Was ist IVIP (Identity Visibility                          and Intelligence Platform)?

Eine IVIP (Identity Visibility and Intelligence Platform) beschreibt eine neue Klasse von Sicherheits- und Governance-Lösungen, die eine vollständige, systemübergreifende Transparenz aller Identitäten, Rollen, Berechtigungen und effektiven Zugriffe schaffen sollen. Während klassische IAM-Systeme Identitäten verwalten und Zugriff gewähren, setzt IVIP eine Ebene darüber an: Sie sammelt, normalisiert und korreliert Identitäts- und Berechtigungsdaten aus verschiedensten Quellen – Cloud, On-Premises, SaaS, Directorys, Applikationen, Datenbanken, Maschinenidentitäten – und verbindet diese zu einem einheitlichen Bild. Ziel ist es, Risiken sichtbar zu machen, Überprivilegierung zu reduzieren und Governance-Entscheidungen datengetrieben zu unterstützen. 

Die Idee dahinter ist einfach: Moderne IT-Landschaften sind so fragmentiert, dass ein einzelnes IAM-System nur noch kaum den vollständigen Überblick über Identitäten und Berechtigungen hat. IVIP soll diese Lücke schliessen und mit einfachen Schnittstellen an Informationen gelangen, ohne dass umständliche Anbindungen notwendig sind. Die Plattformen liefern Risikoanalysen, Exposure-Scoring, Abweichungserkennung, Berechtigungs-Landkarten und kontextbasierte Analysen – und bilden damit die Basis für Zero-Trust-Modelle, Least Privilege, Compliance-Audits und automatisierte Policy-Prüfungen. 

Der Begriff IVIP wurde erstmals am 14. Juli 2025 im Gartner Hype Cycle for Digital Identity erwähnt und als neue Kategorie im IAM Universum definiert.

IVIP wird oft als „nächste IAM-Generation“ und damit als Fortschritt dargestellt, doch die Realität ist differenzierter. Es ist wichtig, kritisch zu beleuchten, ob IVIP tatsächlich eine grundlegende Neuerfindung darstellt – oder vielmehr eine Neupositionierung bestehender Konzepte, die durch Cloud, SaaS und Maschinenidentitäten unter Druck geraten sind. 

IVIP adressierten Probleme auf altbekannten IAM-Herausforderungen: unklare Verantwortlichkeiten, Fehlkonfigurationen, Schattenberechtigungen, fehlende Rezertifizierungen. Man könnte argumentieren, dass IVIP in Teilen alter Wein in neuen Schläuchen ist – nur nun besser skaliert, technisch sauberer umgesetzt und an moderne Architekturen angepasst. Die Grundidee, Identitäten ganzheitlich zu betrachten, ist nicht neu. Neu ist jedoch die Massentauglichkeit, Automatisierung, Datenkorrelation und Cloud-Fähigkeit. 

IVIP entsteht gerade jetzt, weil IAM an einen strukturellen Limitpunkt gekommen ist. IAM weist Schwächen auf, weil sie oft verzeichniszentriert, rollenfokussiert und darauf ausgelegt sind, Menschen in lokalen oder klar abgegrenzten Systemen zu verwalten. In einer Welt aus Multi-Cloud, Identity-Fabric, API-Ökosystemen und Short-Lived Credentials wirken sie häufig schlicht überfordert. Die Zahl der Non-Human Identities (NHI), auch Maschinenidentitäten genannt, wächst rasant, Zugriffsrechte explodieren, und Governance-Mechanismen verlieren durch fragmentierte Systeme ihre Wirksamkeit. 

Gleichzeitig rücken Identity-basierte Angriffe und regulatorische Anforderungen stärker in den Fokus von CISOs und Auditoren. IVIP schließt diese Lücke, indem es Identity-Daten konsolidiert, kontextualisiert und in Echtzeit analysierbar macht. Daher ist es kein Zufall, dass IVIP im Jahre 2025 erstmals definiert wurde.

Daher ist es auch kein Zufall, dass nebst Gartner auch KuppingerCole Analysts (ein internationales IT-Analystenhaus, das sich stark auf Cybersecurity, IAM, Zero Trust, GRC und digitale Identitäten spezialisiert hat) am 16. September 2025 in ihrer Advisory Note IVIP: Identity Visibility and Intelligence - Platform or Capabilities geäussert hat. Der lesenswerte Bericht führt aus, weshalb IVIP ein wichtiger Baustein der Identity Fabric jedes Unternehmens ist.

Eine IVIP zeichnet sich durch mehrere Kernfunktionen aus, die sie von klassischen IAM-Systemen unterscheiden: 

• Vollständige Sichtbarkeit (Visibilty) über alle Identitäten – Menschen, Bots, Dienste, APIs, Workloads 

• Systemübergreifende Berechtigungsanalyse, inkl. effektiv genutzter Berechtigungen 

• Normalisierung und Korrelation von Rollen, Gruppen und Zugriffsmodellen 

• Identity Risk Scoring (Intelligence): Erkennen riskanter Identitäten, Rollen oder Berechtigungen 

• Anomalieerkennung durch Musteranalyse 

• Mapping von Identitäten auf Ressourcen, Daten und Systeme, auch in Abhängigkeit zur Datenklassifikation 

• Policy Validation für Zero Trust, Least Privilege und Compliance 

Diese Funktionen wirken wie ein analytisches IAM-„Dach“, das nicht verwaltet, sondern sichtbar macht und bewertet. 

IVIP grenzt sich dadurch ab, dass die nachfolgenden IAM-Disziplinen nicht ersetzt, sondern auf einer höheren Ebene ergänzt werden:

• Identity Governance and Administration (IGA) verwaltet Identitäten, Rollen und Rezertifizierungen
• Privileged Access Management (PAM) schützt hochprivilegierte Zugriffe
• Cloud Infrastructure Entitlement Management (CIEM) analysiert Cloud-spezifische Berechtigungen.
• Customer Identity- and Accessmanagement (CIAM) verwaltet B2B und B2C Identitäten

Entscheidend ist die Integration der IGA, PAM, CIEM und CIAM Daten, kombiniert mit weiteren Quellen wie AD, Entra ID, Workloads, Kubernetes, APIs, SaaS-Anwendungen und Legacy-Systemen. Der Mehrwert liegt in der Zusammenführung und dem kontextuellen Verstehen von Identitäts- und Berechtigungsinformationen.

IVIP kann Zero Trust unterstützen, welches von einem klaren Prinzip lebt: Vertrauen ist keine Voreinstellung, sondern muss bei jeder Aktion neu verdient werden. In diesem Modell wird Identität zum wichtigsten Sicherheitsanker – und genau hier entfaltet IVIP seine grösste Wirkung. Eine Plattform für Identity Visibility and Intelligence liefert die Transparenz und Intelligenz, ohne die Zero Trust in der Praxis kaum umsetzbar ist. Sie zeigt nicht nur, wer worauf Zugriff hat, sondern auch, warum, wie lange und unter welchen Umständen. Diese Kontexttiefe ermöglicht es, dynamische Richtlinien umzusetzen, die sich am tatsächlichen Risiko orientieren statt an statischen Rollen. 

IVIP fungiert damit als analytisches Nervenzentrum: Es beobachtet Identitäts- und Berechtigungsstrukturen kontinuierlich, erkennt Abweichungen, bewertet Risiken und macht sichtbar, wo alte Rollenmodelle und gewachsene Rechteverteilungen nicht mehr zu modernen Sicherheitsanforderungen passen. In Kombination mit Zero-Trust-Engines, Policy-Frameworks und modernen Autorisierungssystemen entsteht ein identitätszentriertes Sicherheitsmodell, das flexibel, nachvollziehbar und widerstandsfähig ist. 

Ein sinnvoller Vergleich ist Identity Security Posture Management (ISPM). Während ISPM primär darauf ausgelegt ist, die Sicherheitslage von Identitäten fortlaufend zu bewerten und Fehlkonfigurationen sichtbar zu machen, geht IVIP breiter: Es analysiert nicht nur Risiken, sondern auch Zusammenhänge, Berechtigungsketten und effektive Zugriffspfade. Man könnte sagen: ISPM ist der präzise medizinische Check, IVIP die vollständige Diagnose inklusive Ursache-Wirkungs-Analyse. Beide Ansätze ergänzen sich hervorragend – IVIP als holistische Sicht, ISPM als präziser Sicherheitsfokus innerhalb derselben Identitätslandschaft. 

Die Einführung einer IVIP bringt Unternehmen spürbare Vorteile – nicht nur im täglichen Betrieb, sondern vor allem in der Compliance- und Governance-Perspektive. Moderne Regulierungen verlangen Transparenz, Nachvollziehbarkeit und den Nachweis, dass Zugriffe kontrolliert, begrenzt und gerechtfertigt sind. Eine IVIP liefert genau diese Evidenzen und schafft eine technische Brücke zwischen abstrakten Anforderungen und konkreter Umsetzung. 

Besonders in hochregulierten Umgebungen zeigt sich der Mehrwert. Standards und Regelwerke wie NIS2, GDPR/DSGVO, ISO 27001, DORA, EHDS oder eIDAS 2.0 verlangen allesamt strukturiertes Identitäts- und Berechtigungsmanagement. IVIP ermöglicht es, Risiken sichtbar zu machen, Rezertifizierungen zu vereinfachen, Rollenmodelle zu überprüfen und kritische Berechtigungen systematisch abzubauen. 

So überzeugend die Vorteile von IVIP sind, die Einführung ist keineswegs trivial und birgt Herausforderungen. Viele Organisationen unterschätzen, wie komplex Identitätsdaten über Jahre oder Jahrzehnte gewachsen sind: Dubletten, verwaiste Accounts, inkonsistente Rollen, historisch bedingte Berechtigungen, fehlende Ownerships oder fragmentierte Systemlandschaften ohne IAM- oder PAM-Anbindung stellen grosse Hürden dar. Die grösste Herausforderung ist dabei selten die Technologie, sondern meist die Datenqualität und der organisatorische Wandel, der damit einhergeht. 

IVIP legt Missstände schonungslos offen – und genau das führt häufig zu Reibung. Technische Teams müssen bereit sein, bestehende Annahmen zu hinterfragen, Verantwortlichkeiten klarer zu definieren und Berechtigungen systematisch zu bereinigen. Auch Legacy-IAM-Landschaften mit unklaren Rollenmodellen oder hart verdrahteten Berechtigungen benötigen Zeit, um transformiert zu werden. Zudem erfordert die Integration unterschiedlichster Datenquellen eine sorgfältige Planung, denn Normalisierung und Korrelation sind nur dann verlässlich, wenn die zugrunde liegenden Daten konsistent sind. 

IVIP ist kein Modetrend, sondern ein struktureller Schritt hin zu einer beherrschbaren, sicheren Identitätslandschaft. Auch wenn vieles nach „alter Wein in neuen Schläuchen“ wirkt, ist die technische Umsetzung erstmals so weit, dass eine ganzheitliche Sicht auf Identitäten realistisch wird. Oftmals können die Grundsätze mit den bestehenden IAM-Lösungen umgesetzt werden oder zumindest teilweise erreicht werden. In einer Welt aus Multi-Cloud, APIs, SaaS und Maschinenidentitäten ist diese Sichtbarkeit nicht mehr optional, sondern zwingend notwendig. 

Wer früh beginnt, Identitätsdaten zu konsolidieren, Berechtigungen zu analysieren und Transparenz zu schaffen, legt ein belastbares Fundament – und vermeidet spätere kostspielige IAM-Refaktorierungen. IVIP ist damit ein strategischer Enabler: nicht als Ersatz bestehender Systeme, sondern als verbindendes Element, das Risiko, Governance und Security zusammenführt. 

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.