April 13, 2026

Interview mit Dr. Heiko Klarl, CEO von NEXIS

Identity & Access Management, Agentic AI und die Zukunft der Governance

  • Herr Dr. Klarl, Sie sind CEO von NEXIS – wie sind Sie persönlich zu dem Thema Identity & Access Management gekommen, und was hat Sie dazu bewogen, mit NEXIS einen eigenständigen Weg zu gehen statt im Umfeld der großen Anbieter zu bleiben?

Dr. Heiko Klarl, CEO von NEXIS

Ich kannte das Nexis-Team, das Produkt und den Gründer Dr. Ludwig Fuchs bereits aus früherer Zusammenarbeit. Was mich überzeugt hat, war vor allem das exzellente Produkt und das Kundenfeedback – das war durchgehend ausgezeichnet, und das ist in unserer Branche alles andere als selbstverständlich. Nexis ist ein echter Hidden Champion im Bereich Cybersecurity und Identity Governance – ein Unternehmen mit technischer Tiefe, loyaler Kundenbasis und klarem Produktfokus. Das war für mich eine ausgezeichnete neue Heimat.

Rückblickend auf das erste Jahr sehe ich mich in dieser Einschätzung bestätigt. Das durchdachte Produktfundament ermöglicht es uns, Innovationen schnell und gezielt umzusetzen. Ein konkretes Beispiel: Nexis ist heute einer der führenden Anbieter in der aufstrebenden Kategorie der Identity Visibility and Intelligence Platforms – kurz IVIP – und hat die Definition dieser Kategorie aktiv mitgeprägt.

  • NEXIS ist im deutschsprachigen Markt mit Referenzen wie DZ Bank, Union Investment und Infineon gut verankert – aber außerhalb dieser Region kaum sichtbar. Ist das eine bewusste strategische Entscheidung, oder ist internationales Wachstum der nächste Schritt?

Auf den ersten Blick mag das so wirken. Wir arbeiten bereits heute mit internationalen Unternehmen zusammen, deren Hauptsitz häufig im deutschsprachigen Raum liegt, die aber global operieren. Das ist eine solide Ausgangsbasis.

Gleichzeitig befinden wir uns jetzt klar in einer Expansionsphase. Wir arbeiten gezielt daran, den europäischen Markt zu erschließen – und mittelfristig auch den nordamerikanischen. Die Gespräche mit internationalen Unternehmen und potenziellen Partnern laufen, und das Feedback ist durchgehend positiv. Unser Partnernetzwerk ist bereits international aufgestellt, neue Partnerschaften wurden geschlossen. In den kommenden Monaten wird es hier Konkretes zu berichten geben.

Wir haben im DACH-Markt ein starkes Fundament aufgebaut. Der nächste logische Schritt ist jetzt die internationale Skalierung.

  • NEXIS positioniert sich als Governance-Schicht oberhalb bestehender IAM-Systeme – gleichzeitig versprechen Sie tiefe Integration. Wo zieht NEXIS die Grenze zwischen Ergänzung und Substitution bestehender IAM-Infrastruktur?

Für uns ist das eine klare Positionierung: NEXIS ist der IVIP-Layer, der über bestehenden IAM- Systemen liegt. Wir spannen einen Governance-Schirm über eine Vielzahl heterogener IAM-Systeme und brechen damit bestehende Silos auf. Unternehmen gewinnen eine konsolidierte Sicht auf Identitäten und Berechtigungen über alle Systeme hinweg – ohne ihre bestehende Infrastruktur anzutasten. Bestehende Investitionen bleiben erhalten – das ist ein entscheidender Vorteil, denn niemand fängt gerne von vorne an.

Diese Sicht ist nicht passiv. Mit integrierten Intelligence- und Action-Capabilities können Findings direkt adressiert und bereinigt werden – ohne Systemwechsel, ohne Medienbrüche.

Darüber hinaus gehen wir einen Schritt weiter als klassische IGA-Anbieter: Mit der Konvergenz von IAM und GRC verbinden wir Identity Governance mit weiteren Governance-Domänen – darunter Third-Party Management sowie Cyber- und Enterprise Risk Management.

  • Die Verbindung von IAM und GRC ist Ihr zentrales strategisches Argument. Haben Sie ein gemeinsames Datenmodell für beide Domänen – oder replizieren Sie IAM-Daten in ein separates GRC-Modul?

Die Konvergenz von IAM und GRC ist eine strukturelle Notwendigkeit, die von Experten, Analysten und Kunden gleichermaßen bestätigt wird. Der Treiber dahinter ist klar: Mit dem rasanten Anstieg nicht-menschlicher Identitäten – KI-Agenten, Service Accounts, automatisierte Prozesse – reicht klassisches Identity Management nicht mehr aus. Cyber- und Enterprise-Risiken müssen auf Identitäten, Prozesse und die Applikationslandschaft gemappt werden. Third-Party Risk gehört ebenso dazu: Unternehmen müssen wissen, woher Identitäten kommen – intern, extern, oder von einem KI-System.

Um die Frage direkt zu beantworten: Wir replizieren keine Daten zwischen verschiedenen Modulen. Unser Datenmodell folgt einem Fabric-Ansatz – das heißt, wir halten die Daten dort, wo sie entstehen, und stellen sie kontextbezogen für unterschiedliche Use Cases bereit. Ob Identity Governance, SoD-Prüfung oder Risk Assessment. Dadurch vermeiden wir Redundanzen und Synchronisationsprobleme, die sonst unweigerlich entstehen.

  • Role Mining funktioniert in homogenen Umgebungen gut. Wie geht NEXIS mit Berechtigungslandschaften um, die historisch gewachsen sind – mit Sonderrollen, undokumentierten Ausnahmen und Legacy-Systemen, wie sie in deutschen Finanzinstituten die Regel sind?

Das ist genau der Bereich, für den NEXIS ursprünglich entwickelt wurde. NEXIS wurde von Anfang an für regulierte Kunden in historisch gewachsenen Umgebungen konzipiert – also genau für die Landschaften, an denen klassische Ansätze scheitern.

Mit dem NEXIS Identity Grid bieten wir eine leistungsstarke, visuell aufbereitete Analyse, die nach verschiedenen Kriterien gefiltert werden kann. Analyse- und Optimierungsalgorithmen, auf Basis von Machine Learning und AI zeigen Zusammenhänge, Auffälligkeiten und Optimierungspotential gezielt auf. Business User, IAM-Teams und Compliance-Verantwortliche gewinnen damit schnell einen strukturierten Überblick – auf Ebene von Abteilungen, Teams oder der gesamten Organisation.

Der Ansatz erkennt sowohl gemeinsame Berechtigungsstrukturen und Rollen als auch Ausreißer: Rollen, die nie dokumentiert wurden, die aus früheren Rollen geerbt wurden, die als Ausnahme vergeben wurden und nie bereinigt wurden, oder von denen das Unternehmen schlicht nicht wusste, dass sie noch existieren.

Der starke Fokus auf Datenqualität, analytische Tiefe und eine außergewöhnliche Visualisierung ist dabei kein Nice-to-have – er ist der entscheidende Faktor, der unseren Kunden hilft, ihre Berechtigungslandschaft wirklich zu verstehen und gezielt zu bereinigen.

  • “Erklärbare KI” ist Ihr Begriff für die Anomalieerkennung. Was genau bedeutet das für eine interne Revision oder einen BaFin-Prüfer – gibt es prüfbare Audit-Trails auf Entscheidungsebene, oder bleibt es bei einer nachvollziehbaren Oberfläche?

Explainable AI bedeutet für uns konkret: Jede Empfehlung, die das System ausspricht, wird mit einer nachvollziehbaren Begründung geliefert. Das gilt für alle zentralen Anwendungsfälle – ob SoD-Regeln, die Vergabe oder Entzug von Berechtigungen auf Identitäten oder innerhalb von Rollen, die Bereinigung von Rollenbeschreibungen und -namen nach gängigen Konventionen, oder die Aktualisierung von Attributen auf Identitäten, die sich verändert haben.

Die KI schlägt vor – der Mensch entscheidet. Diese Kombination aus nachvollziehbarer Begründung und dokumentierter Entscheidung schafft das Fundament für eine revisionssichere Nutzung – heute. Wir gehen davon aus, dass der Grad der Automatisierung künftig weiter steigen wird, wenn Vertrauen in die KI-Empfehlungen gewachsen ist.

Das Ergebnis: Interne Revisionen und externe Prüfer – einschließlich BaFin-Prüfungen – können jeden Schritt nachvollziehen. Nicht nur die Oberfläche, sondern die Entscheidungslogik dahinter.

  • Sie unterscheiden bei KI-Agenten zwischen Owner und Data Owner. Wie bildet das NEXIS Identity Grid diese Trennung ab – insbesondere wenn ein Agent auf Daten mehrerer Data Owner zugreift und Berechtigungen nicht konsolidiert, sondern explizit getrennt autorisiert werden müssen?

Das ist eine sehr gute Frage – und sie trifft einen der zentralen Herausforderungen beim Einsatz von Agentic AI in Unternehmen.

Eines ist für uns ein Grundprinzip: Jeder Agent muss einen Owner haben. Kein IT-Asset darf ownerless sein – jemand muss Verantwortung tragen, den Lifecycle managen und entsprechende Policies zuweisen. NEXIS kann hier einen wesentlichen Beitrag leisten, indem wir diesen Lifecycle strukturiert abbilden und steuerbar machen.

Ein konkretes Beispiel verdeutlicht die Komplexität: Stellen Sie sich einen Agenten vor, der Angebote erstellt. Dieser Agent greift auf Kundendaten aus dem CRM zu, auf Marketingmaterialien aus SharePoint, und auf eine dedizierte Proposal-Software. All diese Systeme haben unterschiedliche Data Owner – und der Agent Owner allein kann nicht über den Zugriff auf diese Daten entscheiden. Der Owner eines Agenten ist nicht zwingend identisch mit dem Owner der Daten oder Applikationen, auf die der Agent zugreift. Daher muss Zugriff explizit autorisiert werden – und zwar durch die jeweiligen Data Owner.

Der Idealzustand hier ist ein policy-basierter Ansatz: Zugriffsrechte werden dynamisch über Policies vergeben, nicht statisch zugewiesen. Das ist die einzig skalierbare Antwort, wenn Agenten um den Faktor 50 bis 80 gegenüber menschlichen Identitäten wachsen.

Die Industrie arbeitet aktiv daran, smarte Ansätze zu entwickeln – und Nexis ist hier mit dem NEXIS Identity Grid und unserem Ansatz zur Governance von Agentic AI bereits aktiv dabei. Gleichzeitig sind viele Fragen industrieweit noch offen: Impersonation, Delegation und Agent-to-Agent-Kommunikation. Unser Anspruch bei Nexis ist es, an der Spitze dieser Entwicklung zu stehen und kommende Standards schnellstmöglich zu implementieren – damit unsere Kunden KI-Agenten von Anfang an governed und compliant einsetzen können.

  • Klassisches IAM ist auf stabile Identitäten ausgelegt. KI-Agenten sind dynamisch, kontextsensitiv und können Subagenten beauftragen. Wie weit reicht Ihr NEXIS Identity Grid in transitive Berechtigungsdelegationen hinein – und wo endet die Governance?

Das Spiel hat sich grundlegend verändert. Klassisches IAM war auf Tausende oder bestenfalls Hunderttausende menschliche Identitäten ausgelegt. KI-Agenten verändern diese Dimension radikal – sie übertreffen menschliche Identitäten um den Faktor 50 bis 80. Statische Berechtigungsmodelle sind damit schlicht nicht mehr skalierbar.

Policy-basierte Authorization Governance ist einer der wichtigsten Schritte in diese neue Realität. Aber ebenso entscheidend ist die Konvergenz von IAM und GRC: Agenten, die von Drittanbietern bezogen oder abgeleitet wurden, müssen entsprechend gemappt und regulatorisch eingeordnet werden können. Ein konkretes Beispiel ist die Datenklassifizierung: Sie stellt sicher, dass bestimmte Agenten keinen Zugriff auf hochvertrauliche Daten erhalten, während andere ausschließlich mit nicht-vertraulichem oder öffentlich verfügbarem Material arbeiten dürfen.

  • SoD-Checks für menschliche Nutzer setzen voraus, dass man Duties klar definieren kann. Wie definiert NEXIS die Duties eines KI-Agenten – und wer ist bei einem SoD-Verstoß durch einen Agenten regulatorisch verantwortlich: der Owner, der Data Owner oder das Unternehmen?

SoD-Constraints werden bei NEXIS auf Ebene von Authorization Policies und Metadaten modelliert – das umfasst sowohl statische als auch dynamische Rollen, aber auch policy-basierte Ansätze wie attribute-basierte Zugriffssteuerung. Da Policies systemübergreifend und datenquellenübergreifend modelliert werden, gilt dasselbe Grundprinzip für Agenten wie für menschliche Identitäten: Wenn keine konfligierenden Policies zugewiesen werden können – weder an einen Agenten noch an einen Menschen – gibt es keinen SoD-Konflikt.

Das eigentliche Risiko liegt nicht im Modell, sondern in der Pflege: Werden Policies nicht konsequent gewartet, entsteht ein Problem. Genau hier setzt NEXIS an. Wir stellen Capabilities bereit, die Business User dabei unterstützen, SoD-Policies zu modellieren und deren Lifecycle aktiv zu managen. Werden diese Capabilities konsequent im gesamten Unternehmen eingesetzt, lassen sich SoD-Konflikte – ob bei menschlichen Identitäten oder KI-Agenten – strukturell vermeiden.

Die Frage der regulatorischen Verantwortung bei einem SoD-Verstoß durch einen Agenten ist dabei klar: Sie liegt beim Unternehmen – konkret bei denjenigen, die für die Pflege der Policies und das Lifecycle Management der Agenten verantwortlich sind. Owner und Data Owner tragen ihre jeweiligen Verantwortlichkeiten – die übergeordnete regulatorische Verantwortung verbleibt jedoch beim Unternehmen.

  • Wo sehen Sie NEXIS in fünf Jahren – als spezialisierter IGA-Anbieter im deutschsprachigen Markt, oder als Governance-Plattform für eine Unternehmenslandschaft, in der KI-Agenten die dominante Akteursform sind?

Die Antwort auf diese Frage beginnt nicht in fünf Jahren – sie beginnt heute. NEXIS ist bereits jetzt die führende Identity Visibility and Intelligence Platform, anerkannt von Analysten und geschätzt von unseren Kunden und Partnern.

Auf unserer Innovation Roadmap steht zum Beispiel ganz konkret die Weiterentwicklung des Themas Governance für AI Agents. Wir haben bereits heute schon eine sehr gute Ausgangsbasis. Diese wollen wir weiter ausbauen, um der raschen technologischen Entwicklung, aber auch aufkommenden Standards in diesem Bereich Rechnung zu tragen.

Während aktuelle AI Agenten in vielen Bereich bei unseren Kunden erprobt werden, so ist zukünftig eine funktionierende Governance für den Produktivbetrieb in der Breite unerlässlich.

In fünf Jahren wird NEXIS die international anerkannte, führende IVIP-Plattform sein – für menschliche Identitäten, nicht-menschliche Identitäten und KI-Agenten gleichermaßen. Nicht regional begrenzt, sondern global relevant.

  • Herr Dr. Klarl, besten Dank für das Gespräch!

Das Gespräch führte Ralf Keuper

Ähnliche Beiträge:

  1. “Privatheit wird zum Luxus” – Interview mit Rolf Schwartmann
  2. Interview mit Rupert Spiegelberg (IDnow)
  3. Zukunftsmarkt Internet of Payments / IoT-Payments: Interview mit Joachim Dorschel (DPS Gruppe)
  4. TOGETHER – Eine Meetinglösung für effektive Entscheidungsprozesse
Zum Seitenanfang
Mobil Desktop