Warum 99 % genaue AI für die Identity Governance nicht ausreicht

AI in der Identity Governance ist kein „Nice-to-have“ mehr. Sie wird erwartet. Aber Erwartungen sind an Bedingungen geknüpft. Die wichtigste Bedingung? Vertrauen.

Bei Nexis haben wir jahrelang AI in die NEXIS Platform integriert, mit einem Prinzip: Transparenz statt Black-Box-Automatisierung. Victoria Müller (IAM Consultant bei Nexis) und ich haben kürzlich ein Webinar mit dem Titel „AI, der Sie vertrauen können: Transparente Identity Governance mit NEXIS“ veranstaltet, um zu untersuchen, warum Erklärbarkeit wichtig ist und wie wir sie angegangen sind.

Was ist erklärbare AI im IAM?

Erklärbare AI im Identity- und Access Management bezieht sich auf AI-Systeme, die klare Begründungen für ihre Empfehlungen liefern – sie zeigen, welche Datenmuster einen Vorschlag ausgelöst haben, und ermöglichen es Benutzern, die Logik zu überprüfen, bevor sie diese akzeptieren. Im Gegensatz zu Black-Box-AI-Modellen, die Ergebnisse ohne Transparenz produzieren, stellt erklärbare AI im IAM sicher, dass Zugriffsentscheidungen, Rollenempfehlungen und Risikobewertungen auditierbar und deterministisch bleiben.

Warum IAM erklärbare AI benötigt

Identity- und Access Management befasst sich mit sensiblen Daten. Wer Zugriff auf was hat, warum er ihn hat und ob dieser Zugriff ein Risiko darstellt, sind keine Fragen, die Sie mit Vermutungen beantworten können. IAM-Praktiker – die Personen, die Rollen verwalten, Rezertifizierungen durchführen und die Funktionstrennung durchsetzen – benötigen Präzision. Sie benötigen Determinismus. Eine 99 % genaue Empfehlung ist nicht gut genug, wenn der 1 % Ausreißer eine Compliance-Verletzung oder eine Privilegienerweiterung ist.

Hier wird erklärbare AI entscheidend. Traditionelle Machine-Learning-Modelle sind seit Jahren Teil von IAM-Tools. Rollen-Mining, Anomalieerkennung, Zugriffsmusteranalyse – diese Anwendungsfälle profitieren von deterministischen Algorithmen, die konsistente, wiederholbare Ergebnisse liefern. Aber wenn Sie große Sprachmodelle (LLMs) ins Spiel bringen, ändern sich die Einsätze. LLMs sind probabilistisch. Sie generieren Text, fassen Dokumente zusammen und unterstützen Benutzer auf eine Weise, die sich gesprächig und intuitiv anfühlt. Das ist wertvoll. Es ist aber auch riskant, wenn Sie nicht erklären können, warum die AI etwas vorgeschlagen hat.

Traditionelle AI vs. erklärbare AI im IAM:

• Traditionelle AI: Black-Box-Empfehlungen, „Vertrauen Sie dem Modell“-Ansatz, nur probabilistische Ausgaben, feste Modellaktualisierungen, externe LLM-Abhängigkeit
• Erklärbare AI (NICO): Transparente Begründung wird angezeigt, Benutzer überprüft Logik vor Annahme, deterministisch + probabilistisch hybrid, lernt aus Benutzer-Feedback, BYO LLM-Unterstützung

NICO, der AI-Co-Pilot, der in die gesamte NEXIS Platform eingebettet ist, geht dies direkt an. NICO macht nicht nur Vorschläge. Er erklärt sie. Wenn NICO ein Datenqualitätsproblem meldet – wie z. B. ein Standortattribut eines Mitarbeiters, das „Frankfurt“ anzeigt, aber seine Rollenzuweisungen darauf hindeuten, dass er in München arbeitet –, zeigt er das erkannte Muster und erklärt die Begründung. Benutzer können die Empfehlung annehmen oder ablehnen. Die Entscheidung bleibt beim Benutzer, nicht bei der AI. Dieser Unterschied ist wichtig.

NICO in Aktion: Automatisierte Access Reviews und Datenqualität

Zwei Kernfunktionen zeigen, wie erklärbare AI die Identity Governance transformiert: automatisierte Access Reviews und Rollenmanagement.

In Rezertifizierungsszenarien zeigt NICO zuerst geänderte Mitarbeiter an. Die meisten Rezertifizierungskampagnen überfluten Manager mit langen Listen von Zuweisungen. Der einfachste Weg? „Alle genehmigen“ anklicken und weitermachen. Das verfehlt den Zweck. NICO strukturiert den Workflow neu. Es hebt Ausreißer hervor – Mitarbeiter, deren Attribute sich seit der letzten Überprüfung geändert haben, Rollen mit widersprüchlichen Berechtigungen, Zuweisungen, die nicht den typischen Mustern entsprechen. In Pilotprojekten mit mittelständischen Unternehmen reduzierte NICO die Überprüfungszeit für Rezertifizierungen um 60–70 %, indem es zuerst risikoreiche Zuweisungen anzeigte. Manager konzentrierten sich auf die 15–20 % der Zuweisungen, die einer genauen Prüfung bedurften, anstatt Tausende von unveränderten Rollen durchzuklicken. Manager treffen immer noch jede Entscheidung, aber sie verbringen ihre Zeit dort, wo es darauf ankommt.

Das Rollenmanagement zeigt etwas ebenso Wichtiges: die kontinuierliche Verbesserung der Datenqualität. Anstatt die Datenbereinigung als separates Projekt zu behandeln, das nie priorisiert wird, bettet NICO sie in die täglichen Workflows ein. Wenn ein Rolleninhaber Geschäftsrollen überprüft, kennzeichnet NICO Inkonsistenzen. Vielleicht enthält eine Rolle eine Berechtigung, die niemand sonst mit dieser Rolle hat. Vielleicht stimmt die Rollenbeschreibung nicht mit den tatsächlichen Berechtigungen überein. NICO erklärt das Problem und schlägt eine Lösung vor. Der Rolleninhaber wendet sie an oder verwirft sie. Im Laufe der Zeit werden die Daten sauberer, ohne dass jemand einen „Datenqualitätssprint“ planen muss.

Das Ansammeln von unsauberen Daten macht die Bereinigung schmerzhaft. Die inkrementelle Behebung – während Rezertifizierungen, während Rollenüberprüfungen, während der Anwendungsbereitstellung – hält die Identitätsumgebung überschaubar.

AI-gestütztes Rollen- und Policy-Management: IAM Governance Documentation

Regulierte Unternehmen stehen vor einer Dokumentationslast, die die meisten IAM-Teams fürchten. Banken und Versicherer, die DORA, BAIT oder VAIT unterliegen, müssen für jede Anwendung detaillierte IAM Governance Documentation (in Deutsch „Berechtigungskonzepte“) führen. Diese Dokumente beschreiben den Zweck der Anwendung, ihre Integration in IAM-Systeme, kritische Berechtigungen, Regeln zur Funktionstrennung und mehr. Anwendungsbesitzer hassen es, sie zu schreiben. Compliance-Teams hassen es, Anwendungsbesitzer zur Fertigstellung zu drängen.

AI-Unterstützung, die direkt in die IAM Governance Documentation integriert ist, ändert diese Dynamik. NICO füllt Abschnitte basierend auf hochgeladenen Dokumenten vorab aus – User Stories, technische Spezifikationen, bestehende Wikis. Der Anwendungsbesitzer überprüft den generierten Text, bearbeitet ihn bei Bedarf und fährt fort. NICO validiert auch den Inhalt. Wenn ein Feld eine Anwendungsbeschreibung enthalten soll, aber stattdessen kopierten Text aus einem Auto-Handbuch enthält (ja, das passiert), kennzeichnet NICO dies.

Ziel ist es nicht, menschliches Urteilsvermögen zu eliminieren. Es geht darum, sich wiederholende, geringwertige Arbeit zu eliminieren. Anwendungsbesitzer sollten nicht stundenlang Informationen umschreiben müssen, die bereits irgendwo im Unternehmen existieren. NICO extrahiert dieses Wissen, strukturiert es und lässt den Besitzer sich auf das konzentrieren, was einzigartig ist oder Fachwissen erfordert.

Bring Your Own LLM: Unternehmensgerechte AI-Architektur

Große Organisationen möchten für sensible IAM-Workflows nicht von externen LLM-Anbietern abhängig sein. Sie wollen Kontrolle – über das Modell, über die Daten, über die Hosting-Umgebung.

NEXIS unterstützt Bring-Your-Own-LLM (BYO LLM). Wenn ein Unternehmen sein eigenes LLM betreibt – ob On-Premise oder in einer privaten Cloud gehostet –, kann dieses Modell direkt in NEXIS integriert werden. Der standardmäßige Microsoft Azure LLM-Dienst wird durch das eigene Modell des Unternehmens ersetzt. Daten verlassen niemals die Umgebung der Organisation. Das Modell profitiert von unternehmensweiter Schulung und Kontext. Benutzer erhalten ein konsistentes AI-Erlebnis über alle Tools hinweg, nicht fragmentierte Co-Piloten, die voneinander nichts wissen.

Dies wird immer wichtiger, da Unternehmen Dutzende von Cybersicherheitstools einsetzen, jedes mit seinem eigenen eingebetteten AI-Assistenten. Ohne Zentralisierung enden Organisationen mit 40 verschiedenen Co-Piloten, von denen jeder die Benutzer auffordert, sich an ein anderes Interaktionsmodell anzupassen. BYO LLM ermöglicht die Standardisierung.

MCP: Öffnung von Identitätsdaten für das Unternehmen

Das Model Context Protocol (MCP) führt dieses Konzept weiter. MCP ermöglicht anderen Systemen – anderen LLM-gestützten Anwendungen, anderen AI-Agenten – den Zugriff auf NEXIS-Daten und -Funktionen ohne aufwändige API-Integrationen. Anstatt für jeden Anwendungsfall benutzerdefinierte Konnektoren zu erstellen, werden NEXIS-Funktionen über MCP bereitgestellt. Ein Unternehmens-LLM kann Rollenzuweisungen abfragen, IAM Governance Documentation-Daten abrufen oder SoD-Regeln überprüfen.

Warum ist das wichtig? Weil Identitätsdaten nicht in der IAM-Platform eingeschlossen sein sollten. NEXIS fungiert als hochwertiger Daten-Lake für Identitäts- und Cybersicherheitsdaten. Andere Teams – Sicherheitsoperationen, Compliance, IT-Service-Management – profitieren von diesen Daten. MCP macht sie zugänglich, ohne jeden Konsumenten zu zwingen, ein NEXIS-Experte zu werden oder in kundenspezifische Integrationsprojekte zu investieren.

Die Akzeptanz von MCP beschleunigt sich, da Unternehmen agentenbasierte AI-Workflows aufbauen. Das Model Context Protocol entwickelt sich schnell zum Standard für die Interoperabilität von AI-Agenten in Unternehmensumgebungen. Durch die Bereitstellung von NEXIS als MCP-Server werden Identity Governance-Daten von jedem MCP-kompatiblen Tool – von Microsoft Copilot bis hin zu benutzerdefinierten Unternehmensagenten – abfragbar, ohne dass pro Tool Integrationsprojekte erforderlich sind. Beispiel: Wenn Microsoft Copilot überprüfen muss, ob ein Benutzer Zugriff auf einen bestimmten SharePoint-Ordner haben sollte, fragt es den NEXIS MCP-Server nach Rollenberechtigungen und SoD-Regeln ab – keine manuelle Suche erforderlich.

Wenn ein AI-Agent Anwendungszugriffsregeln verstehen muss, bevor er eine Ressource bereitstellt, fragt er den MCP-Server ab. Wenn ein Compliance-Audit einen Nachweis der Rollenrezertifizierung erfordert, ruft das Auditsystem diesen über MCP ab. Diese Fähigkeit verwandelt die Identity Governance von einem geschlossenen System in eine unternehmensweite Intelligenzquelle.

Vertrauen durch Transparenz

AI im IAM muss erklärbar sein. Probabilistische Modelle haben ihren Platz – sie eignen sich hervorragend für Zusammenfassungen, Inhaltserstellung und konversationelle Schnittstellen. Aber sie ersetzen keine deterministische Governance. Sie verbessern sie.

NICO trifft keine Entscheidungen. Es unterstützt sie. Es deckt Erkenntnisse auf, deren manuelle Suche Stunden dauern würde. Es erklärt seine Begründung. Es lernt aus Benutzer-Feedback. Und entscheidend ist, dass es innerhalb einer Architektur arbeitet, die Unternehmen die Kontrolle behält – über das Modell, über die Daten, über die Ergebnisse.

So sieht Vertrauen in der AI-gestützten Identity Governance aus.

Möchten Sie NICO in Aktion sehen? Erleben Sie transparente AI für die Identity Governance in einer personalisierten Demo.

Demo anfordern

Häufig gestellte Fragen

Was macht AI in der Identity Governance erklärbar?
Erklärbare AI im IAM zeigt die Begründung hinter Empfehlungen – welche Datenmuster einen Vorschlag ausgelöst haben, welche Regeln angewendet wurden und warum ein Benutzer oder eine Rolle gekennzeichnet wurde. NICO bietet diese Transparenz, indem es die Logik hinter jedem Vorschlag aufzeigt.

Kann NEXIS das eigene LLM unserer Organisation verwenden?
Ja. NEXIS unterstützt Bring-Your-Own-LLM (BYO LLM), wodurch Unternehmen den standardmäßigen Azure LLM durch ihr eigenes On-Premise- oder Private-Cloud-Modell ersetzen können. Identitätsdaten verlassen Ihre Umgebung niemals.

Wie integriert sich MCP in NEXIS?
MCP (Model Context Protocol) ermöglicht anderen Unternehmenssystemen – Compliance-Tools, Sicherheitsplattformen, AI-Agenten – den Zugriff auf Identitätsdaten von NEXIS ohne kundenspezifische Integrationen. Sie können Rollenzuweisungen, Berechtigungskonzepte und SoD-Regeln direkt abfragen. Dies macht NEXIS zu einer gemeinsamen Datenquelle in Ihrer Organisation.

Trifft NICO Zugriffsentscheidungen automatisch?
Nein. NICO liefert Erkenntnisse und empfiehlt Maßnahmen, aber Menschen treffen die endgültigen Entscheidungen. Die AI erklärt ihre Begründung, und Benutzer genehmigen oder lehnen Vorschläge ab. Dies bewahrt die Governance-Kontrolle und reduziert gleichzeitig den manuellen Aufwand.