IBM Security Verify EU Alternative 2026: GDPR-Compliant IAM/IGA Without IBM Federal Risk
Post #1211 in der sota.io EU Cyber Compliance Series
IBM Security Verify ist IBMs cloudbasierte IAM- und IGA-Plattform — ein Nachfolger von IBM Cloud Identity (bis 2020) und dem älteren Tivoli Identity Manager. Das Produkt deckt SSO, MFA, User Lifecycle Management und Access Governance ab und positioniert sich als Enterprise-IAM-Komplettlösung. Hinter dem IBM-Branding steht jedoch IBM Corporation, eine der ältesten und bedeutendsten US-Technologiefirmen, die seit Jahrzehnten einer der größten US-Regierungsauftragnehmer weltweit ist.
Genau das macht IBM Security Verify zu einem CLOUD Act-Hochrisiko-System der besonderen Art: Nicht nur wegen der Standard-US-Jurisdiktion (IBM Corp. ist in New York State incorporiert), sondern wegen IBMs tiefer struktureller Verflechtung mit US-Bundesbehörden durch IBM Federal, IBMs Watson AI-Analytics in der Verify-Plattform und IBMs historischer Kooperation mit US-Nachrichtendiensten. IBM Security Verify erhält in diesem Post einen CLOUD Act-Score von 20/25 — den höchsten in der EU-IGA-Serie.
Dieser Post analysiert IBMs CLOUD Act-Profil im Kontext von IAM/IGA, die Watson-AI-Komponente und ihre GDPR-Art.22-Implikationen, und stellt EU-native Alternativen vor.
IBM Security Verify: Produktportfolio und technische Architektur
IBM Security Verify ist kein einzelnes Produkt, sondern ein Portfolio mit drei Kernkomponenten, die unterschiedliche GDPR-Risikoprofile erzeugen:
IBM Security Verify SaaS (ehemals IBM Cloud Identity)
- Single Sign-On (SSO): SAML 2.0, OIDC, OAuth 2.0
- Multi-Factor Authentication (MFA): TOTP, Push, Biometrie, FIDO2
- User Lifecycle Management: Provisioning/Deprovisioning via SCIM
- Consumer IAM (CIAM): Kundendaten-Authentifizierung und Registrierung
- IBM Verify Trust Score: KI-basiertes Risikomodell für Authentifizierungsentscheidungen
IBM Verify Access (ehemals IBM Security Access Manager / ISAM)
- On-Premise IAM-Gateway
- WebSEAL Reverse Proxy für Legacy-Anwendungen
- API-Gateway-Funktionalität
- Migration aus WebSEAL auf Container-basierte Architektur
- Kritisch: Support-Verbindungen zu IBM laufen auch bei On-Premise über IBM-US-Infrastruktur
IBM Security Verify Governance (ehemals IBM Security Identity Governance and Intelligence / IGI)
- Identity Governance und Administration (IGA)
- Role-Based Access Control (RBAC) mit Role Mining
- Access Certification und Entitlement Reviews
- Segregation of Duties (SoD) Management
- Risk-basiertes Provisioning mit AI-Anomalieerkennung
IBM Security QRadar-Integration
- Verify-Identitätsdaten fließen in IBM Security QRadar SIEM
- User Behavior Analytics (UBA): Verhaltens-Baseline für Nutzer
- Integration: Verify Governance → QRadar → SOAR-Automatisierung
- Datenpfad: EU-Identitätsdaten → IBM QRadar Analyze Services (US Cloud)
Diese Architektur — cloudnatives IAM über Verify SaaS, kombiniert mit AI-gestützter Anomalieerkennung und SIEM-Integration — erzeugt mehrere parallele GDPR-Datenflüsse zu US-IBM-Infrastruktur, die EU-Unternehmen nur schwer unterbinden können.
Was macht IBM Security Verify zum GDPR-Hochrisiko-System?
Die GDPR-Risiken bei IBM Security Verify ergeben sich nicht nur aus der US-Jurisdiktion, sondern aus fünf spezifischen IBM-Merkmalen:
1. IBM Federal — Strukturelle US-Regierungsnähe IBM Federal ist IBMs Geschäftseinheit für US-Bundesbehörden. IBM ist einer der größten IT-Auftragnehmer für:
- US Department of Defense (DoD): IBM Cloud for Government, IBM Consulting Federal
- Intelligence Community (IC): Bekannte Verträge mit NSA, CIA, DIA
- US Department of Homeland Security (DHS): IBM Security-Lösungen im DHS-Stack
- Federal Bureau of Investigation (FBI): IBM Mainframe-Infrastruktur im FBI-Backend
Diese tiefen Behördenverbindungen erhöhen das CLOUD Act §2713-Risiko qualitativ: Bei einem IBM-Federal-Kunden, der parallel Verify SaaS nutzt, entsteht eine Situation, in der US-Behörden nicht nur CLOUD Act-Orders stellen könnten, sondern auch auf bestehende Behörden-Kooperationskanäle mit IBM zurückgreifen könnten.
2. IBM Cloud und PRISM-Kontext IBM ist kein formales PRISM-Unternehmen (die bestätigten PRISM-Teilnehmer sind Google, Microsoft, Yahoo, Facebook, Apple, AOL, Skype, YouTube, Dropbox). Aber IBM Cloud ist US-Infrastruktur mit FISA 702-Exposition, und IBM's Kooperationsgeschichte mit NSA geht zurück auf die frühen SIGINT-Programme der 1960er Jahre — IBM-Mainframes wurden von NSA für Kryptanalyse verwendet.
Für EU-Unternehmen ist relevant: IBM Cloud (auf dem Verify SaaS läuft) hat FedRAMP Authorization — was bedeutet, dass US-Regierungsbehörden IBM Cloud nutzen dürfen und IBM damit US-Sicherheitsanforderungen erfüllt.
3. Watson AI Trust Score — GDPR Art.22-Konflikt IBM Verify integriert IBM Watson-basierte Risikoanalyse für Authentifizierungsentscheidungen:
- Trust Score: KI-basierte Echtzeit-Risikobewertung bei jedem Login-Versuch
- Faktoren: Geräte-Fingerprint, Netzwerk-Anomalien, Verhaltens-Baseline, Geo-Velocity
- Entscheidungsautomatisierung: Trust Score < Schwellenwert → automatisch MFA-Challenge oder Account-Sperre
Dies ist eine automatisierte Entscheidung mit rechtlicher Wirkung (Account-Zugang) basierend auf KI-Verarbeitung — GDPR Art.22(1): "Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet."
IBMs Datenschutzerklärung für Verify gibt an, dass Trust-Score-Modelle auf IBM Cloud trainiert und inferenced werden — US-Jurisdiktion für den Entscheidungsalgorithmus.
4. User Behavior Analytics (UBA) über IBM QRadar Wenn IBM Security Verify Governance mit IBM QRadar integriert ist (IBM-empfohlene Architektur):
- Identitätsdaten + Zugriffshistorie fließen zu IBM QRadar
- QRadar UBA erstellt Verhaltensprofile aller überwachten Nutzer
- IBM QRadar Advisor with Watson: Weitere KI-Analyse der Verhaltensdaten
- Datenpfad: EU-Nutzer → Verify Governance → QRadar → Watson → Analyse-Ergebnisse
EU-Nutzer-Verhaltensdaten unter IBM US-KI-Analyse ist ein direktes GDPR Art.22-Risiko — und unter CLOUD Act §2713 potentiell US-Behörden zugänglich.
5. SCIM-Provisioning und Drittanbieter-Anbindungen IBM Verify Governance SCIM-Provisioning zu Business-Anwendungen läuft über IBM Cloud Infrastructure:
- Jede Provisioning-Aktion (Benutzer anlegen, Rechte vergeben) wird über IBM Cloud-Infrastruktur geroutet
- IBM Support-Teams (weltweit, inklusive IBM Federal-nahes Personal) haben potentiellen Support-Zugang
- Audit-Logs der Provisioning-Aktivitäten: In IBM Cloud (US-Jurisdiction) gespeichert, auch wenn Target-Anwendung EU-only ist
IBM Corporation — CLOUD Act Risiko: 20/25
Unternehmensstruktur
| Merkmal | Detail |
|---|---|
| Rechtsform | IBM Corporation |
| Gründungsstaat | New York State (Incorporation) |
| Börse | NYSE: IBM |
| Hauptsitz | Armonk, Westchester County, New York, USA |
| Umsatz | ~$62 Milliarden (2023) |
| Mitarbeiter | ~282.000 weltweit |
| EU-Tochter | IBM Deutschland GmbH (Ehningen), IBM France SAS, IBM Nederland B.V. etc. |
| Spinn-offs | Kyndryl (2021: Managed Infrastructure Services), HCL (einige Produkte 2019) |
IBM Federal — Die entscheidende CLOUD Act-Dimension
IBM Federal ist IBMs dedizierte Einheit für US-Bundesbehörden:
Bekannte US-Regierungsverträge:
- NSA: IBM Mainframes in NSA-Rechenzentren (historisch dokumentiert). Aktuell: IBM Cloud for Government bei Intelligence Community-Kunden.
- DoD: IBM Cloud for Government (FedRAMP High). Multi-billion-Dollar DoD-Verträge für IT-Modernisierung.
- DHS: IBM Security-Lösungen im DHS Continuous Diagnostics and Mitigation (CDM)-Programm.
- VA/SSA: IBM Consulting für Veterans Affairs und Social Security Administration.
- Census Bureau: IBM Infrastruktur für US-Volkszählung.
Warum IBM Federal CLOUD Act-Risiko erhöht: IBM Federal-Mitarbeiter arbeiten mit US-Sicherheitsclearances (TS/SCI für manche Rollen). Diese Clearances erlauben Zugang zu klassifizierten US-Regierungsinformationen — und schaffen eine strukturelle Nähe zu US-Behördenbedürfnissen, die bei einem rein kommerziellen Softwareanbieter nicht existiert.
Wenn US-Behörden ein CLOUD Act §2713-Ersuchen an IBM stellen, können sie auf IBM-Mitarbeiter zurückgreifen, die bereits US-Behörden-Clearances haben und mit IBM-Federal-Prozessen vertraut sind. Das ist keine spekulative Gefahr — es ist eine strukturelle Realität der IBM-Behörden-Kooperation.
CLOUD Act Risiko-Assessment (20/25)
| Dimension | Score | Begründung |
|---|---|---|
| US-Parent-Jurisdiktion | 5/5 | IBM Corp. New York State = CLOUD Act §2713 voll anwendbar |
| Infrastruktur-Kontrolle | 4/5 | IBM Verify SaaS läuft auf IBM Cloud (globale POPs, US-Kontrolle). FedRAMP-Authorization bestätigt US-Regierungs-Compliance. |
| Government Contracts | 5/5 | IBM Federal = einer der größten US-Regierungs-IT-Auftragnehmer weltweit. Tiefer IC-Nexus (NSA/CIA/DHS/DoD). |
| PE/Investor-Struktur | 1/5 | NYSE-börsennotiert, kein PE. Breite Aktionärsbasis reduziert gezielte Investor-CLOUD Act-Exposition. |
| Analytics-Scope | 5/5 | Watson AI Trust Score + QRadar UBA = KI verarbeitet EU-Identitätsdaten auf US-Cloud. GDPR Art.22-Konflikt direkt. |
| Gesamt | 20/25 | Sehr hoch |
Warum 20/25 — IBMs strukturelle Besonderheit: IBM Security Verify erreicht den höchsten Score in der EU-IGA-Serie. Der Unterschied zu SailPoint (19/25) ist nicht die CLOUD Act §2713-Basis-Exposition — die ist bei allen US-Anbietern identisch — sondern IBMs einzigartiger US-Behörden-Nexus durch IBM Federal. Kein anderer IGA-Anbieter hat diese strukturelle Nähe zu US-Nachrichtendiensten und Strafverfolgungsbehörden durch einen dedizierten Federal-Business-Unit mit TS/SCI-Clearance-Mitarbeitern.
GDPR Art.22 und Watson AI — Spezifisches Rechtsrisiko
Watson-basierte Trust Scores und QRadar UBA-Entscheidungen sind automatisierte Verarbeitungen mit Wirkung auf EU-Betroffene:
Direktes Art.22-Problem:
- Ein IBM Verify Trust Score, der automatisch einen Account sperrt oder MFA-Pflicht erzwingt, ist eine "ausschließlich automatisierte Entscheidung" im Sinne von Art.22(1) DSGVO.
- IBM Watson-Modell läuft auf IBM Cloud (US): Die Entscheidungsgrundlage liegt außerhalb EU-Jurisdiktion.
- Betroffenenrechte nach Art.22(3): Recht auf menschliche Überprüfung, Darlegung des eigenen Standpunkts, Anfechtung.
Praktisches Compliance-Problem: IBM stellt für Verify Trust Score keine vollständige Erklärbarkeit der Watson-Entscheidung bereit (proprietäres ML-Modell). GDPR Art.22(3) verlangt jedoch, dass Betroffene ihr Recht auf Erklärung der Entscheidungslogik ausüben können — bei Black-Box-Watson-Modellen strukturell schwierig.
IBM Security Verify Governance — IGA-spezifische GDPR-Risiken
IBM Verify Governance (ehemals IGI) hat als IGA-Plattform spezifische Datenkategorien:
Entitlement-Daten und ihre Sensitivität
| Datenkategorie | IBM Verify Governance | GDPR-Relevanz |
|---|---|---|
| Rollen-Zuweisungen | Welche Rollen/Gruppen hat welcher User | Art.5(1)(c): Datensparsamkeit bei Zugriffshistorie |
| Access Certification Records | Wer hat wessen Zugriffsrechte wann zertifiziert | Behavioral Data: Management-Entscheidungen |
| SoD-Violations | Welche Nutzer haben konfliktäre Berechtigungen | Personalrelevant: Basis für Disziplinarmaßnahmen |
| Risk Scores per User | IBM-berechnetete Risikowerte für einzelne Identitäten | Art.22: Automatisierte Bewertung |
| Provisioning History | Vollständige Zeitreihe aller Berechtigungsänderungen | Retention: Wie lange → Art.5(1)(e) Speicherlimitierung |
Role Mining und GDPR Art.5(1)(c)
IBM Verify Governance bietet Role Mining — automatische Ableitung von RBAC-Rollen aus tatsächlichem Nutzungsverhalten:
- Role Mining analysiert: Welche Berechtigungen hat welcher Nutzer, welche Muster zeigen sich
- Datengrundlage: Vollständige Zugriffshistorie aller Nutzer über typisch 6-12 Monate
- Problem: Diese Massenanalyse von Berechtigungsmustern läuft auf IBM Cloud — Datensparsamkeit GDPR Art.5(1)(c) ist fraglich
NIS2 Art.21(2)(d) Lieferkettenproblem: Wenn IBM Verify Governance als Drittanbieter in der IAM-Lieferkette eingesetzt wird, entstehen NIS2-Pflichten für die Überwachung des IGA-Anbieters selbst. IBM als US-Großkonzern mit Federal-Nexus — kritische Infrastrukturbetreiber (KRITIS/NIS2) sollten diese Lieferkettendependenz explizit in ihr NIS2 Art.21(2)(d) Supply-Chain-Risikomanagement aufnehmen.
EU-native Alternativen zu IBM Security Verify
Omada Identity — EU-Native IGA-Marktführer
Unternehmen: Omada A/S, Kopenhagen, Dänemark
| Merkmal | Detail |
|---|---|
| Rechtsform | Aktieselskab (A/S) |
| Gründungsland | Dänemark (EU) |
| Hauptsitz | Kopenhagen, Dänemark |
| PE-Backing | Accel-KKR (US PE) — aber operativ dänisch, Daten in EU |
| Börsenstatus | Nicht börsennotiert (Private) |
| CLOUD Act-Score | 4/25 (US PE-Investor erhöht Score leicht) |
| Kernprodukt | Omada Identity Cloud (IGA SaaS) |
Omada Identity Cloud — Hauptmerkmale:
- Identity Governance: Access Certification, SoD Management, Role Management
- User Lifecycle: Joiner/Mover/Leaver-Prozesse mit HR-System-Integration
- Access Request Management: Self-Service-Portal mit Genehmigungsworkflows
- AI-basiertes Role Mining: Ähnlich IBM, aber Daten in EU-Rechenzentren (Azure West Europe)
- Connectors: 120+ Business-Anwendungen (SAP, Salesforce, ServiceNow, Microsoft 365)
Warum Omada als IBM-Alternative: Omada positioniert sich explizit als enterprise-grade IGA für den europäischen Markt. ISO/IEC 27001-Zertifizierung, GDPR Data Processing Agreements (DPA) nach EU-Standard, Datenhaltung in Amsterdam (Azure West Europe). Accel-KKR als US-PE-Investor erhöht den CLOUD Act-Score auf 4/25 (vs. 0/25 bei rein europäischem Eigentümer) — aber die operative und datenbezogene EU-Kontrolle ist deutlich besser als bei IBM.
Migrationspfad IBM Verify Governance → Omada:
- Export: IBM Verify Governance Role-Catalog exportieren (CSV/REST API)
- Mapping: IBM-Rollen → Omada-Rollen-Taxonomie (Omada-Consulting unterstützt)
- Connector-Setup: Omada Connectors für SAP/MS365/Salesforce konfigurieren
- Access Certification Migration: Bestehende Certification-Kampagnen in Omada neu aufsetzen
- Cut-over: IAM-Daten zu Omada migrieren, IBM Verify Governance Deprovisioning
Eviden (ehemals Evidian / Atos) — Französische IGA-Tradition
Unternehmen: Eviden SAS (früher Atos IT Solutions and Services SAS), Paris, Frankreich
| Merkmal | Detail |
|---|---|
| Rechtsform | SAS (Société par Actions Simplifiée) |
| Muttergesellschaft | Eviden (Atos SE Spin-off 2023, EU-börsennotiert) |
| Börsenstatus | Eviden SAS privat; Atos SE (Eviden-Parent) Euronext Paris: ATO |
| Hauptsitz | Les Clayes-sous-Bois, Yvelines, Frankreich |
| CLOUD Act-Score | 0/25 (kein US-Parent, kein US-PE) |
| Kernprodukt | Evidian IAM Suite (WebSSO + IGA + PAM) |
Evidian IAM Suite — Hauptmerkmale:
- WebSSO: Single Sign-On für Web-Applikationen (SAML, OIDC, WS-Fed)
- Identity Manager: IGA-Kernmodul (Provisioning, Access Governance)
- IAM Suite für SAP: Native SAP-Integration (SAP-Connector, S/4HANA)
- MyExtranet: Self-Service-Portal für Access Requests
- Branchenexpertise: Banking (BNP Paribas, Société Générale), Verteidigung (Thales, Airbus)
Stärken von Evidian für EU-Unternehmen:
- 0/25 CLOUD Act-Score: Kein US-Parent, kein US-PE, vollständig EU-Konzern
- ANSSI-Zertifizierung: Evidian WebSSO ist von der französischen ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) zertifiziert — höchste europäische Sicherheitszertifizierung für IAM
- NATO-Einsatz: Evidian läuft in NATO-Infrastruktur — höchster Souveränitätsnachweis
- On-Premise-First: Evidian primär als On-Premise-Deployment konzipiert
Einschränkungen:
- Cloud-Reife: Evidian IAM Suite ist stärker On-Premise als Cloud-native; SaaS-Option weniger ausgereift als IBM Verify
- UI/UX: Entwicklerorientiertes Interface, weniger poliert als IBM Verify
- Integration: Weniger Out-of-the-Box-Connectors als IBM (120+ bei Omada, ~50+ bei Evidian)
Beta Systems IAM — Deutsches Mittelstands-IGA
Unternehmen: Beta Systems Software AG, Berlin, Deutschland
| Merkmal | Detail |
|---|---|
| Rechtsform | Aktiengesellschaft (AG) |
| Börse | Freiverkehr Berlin (nicht SDAX/MDAX) |
| Hauptsitz | Berlin, Deutschland |
| CLOUD Act-Score | 0/25 (deutsches Unternehmen, kein US-Nexus) |
| Kernprodukt | Beta Systems GARANCY IAM Suite |
Beta Systems GARANCY IAM Suite:
- GARANCY Identity Suite: Core IGA (Provisioning, Access Governance)
- GARANCY Access Management: RBAC, SoD-Management, Role Certification
- GARANCY Compliance: Audit-Reporting, GRC-Integration
- Stärke: KRITIS-Betreiber, Bundesbehörden, Versicherungen in Deutschland
- BSI-IT-Grundschutz-Alignment: Native Unterstützung des deutschen BSI-Standards
Warum Beta Systems für KRITIS/Deutsche Behörden: Beta Systems ist primär für den deutschsprachigen Markt positioniert — Kunden sind Bundes- und Landesbehörden, KRITIS-Betreiber (Energieversorger, Banken), mittelständische Industrie. Kein US-Nexus, BSI-Grundschutz-Alignment, On-Premise-Deployment als Standard.
Einschränkungen:
- International: Beta Systems hat kaum Kundenbasis außerhalb DACH + Benelux
- Produktmoderne: UI und SaaS-Optionen weniger entwickelt als IBM Verify
- Connector-Ökosystem: Kleiner als IBM oder Omada
Vergleichstabelle: IBM Security Verify vs EU-native Alternativen
| Kriterium | IBM Security Verify | Omada Identity | Eviden IAM | Beta Systems GARANCY |
|---|---|---|---|---|
| CLOUD Act Score | 20/25 (Sehr hoch) | 4/25 (Niedrig) | 0/25 (Kein) | 0/25 (Kein) |
| Hauptsitz | Armonk, NY (USA) | Kopenhagen (DK) | Les Clayes (FR) | Berlin (DE) |
| US Government Nexus | IBM Federal TS/SCI | Nein | Nein | Nein |
| Watson AI Analytics | Ja (US Cloud) | Eigene AI (EU) | Nein | Nein |
| GDPR Art.22 Risiko | Hoch (Trust Score) | Mittel (Role Mining) | Niedrig | Niedrig |
| ANSSI-Zertifizierung | Nein | Nein | Ja | Nein |
| SaaS-Reife | Hoch | Hoch | Mittel | Niedrig |
| On-Premise Option | Ja (Verify Access) | Nein (Cloud-only) | Ja (Primär) | Ja (Primär) |
| Connector-Ökosystem | 200+ | 120+ | ~50+ | ~40+ |
| KRITIS/DE-Behörden | Nicht empfohlen | Möglich | Möglich | Empfohlen |
| NATO-Einsatz | Nein | Nein | Ja | Nein |
| Preismodell | Enterprise-Lizenz | Per User/Monat | Enterprise-Lizenz | Enterprise-Lizenz |
| Typische Kosten | Hoch | Mittel-Hoch | Mittel | Mittel |
GDPR-Pflicht-Assessment für IBM Security Verify (Art.28 DPA)
Wenn EU-Unternehmen IBM Security Verify als Datenverarbeiter einsetzen, sind folgende GDPR Art.28 DPA-Klauseln kritisch zu prüfen:
1. Datenübertragung in Drittländer (Art.46)
- IBM Cloud-Infrastruktur: Welche Daten werden in US-Rechenzentren repliziert?
- IBM Watson: Wo werden Trust-Score-Modelle trainiert und inferenced?
- IBM Support: Aus welchen Regionen greifen IBM-Support-Mitarbeiter auf EU-Systeme zu?
- Standardvertragsklauseln (SCCs): IBM Verify DPA enthält SCCs — aber SCCs schützen nicht vor CLOUD Act §2713-Orders, da US-Recht EU-Recht übertrumpfen kann.
2. Weisungsgebundenheit (Art.28(3)(a)) IBM verarbeitet Daten "nur auf dokumentierte Weisung des Verantwortlichen" — aber IBMs Federal-Pflichten können US-Regierungsweisungen über Kundenweisungen stellen. CLOUD Act §2713 ist eine gesetzliche Pflicht, keine Kundenweisung.
3. Vertraulichkeit (Art.28(3)(b)) IBM-Mitarbeiter mit US-Sicherheitsclearances unterliegen US-Vertraulichkeitspflichten, die EU-DSGVO-Pflichten widersprechen können (z.B. NSL-Verschwiegenheitspflichten bei FISA 702-Orders).
4. Unterauftragsverarbeiter (Art.28(2)) IBM nutzt Unterauftragsverarbeiter für Verify SaaS. EU-Unternehmen sollten die vollständige Subprozessor-Liste prüfen: Welche US-Cloud-Services nutzt IBM intern für Verify-Betrieb?
Praxis-Empfehlung: Vor IBM Verify-Deployment: Transfer Impact Assessment (TIA) nach dem Schrems II-Urteil (EuGH C-311/18) durchführen. IBMs US-Government-Nexus erhöht die Wahrscheinlichkeit, dass ein TIA zu dem Schluss kommt, dass SCCs allein keinen ausreichenden Schutz bieten.
Migration von IBM Security Verify — 12-Wochen-Roadmap
Eine Migration von IBM Security Verify zu einer EU-nativen IGA-Plattform folgt diesem Phasenplan:
Phase 1 (Wochen 1-3): Discovery und Assessment
- IBM Verify Governance: Role-Catalog exportieren (REST API oder CSV-Export)
- Entitlement-Inventar: Alle Berechtigungen pro Anwendung dokumentieren
- Access Certification-Zyklen: Bestehende Kampagnen und Reviewer-Verantwortlichkeiten dokumentieren
- SoD-Regelwerk: Aktuelle SoD-Constraints exportieren
Phase 2 (Wochen 4-6): EU-Zielplattform Setup
- Omada/Eviden Instanz provisionieren (Eu-Rechenzentrum wählen)
- HR-System-Connector konfigurieren (Workday/SAP SuccessFactors)
- Prioritäre Anwendungen anbinden (SAP, Microsoft 365, Salesforce — höchste Zugriffsvolumen)
- RBAC-Taxonomie aus IBM Verify Governance in Zielplattform importieren
Phase 3 (Wochen 7-9): Pilot und Parallelläufe
- Pilot-Gruppe: 200-500 Nutzer in EU-Platform migrieren
- Access Certification-Pilotlauf in neuer Plattform
- IBM Verify Governance und EU-Plattform parallel betreiben (Read-only IBM Verify)
- Gap-Analyse: Welche IBM-Spezialfunktionen fehlen in der Zielplattform?
Phase 4 (Wochen 10-12): Cut-over und IBM-Deprovisioning
- Vollmigration aller Nutzer und Berechtigungen
- IBM Verify Governance Decommissioning-Plan: Daten löschen (GDPR Art.17 Recht auf Löschung beim Wechsel)
- IBM Cloud Identity Datenbank-Löschbestätigung anfordern (Art.28(3)(g) DPA-Pflicht)
- Dokumentation der Datenlöschung für interne Compliance-Nachweise
Kritischer Schritt: IBM-Datenlöschung nach Migration Nach erfolgreicher Migration: IBM Verify DPA Art.28(3)(g)-Pflicht nutzen und schriftliche Bestätigung anfordern, dass IBM alle EU-Personendaten gelöscht hat. Watson-Modell-Trainingsdaten, Trust-Score-Historie und QRadar-Verhaltensprofile separat adressieren.
IBM Verify vs EU-Alternativen: Entscheidungsframework
Nutze diesen Entscheidungsbaum für die Plattformwahl:
Bist du KRITIS-Betreiber oder Bundesbehörde?
├── JA → Beta Systems GARANCY (BSI Grundschutz, DE, 0/25)
└── NEIN →
Brauchst du NATO/Verteidigung/ANSSI-Zertifizierung?
├── JA → Eviden IAM (0/25, ANSSI, NATO-Einsatz)
└── NEIN →
Ist Cloud-nativer SaaS bevorzugt (keine On-Premise)?
├── JA → Omada Identity (4/25, Dänemark, 120+ Connectors)
└── NEIN →
Ist On-Premise zwingend (Air-Gap, Hochsicherheit)?
├── JA → Eviden Evidian IAM (0/25, On-Premise-First)
└── NEIN → Omada Identity Cloud (beste SaaS-Reife, EU-Daten)
Fazit: IBM Security Verify und die EU-IGA-Compliance-Grenze
IBM Security Verify ist technisch eine vollständige Enterprise-IAM/IGA-Plattform mit starken Connectors, Watson-KI-Funktionen und tiefem Microsoft-Ökosystem-Support. Für EU-Unternehmen, die GDPR-konforme IGA betreiben müssen, ist IBM Security Verify jedoch das problematischste Produkt in dieser Serie — nicht wegen der Plattformqualität, sondern wegen IBMs struktureller US-Regierungsnähe.
IBM Federal, IBMs TS/SCI-Clearance-Mitarbeiter, die FedRAMP-Architektur auf IBM Cloud und Watson AI als US-Cloud-Entscheidungsengine erzeugen zusammen ein CLOUD Act-Profil (20/25), das über das Standard-US-Jurisdiktion-Risiko hinausgeht. Für NIS2-essential und DORA-regulierte Unternehmen ist eine Transfer Impact Assessment vor IBM Verify-Deployment Pflicht — und das TIA-Ergebnis wird mit hoher Wahrscheinlichkeit ergeben, dass IBM Verify für hochsensible IAM-Daten keine empfehlenswerte Wahl ist.
Die EU-nativen Alternativen — Omada Identity (Dänemark, 4/25), Eviden (Frankreich, 0/25), Beta Systems (Deutschland, 0/25) — bieten keine Vendor-Lock-in-Tiefe wie IBM, aber den entscheidenden Vorteil: Keine strukturelle Kooperation mit US-Nachrichtendiensten, keine Watson-AI-Datenverarbeitung auf US-Cloud, kein IBM-Federal-Nexus.
Post #1211 in der EU-IGA-SERIE (4/5):
- #1208: SailPoint (19/25) — CLOUD Act-Risiko durch SaaS-First-Architektur
- #1209: Saviynt (18/25) — AAG SAP/Oracle-Anbindung und TPAG Contractor-Governance
- #1210: One Identity/Quest (16/25) — PAM Session-Recording unter US-PE-Kontrolle
- #1211: IBM Security Verify (20/25) — IBM Federal, Watson AI, FedRAMP auf EU-Daten
- #1212: EU IGA Comparison Finale — alle 4 Anbieter im direkten Vergleich mit Entscheidungsmatrix
Dieser Post ist Teil der sota.io EU Cyber Compliance Series — GDPR-Compliance-Analysen für EU-Unternehmen, die US-SaaS durch europäische Alternativen ersetzen oder CLOUD Act-Risiken bewerten müssen. Alle Angaben nach bestem Wissen zum Zeitpunkt der Veröffentlichung; keine Rechtsberatung.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.