One Identity (Quest Software) EU Alternative 2026: GDPR-Compliant IGA Without CLOUD Act Risk
Post #1210 in der sota.io EU Cyber Compliance Series
One Identity positioniert sich als klassischer IGA-Anbieter mit tiefer Active-Directory-Wurzel — eine Stärke, die besonders für Microsoft-zentrierte IT-Umgebungen relevant ist. Das Unternehmen wurde aus der Dell Software Group herausgelöst und gehört heute Francisco Partners, einem US-amerikanischen Private-Equity-Fonds aus San Francisco. Was technisch als solide On-Premise-IGA-Plattform beginnt, endet regulatorisch in einem komplexen CLOUD Act-Szenario: Quest Software LLC ist eine US-Gesellschaft unter US-PE-Kontrolle — und damit CLOUD Act §2713 vollständig unterworfen.
Das Besondere an One Identity aus EU-Compliance-Perspektive: Das Unternehmen verwaltet nicht nur Benutzeridentitäten, sondern auch privilegierte Zugänge (Safeguard PAM) und protokolliert Session-Aufzeichnungen von Administratoren. Diese Video-Daten privilegierter Mitarbeiter-Sessions unter US-Jurisdiktion zu halten, ist für EU-Unternehmen unter NIS2 und DORA ein qualitativ anderes Risiko als Standard-IGA-Daten.
Dieser Post analysiert One Identitys CLOUD Act-Risiko (16/25), fokussiert auf die PAM-Komponente Safeguard und Active Roles für AD-Lifecycle, und stellt EU-native Alternativen vor.
One Identity: Produktportfolio und technische Stärken
One Identity unterscheidet sich von SailPoint und Saviynt durch drei Hauptprodukte, die unterschiedliche Compliance-Risiken erzeugen:
Active Roles — Active Directory Lifecycle Management
- Granulares AD-Objekt-Management: Benutzer, Gruppen, OUs, GPOs
- Delegation von AD-Rechten ohne direkte AD-Adminrechte
- Workflow-basierter Provisioning-Prozess (Genehmigungsketten)
- Native Integration mit Microsoft 365, Exchange, Azure AD (Entra ID)
- HR-Daten-Synchronisation: Workday, SAP SuccessFactors → AD
- Kritisch: Active Roles verarbeitet alle AD-Attribute inklusive HR-Felder (Abteilung, Kostenstelle, Manager — und ggf. Disability/Health-Informationen in Custom-Attributen)
Identity Manager — Core IGA
- Rollenmodellierung und Access Governance
- Identity Lifecycle: Joiners, Movers, Leavers
- Access Certification und SoD-Management
- Konnektoren: SAP, Salesforce, ServiceNow, diverse HRIS-Systeme
- On-Premise und SaaS-Hybrid (One Identity Business Cloud)
Safeguard — Privileged Access Management (PAM)
- Privileged Session Management: SSH, RDP, VNC-Session-Aufzeichnung
- Just-in-Time (JIT) Privileged Access: temporäre Admin-Rechte
- Password Vaulting: Root-/Admin-Passwörter in gesichertem Tresor
- Dual Control: Vier-Augen-Prinzip für kritische Admin-Aktionen
- Threat Detection: Anomalieerkennung in privilegierten Sessions
Syslog-NG (SIEM-Komponente)
- Log-Management und SIEM-Integration
- Ursprünglich von Balabit entwickelt, von One Identity übernommen
- EU-Herkunft (Ungarn) — aber jetzt unter US-PE-Eigentümerschaft
Diese Produktkombination macht One Identity einzigartig: Es ist der einzige große IGA-Anbieter, der gleichzeitig AD-Management, Core-IGA und PAM mit Session-Recording in einem integrierten Stack anbietet.
Was macht One Identity zum GDPR-Hochrisiko-System?
Die Datenkategorien, die One Identity verarbeitet, sind qualitativ sensibler als bei reinen IGA-Anbietern:
1. Active Directory Attribute-Daten (Active Roles)
- Name, E-Mail, Telefon, Kostenstelle, Abteilung, Manager-Hierarchie
- Profilfotos (wenn in AD gespeichert)
- Custom-Attribute: Unternehmen nutzen AD-Custom-Attribute für Disability-Status, Work-from-Home-Genehmigungen, Sicherheitsclearances
- GDPR Art.9 "besondere Kategorien": Wenn Health- oder Disability-Informationen in AD-Custom-Attributen — sofort Art.9-Verarbeitung unter US-Jurisdiktion
2. HR-System-Daten-Transit (Active Roles)
- Active Roles synchronisiert aus HR-Systemen (Workday, SuccessFactors) nach AD
- Während des Synchronisationsprozesses verarbeitet One Identity kurzfristig vollständige HR-Datensätze
- Inklusive: Gehaltsstufe (oft via Kostenstelle ableitbar), Kündigungsgrund (Termination-Workflows), Krankheitsvertretungen
3. Privilegierte Session-Aufzeichnungen (Safeguard PAM)
- Video-Aufzeichnungen von Administrator-Sessions (SSH, RDP, VNC)
- Diese Aufzeichnungen zeigen: Welcher Admin hat wann welche Systeme bedient
- Behavioral Data: Tastendrücke, Mausbewegungen, besuchte Dateisystempfade
- Besonders sensitiv: Aufzeichnungen von Admins, die HR-Systeme oder Finanzsysteme bedienen
- GDPR Art.5(1)(c) Datensparsamkeit: Session-Recordings über übliche Audit-Retention-Zeiträume = Konflikt
4. Password Vault-Daten (Safeguard)
- Privilegierte Zugangsdaten für kritische Systeme
- Diese Credentials geben Zugang zu Datenbanken, Netzwerk-Infrastruktur, Security-Systemen
- Unter US-Jurisdiktion: CLOUD Act §2713 kann diese Credentials erzwingen — mit Zugriff auf nachgelagerte EU-Systeme
Das Eskalations-Szenario: Ein CLOUD Act §2713-Order an Quest Software LLC kann theoretisch Zugriff auf Safeguard-Password-Vaults erzwingen. Das wäre kein direkter Datenzugriff — es wäre ein Generalschlüssel zu allen AD-gesicherten Systemen eines EU-Unternehmens. Kein anderes IGA-System bietet US-Behörden diese potenzielle Zugriffshebel-Wirkung.
One Identity LLC / Quest Software — CLOUD Act Risiko: 16/25
Unternehmensstruktur
| Merkmal | Detail |
|---|---|
| Rechtsform | One Identity LLC |
| Muttergesellschaft | Quest Software Inc. (Delaware C-Corp) |
| Private Equity | Francisco Partners Management LP (San Francisco, CA) |
| Frühere Eigentümerschaft | Dell Technologies (2012-2016), dann Insight Partners + Francisco Partners |
| Aktueller PE-Eigentümer | Francisco Partners (Übernahme 2021, ~$5,4B Bewertung) |
| Hauptsitz | Aliso Viejo, California, USA |
| Mitarbeiter | ~5.000 |
| Produkt-Ursprung | Active Roles: ursprünglich netPro Computing; Safeguard: ursprünglich Balabit (Ungarn) |
| EU-Tochtergesellschaft | Quest Software Europe Ltd. (UK), diverse EU-Subsidiaries — aber US-Parent-Kontrolle |
Francisco Partners — Der entscheidende Faktor
Francisco Partners Management LP ist ein auf Tech-Leveraged-Buyouts spezialisierter PE-Fonds mit Sitz in San Francisco, California:
- Gründung: 1999 von Dipanjan Deb und Brian Decker
- AUM: ~$25 Milliarden (verwaltet mehrere Fonds)
- Rechtsform: Delaware Limited Partnership
- Portfolio: One Identity, Barracuda Networks, GrubHub (bis 2020), McAfee Enterprise (bis 2022)
- US-Behörden-Verbindungen: Francisco Partners-Portfolio-Unternehmen haben bekannte US-Regierungsverträge (McAfee Enterprise war US-Government-Supplier)
Warum Francisco Partners CLOUD Act-Risiko erhöht: Francisco Partners ist als Delaware LP eine US-Person gemäß CLOUD Act §2710. Als Eigentümer von Quest Software Inc. hat Francisco Partners die Kontrolle über das Management von Quest Software LLC (One Identity). Das bedeutet: Ein CLOUD Act §2713-Order kann sowohl an Quest Software LLC als auch theoretisch an Francisco Partners als Eigentümer adressiert werden — mit der Anforderung, Daten "in ihrem Besitz, ihrer Obhut oder Kontrolle" herauszugeben.
CLOUD Act Risiko-Assessment (16/25)
| Dimension | Score | Begründung |
|---|---|---|
| US-Parent-Jurisdiktion | 5/5 | Quest Software Inc. Delaware C-Corp = CLOUD Act voll anwendbar |
| Infrastruktur-Kontrolle | 3/5 | Starke On-Premise-Option reduziert Cloud-Exposure; Safeguard Cloud unter AWS |
| Government Contracts | 3/5 | Quest Software hat US-Government-Kunden; Safeguard in US-DoD-Umgebungen |
| PE/Investor-Struktur | 3/5 | Francisco Partners Delaware LP = US-PE-Kontrolle |
| Analytics-Scope | 2/5 | Session-Recordings sind hoch-sensitiv, aber On-Premise reduziert direkten Cloud-Datenzugriff |
| Gesamt | 16/25 | Erhöht |
Warum 16/25 statt höher: One Identitys On-Premise-Stärke ist ein echter CLOUD Act-Risikominderungs-Faktor. Im Gegensatz zu Saviynt (Cloud-native, 18/25) oder SailPoint (SaaS-first, 19/25) bietet One Identity vollständige On-Premise-Deployments für Active Roles, Identity Manager und Safeguard — ohne Pflicht zur Cloud-Synchronisation. Wenn EU-Unternehmen die Software vollständig on-premise betreiben, liegt die Datenkontrolle beim Unternehmen. Das reduziert das praktische CLOUD Act-Risiko — aber eliminiert es nicht, da Quest Software LLC als US-Person weiterhin für ihre Software-Wartung und Update-Infrastruktur CLOUD Act-Anfragen erhalten könnte.
EU-Subsidiary-Struktur und ihre Grenzen
Quest Software hat europäische Niederlassungen in mehreren EU-Ländern. Diese EU-Subsidiaries sind jedoch Tochtergesellschaften einer US-Delaware-Corporation — sie bieten keinen CLOUD Act-Schutz:
- Quest Software Europe Ltd. (UK, post-Brexit: nicht EU-Jurisdiktion)
- Quest Software GmbH (Deutschland)
- Quest Software SAS (Frankreich)
Diese EU-Entities unterliegen: ihren jeweiligen nationalen Gesetzen + EU-Recht. Aber: Wenn Quest Software Inc. (US-Parent) CLOUD Act-Anordnungen erhält, kann es seine EU-Subsidiaries anweisen. Das ist die strukturelle Schwäche aller US-PE-kontrollierten "EU-Niederlassungen".
Safeguard PAM — Besonderes EU-Compliance-Profil
Safeguard ist der kritischste One-Identity-Baustein aus EU-Compliance-Sicht — und derjenige, der am differenziertesten bewertet werden muss.
Was Safeguard verarbeitet und protokolliert
Privileged Session Management (PSM):
- Vollständige Session-Recordings: Jede Tastatureingabe, jeder Mausklick, jede angezeigte Datei
- Für SSH-Sessions: Vollständiges Terminal-Output, inklusive angezeigter Dateiinhalte
- Für RDP-Sessions: Screenshot-basiertes Video der gesamten Desktop-Session
- Retention: Typisch 90 Tage bis 3 Jahre (Compliance-Anforderungen)
Password Vault:
- Root-Passwörter für Linux/Unix-Server
- Windows Administrator-Credentials
- Datenbankpasswörter (Oracle, MSSQL, PostgreSQL)
- Network Device Credentials (Cisco, Fortinet, Palo Alto)
- Cloud-Service-Accounts (AWS IAM-Keys, Azure Service Principal)
Just-in-Time Access:
- Temporäre Privilegien-Eskalation für Admins
- Protokoll: Wer hat wann welche JIT-Rechte angefragt und erhalten
- Approval-Workflow: Wer hat genehmigt
GDPR Art.88 und Beschäftigtendatenschutz
Session-Recordings von Mitarbeiter-Sessions sind eine Form der systematischen Mitarbeiterüberwachung. GDPR Art.88 ermächtigt Mitgliedstaaten, spezifische Regeln für Beschäftigtendatenschutz zu erlassen:
Deutschland (§ 26 BDSG):
- Session-Recordings nur zulässig, wenn erforderlich zur Aufgabenerfüllung oder Missbrauchsprävention
- Betriebsrat-Mitbestimmung nach § 87(1)(6) BetrVG zwingend
- Verhältnismäßigkeit: Recording aller Sessions vs. Stichproben
Niederlande (AVG Art.88 Umsetzung):
- Autoriteit Persoonsgegevens (AP) hat strikte Leitlinien für Mitarbeitermonitoring
- Proportionalitätsprüfung zwingend vor Safeguard-Deployment
Frankreich (CNIL-Leitlinien):
- Systématique surveillance des salariés: CNIL-Meldepflicht und Interessenabwägung
- Betriebsrat-Konsultation vor Einführung
Fazit Safeguard PAM und Beschäftigtendatenschutz: Selbst wenn Safeguard vollständig on-premise betrieben wird, muss das EU-Unternehmen sicherstellen, dass die Session-Recordings nicht durch Quest Software Support-Zugriff US-Jurisdiktion unterliegen.
Active Roles und GDPR Art.9 — Das AD-Custom-Attribut-Problem
Active Roles ist technisch ein AD-Management-Layer — aber er ist gleichzeitig das System, das alle AD-Attribute liest, schreibt und historisiert. Das schafft ein spezifisches GDPR-Art.9-Risiko, das in der One-Identity-Dokumentation kaum thematisiert wird.
Wie GDPR Art.9-Daten in AD landen
Active Directory ist technisch neutral — es speichert Attribut-Werte ohne semantische Klassifikation. In der Praxis landen in AD-Custom-Attributen:
Typische Custom-Attribute in Enterprise-AD-Deployments:
extensionAttribute1: Disability-Status (für Accessibility-Zwecke)extensionAttribute2: Schichtmodell / ArbeitszeitmodellextensionAttribute3: Security-Clearance-LevelextensionAttribute4: Work-from-Home-Genehmigung (Post-COVID)extensionAttribute5-15: Projekt-Zuordnungen, Qualifikations-Daten, Betriebszugehörigkeit
Wenn ein EU-Unternehmen extensionAttribute1 für Disability-Status nutzt und Active Roles diese Attribute synchronisiert und historisiert — verarbeitet Active Roles GDPR Art.9-Daten ("Gesundheitsdaten"). Das erfordert:
- Explizite Rechtsgrundlage nach Art.9(2)
- DPIA nach Art.35 GDPR
- Ggf. Einschränkung des Verarbeitungsumfangs
Das Quest-Software-Support-Risiko: Wenn Quest Software Support-Tickets eskaliert und Remote-Zugriff auf Active Roles erhält — auch kurzzeitig — kann Support-Personal in den USA theoretisch Art.9-Daten einsehen. Das ist kein hypothetisches Risiko: Enterprise-Software-Support erfordert regelmäßig temporäre Remote-Debug-Zugriffe.
NIS2 Art.21(2)(i) — One Identity als IGA-Backbone für kritische Infrastruktur
NIS2 Essential Entities (Energie, Transport, Gesundheit, Banken, Trinkwasser, digitale Infrastruktur) müssen "access control policies" als Teil ihres Risikomanagementsystems implementieren. One Identity ist bei vielen europäischen kritischen Infrastrukturbetreibern im Einsatz — historisch bedingt durch die AD-Stärke und On-Premise-Sicherheitsprofil.
One Identity im NIS2-Kontext
NIS2 Art.21(2)(i) — Least Privilege: Active Roles ermöglicht granulare Delegation von AD-Rechten — exakt was NIS2 für Least Privilege fordert. Die technische Compliance-Fähigkeit ist vorhanden. Das Problem: Die Konfigurationsdaten dieser Least-Privilege-Delegation liegen in der Quest-Software-Infrastruktur (Softwarelizenz, Update-Kanal, Support-System) unter US-Jurisdiktion.
NIS2 Art.21(2)(b) — Incident Handling: Safeguard PAM ist direkt für Incident Response relevant: Session-Recordings ermöglichen forensische Analyse nach Security-Incidents. Diese forensischen Daten unter US-Jurisdiktion zu halten, schafft für KRITIS-Betreiber ein Spannungsfeld mit BSI-Anforderungen.
NIS2 Art.21(2)(h) — Kryptographie: Safeguard Password Vault nutzt starke Kryptographie (AES-256). Aber die Schlüsselverwaltung liegt bei Quest Software (SaaS-Modus) oder beim Kunden (On-Premise). Für EU-Kritische-Infrastruktur: On-Premise-Only mit kundenseitigem Key-Management ist die einzige NIS2-konforme Option.
BSI BSZ-Anforderungen für Bundesbehörden
Für deutsche Bundesbehörden und KRITIS-Betreiber unter BSI-Aufsicht gilt: IAM-Systeme müssen BSI-Grundschutz-konform oder nach BSI C5:2020 testierten Betrieb nachweisen. One Identity hat weder ein BSI C5:2020-Testat noch eine explizite BSI-Grundschutz-Referenzarchitektur.
DORA Art.28 — One Identity Safeguard als kritischer ICT-Drittanbieter
Für Finanzinstitute unter DORA stellt Safeguard PAM eine besondere Herausforderung dar: Privilegierte Session-Recordings von Banksystemadministratoren sind hochsensible Daten, deren Kompromittierung systemische Risiken erzeugen könnte.
DORA-Einordnung von Safeguard
Kritikalitätsschwelle (DORA Art.28 Abs.2): Safeguard ist für jede Bank kritisch, die PAM als zentralen Zugangskontrollmechanismus für Core-Banking-Systeme nutzt. Ein Ausfall von Safeguard kann — wenn JIT-Access nicht vorbereitet ist — Notfall-Admin-Zugriffe blockieren.
DORA Art.30 Abs.2(b) — Datenlokalisierung: Bei Safeguard SaaS: Session-Recordings unter US-Jurisdiktion. DORA-Regulatoren (EBA, ESMA, BaFin) erwarten, dass Finanzinstitute wissen "in welchen Ländern Daten verarbeitet werden". One Identity kann EU-Data-Residency für Safeguard SaaS anbieten — aber Quest Software Inc. (US-Kontrolle) bleibt der Verarbeiter.
DORA-Besonderheit: Session-Recordings als "operationale Kontinuitätsdaten": DORA Art.11 fordert Backup-und-Recovery-Pläne für kritische IT-Systeme. Session-Recordings aus Safeguard sind Teil des forensischen Audit-Trails. Bei Verlust oder Kompromittierung dieser Recordings verliert das Finanzinstitut forensische Handlungsfähigkeit — ein DORA Art.11-relevantes Szenario.
§ 87(1)(6) BetrVG — PAM und Session-Recording in Deutschland
Session-Recordings durch Safeguard sind in Deutschland die klarste Betriebsrats-Mitbestimmungspflicht im One-Identity-Stack.
Was § 87(1)(6) BetrVG triggert:
| One Identity Feature | Mitbestimmungspflicht |
|---|---|
| Safeguard Session Recording (alle Sessions) | Ja — automatisch |
| Safeguard Session Recording (Stichproben/on-demand) | Ja — Umfang verhandelbar |
| Active Roles Audit-Trail (AD-Änderungsprotokoll) | Nein — kein Monitoring-System, nur Änderungslog |
| Identity Manager Access Certification | Nein — Governance-Prozess, kein Monitoring |
| Safeguard JIT Access Logging | Grenzfall — wenn Frequenz analysiert wird: Ja |
Betriebsvereinbarung-Inhalt für Safeguard: Eine rechtskonforme BV für Safeguard PAM muss regeln:
- Scope: Welche Systeme werden überwacht (alle AD-Systeme? Nur kritische?)
- Retention: Wie lange werden Recordings aufbewahrt (Empfehlung: 90 Tage für Sicherheit, nicht 3 Jahre für Compliance)
- Zugriff auf Recordings: Wer darf Recordings abspielen? Nur nach Incident?
- Informationspflicht: Werden Admins informiert, wenn ihre Session reviewed wird?
- Quest Software Support: Darf Quest Support auf Recordings zugreifen? (Antwort: nein, ohne BV-Änderung)
EU-native IGA + PAM Alternativen: Marktübersicht 2026
Omada Identity (Dänemark) — CLOUD Act Risiko: 2/25
Unternehmen:
- Omada A/S, Kopenhagen, Dänemark
- Gründung: 2000
- Dänisches Unternehmen, keine US-Muttergesellschaft
- Revenue: ~€50-70M ARR (geschätzt)
Produkt: Omada Identity Cloud (OIC)
- Full-SaaS und On-Premise-Hybrid
- Hosted in EU (Azure West Europe + Azure Germany)
- SOC 2 Type II, ISO 27001
Für One-Identity-Kunden relevant:
- Core IGA: Omada ist direkter Ersatz für Identity Manager
- AD-Integration: Solide, aber nicht auf Active-Roles-Tiefenniveau
- Schwäche: Kein natives PAM-Modul — PAM-Integration über Partner nötig
CLOUD Act Risiko 2/25:
- Keine US-Muttergesellschaft
- Azure-Infrastruktur: Microsoft ist US-Unternehmen (unvermeidbar)
- Keine US-Investor-Abhängigkeit
Evidian IAM (Frankreich, Eviden/Atos) — CLOUD Act Risiko: 1/25
Unternehmen:
- Eviden SAS, Puteaux, Frankreich (Atos-Tochter)
- Rechtsstatus: Französisches Unternehmen
- Finanzlage: Atos-Konzern in Restrukturierung (Eviden als gesunde Einheit ausgegliedert)
Produkt: Evidian Identity Manager + Evidian Web Access Manager
- On-Premise und Private-Cloud-Variante
- Keine US-Infrastruktur-Abhängigkeit (eigene RZs oder europäische Cloud)
- Auch verfügbar: Evidian MyProxima (französischer Cloud-Service)
Für One-Identity-Kunden relevant:
- AD-Integration: Solide für On-Premise-Deployments
- PAM: Evidian hat Enterprise Single Sign-On (eSSO) aber kein vollwertiges PAM
- Stärke: Höchste EU-Datensouveränität (1/25)
CLOUD Act Risiko 1/25:
- Keine US-Gesellschaft, keine US-Investoren
- Einziges Risiko: Eviden nutzt ggf. US-Drittdienste für Support
Beta Systems (Deutschland) — CLOUD Act Risiko: 1/25
Unternehmen:
- Beta Systems Software AG, Berlin, Deutschland
- Gründung: 1983
- Börsennotiert: Freiverkehr Frankfurt
- Focus: Identity & Access Management für Finanzsektor + Öffentlichen Sektor
Produkt: Beta Systems Identity Manager
- On-Premise und managed in deutschen RZs
- BSI-Grundschutz-zertifizierter Betrieb möglich
- Starke SAP-Integration, bewährt im deutschen Finanzsektor
Für One-Identity-Kunden relevant:
- Active Roles Ersatz: Beta Systems bietet AD-Lifecycle-Management
- Gut für: Bundesbehörden, KRITIS-Betreiber, Banken unter BaFin
- Schwäche: Kein natives PAM-Session-Recording
CLOUD Act Risiko 1/25:
- Deutsche AG, keine US-Investoren
- Infrastruktur in Deutschland
PAM-spezifische EU-native Alternativen
Für das Safeguard-PAM-Modul gibt es spezifische EU-native oder EU-hostbare Alternativen:
Wallix Bastion (Frankreich):
- Wallix SA, Paris — Börsennotieries französisches Unternehmen
- CLOUD Act Risiko: 2/25 (Azure-Hosting für SaaS-Variante)
- PAM mit Session-Recording, vollständig on-premise deploybar
- Clients: EU-Regierungsbehörden, EDF, Total — nachgewiesene KRITIS-Referenzen
- Besonderheit: ANSSI-Qualifikation (französische Cybersecurity-Behörde)
Senhasegura (Brasilien, EU-hosted möglich):
- Mt4 Tecnologia (São Paulo, Brasilien) — nicht EU-Unternehmen
- Aber: Vollständig on-premise in EU deploybar (kein Cloud-Pflicht)
- Preis-Leistungs-Vorteil gegenüber Wallix
- CLOUD Act Risiko bei On-Premise: 0/25 (kein US-Bezug, on-premise)
Leostream (USA) — NICHT empfohlen:
- US-Unternehmen, fällt aus EU-Alternative-Betrachtung raus
Feature-Parität: One Identity vs. EU-native Alternativen
| Feature | One Identity | Omada Identity | Beta Systems | Wallix Bastion |
|---|---|---|---|---|
| Active Directory Lifecycle | ||||
| AD-Objekt-Management | ✅ Active Roles (führend) | ✅ Solide | ✅ Gut | ❌ Kein IGA |
| AD-Delegation (granular) | ✅ Marktführer | ⚠️ Basis-Level | ✅ Gut | ❌ |
| HR-Synchronisation | ✅ Native (Workday, SAP) | ✅ Native | ✅ SAP-Fokus | ❌ |
| Azure AD / Entra ID | ✅ Native | ✅ Native | ⚠️ Connector | ❌ |
| Core IGA | ||||
| Lifecycle Management | ✅ Identity Manager | ✅ Vollständig | ✅ Vollständig | ❌ |
| Access Certification | ✅ | ✅ | ✅ | ❌ |
| Role Management | ✅ | ✅ | ✅ | ❌ |
| SoD Management | ✅ | ✅ | ✅ | ❌ |
| Privileged Access (PAM) | ||||
| Session Recording (SSH/RDP) | ✅ Safeguard (führend) | ❌ | ❌ | ✅ Marktführer EU |
| Password Vaulting | ✅ | ❌ | ❌ | ✅ |
| Just-in-Time Access | ✅ | ❌ | ❌ | ✅ |
| ANSSI/BSI-Qualifikation | ❌ | ❌ | ❌ | ✅ ANSSI |
| Compliance | ||||
| CLOUD Act-Risiko | 16/25 | 2/25 | 1/25 | 2/25 |
| On-Premise verfügbar | ✅ Vollständig | ✅ Hybrid | ✅ Vollständig | ✅ Vollständig |
| BSI C5-Testat | ❌ | ❌ | ❌ | ❌ |
| ISO 27001 | ✅ | ✅ | ✅ | ✅ |
| ANSSI-Qualifikation | ❌ | ❌ | ❌ | ✅ |
| Deployment | ||||
| SaaS | ✅ Business Cloud | ✅ Cloud-first | ⚠️ Managed | ✅ SaaS + On-Prem |
| On-Premise | ✅ Bevorzugt | ✅ | ✅ Bevorzugt | ✅ |
| Markt | ||||
| EU-KRITIS-Referenzen | ✅ Viele | ✅ Nordic | ✅ DACH | ✅ Frankreich/EU |
| Gartner Magic Quadrant IGA | Niche Player | Niche Player | Nicht gelistet | PAM-Quadrant |
TCO-Vergleich: One Identity vs. EU-native Stack für 3.000 Benutzer (3 Jahre)
| Position | One Identity (IGA+PAM) | EU-Stack (Omada+Wallix) |
|---|---|---|
| Lizenz/Subscription | €540.000 | €480.000 |
| Implementation | €120.000 | €150.000 |
| EU-Compliance-Overhead | €45.000 | €10.000 |
| Betriebsrat-Aufwand (DE) | €25.000 | €8.000 |
| DPIA + Datenschutzgutachten | €12.000 | €4.000 |
| DORA Exit-Strategie-Docs | €20.000 | €8.000 |
| Gesamt 3 Jahre | €762.000 | €660.000 |
| Delta | €102.000 günstiger |
Annahme: 3.000 User, 50 privilegierte Admins mit PAM, mittelgroßes EU-Unternehmen. One Identity: Active Roles + Identity Manager + Safeguard. EU-Stack: Omada Identity Cloud + Wallix Bastion. Preise geschätzt.
Besonderheit bei One Identity: Der TCO-Gap ist kleiner als bei SailPoint oder Saviynt, weil One Identity On-Premise-Deployments unterstützt, die den Compliance-Overhead reduzieren. Wenn das EU-Unternehmen One Identity vollständig on-premise betreibt, können viele Compliance-Kosten entfallen. Der Tradeoff: On-Premise erhöht den Betriebsaufwand.
Entscheidungs-Framework: Wer braucht One Identity, wer eine EU-Alternative?
Profil 1: Microsoft-zentriertes Enterprise mit komplexer AD-Struktur
Risikofaktoren:
- Active Roles-Tiefe ist schwer zu ersetzen (granulare OU-Delegation, GPO-Workflow)
- Active Roles läuft typisch on-premise — reduziert Cloud-Exposure
- Aber: Quest Software Support-Zugriffe können Art.9-Daten berühren
Empfehlung: One Identity Active Roles on-premise mit strengem Support-Access-Management Begründung: Kein EU-natives Tool erreicht Active Roles' AD-Management-Tiefe. On-Premise mit kundenseitigem Key-Management und Support-Access-Protokoll (Kein Remote-Zugriff ohne Begleitung).
Profil 2: Finanzinstitut unter DORA (mit PAM-Anforderung)
Risikofaktoren:
- Safeguard Session-Recordings mit Bankadmin-Daten unter US-Jurisdiktion
- DORA Art.30 Abs.2(b) Datenlokalisierungspflicht
- BaFin erwartet vollständige Kontrolle über forensische Daten
Empfehlung: Wallix Bastion (PAM) + Omada Identity (IGA) Begründung: Wallix hat nachgewiesene EU-Finanzsektor-Referenzen, ANSSI-Qualifikation, on-premise deploybar. Omada deckt Core-IGA ab. Kein US-PAM-System für DORA-regulierte Finanzinstitute.
Profil 3: KRITIS-Betreiber (Energie, Wasser, Gesundheit) unter NIS2
Risikofaktoren:
- NIS2 Art.21(2)(b) Incident Handling: Safeguard-Recordings als forensische Beweismittel
- BSI erwartet zunehmend EU-Datensouveränität für KRITIS-IT
- US-PE-Kontrolle bei Francisco Partners = erhöhtes geopolitisches Risiko
Empfehlung: Beta Systems (IGA) + Wallix Bastion (PAM) Begründung: Beta Systems hat BSI-Grundschutz-Erfahrung und KRITIS-Referenzen in Deutschland. Wallix hat europäische Energieversorger als Kunden. Vollständige EU-Souveränität.
Profil 4: Mittelstand ohne PAM-Requirement
Risikofaktoren:
- Nur IGA (kein PAM) — One Identity teure Komplettlösung unnötig
- Budget-Constraint
- AD-Komplexität überschaubar
Empfehlung: Omada Identity Cloud Begründung: Omada deckt IGA vollständig ab, EU-nativ, SaaS-Option verfügbar, keine Überdimensionierung.
Profil 5: Unternehmen mit bestehender One-Identity-Installation
Risikofaktoren:
- On-Premise One Identity läuft stabil — Migration teuer und riskant
- CLOUD Act-Risiko bei on-premise ist reduziert (Daten beim Kunden)
- Aber: Support-Access-Protokoll + Francisco-Partners-Eskalations-Risiko
Empfehlung: Weiterbetrieb On-Premise mit EU-Compliance-Härtung Begründung: Wenn on-premise und kein SaaS: CLOUD Act-Risiko ist beherrschbar. Compliance-Härtung: Support-Access-Logging, keine Remote-Debug-Sessions ohne Begleitung, Key-Management beim Kunden, DPIA für Safeguard-Session-Recordings.
12-Wochen-Migrationsplan: One Identity → EU-natives IGA+PAM
Wochen 1-3: Assessment
Woche 1: Inventory
- Active Roles: Alle OU-Strukturen, Delegation-Konfigurationen, Workflow-Definitionen exportieren
- Identity Manager: Connector-Liste, Rollenmodell, SoD-Regeln, Certification-Campaigns
- Safeguard: Recording-Retention-Konfiguration, Password-Vault-Inventar, JIT-Policies
Woche 2: Compliance-Gap-Analyse
- DPIA für bestehende Safeguard-Session-Recordings (retroaktiv wenn nicht vorhanden)
- Betriebsrat-Status: Existiert BV für Safeguard? Wenn nicht: sofortige Bestandsaufnahme
- CLOUD Act-Risiko-Bewertung für aktuelle One-Identity-Installation
Woche 3: Zielarchitektur
- IGA-Zielsystem auswählen (Omada, Beta Systems, Evidian)
- PAM-Zielsystem auswählen (Wallix Bastion, Senhasegura)
- Migrationspfad für AD-Delegations-Struktur definieren
Wochen 4-7: EU-System-Setup und Parallelbetrieb
Woche 4-5:
- Wallix Bastion on-premise installieren (EU-Rechenzentrum)
- Basis-Connector-Setup: SSH-Targets, RDP-Gateways, Password-Vault
- Pilot-Admin-Gruppe (10 Admins) auf Wallix umstellen
Woche 6:
- Omada Identity Cloud EU-Instanz provisionieren
- AD-Connector konfigurieren (kein Active Roles mehr für Omada-verwaltete OUs)
- Pilot-Benutzer-Gruppe (500 User) auf Omada migrieren
Woche 7:
- Parallelbetrieb: One Identity + EU-Systeme
- Validierung: Alle Prozesse funktionieren auf Zielsystem?
Wochen 8-10: Rollout
Woche 8-9:
- Verbleibende Admin-Population auf Wallix migrieren
- One Identity Safeguard: Recording-Retention abwarten (falls nicht frühzeitig beendet)
- Rollenmodell und Certification-Campaigns auf Omada migrieren
Woche 10:
- Full Cutover: One Identity nur noch im Read-Only-Betrieb
- Quest Software Support-Zugang deaktivieren (GDPR Art.28 DPA-Kündigung vorbereiten)
Wochen 11-12: Abschluss und Dokumentation
Woche 11:
- One Identity-Vertrag kündigen (DORA-konforme Exit-Dokumentation)
- GDPR Art.17 Datenlöschung bei Quest Software anfordern
- Session-Recordings-Archivierung: On-Premise-Kopie vor Safeguard-Abschaltung
Woche 12:
- Betriebsvereinbarung für Wallix Bastion finalisieren (Betriebsrat)
- DPIA für EU-Zielsystem erstellen
- Abnahme-Dokumentation für Compliance-Audits
Kritische Erfolgsfaktoren:
- AD-Delegation: Active Roles-Konfigurationen haben typisch keine 1:1-Entsprechung in anderen Tools — manuelle Neukonzeption nötig
- Password Vault Migration: Passwörter aus One Identity Safeguard exportieren und in Wallix importieren (Passwort-Rotation aller kritischen Accounts empfohlen)
- Session-Recordings-Archivierung: Compliance-Retention vor Abschaltung sicherstellen
Fazit: One Identity zwischen On-Premise-Stärke und PE-Risiko
One Identity ist technisch ein ausgereifter IGA+PAM-Stack mit echter On-Premise-Stärke — ein Vorteil gegenüber Cloud-nativen US-Konkurrenten. Die Active-Roles-Tiefe für AD-Management hat im EU-nativen Markt keine vollwertige Alternative. Safeguard PAM gehört zu den technisch führenden PAM-Lösungen weltweit.
Das EU-Compliance-Problem ist nicht technisch, sondern strukturell: Francisco Partners (San Francisco PE) kontrolliert Quest Software LLC — und damit One Identity. CLOUD Act §2713 macht diese US-PE-Kontrolle zu einem permanenten Compliance-Risiko, unabhängig davon ob die Software on-premise betrieben wird. Der Weg zu einem CLOUD Act-Beschluss führt über Francisco Partners — nicht über den EU-Datacenter-Standort.
Für EU-Unternehmen unter NIS2, DORA oder mit BaFin-Aufsicht: Die On-Premise-Option von One Identity ist ein relevanter Risikominderungs-Faktor (16/25 statt 19/25 wie SailPoint). Aber die Francisco-Partners-Struktur und die PAM-Session-Recording-Sensitivität machen eine vollständige EU-native Lösung aus regulatorischer Perspektive vorzugswürdig.
Die konkrete Empfehlung: EU-Unternehmen mit bestehendem One-Identity-On-Premise-Deployment können pragmatisch weiterfahren — mit verstärktem Support-Access-Monitoring und einem DPIA für Safeguard. Für Neudeployments empfehle ich: Omada Identity für IGA + Wallix Bastion für PAM — eine vollständig EU-native Kombination ohne Francisco-Partners-Eskalationsrisiko.
Die nächste Alternative in dieser Serie: IBM Security Verify — CLOUD Act ~15/25, Hybridansatz, Besonderheiten bei IBM's EU-Cloud-Infrastruktur (Frankfurt).
Analyse basiert auf öffentlich verfügbaren Unternehmensdaten, One-Identity- und Quest-Software-Dokumentation, Francisco-Partners-Portfolio-Informationen, EU-Regulierungstext und sota.io-Recherchestandards. Keine Rechtsberatung.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.