Von IGA-Komplexität zu IVIP

Meine persönlichen Erkenntnisse vom Gartner IAM Summit zu Visibility, Intelligence und der Zukunft der Identity Governance

Die Diskussionen auf dem Gartner IAM Summit in Dallas, Texas (Dezember 2025) liefen auf eine gemeinsame Botschaft hinaus, die aus unterschiedlichen Blickwinkeln von Rebecca Archambault, Brian Guthrie, Nathan Harris und Steve Wessels vermittelt wurde:

Identity Governance and Administration ist nicht länger nur eine operative Disziplin. Sie entwickelt sich zum Rückgrat von Unternehmenssicherheit, Risikomanagement und Compliance – und viele Organisationen sind noch nicht darauf vorbereitet, diesen Wandel zu bewältigen.

IGA ist heute leistungsfähig, aber auch komplex, fragmentiert und oft überwältigend. Unternehmen scheitern selten, weil ihnen Tools fehlen. Sie kämpfen, weil die Visibility unvollständig ist, Intelligence in Silos steckt und Maßnahmen zu langsam oder zu manuell sind.

Ein Markt, der schneller wächst als seine Reife

Gartners Marktausblick bestätigt, wie zentral IGA geworden ist. Der Markt soll bis 2026 ein Volumen von 8,8 Milliarden USD erreichen und bis 2033 auf mehr als 27 Milliarden USD wachsen. Dieses Wachstum wird durch grundlegende Veränderungen angetrieben, wie Identitäten erstellt, genutzt und missbraucht werden.

Menschliche Identitäten sind nicht länger die dominierende Herausforderung. Maschinenidentitäten, nicht-menschliche Identitäten, Servicekonten, Workloads, APIs und zunehmend Agents sowie Agentic AI machen inzwischen einen großen und schnell wachsenden Teil der Identity-Landschaft aus. In Kombination mit Zero-Trust-Strategien, der Durchsetzung des Least-Privilege-Prinzips, regulatorischem Druck und AI-gestützter Analytik ist Identity zur primären Control Plane für Unternehmensrisiken geworden.

IGA ist inzwischen das größte Anbietersegment innerhalb von IAM – dennoch zeigen Gartner-Daten, dass die meisten Organisationen weiterhin weniger als die Hälfte der Funktionen nutzen, für die sie bereits bezahlen.

Die wachsende IAM-Angriffsfläche

Ein wiederkehrendes Thema in den Sessions war die IAM-Angriffsfläche. Identity-bezogene Angriffspfade erstrecken sich heute über interne Systeme, Cloud-Platformen, SaaS-Anwendungen, Drittparteien, digitale Lieferketten und AI-getriebene Prozesse.

Besonders gefährlich ist, dass ein großer Teil dieser Fläche nicht direkt sichtbar ist. Risiken verbergen sich in fragmentierten Monitoring-Tools, unvollständiger Discovery von Maschinenidentitäten und Agents, verschleierter Nutzung von Credentials sowie einer schwachen Verknüpfung zwischen Identity-Daten und Security-Signalen.

Aus Sicht eines Angreifers definieren diese blinden Flecken Chancen. Aus Sicht eines Verteidigers stellen sie ungemanagtes Risiko dar.

Visibility ist grundlegend – aber nicht ausreichend

Um diese Herausforderung zu adressieren, verwies Gartner wiederholt auf das VIA-Modell: Visibility, Intelligence und Action.

Visibility bedeutet, ein umfassendes, nahezu in Echtzeit verfügbares Verständnis aller Identity-Typen zu haben – menschlich, Maschine, Service, Workload und agentisch – einschließlich ihrer Berechtigungen, Beziehungen und Aktivitäten. Intelligence baut darauf auf, indem Analytik, AI und Kontext angewendet werden, um zu bestimmen, was relevant ist, was riskant ist und was Aufmerksamkeit erfordert. Action ist der Punkt, an dem aus Erkenntnissen Ergebnisse werden: automatisierte, auditierbare Remediation, die die Exponierung tatsächlich reduziert.

Eine zentrale Erkenntnis aus den Sessions war, dass Visibility ohne Intelligence Lärm erzeugt und Intelligence ohne Action Reports – aber keine Ergebnisse. Organisationen, die alle drei verbinden, schließen Audit-Feststellungen schneller, reduzieren unautorisierten Zugriff und reagieren wirksamer auf Incidents.

Identity Visibility and Intelligence Platforms als fehlende Ebene

Deshalb positioniert Gartner Identity Visibility and Intelligence Platforms (IVIP) als eine entscheidende Weiterentwicklung von IGA. IVIP ist nicht dazu gedacht, IGA, PAM oder Access Management zu ersetzen. Stattdessen fungiert es als vereinheitlichende Ebene, die identity-relevante Daten aggregiert, systemübergreifend korreliert, Intelligence anwendet und priorisierte Action ermöglicht.

IVIP spielt zudem eine Schlüsselrolle bei der Reaktion auf Signale – unabhängig davon, ob sie aus Identity-Systemen, Security-Tools oder unternehmensweiten Shared-Signal-Mechanismen stammen. Durch das Aufnehmen und Korrelieren solcher Signale können Organisationen von statischer Governance zu kontinuierlicher, signalgetriebener Identity-Remediation übergehen.

Wo die NEXIS Platform einzuordnen ist

Genau diesen Bereich adressiert Nexis.

Die NEXIS Platform geht über klassische IGA-Funktionen hinaus. Sie vereint Identity Visibility, Intelligence und Governance und verknüpft IAM explizit mit übergeordneten GRC-Zielen. Neben einheitlicher Visibility über menschliche Identitäten, Maschinenidentitäten und Agentic AI hinweg ermöglicht NEXIS die Echtzeit-Durchsetzung der Funktionstrennung, AI-gestützte und erklärbare Rezertifizierung sowie kontinuierliches Identity Security Posture Management.

Über diese Kernfunktionen hinaus erweitert die Platform Identity Intelligence auf angrenzende, aber hochrelevante Bereiche. Funktionen wie der License Killer machen Identity-Erkenntnisse zu messbarer Kostenoptimierung. Enterprise- und Third-Party-Risk-Management-Funktionen verknüpfen Identity-Daten mit internen und externen Risikokontexten. Das Mapping von Identitäten, Berechtigungen und Kontrollen auf Richtlinien – und auf Standards wie ISO 27001 oder Corporate-Governance-Regeln – hilft Organisationen, Identity Governance mit der Unternehmensstrategie und der regulatorischen Zielsetzung in Einklang zu bringen.