Omada hat den „State of Identity Governance 2026“ Bericht veröffentlicht, für den 577 IT-Sicherheitsexperten in Unternehmen mit mehr als 1.000 Mitarbeitern befragt wurden. Die Ergebnisse zeigen deutlich: Während die Einführung von KI schnell voranschreitet, entstehen durch unzureichende Identity-Security massive Sicherheitsprobleme.
Unternehmen investieren zwar stark in ihre Identity Governance, wenden Zero-Trust-Prinzipien an und vertrauen ihren Identitäts-Sicherheitsprogrammen. Allerdings bekommt das Management von diesen Risiken nicht viel mit: Bereitstellungsgeschwindigkeit, Audit-Konformität und die Anzahl registrierter Sicherheitsvorfälle stehen meist im Fokus des Reportings. Frühindikatoren für Identitätsrisiken kommen zu oft zu kurz. Das Management kann die Risiken dann nicht mehr vollumfänglich steuern.
Die wichtigsten Ergebnisse des Berichts:
- „Blindflug“ beim Reporting: 71 % der Unternehmen messen, wie schnell sie Zugriffe bereitstellen. Dagegen verfolgen jedoch nur 57 % kritische Risikoindikatoren wie verwaiste oder ungenutzte Konten. Das zeigt: Unternehmen sehen, wie schnell Konten erstellt werden, doch übersehen die Risikokonzentration.
- Nicht-menschliche Identitäten dominieren: In den meisten Unternehmen übersteigen sie menschliche Identitäten im Verhältnis 50:1. Allerdings sind Verantwortung und Rechenschaftspflicht für diese meist auf mehrere Teams verteilt.
- Hohes Vertrauen, wenig Messbarkeit: Führungskräfte vertrauen zwar in die hauseigene Identitätssicherheit. Dennoch erfassen nur wenige auch handfeste Kennzahlen. Wichtige Indikatoren fehlen oft, wie die Abdeckung privilegierter Zugriffe, verwaiste Konten oder wie lange es durchschnittlich dauert, bis Zugriffsrechte entzogen werden.
- KI-Agenten halten Einzug: 85 % der Unternehmen setzen bereits agentenbasierte KI ein oder testen sie. 58 % nennen jedoch „Sicherheitslücken“ als größte Sorge bei der Implementierung.
- Governance zwischen Wahrnehmung und Realität: C-Level-Befragte waren häufiger davon überzeugt, dass strenge Identitätskontrollen für KI-Agenten existieren. Sicherheitsverantwortliche hingegen waren hier wesentlich pessimistischer (48 % gegenüber 35 %). Durch die Kluft zwischen gefühlter und tatsächlicher Compliance wähnen sich viele Entscheider in trügerischer Sicherheit.
- Zero Trust hat festen Stand in der IGA: 95 % der Unternehmen haben Zero Trust in ihrer IGA-Lösung umgesetzt. Interoperabilitätsprobleme zwischen Identitäts- und Sicherheitsplattformen schränken jedoch die einheitliche Sichtbarkeit und Berichterstattung ein.
„Identität ist zum neuen Sicherheitsperimeter geworden. Unsere Untersuchungen zeigen aber, dass viele Führungskräfte blind agieren. Unternehmen setzen KI-Agenten ein, die ihre Angriffsfläche um ein Vielfaches vergrößern, während Führungskräfte nicht über grundlegende Kennzahlen zum sicheren Umgang mit Identitäten verfügen."
„Das ist nicht nur eine Lücke im Reporting, sondern sogar eine potenzielle Governance-Krise. Offene Flanken von diesem Ausmaß haben reale Folgen für die Sicherheit, die Compliance und den Ruf des Unternehmens", kommentiert Lisa Berg Rydsbo, CMO bei Omada Identity.