforms (SMPs) liefern beide Schichten nativ. Die Erkennung jeder Anwendung, der vollständige Identitäts-zu-Berechtigungs-Graph, die Lebenszyklusautomatisierung und die Zugriffszertifizierung sind in eine einzige Werkzeugkategorie übergegangen. Corma gehört zu dieser Kategorie, anerkannt im Gartner Magic Quadrant 2025 für SaaS Management Platforms.

Für KMUs und Mid-Market-Unternehmen insbesondere ist die Wahl einer einzelnen Plattform, die Identity Management, Identity Governance und SaaS-Kostenoptimierung abdeckt, heute in der Regel günstiger, schneller zu implementieren und einfacher zu verwalten als drei separate Tools.

Implementierungs-Checkliste für Identity Governance

Wenn Sie ein Identity-Governance-Programm starten (oder ein informelles formalisieren), erfasst die folgende Checkliste die operative Reihenfolge, die in der Praxis funktioniert:

  1. Alle Identitäten inventarisieren. Mitarbeitende, Auftragnehmer, Dienstkonten, generische Konten. Wenn es sich authentifizieren kann, zählt es.
  2. Alle Anwendungen und Integrationen inventarisieren. Einschließlich der Shadow-IT-Schicht. Man kann nicht steuern, was man nicht sieht. Unser Vergleich der Shadow-IT-Discovery-Tools listet die relevanten Kategorien auf.
  3. Identitäten den Berechtigungen zuordnen. Den vollständigen Zugriffsgraphen aufbauen. Hier scheitern die meisten Programme: Die Daten sind über den IDP, das HRIS und mehr als 100 SaaS-Admin-Konsolen verstreut.
  4. Rollen und Zugriffsrichtlinien definieren. Jobfunktionen in Berechtigungspakete übersetzen. Dokumentieren, wer was genehmigt.
  5. Automatisiertes Provisioning und Deprovisioning einrichten. Joiner-Mover-Leaver-Workflows, ausgelöst vom HRIS. Das Zugriffserlebnis am ersten Tag ist die sichtbarste Leistungskennzahl des IT-Teams.
  6. Eine Basis-Zugriffsüberprüfung durchführen. Eine Attestierung für jede Berechtigung erzwingen. Beim ersten Durchgang sollte man mit 20-40 % Widerrufen rechnen.
  7. Eine Rezertifizierungsintervall etablieren. Quartalsweise für sensible Anwendungen und Admin-Rollen, halbjährlich für alle anderen.
  8. Funktionstrennung implementieren. Insbesondere in Finanz-, Beschaffungs- und HR-Systemen.
  9. Compliance-Frameworks anbinden. Kontrollen ISO 27001, SOC 2, NIS2, SOX zuordnen. Der ISO-27001-und-IAM-Implementierungsleitfaden erläutert das Mapping.
  10. Den Audit-Trail automatisieren. Jede Rechtevergabe, -änderung und -entziehung muss zeitgestempelt und exportierbar sein. Ein Jahr Zugriffsänderungen manuell zu rekonstruieren ist der schlimmste Sonntag im Leben eines IT-Managers.

Häufige Fehler vermeiden

Einige Muster, die Identity-Governance-Programme zum Scheitern bringen:

  • IGA als Audit-Zeitübung behandeln. Zugriffslisten aus 50 Admin-Konsolen zwei Wochen vor dem Audit zu ziehen ist keine Governance: Es ist Archäologie. Kontinuierliche Zertifizierung ist der einzige nachhaltige Ansatz.
  • Nicht-SAML-, nicht-SCIM-Anwendungen ignorieren. Die SaaS-Anwendungen, zu denen Ihr IDP keine Verbindung hat, sind genau dort, wo sich verwaiste Konten verstecken. Sie brauchen ihren eigenen Erkennungs- und Lebenszykluspfad.
  • Das Rollenmodell überkonstruieren. 400 Rollen vor der ersten Überprüfung zu definieren funktioniert nie. Mit einem kleinen Satz breiter Rollen beginnen, dann basierend auf echten Überprüfungsergebnissen verfeinern.
  • Das Manager-Training überspringen. Zugriffsüberprüfungen scheitern, wenn Prüfer alles per Reflex genehmigen. Ein 10-minütiges Training und klare Konsequenzen (im Zweifelsfall widerrufen) verändern das Verhalten schnell.
  • Eine US-amerikanische Plattform kaufen, ohne die Datenspeicherung zu prüfen. Für europäische Organisationen, die DSGVO und NIS2 unterliegen, ist der tatsächliche Speicherort von Identitätsdaten eine echte Beschaffungsfrage. Die meisten US-amerikanischen SaaS-Anbieter bieten DSGVO-konforme Auftragsverarbeitungsverträge an, was notwendig, aber nicht dasselbe wie eine echte EU-Datenspeicherung ist.

Wie Corma Identity Management und Identity Governance vereint

Die meisten Plattformen decken IAM oder IGA ab. Corma deckt beides ab, plus die SaaS-Management-Schicht darunter.

Corma ist eine europäische Plattform, die speziell für IT-, Sicherheits- und Finanzteams in wachsenden Organisationen (50 bis 1.000 Mitarbeitende) entwickelt wurde. Sie ist die führende Plattform zur Automatisierung von Software-Lizenz-, Vertrags- und Identity-Access-Management, mit vollständiger SaaS-Transparenz, automatisiertem Provisioning und auditfertiger Governance in einer einzigen Konsole.

Wie Corma Identity Management und Identity Governance abdeckt

Funktion Ebene Was Corma leistet
Native IDP-Integrationen Identity Management Direkte Konnektoren zu Google Workspace, Microsoft Entra ID, Okta und JumpCloud. Identitäten werden ohne benutzerdefinierte Skripte synchronisiert.
Automatisiertes Provisioning und Deprovisioning Identity Management Joiner-Mover-Leaver-Workflows, ausgelöst von Ihrem HRIS oder IDP. Verwaiste Konten werden automatisch beim Austritt eines Mitarbeitenden entfernt.
Vollständige SaaS-Transparenz Identity Governance Erkennung jeder Anwendung und jedes Kontos, einschließlich Shadow IT. Der vollständige Identitäts-zu-App-Graph in einer einzigen Ansicht.
Automatisierte Zugriffsüberprüfungen Identity Governance Kampagnenbasierte Zertifizierungen mit Manager-Genehmigungen, Beweissicherung und Reporting nach ISO 27001 / SOC 2 / NIS2.
Audit-Trail und Berichterstattung Identity Governance Zeitgestempelte, exportierbare Protokolle für jede Rechtevergabe, -änderung und -entziehung. Nachweise sind bereit, bevor der Prüfer sie anfordert.
Lizenz- und Kostenkontrolle Bonus (SaaS Management) Rückgewinnung ungenutzter Lizenzen, die bei Zugriffsüberprüfungen identifiziert werden. Kunden berichten von bis zu 30 % Einsparung bei SaaS-Ausgaben.
EU-Datenspeicherung Übergreifend Daten in der EU gehostet, ISO/IEC 27001:2022-zertifiziert, DSGVO-nativ. Ein echter Differenzierungsfaktor gegenüber US-amerikanischen Plattformen.
Eine Plattform, drei Aufgaben IAM + IGA + SaaS Management Identitäten, Governance und SaaS-Ausgaben in einer einzigen Konsole für IT-, Sicherheits- und Finanzteams.

Die Differenzierungsmerkmale, die für europäische Mid-Market-Käufer relevant sind:

  • Echte EU-Datenspeicherung. Daten in der EU gehostet, DSGVO-nativ, ISO/IEC 27001:2022-zertifiziert. Ein echter Differenzierungsfaktor gegenüber US-amerikanischen Wettbewerbern.
  • Native IDP-Konnektoren. Direkte Integrationen mit Microsoft Entra ID, Google Workspace, Okta und JumpCloud, plus die vollständige Integrationsliste für den Long Tail der SaaS-Anwendungen.
  • NIS2-bereit. Zugriffskontrollen, Audit-Trail und Reporting entwickelt für die NIS2-Anforderungen und ISO 27001:2022 Anhang A.
  • Bis zu 30 % Reduzierung der SaaS-Ausgaben. Da Zugriffsüberprüfungen ungenutzte Lizenzen aufdecken, finanziert sich Governance selbst.
  • Onboarding in unter 30 Tagen. Die meisten KMU-Kunden haben ihre ersten automatisierten Provisioning-Workflows und Zugriffsüberprüfungen innerhalb eines Monats in Betrieb.
  • Von Gartner anerkannt. Corma wurde im Gartner Magic Quadrant 2025 für SaaS Management Platforms gelistet.

Wie Brevo SaaS-Management und IAM mit Corma automatisiert und IT-, Sicherheits- und Finanz-Workflows in einer Lösung konsolidiert hat, sehen Sie im Kundenbeispiel.

Wenn Sie sehen möchten, wie Corma mit Ihrem spezifischen Stack funktioniert, fordern Sie eine Demo an. IT-Teams können erkunden, wie Corma SaaS-Management und Zugriffsmanagement automatisiert, und Sicherheitsteams können sich über wie Corma hilft, compliant zu bleiben und SaaS zu managen informieren.

FAQ

Ist Identity Governance dasselbe wie Identity Management?

Nein. Identity Management ist die operative Schicht, die Benutzer authentifiziert und Zugriffsrechte durchsetzt (SSO, MFA, Provisioning). Identity Governance ist die Kontrollschicht, die entscheidet, welche Zugriffsrechte existieren sollten, diese regelmäßig überprüft und auditfähige Nachweise produziert. Sie benötigen Identity Management, um Identity Governance betreiben zu können, aber Identity Management allein erfüllt nicht die Anforderungen von Frameworks wie ISO 27001, NIS2 oder SOC 2.

Was bedeutet IGA?

IGA steht für Identity Governance and Administration (Identitäts-Governance und -Administration). Es bezeichnet die Disziplin (und die Werkzeuge), die Zugriffsrichtlinien steuern, Zertifizierungskampagnen durchführen, Funktionstrennung durchsetzen, Berechtigungen verwalten und Audit-Trails über alle Unternehmensanwendungen hinweg erstellen.

Brauche ich IGA, wenn ich bereits Okta oder Microsoft Entra nutze?

In den meisten Fällen ja, insbesondere ab 100 Mitarbeitenden. Identity Provider wie Okta, Microsoft Entra ID, Google Workspace und JumpCloud verwalten Authentifizierung, SSO und einfaches Provisioning sehr gut. Sie sind nicht darauf ausgelegt, quartalsweise Zugriffsüberprüfungen über 100 und mehr SaaS-Anwendungen durchzuführen, Funktionstrennung durchzusetzen oder ISO-27001-konforme Auditberichte standardmäßig zu erstellen. Das ist die Aufgabe der IGA-Schicht, die auf dem IDP aufbaut, ihn aber nicht ersetzt.

Was ist der Unterschied zwischen IGA, IAM und PAM?

IAM (Identity and Access Management) ist der Oberbegriff für Authentifizierung, Autorisierung und Identitätslebenszyklus. IGA (Identity Governance and Administration) ist die Richtlinien- und Prüfschicht des IAM. PAM (Privileged Access Management) ist eine spezialisierte Schicht, die sich auf Konten mit erweiterten Rechten konzentriert (Admin, Root, Infrastrukturzugriff), mit engeren Kontrollen wie Sitzungsaufzeichnung, Just-in-Time-Zugriff und Credential-Tresor.

Wie häufig sollten Zugriffsüberprüfungen stattfinden?

Die Standardfrequenz ist quartalsweise für risikoreiche Anwendungen (Finanzsysteme, HR-Systeme, Kundendaten, Admin-Konsolen) und halbjährlich für alle anderen. Einige regulierte Branchen verlangen monatliche Überprüfungen für bestimmte Systeme. ISO 27001 und SOC 2 erwarten eine dokumentierte, konsistent durchgeführte Überprüfungsfrequenz mit aufbewahrten Nachweisen.

Kann Identity Governance automatisiert werden?

Großteils ja. Moderne Plattformen automatisieren den Kampagnenstart, die Manager-Zuweisung, die Beweissicherung, den Behebungs-Workflow und das Reporting. Der menschliche Entscheidungsanteil ("Ja, dieser Zugriff wird noch benötigt") kann nicht vollständig automatisiert werden, aber alles drumherum schon. Tools wie Corma übernehmen die Automatisierung von Ende zu Ende, sodass Prüfer Minuten statt Stunden pro Kampagne aufwenden.

Hilft Identity Governance dabei, SaaS-Kosten zu senken?

Ja, häufig erheblich. Zugriffsüberprüfungen decken systematisch ungenutzte Lizenzen, ruhende Konten und überprovisionierte Abonnements auf. SMP+IGA-Plattformen identifizieren beim ersten Durchgang typischerweise 20-30 % ungenutzter oder redundanter Lizenzen, was sich direkt in Nachverhandlungs- oder Kündigungseinsparungen niederschlägt.

Ist Corma eine IAM-, IGA- oder SaaS-Management-Plattform?

Corma ist alle drei in einer Plattform. Es kombiniert SaaS Management (vollständige App- und Lizenz-Discovery), Identity Access Management (Provisioning, Deprovisioning, IDP-Integrationen) und Identity Governance (Zugriffsüberprüfungen, Audit-Trail, Compliance-Reporting). Für europäische IT-Teams, die 100 bis 1.000 SaaS-Anwendungen betreiben, ersetzt diese Konvergenz in der Regel 2 bis 3 separate Tools.

Read Next
View all articles
Identity governance vs identity management
May 18, 2026

Identity Governance vs. Identity Management: Unterschiede erklärt

Read Article
SaaS Management
May 12, 2026

SaaS Management for MSPs: Automating Licensing, Controlling SaaS Sprawl, and Reducing Client Software Spend in 2026

Read Article
RBAC vs ABAC
Identity Access Management
May 11, 2026

RBAC vs ABAC: Welches Zugriffsmodell passt zu Ihnen?

Read Article

The new standard in license management

Sind Sie bereit, Ihre IT-Governance zu revolutionieren?