Raffaza - stock.adobe.com

Meinung

Flexibilitätsfalle: Wenn Individualisierung Security bremst

Unternehmen sind höchst unterschiedlich, so wird oftmals mit einem hohen Grad an Individualisierung beim Identity Management gearbeitet. Das muss nicht immer ein Vorteil sein.

von
  • Thomas Müller-Martin, Omada
Zuletzt aktualisiert: 29 Mai 2026

Flexibilität ist bei jeder Identity-Management-Lösung ein wesentlicher Grundpfeiler für Unternehmen, um die täglichen Anforderungen zu bewältigen. Doch nicht alle Firmen sind gleich; sie haben individuelle Geschäftsmodelle, bedienen unterschiedliche Märkte, unterliegen spezifischen Regularien und nutzen verschiedenste IT-Systeme. Aufgrund dieser Differenzen ist oft ein erhebliches Maß an Customizing (Individualisierung) der eingesetzten Software erforderlich.

Viele Organisationen neigen zu komplexen Lösungen, die eine enorme Anpassungsfähigkeit versprechen. Diese Flexibilität kann jedoch eine Kehrseite haben. Was ursprünglich als Vorteil wahrgenommen wurde, kann sich ins Gegenteil verkehren und zu Ineffektivität sowie steigenden Gesamtkosten (Total Cost of Ownership) führen.

Tatsache ist: Flexibilität und Customizing gehen nicht immer Hand in Hand. Im Bereich Identity Management haben viele Unternehmen über Jahre hinweg hochgradig individualisierte Lösungen implementiert, nur um sich schließlich in skriptbasierten, schlecht dokumentierten Systemen gefangen zu sehen. Das Resultat sind Komplexität, Kostenexplosion und Stillstand. Letztlich führt das kopflose Streben nach Customizing zum Gegenteil von Flexibilität: zu starren, teuren und schwer zu wartenden Systemen.

Als demonstratives Beispiel kann die Wahl eines Firmenwagens dienen: In den meisten Fällen entscheidet man sich für die praktische Variante, um von A nach B zu kommen. Niemand würde sich für ein wartungsintensives Muscle-Car entscheiden, das nur von spezialisierten Experten gefahren werden kann. Man würde das Risiko abwägen und womöglich die Agilität wertschätzen, die ein Wagen bietet, der praktische Handhabung verspricht. Das Gleiche gilt für Investitionen in IT-Lösungen. Echte unternehmerische Agilität entsteht nicht durch den Bau einzigartiger Lösungen für einzigartige Herausforderungen; sie entsteht durch die Wahl eines zuverlässigen, skalierbaren Best-Practice-Frameworks, das mit Anforderungen wächst und es möglich macht, schnell auf neue Marktbedingungen zu reagieren.

Customizing ist nicht gleich Agilität

Während SaaS-Lösungen für Identity Governance früher oft an Tiefe und Flexibilität vermissen ließen, bieten moderne Lösungen heute flexible Konzepte, die erfolgreich in komplexen Umgebungen implementiert werden können. Sie ermöglichen es Kunden, von standardisierten und dennoch flexiblen Ansätzen für gängige Anpassungsszenarien zu profitieren.

Andere Unternehmen hingegen individualisieren ihre Lösung massiv für jede erdenkliche Anfrage aus verschiedenen Fachbereichen. Wenn man einer Organisation eine offene Wunschliste vorlegt, erhält man zwar vielfältigen Input, aber nicht alles davon ist zielführend. Nicht alles, was technisch machbar ist, sollte auch umgesetzt werden.

Auf den ersten Blick scheint Customizing positiv zu sein, da man eine maßgeschneiderte Lösung erhält. Die Kehrseiten sind jedoch oft monolithische Architekturen, die sich weder effizient betreiben lassen noch angemessen auf geschäftliche Veränderungen reagieren können. Zudem verlängern willkürliche Anforderungen die Projektlaufzeiten, ohne in den meisten Fällen zum tatsächlichen Wert der Lösung beizutragen.

Diese hochgradig angepassten Lösungen werden schnell zu technischen Schulden (technical debt), besonders wenn sich Geschäftsanforderungen weiterentwickeln, neue Regulierungen entstehen oder Systeme ersetzt werden. Die Folgen für Unternehmen sind:

  • Lange Upgrade-Zyklen – oft verbunden mit einem Aufwand von hunderten Personentagen.
  • Mangelnde Skalierbarkeit oder langsame Anpassungsfähigkeit.
  • Hohe operative Komplexität und Abhängigkeit von Nischenexperten.
  • Stagnierende Projekte, die keine Ergebnisse liefern.

Diese Effekte betreffen nicht nur die Produkt- und Betriebseffizienz. Wenn die Unternehmens-IT aufgrund übermäßiger Anpassungen die Einführung neuer Geschäftsanforderungen behindert, kann dies die Wettbewerbsfähigkeit erheblich beeinträchtigen. Dies hat in der Vergangenheit oft dazu geführt, dass IT-Entscheider nicht als Kandidaten für Beförderungen in Betracht gezogen werden. Verzögerungen und Misserfolge werfen ein schlechtes Licht auf die Führungsebene; fehleranfällige Skripte lassen ganze Teams nachlässig erscheinen. Statt als Wegbereiter werden IT-Entscheider dann eher als Gegner der digitalen Transformation wahrgenommen. Zudem kann dies die Einführung neuer Funktionen behindern, was besonders bei prestigeträchtigen Themen wie benutzerfreundlicher KI oder Machine Learning relevant wird.

Das Ergebnis? Zu wenige IAM-Verantwortliche wurden in Positionen befördert, die ihrem potenziellen Einflussbereich auf das Unternehmen entsprechen. Infolgedessen kämpfen Abteilungen mit enormen Backlogs an funktionalen Anforderungen, und Anwender sind frustriert über geringe Performance und eine schlechte User Experience. Eine No-Win-Situation.

Thomas Müller-Martin, Omada

„Im Streben nach Agilität und Kontrolle kann die Über-Individualisierung von Identity-Governance-Lösungen zu einer Falle werden, die in Komplexität, Starrheit und steigenden technischen Schulden endet. Richtig umgesetzt, kann Identity Governance jedoch weit mehr leisten, als nur den Audit-Aufwand zu reduzieren.“

Thomas Müller-Martin, Omada

Die Suche nach einem anderen Ansatz

Anstatt Lösungen zu wählen, die von vornherein auf Customizing ausgelegt sind, ist es entscheidend, nach Angeboten zu suchen, die zwei wichtige Aspekte kombinieren: Erstklassige Erweiterbarkeit und eine klare Ausrichtung auf einsatzbereite Standardfunktionalitäten.

IT-Verantwortliche sollten bei der Evaluierung folgende Empfehlungen beherzigen:

  1. Nicht die Vergangenheit nachbauen. Anstatt jahrzehntealte Prozesse eins zu eins nachzubauen, sollte eine bewusste Ausrichtung der Unternehmensstrukturen auf zukünftige Anforderungen erfolgen.
  2. Verknüpfung von Business-Needs mit der technischen Lösung. Entscheidungen sollten auf greifbaren Geschäftsergebnissen basieren, nicht auf glänzenden Features oder angstbesetzten Schlagworten. Dabei ist sicherzustellen, dass das Tech-Team den Wert einer IT-Infrastruktur versteht, die auf kontinuierliche Agilität ausgelegt ist.
  3. Klein anfangen, schnell skalieren. Mit einem Minimum Viable Product (MVP) zu starten, erzielt frühe Erfolge, auf deren Basis die Lösung kontinuierlich weiterentwickelt wird.
  4. Fokus auf das Wesentliche. Sicherheitsverantwortliche sollten sich auf Kernprozesse fokussieren wie Employee Onboarding, Genehmigungen und Rezertifizierung. Quick Wins hingegen sollten sie in weniger kritischen Bereichen suchen, beispielsweise beim richtlinienbasierten Zugriff, Delegation oder Reporting. Die Expansion sollte dann intelligent und zielgerichtet erfolgen. Der Anspruch darf jedoch nicht sein, ein perfektes System zu planen, dessen Einführung dann aber viel Zeit verschlingt.

Bei der Auswahl einer konkreten Lösung sollte man auf Anbieter achten, die:

  • In ein flexibles Framework investieren, das De-facto-Standards wie REST, OData, SCIM und SQL nutzt. Fest im Code verankerte Konnektoren schränken die Fähigkeit ein, die Geschäftsdynamik zu unterstützen.
  • Robuste APIs für nahtlose Integration und Erweiterbarkeit bieten, wobei der Fokus auf Benutzerfreundlichkeit liegen muss.
  • Ausgereifte, anpassbare Out-of-the-Box-Workflows bereitstellen (Joiner-Mover-Leaver und darüber hinaus).
  • Eine Mentalität des lebenslangen Lernens demonstrieren und Lösungen basierend auf konkreten Kundenanforderungen entwickeln, statt auf wirkungslosen Marketing-Features zu beharren.

Echte Flexibilität im Identity Management erreichen

Im Streben nach Agilität und Kontrolle kann die Über-Individualisierung von Identity-Governance-Lösungen zu einer Falle werden, die in Komplexität, Starrheit und steigenden technischen Schulden endet. Richtig umgesetzt, kann Identity Governance jedoch weit mehr leisten, als nur den Audit-Aufwand zu reduzieren. Sie kann als echter Katalysator für die digitale Transformation fungieren und angesichts veränderlicher Geschäftsmodelle das Beste aus einer skalierbaren und agilen IT herausholen.

Es ist an der Zeit, die herkömmliche Meinung infrage zu stellen, dass Customizing automatisch mehr Flexibilität bedeutet. Wahre unternehmerische Agilität wurzelt in der Fähigkeit, sich schnell und sicher innerhalb eines skalierbaren, standardbasierten Frameworks anzupassen. Die Berücksichtigung praktischer Kriterien bei der Wahl einer zukunftssicheren IGA-Lösung ist der Schlüssel zur Wertschöpfung und zum Ausgleich zwischen Flexibilität und Sicherheit.

Erfolgreiche Unternehmen setzen auf Best Practices und suchen nach Lösungen, die flexible Konzepte mit progressiven Ansätzen verbinden. Sie reduzieren codebasierte Erweiterungen des Standards auf ein Minimum und bleiben so langfristig agil und implementierungsfähig. Lösungen, die die Dynamik moderner Unternehmen unterstützen, sind unerlässlich, um den Anforderungen von morgen gerecht zu werden. So wie maßgeschneiderte Muscle-Cars selten gefahren werden sollten und vielleicht einen Platz im Museum verdienen, gilt dies auch für manche Legacy-Lösungen. Man darf sie bewundern, sollte aber auch verinnerlichen, warum sie im Museum stehen: Weil sie für den täglichen Weg zur Arbeit nicht die beste Wahl sind.

Über den Autor:
Thomas Müller-Martin ist Field Strategist DACH bei Omada Identity,

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Identity and Access Management (IAM)