Interview mit Dr. Heiko Klarl, CEO von NEXIS

Iden­ti­ty & Access Man­age­ment, Agen­tic AI und die Zukun­ft der Gov­er­nance

• Herr Dr. Klarl, Sie sind CEO von NEXIS — wie sind Sie per­sön­lich zu dem The­ma Iden­ti­ty & Access Man­age­ment gekom­men, und was hat Sie dazu bewogen, mit NEXIS einen eigen­ständi­gen Weg zu gehen statt im Umfeld der großen Anbi­eter zu bleiben?

Ich kan­nte das Nex­is-Team, das Pro­dukt und den Grün­der Dr. Lud­wig Fuchs bere­its aus früher­er Zusam­me­nar­beit. Was mich überzeugt hat, war vor allem das exzel­lente Pro­dukt und das Kun­den­feed­back — das war durchge­hend aus­geze­ich­net, und das ist in unser­er Branche alles andere als selb­stver­ständlich. Nex­is ist ein echter Hid­den Cham­pi­on im Bere­ich Cyber­se­cu­ri­ty und Iden­ti­ty Gov­er­nance — ein Unternehmen mit tech­nis­ch­er Tiefe, loyaler Kun­den­ba­sis und klarem Pro­duk­t­fokus. Das war für mich eine aus­geze­ich­nete neue Heimat.

Rück­blick­end auf das erste Jahr sehe ich mich in dieser Ein­schätzung bestätigt. Das durch­dachte Pro­duk­t­fun­da­ment ermöglicht es uns, Inno­va­tio­nen schnell und gezielt umzuset­zen. Ein konkretes Beispiel: Nex­is ist heute ein­er der führen­den Anbi­eter in der auf­streben­den Kat­e­gorie der Iden­ti­ty Vis­i­bil­i­ty and Intel­li­gence Plat­forms — kurz IVIP — und hat die Def­i­n­i­tion dieser Kat­e­gorie aktiv mit­geprägt.

• NEXIS ist im deutschsprachi­gen Markt mit Ref­eren­zen wie DZ Bank, Union Invest­ment und Infi­neon gut ver­ankert — aber außer­halb dieser Region kaum sicht­bar. Ist das eine bewusste strate­gis­che Entschei­dung, oder ist inter­na­tionales Wach­s­tum der näch­ste Schritt?

Auf den ersten Blick mag das so wirken. Wir arbeit­en bere­its heute mit inter­na­tionalen Unternehmen zusam­men, deren Haupt­sitz häu­fig im deutschsprachi­gen Raum liegt, die aber glob­al operieren. Das ist eine solide Aus­gangs­ba­sis.

Gle­ichzeit­ig befind­en wir uns jet­zt klar in ein­er Expan­sion­sphase. Wir arbeit­en gezielt daran, den europäis­chen Markt zu erschließen — und mit­tel­fristig auch den nor­damerikanis­chen. Die Gespräche mit inter­na­tionalen Unternehmen und poten­ziellen Part­nern laufen, und das Feed­back ist durchge­hend pos­i­tiv. Unser Part­ner­net­zw­erk ist bere­its inter­na­tion­al aufgestellt, neue Part­ner­schaften wur­den geschlossen. In den kom­menden Monat­en wird es hier Konkretes zu bericht­en geben.

Wir haben im DACH-Markt ein starkes Fun­da­ment aufge­baut. Der näch­ste logis­che Schritt ist jet­zt die inter­na­tionale Skalierung.

• NEXIS posi­tion­iert sich als Gov­er­nance-Schicht ober­halb beste­hen­der IAM-Sys­teme — gle­ichzeit­ig ver­sprechen Sie tiefe Inte­gra­tion. Wo zieht NEXIS die Gren­ze zwis­chen Ergänzung und Sub­sti­tu­tion beste­hen­der IAM-Infra­struk­tur?

Für uns ist das eine klare Posi­tion­ierung: NEXIS ist der IVIP-Lay­er, der über beste­hen­den IAM- Sys­te­men liegt. Wir span­nen einen Gov­er­nance-Schirm über eine Vielzahl het­ero­gen­er IAM-Sys­teme und brechen damit beste­hende Silos auf. Unternehmen gewin­nen eine kon­so­li­dierte Sicht auf Iden­titäten und Berech­ti­gun­gen über alle Sys­teme hin­weg — ohne ihre beste­hende Infra­struk­tur anzu­tas­ten. Beste­hende Investi­tio­nen bleiben erhal­ten — das ist ein entschei­den­der Vorteil, denn nie­mand fängt gerne von vorne an.

Diese Sicht ist nicht pas­siv. Mit inte­gri­erten Intel­li­gence- und Action-Capa­bil­i­ties kön­nen Find­ings direkt adressiert und bere­inigt wer­den — ohne Sys­temwech­sel, ohne Medi­en­brüche.

Darüber hin­aus gehen wir einen Schritt weit­er als klas­sis­che IGA-Anbi­eter: Mit der Kon­ver­genz von IAM und GRC verbinden wir Iden­ti­ty Gov­er­nance mit weit­eren Gov­er­nance-Domä­nen — darunter Third-Par­ty Man­age­ment sowie Cyber- und Enter­prise Risk Man­age­ment.

• Die Verbindung von IAM und GRC ist Ihr zen­trales strate­gis­ches Argu­ment. Haben Sie ein gemein­sames Daten­mod­ell für bei­de Domä­nen — oder replizieren Sie IAM-Dat­en in ein sep­a­rates GRC-Mod­ul?

Die Kon­ver­genz von IAM und GRC ist eine struk­turelle Notwendigkeit, die von Experten, Ana­lysten und Kun­den gle­icher­maßen bestätigt wird. Der Treiber dahin­ter ist klar: Mit dem ras­an­ten Anstieg nicht-men­schlich­er Iden­titäten – KI-Agen­ten, Ser­vice Accounts, automa­tisierte Prozesse – reicht klas­sis­ches Iden­ti­ty Man­age­ment nicht mehr aus. Cyber- und Enter­prise-Risiken müssen auf Iden­titäten, Prozesse und die App­lika­tion­s­land­schaft gemappt wer­den. Third-Par­ty Risk gehört eben­so dazu: Unternehmen müssen wis­sen, woher Iden­titäten kom­men – intern, extern, oder von einem KI-Sys­tem.

Um die Frage direkt zu beant­worten: Wir replizieren keine Dat­en zwis­chen ver­schiede­nen Mod­ulen. Unser Daten­mod­ell fol­gt einem Fab­ric-Ansatz – das heißt, wir hal­ten die Dat­en dort, wo sie entste­hen, und stellen sie kon­textbe­zo­gen für unter­schiedliche Use Cas­es bere­it. Ob Iden­ti­ty Gov­er­nance, SoD-Prü­fung oder Risk Assess­ment. Dadurch ver­mei­den wir Redun­danzen und Syn­chro­ni­sa­tion­sprob­leme, die son­st unweiger­lich entste­hen.

• Role Min­ing funk­tion­iert in homo­ge­nen Umge­bun­gen gut. Wie geht NEXIS mit Berech­ti­gungs­land­schaften um, die his­torisch gewach­sen sind — mit Son­der­rollen, undoku­men­tierten Aus­nah­men und Lega­cy-Sys­te­men, wie sie in deutschen Finanzin­sti­tuten die Regel sind?

Das ist genau der Bere­ich, für den NEXIS ursprünglich entwick­elt wurde. NEXIS wurde von Anfang an für reg­ulierte Kun­den in his­torisch gewach­se­nen Umge­bun­gen konzip­iert — also genau für die Land­schaften, an denen klas­sis­che Ansätze scheit­ern.

Mit dem NEXIS Iden­ti­ty Grid bieten wir eine leis­tungsstarke, visuell auf­bere­it­ete Analyse, die nach ver­schiede­nen Kri­te­rien gefiltert wer­den kann. Analyse- und Opti­mierungsal­go­rith­men, auf Basis von Machine Learn­ing und AI zeigen Zusam­men­hänge, Auf­fäl­ligkeit­en und Opti­mierungspo­ten­tial gezielt auf. Busi­ness User, IAM-Teams und Com­pli­ance-Ver­ant­wortliche gewin­nen damit schnell einen struk­turi­erten Überblick — auf Ebene von Abteilun­gen, Teams oder der gesamten Organ­i­sa­tion.

Der Ansatz erken­nt sowohl gemein­same Berech­ti­gungsstruk­turen und Rollen als auch Aus­reißer: Rollen, die nie doku­men­tiert wur­den, die aus früheren Rollen geerbt wur­den, die als Aus­nahme vergeben wur­den und nie bere­inigt wur­den, oder von denen das Unternehmen schlicht nicht wusste, dass sie noch existieren.

Der starke Fokus auf Daten­qual­ität, ana­lytis­che Tiefe und eine außergewöhn­liche Visu­al­isierung ist dabei kein Nice-to-have — er ist der entschei­dende Fak­tor, der unseren Kun­den hil­ft, ihre Berech­ti­gungs­land­schaft wirk­lich zu ver­ste­hen und gezielt zu bere­ini­gen.

• “Erk­lär­bare KI” ist Ihr Begriff für die Anom­alieerken­nung. Was genau bedeutet das für eine interne Revi­sion oder einen BaFin-Prüfer — gibt es prüf­bare Audit-Trails auf Entschei­dungsebene, oder bleibt es bei ein­er nachvol­lziehbaren Ober­fläche?

Explain­able AI bedeutet für uns konkret: Jede Empfehlung, die das Sys­tem ausspricht, wird mit ein­er nachvol­lziehbaren Begrün­dung geliefert. Das gilt für alle zen­tralen Anwen­dungs­fälle — ob SoD-Regeln, die Ver­gabe oder Entzug von Berech­ti­gun­gen auf Iden­titäten oder inner­halb von Rollen, die Bere­ini­gung von Rol­lenbeschrei­bun­gen und ‑namen nach gängi­gen Kon­ven­tio­nen, oder die Aktu­al­isierung von Attribut­en auf Iden­titäten, die sich verän­dert haben.

Die KI schlägt vor — der Men­sch entschei­det. Diese Kom­bi­na­tion aus nachvol­lziehbar­er Begrün­dung und doku­men­tiert­er Entschei­dung schafft das Fun­da­ment für eine revi­sion­ssichere Nutzung — heute. Wir gehen davon aus, dass der Grad der Automa­tisierung kün­ftig weit­er steigen wird, wenn Ver­trauen in die KI-Empfehlun­gen gewach­sen ist.

Das Ergeb­nis: Interne Revi­sio­nen und externe Prüfer — ein­schließlich BaFin-Prü­fun­gen — kön­nen jeden Schritt nachvol­lziehen. Nicht nur die Ober­fläche, son­dern die Entschei­dungslogik dahin­ter.

• Sie unter­schei­den bei KI-Agen­ten zwis­chen Own­er und Data Own­er. Wie bildet das NEXIS Iden­ti­ty Grid diese Tren­nung ab — ins­beson­dere wenn ein Agent auf Dat­en mehrerer Data Own­er zugreift und Berech­ti­gun­gen nicht kon­so­li­diert, son­dern expliz­it getren­nt autorisiert wer­den müssen?

Das ist eine sehr gute Frage — und sie trifft einen der zen­tralen Her­aus­forderun­gen beim Ein­satz von Agen­tic AI in Unternehmen.

Eines ist für uns ein Grund­prinzip: Jed­er Agent muss einen Own­er haben. Kein IT-Asset darf own­er­less sein — jemand muss Ver­ant­wor­tung tra­gen, den Life­cy­cle man­a­gen und entsprechende Poli­cies zuweisen. NEXIS kann hier einen wesentlichen Beitrag leis­ten, indem wir diesen Life­cy­cle struk­turi­ert abbilden und steuer­bar machen.

Ein konkretes Beispiel verdeut­licht die Kom­plex­ität: Stellen Sie sich einen Agen­ten vor, der Ange­bote erstellt. Dieser Agent greift auf Kun­den­dat­en aus dem CRM zu, auf Mar­ket­ing­ma­te­ri­alien aus Share­Point, und auf eine dedi­zierte Pro­pos­al-Soft­ware. All diese Sys­teme haben unter­schiedliche Data Own­er — und der Agent Own­er allein kann nicht über den Zugriff auf diese Dat­en entschei­den. Der Own­er eines Agen­ten ist nicht zwin­gend iden­tisch mit dem Own­er der Dat­en oder App­lika­tio­nen, auf die der Agent zugreift. Daher muss Zugriff expliz­it autorisiert wer­den — und zwar durch die jew­eili­gen Data Own­er.

Der Ide­alzu­s­tand hier ist ein pol­i­cy-basiert­er Ansatz: Zugriff­s­rechte wer­den dynamisch über Poli­cies vergeben, nicht sta­tisch zugewiesen. Das ist die einzig skalier­bare Antwort, wenn Agen­ten um den Fak­tor 50 bis 80 gegenüber men­schlichen Iden­titäten wach­sen.

Die Indus­trie arbeit­et aktiv daran, smarte Ansätze zu entwick­eln — und Nex­is ist hier mit dem NEXIS Iden­ti­ty Grid und unserem Ansatz zur Gov­er­nance von Agen­tic AI bere­its aktiv dabei. Gle­ichzeit­ig sind viele Fra­gen indus­trieweit noch offen: Imper­son­ation, Del­e­ga­tion und Agent-to-Agent-Kom­mu­nika­tion. Unser Anspruch bei Nex­is ist es, an der Spitze dieser Entwick­lung zu ste­hen und kom­mende Stan­dards schnell­st­möglich zu imple­men­tieren — damit unsere Kun­den KI-Agen­ten von Anfang an gov­erned und com­pli­ant ein­set­zen kön­nen.

• Klas­sis­ches IAM ist auf sta­bile Iden­titäten aus­gelegt. KI-Agen­ten sind dynamisch, kon­textsen­si­tiv und kön­nen Sub­agen­ten beauf­tra­gen. Wie weit reicht Ihr NEXIS Iden­ti­ty Grid in tran­si­tive Berech­ti­gungs­del­e­ga­tio­nen hinein — und wo endet die Gov­er­nance?

Das Spiel hat sich grundle­gend verän­dert. Klas­sis­ches IAM war auf Tausende oder besten­falls Hun­dert­tausende men­schliche Iden­titäten aus­gelegt. KI-Agen­ten verän­dern diese Dimen­sion radikal — sie übertr­e­f­fen men­schliche Iden­titäten um den Fak­tor 50 bis 80. Sta­tis­che Berech­ti­gungsmod­elle sind damit schlicht nicht mehr skalier­bar.

Pol­i­cy-basierte Autho­riza­tion Gov­er­nance ist ein­er der wichtig­sten Schritte in diese neue Real­ität. Aber eben­so entschei­dend ist die Kon­ver­genz von IAM und GRC: Agen­ten, die von Drit­tan­bi­etern bezo­gen oder abgeleit­et wur­den, müssen entsprechend gemappt und reg­u­la­torisch ein­ge­ord­net wer­den kön­nen. Ein konkretes Beispiel ist die Daten­klas­si­fizierung: Sie stellt sich­er, dass bes­timmte Agen­ten keinen Zugriff auf hochver­trauliche Dat­en erhal­ten, während andere auss­chließlich mit nicht-ver­traulichem oder öffentlich ver­füg­barem Mate­r­i­al arbeit­en dür­fen.

• SoD-Checks für men­schliche Nutzer set­zen voraus, dass man Duties klar definieren kann. Wie definiert NEXIS die Duties eines KI-Agen­ten — und wer ist bei einem SoD-Ver­stoß durch einen Agen­ten reg­u­la­torisch ver­ant­wortlich: der Own­er, der Data Own­er oder das Unternehmen?

SoD-Con­straints wer­den bei NEXIS auf Ebene von Autho­riza­tion Poli­cies und Meta­dat­en mod­el­liert — das umfasst sowohl sta­tis­che als auch dynamis­che Rollen, aber auch pol­i­cy-basierte Ansätze wie attribute-basierte Zugriff­ss­teuerung. Da Poli­cies sys­temüber­greifend und daten­quel­lenüber­greifend mod­el­liert wer­den, gilt das­selbe Grund­prinzip für Agen­ten wie für men­schliche Iden­titäten: Wenn keine kon­fligieren­den Poli­cies zugewiesen wer­den kön­nen — wed­er an einen Agen­ten noch an einen Men­schen — gibt es keinen SoD-Kon­flikt.

Das eigentliche Risiko liegt nicht im Mod­ell, son­dern in der Pflege: Wer­den Poli­cies nicht kon­se­quent gewartet, entste­ht ein Prob­lem. Genau hier set­zt NEXIS an. Wir stellen Capa­bil­i­ties bere­it, die Busi­ness User dabei unter­stützen, SoD-Poli­cies zu mod­el­lieren und deren Life­cy­cle aktiv zu man­a­gen. Wer­den diese Capa­bil­i­ties kon­se­quent im gesamten Unternehmen einge­set­zt, lassen sich SoD-Kon­flik­te — ob bei men­schlichen Iden­titäten oder KI-Agen­ten — struk­turell ver­mei­den.

Die Frage der reg­u­la­torischen Ver­ant­wor­tung bei einem SoD-Ver­stoß durch einen Agen­ten ist dabei klar: Sie liegt beim Unternehmen — konkret bei den­jeni­gen, die für die Pflege der Poli­cies und das Life­cy­cle Man­age­ment der Agen­ten ver­ant­wortlich sind. Own­er und Data Own­er tra­gen ihre jew­eili­gen Ver­ant­wortlichkeit­en — die über­ge­ord­nete reg­u­la­torische Ver­ant­wor­tung verbleibt jedoch beim Unternehmen.

• Wo sehen Sie NEXIS in fünf Jahren — als spezial­isiert­er IGA-Anbi­eter im deutschsprachi­gen Markt, oder als Gov­er­nance-Plat­tform für eine Unternehmensland­schaft, in der KI-Agen­ten die dom­i­nante Akteurs­form sind?

Die Antwort auf diese Frage begin­nt nicht in fünf Jahren — sie begin­nt heute. NEXIS ist bere­its jet­zt die führende Iden­ti­ty Vis­i­bil­i­ty and Intel­li­gence Plat­form, anerkan­nt von Ana­lysten und geschätzt von unseren Kun­den und Part­nern.

Auf unser­er Inno­va­tion Roadmap ste­ht zum Beispiel ganz konkret die Weit­er­en­twick­lung des The­mas Gov­er­nance für AI Agents. Wir haben bere­its heute schon eine sehr gute Aus­gangs­ba­sis. Diese wollen wir weit­er aus­bauen, um der raschen tech­nol­o­gis­chen Entwick­lung, aber auch aufk­om­menden Stan­dards in diesem Bere­ich Rech­nung zu tra­gen.

Während aktuelle AI Agen­ten in vie­len Bere­ich bei unseren Kun­den erprobt wer­den, so ist zukün­ftig eine funk­tion­ierende Gov­er­nance für den Pro­duk­tiv­be­trieb in der Bre­ite uner­lässlich.

In fünf Jahren wird NEXIS die inter­na­tion­al anerkan­nte, führende IVIP-Plat­tform sein — für men­schliche Iden­titäten, nicht-men­schliche Iden­titäten und KI-Agen­ten gle­icher­maßen. Nicht region­al begren­zt, son­dern glob­al rel­e­vant.

• Herr Dr. Klarl, besten Dank für das Gespräch!

Das Gespräch führte Ralf Keu­per

Zuerst erschienen auf Iden­ti­ty Econ­o­my