Von Thomas Müller-Martin, Field Strategist DACH bei Omada Identity

Als der Wiener Arzt Ignaz Semmelweis 1847 in Wien vorschlug, sich vor jedem Eingriff die Hände zu waschen, sank die Sterblichkeitsrate auf seiner Station von über zehn auf unter zwei Prozent. Die Fachwelt reagierte mit Ablehnung, denn es erschien schlicht zu simpel, dass eine so einfache Lösung solch drastische Auswirkungen haben könnte. Heute ist Hygiene nicht verhandelbar: Sie ist die Infrastruktur, auf der jede medizinische Innovation erst funktioniert.

Identity Security steht heute an einem ähnlichen Punkt. Sie steuert, wer auf welche Systeme zugreift, schließt verwaiste Konten und sorgt dafür, dass Audits bestanden werden. Wenn ein Ransomware-Angriff scheitert, weil kompromittierte Anmeldedaten ins Leere laufen, war oft ein gut konfiguriertes Identitätsmanagement der Grund. Nur: Niemand im Unternehmen weiß davon und oftmals schon gar nicht die Führungsebene. Und was niemand sieht, muss sich jedes Quartal neu rechtfertigen oder wird gleich als Kostenstelle abgetan, schlimmstenfalls als Bremsklotz, der Veränderungsprozesse behindert.

Das Problem ist nicht mangelnde Leistung, sondern mangelnde Kommunikation. Identity-Teams messen ihren Erfolg in Kategorien, die außerhalb der IT-Abteilung niemand versteht: angebundene Systeme, abgeschlossene Rezertifizierungen, bereinigte Berechtigungsstrukturen. Für Vorstände ist das schlimmstenfalls Fachsimpelei. Was sie brauchen, sind Kennzahlen: Statt „20 Systeme sind ongeboardet“ müsste die Aussage lauten: „20 potenzielle Einstiegspunkte für Angreifer geschlossen“ und „unser IAM erlaubt es dem Unternehmen, sich kontrolliert weiterzuentwickeln“. Die IT ist nicht mehr das Bottleneck der Digitalen Transformation. Statt „Rezertifizierungskampagne abgeschlossen“ muss es zudem heißen „Wir haben 400 Berechtigungen entzogen, die nicht mehr legitim waren, und weil wir dran bleiben haben Angreifer bei einem erfolgreichen Angriff eine (zum Beispiel) 30 Prozent geringere Chance an kritische Informationen zu gelangen.“ Das sind Zahlen, die jeder Vorstand versteht. Aber eben nur, wenn sie jemand auf den Tisch legt.

Ohne diese Sichtbarkeit entsteht ein Teufelskreis. Kein Budget, keine Kapazität. Keine Kapazität, keine strategische Arbeit. Dieser Zustand lässt sich mit einem weiteren Bild beschreiben: Viele Identity-Teams arbeiten wie Feuerwehrleute. Sie rücken aus, wenn es brennt, löschen das aktuelle Problem und warten auf den nächsten Alarm: das nächste Support-Ticket, die nächste Systemanbindung, die nächste Bereinigung unsauberer HR-Daten. Was fehlt, ist der Brandschutzbeauftragte: jemand, der systemisch denkt, präventiv plant und dafür sorgt, dass Brände gar nicht erst entstehen. Bei jeder Industrieanlage, jeder Brücke, jedem Flughafen ist diese Funktion selbstverständlich. Im Identity Management hingegen dominiert noch immer das Feuerwehrprinzip: Löschen, wenn es brennt, statt den Brand zu vermeiden.

Dieser Zustand wird unhaltbar, weil sich die Anforderungen gerade verdichten. Nicht-menschliche Identitäten übersteigen die Zahl menschlicher Nutzer bereits um ein Vielfaches. KI-Agenten bringen Governance-Anforderungen mit, die klassische Modelle nicht abbilden. NIS2 und DORA erhöhen den Nachweisdruck. Und wie Hygiene im Krankenhaus lässt sich keiner dieser Anforderungen begegnen, wenn die Grundfunktion als Projekt behandelt wird, das irgendwann „erledigt“ ist.

Identity Security ist eine Querschnittsfunktion, die demselben Prinzip folgt wie Hygiene im Krankenhaus. Sie funktioniert nur, wenn alle kontinuierlich mitmachen – Business, IT, Security, HR und Operations – und wenn alle sie als gemeinsame Verantwortung begreifen und nicht als das Problem der jeweils anderen Abteilung. Wie im Falle Semmelweis kann eine simple Lösung durchaus auch eine effektive Lösung sein.

IT-Verantwortliche müssen dieses fundamentale Sicherheitsprinzip allerdings mit unmissverständlichen Indikatoren, sprich handfesten Zahlen, an das Management kommunizieren können. Denn dieser Perspektivwechsel macht aus einem IT-Projekt eine Geschäftsfunktion. Und erst als Geschäftsfunktion bekommt Identity Security die Ressourcen, die sie braucht, um gegenwärtige Probleme zu lösen und künftigen vorzubeugen. Nur, wer dieses Fundament sichtbar macht, kann es pflegen und Identity Security als Wegbereiter unternehmerischer Transformation zementieren.