Zluri

Kurzfazit

Zluri ist die ernsthafte Mid-Market-Antwort auf Zylo und BetterCloud, günstiger im Einstieg, ohne dabei in der Compliance-Tiefe nachzulassen. Die Plattform hat sich 2025/26 vom reinen SaaS-Management zur breiteren Identity-Governance-Plattform entwickelt (Framework “IRIS” mit den Modulen IVIP, IGA und ISPM), inklusive Fokus auf non-human Identities wie KI-Agenten und Service Accounts. Stärken: Access-Reviews mit Audit-Trail, breite Discovery-Engine und ein kostenfreier Einstiegs-Plan. Schwächen: US-Hosting auf AWS ohne garantierte EU-Region, intransparentes Pricing, kein deutschsprachiger Support, und eine laufende Repositionierung, die alte SaaS-Management-Anwender mit verschobenen Prioritäten konfrontiert.

Für wen ist Zluri?

IT- und Security-Teams in der Mid-Market-Zone: Zwischen 300 und 3.000 Mitarbeitende, wachsendes SaaS-Portfolio, erste echte Audit-Anforderungen (SOC 2, ISO 27001). Zluri liefert Discovery, Access-Reviews und Lifecycle-Automatisierung aus einem Tool, günstiger als Zylo, breiter als reine Discovery-Werkzeuge.

Compliance- und Audit-Verantwortliche: Wer Access-Reviews nicht mehr manuell in Excel-Tabellen pflegen will, sondern eine dokumentierte Reviewer-Notification, Self-Service-Bestätigung pro Manager und einen sauberen Audit-Trail braucht, bekommt das hier vollständig. Die Plattform deckt SOC 2, ISO 27001, HIPAA und SOX ITGC mit vorgefertigten Workflows ab.

IT-Governance bei wachsendem KI-Einsatz: Mit dem ISPM-Modul (Identity Security Posture Management) und der Erweiterung auf non-human Identities adressiert Zluri ein Thema, das viele Wettbewerber 2026 noch nicht ernsthaft angehen: KI-Agenten, Bots und API-Tokens, die heute oft mehr Privilegien sammeln als ein durchschnittlicher Sachbearbeiter. Wer KI-Tools breit einführt, braucht ein Inventar dafür.

Mittelständische SaaS- und Tech-Unternehmen: Branchen, in denen das Tool-Portfolio ohnehin SaaS-zentriert ist, profitieren am stärksten. In klassischen On-Prem-Welten ist der Hebel kleiner.

Weniger geeignet für: Behörden, Krankenhäuser oder Banken mit harten EU-Datenresidenz-Anforderungen, sehr kleine Unternehmen mit weniger als 20 SaaS-Tools (Excel reicht), reine Lizenz-Buchhaltungs-Use-Cases ohne Governance-Bedarf, sowie Organisationen, die deutschsprachigen Support vertraglich brauchen.

Preise im Detail

Plan	Preis	Was du bekommst
Discovery (Free Tier)	0 USD	Erstmalige SaaS-Inventur via Browser-Plugin und SSO-Anbindung, eingeschränkte Anzahl Apps und Nutzer
SaaS Management	Custom (Demo nötig)	Discovery + Lizenz-Optimierung + Renewals-Tracking + Workflow-Automatisierung
Identity Governance (IGA)	Custom (Demo nötig)	Lifecycle-Management, Joiner-Mover-Leaver-Workflows, Provisioning/Deprovisioning
Identity Security Posture (ISPM)	Custom (Demo nötig)	Detection von Over-Privilege, toxischen Zugriffskombinationen und dormant Accounts
Enterprise (Bundle)	Custom	Alle Module + SSO/SAML, SCIM, AVV, erweiterte Audit-Logs, Premium-Support

Einordnung: Wie alle ernsthaften SaaS-Management- und IGA-Anbieter veröffentlicht Zluri keine öffentliche Preisliste, alles außerhalb des kostenlosen Discovery-Plans läuft über Sales. In der Praxis liegt Zluri laut Anwenderberichten und G2-Reviews spürbar unter Zylo und BetterCloud für vergleichbare Funktionsumfänge, was die Plattform besonders für Mid-Market-Unternehmen attraktiv macht, denen die Enterprise-Preise der Etablierten zu hoch sind. Der Discovery-Plan ist als Einstiegsdroge gedacht: Er zeigt dir in 1–2 Stunden, wie viele Schatten-IT-Tools dein Unternehmen tatsächlich nutzt, die Zahl liegt fast immer 2–3x höher als die IT denkt. Wer mehr will (Access-Reviews, Provisioning, Renewals-Workflows), kommt um eine Demo nicht herum.

Stärken im Detail

Access-Reviews mit echter Audit-Tauglichkeit. Statt manueller Excel-Listen verschickt Zluri quartalsweise Reviewer-Notifications an die richtigen Manager, sammelt deren Bestätigung oder Widerruf strukturiert ein und legt für jede Entscheidung einen unveränderlichen Audit-Trail an. Für SOC-2-Auditoren ist das genau die Form, die sie sehen wollen, kein gepflegtes Spreadsheet, sondern systembelegte Workflows. Wer einmal eine quartalsweise Access-Review für 40 SaaS-Tools manuell durchgezogen hat, weiß den Hebel zu schätzen.

Breite Discovery-Engine. Zluri kombiniert mehrere Discovery-Quellen: SSO-Anbindung (Okta, Azure AD, Google Workspace), Finanz-Integrationen, Browser-Plugin und einen “Universal Identity Connector” für Apps ohne native Integration. Damit erkennt die Plattform sowohl die offiziellen Lizenzen als auch die “Schatten-IT”, Tools, die Mitarbeitende per Kreditkarte oder Free-Tier eingerichtet haben. Bei Erstkunden liegt die Differenz zwischen “der IT bekannt” und “tatsächlich genutzt” typischerweise bei Faktor 2 bis 3.

Identity-Governance-Tiefe trotz Mid-Market-Preis. Während reine SaaS-Management-Tools sich auf Lizenzen konzentrieren, bringt Zluri vollwertige IGA-Funktionen mit: Joiner-Mover-Leaver-Workflows, automatisches Provisioning und Deprovisioning, Policy-Enforcement und Privilege-Reviews. Das ist Territorium, das früher SailPoint oder Saviynt für sechsstellige Jahresbudgets vorbehalten war.

Non-human Identities früh adressiert. Mit dem 2025 eingeführten IRIS-Framework und dem ISPM-Modul fasst Zluri Service Accounts, API-Tokens, Bots und KI-Agenten als eigenständige Identitäten und überwacht deren Rechte und Aktivität. In einer Welt, in der KI-Agenten sich gegenseitig API-Calls schicken und dabei Daten anfassen, ist das kein Nice-to-have mehr, sondern ein echtes Sicherheits-Werkzeug, und viele Wettbewerber sind hier noch in der Konzeptphase.

Compliance-Frameworks vorkonfiguriert. Statt jedes Audit-Mapping selbst zu bauen, liefert Zluri vorgefertigte Workflows für SOC 2, ISO 27001, HIPAA, PCI-DSS und SOX ITGC. Eigene Compliance-Zertifikate (SOC 2 Type II, ISO 27001, ISO 27701, GDPR, PCI-DSS, NIST) sind ebenfalls vorhanden, wichtig, wenn der eigene Auditor das Tool selbst auditiert.

Mid-Market-Preisstrategie. Zluri kennt seinen Markt: Mid-Market-Unternehmen, die professionelle Werkzeuge brauchen, aber keine Enterprise-Budgets haben. Die Verhandlungsmarge ist real, wer Zluri gegen Zylo oder BetterCloud auspielt, bekommt typischerweise spürbar bessere Konditionen als wenn er nur einen Anbieter prüft.

Schwächen ehrlich betrachtet

Kein deutschsprachiger Support. Zluri ist ein indisches Unternehmen mit primärer Vertriebspräsenz in den USA. Oberfläche, Dokumentation, Support, Verträge und Sales-Kontakte sind komplett englisch. Für DACH-Unternehmen ohne englischsprachiges IT- oder Compliance-Team ist das eine echte Hürde, und bei rechtlichen Fragen (Datenschutz, AVV) bleibt der Übersetzungsaufwand bei dir.

US-Hosting auf AWS, EU-Region nicht garantiert. Die Plattform läuft auf AWS, GDPR-konform mit AVV, aber eine garantierte EU-Datenresidenz (z. B. Frankfurt) ist nicht Standard. Wer als Behörde, Krankenhaus oder Bank harte Geo-Residenz braucht, ist mit Zluri nicht sauber aufgestellt. Im Detail solltest du das im Trust Center prüfen und vor Vertragsabschluss explizit zusagen lassen.

Pricing intransparent. Außer dem Discovery-Plan ist nichts veröffentlicht. Du brauchst zwingend eine Demo, um überhaupt eine Hausnummer zu bekommen, und der echte Preis hängt stark von deinem Verhandlungsgeschick und Wettbewerber-Angeboten ab. Wer Budget-Planungs-Sicherheit über mehrere Jahre braucht, kommt damit nicht gut zurecht.

UI/UX uneinheitlich zwischen Modulen. Die ältesten Module (Discovery, License Management) sind gereift und nutzbar; neuere Module wie ISPM und Teile der IGA-Workflows wirken in der Bedienung noch unrund. Wer das Tool quer durch alle Module nutzt, merkt die Brüche im täglichen Arbeiten.

Roadmap-Verschiebung Richtung Identity. Zluri positioniert sich seit 2025 zunehmend als Identity-Governance-Plattform und nicht mehr nur als SaaS-Management. Das ist strategisch nachvollziehbar, birgt aber das Risiko, dass alte SaaS-Management-Kunden in Roadmap-Priorisierungen nach hinten rutschen. Wer Zluri primär für Lizenz-Optimierung gekauft hat, sollte vor Verlängerung prüfen, ob die alten Funktionen weiter aktiv weiterentwickelt werden.

Jüngerer Anbieter mit dünnem Track-Record in der DACH-Region. Zluri wurde 2020 gegründet und ist im DACH-Raum noch nicht breit verankert. Referenzkunden in Deutschland sind rar, die meisten Case Studies zeigen US- oder UK-Unternehmen. Wer Wert auf eine etablierte regionale Anbieter-Historie legt, bekommt das bei Zylo oder BetterCloud eher.

Alternativen im Vergleich

Wenn du…	…nimm stattdessen
Enterprise-Tiefe und maximalen Branchen-Track-Record willst	Zylo
Klassische SaaS-Automatisierung und Workflow-Tiefe brauchst	BetterCloud
Reines SaaS-Discovery und Lizenz-Buchhaltung suchst	Cledara oder Sastrify
Engagement- und Adoption-Daten in den Fokus stellen willst	Productiv
Discovery mit ITSM-Anbindung kombinieren willst	Torii

Erwähnenswert ohne eigene Tool-Seite: SailPoint und Saviynt im IGA-Schwergewicht-Segment (höhere Komplexität, höheres Budget, eher Großkonzerne), Josys als asiatischer SaaS-Management-Wettbewerber sowie LeanIX SMP (jetzt Teil von SAP) für Unternehmen, die ohnehin in der SAP-Welt zu Hause sind. Zluri ist die Mid-Market-Mitte: breiter als reine Discovery-Tools, günstiger als die Enterprise-Klassiker, mit echter Identity-Governance-Tiefe, wer in diese Lücke fällt, sollte es zumindest evaluieren.

So steigst du ein

Schritt 1: Discovery-Plan starten und ehrlich auswerten. Melde dich auf zluri.com für den Discovery-Plan an, verbinde dein SSO (Okta, Azure AD oder Google Workspace) und gegebenenfalls die zentrale Firmen-Kreditkarte. Nach 24–48 Stunden hast du eine erste Liste aller tatsächlich genutzten SaaS-Tools. Wichtig: Plane einen halben Tag für die Auswertung, die Differenz zwischen “offiziell lizenziert” und “wirklich genutzt” ist die eigentliche Erkenntnis und der Business Case für alles, was danach kommt.

Schritt 2: Demo des SaaS-Management- und IGA-Moduls anfordern. Geh mit konkreten Use Cases ins Gespräch: “Wir haben 40 Tools, wollen quartalsweise Access-Reviews automatisieren und SOC 2 vorbereiten, zeigt mir das End-to-End.” Pricing solltest du parallel mit einem zweiten Anbieter (Zylo oder BetterCloud) ausverhandeln. Bei intransparenten Preisen ist Wettbewerbsdruck die einzige reale Verhandlungswährung.

Schritt 3: Mit einem konkreten Quartal starten. Wähle 5–10 sensible Tools (HR, Finance, Customer Data) und konfiguriere für sie automatisierte Access-Reviews. Lass den ersten Zyklus durchlaufen, dokumentiere die Auditierbarkeit und erweitere danach auf das gesamte Portfolio. Wer von Tag 1 alles auf einmal automatisiert, scheitert an Datenqualität und Reviewer-Müdigkeit.

Schritt 4 (optional): Non-human Identities einbeziehen. Wenn ihr KI-Agenten oder Service Accounts breit einsetzt, aktiviere das ISPM-Modul nach den ersten zwei sauberen Review-Zyklen. Der Mehrwert entsteht erst, wenn du human Identities sauber im Griff hast, sonst ertrinkt das Team in Alerts.

Ein konkretes Beispiel

Ein deutsches Software-Unternehmen aus München mit 600 Mitarbeitenden steht vor dem ersten SOC-2-Type-II-Audit. Bisher: manuelle Access-Reviews per Excel über 40 SaaS-Tools, drei Wochen Aufwand pro Quartal, viel Frust bei den Managern, ein unvollständiger Audit-Trail. Nach Einführung von Zluri laufen die Reviews automatisiert: Jeder Manager bekommt eine Notification mit der Liste seiner Direct Reports und deren Zugriffen, bestätigt oder widerruft mit zwei Klicks, alles dokumentiert. Aufwand pro Quartal: zwei Tage statt 15 Tage. Zusätzlich identifiziert die Discovery-Engine 14 Schatten-IT-Tools, die nicht im Audit-Scope erfasst waren, kritisch für die Vollständigkeit. Das Pricing wurde gegen Zylo gegengeprüft; Zluri lag rund 35 % günstiger und gewann den Auftrag. Einziger Wermutstropfen: Die Mandantenkommunikation rund um den AVV mit Zluri Technologies dauerte sechs Wochen, weil Vertragstext und Datenschutz-Vereinbarungen auf Englisch waren und die Rechtsabteilung jeden Punkt einzeln prüfen wollte.

DSGVO & Datenschutz

• Datenhosting: AWS-Infrastruktur, primär US-Regionen. Eine garantierte EU-Datenresidenz (Frankfurt/Irland) ist nicht Standard und müsste im Vertrag explizit zugesagt werden.
• Anbieter: Zluri Technologies, Indien (mit US-Vertriebspräsenz). Entsprechend Drittland-Transfer mit Standardvertragsklauseln.
• Zertifizierungen: SOC 2 Type II, ISO/IEC 27001, ISO 27701, PCI-DSS, NIST und GDPR-Compliance laut Trust Center.
• Datennutzung: Zluri verarbeitet Identitäts- und SaaS-Nutzungsdaten aus den angebundenen Quellen. Für Training oder produktfremde Zwecke werden Kundendaten laut Anbieter nicht genutzt.
• Aufbewahrung: 90 Tage Datenretention nach Vertragsende laut Trust-Center-Dokumenten, typischer Industriestandard.
• Auftragsverarbeitung (AVV): Verfügbar, ist Teil der Standard-Vertragsunterlagen für Business- und Enterprise-Kunden. Auf Englisch.
• Empfehlung für Unternehmen: Vor Einsatz im DACH-Raum eine Datenschutz-Folgenabschätzung anfertigen und beim Vertragsabschluss die EU-Region explizit schriftlich zusagen lassen, wenn das geschäftskritisch ist. Für Branchen mit harten Geo-Residenz-Anforderungen (öffentlicher Sektor, Gesundheit, Banken) ist Zluri ohne diese explizite Zusage nicht zu empfehlen.

Gut kombiniert mit

• Okta oder Azure AD/Entra ID, Zluri lebt von einer sauberen Identity-Quelle. Wer das SSO-Setup gut aufgesetzt hat, bekommt Zluri-Inventur und Provisioning in Tagen statt Wochen produktiv.
• Sastrify oder Cledara, wenn der Schwerpunkt eher auf Vertrags-Verhandlung und Spend-Management liegt, lässt sich Zluri auf Governance- und Access-Reviews fokussieren und Sastrify/Cledara für die Finanzlogik nutzen.
• Ein klassisches ITSM-Tool (ServiceNow, Jira Service Management), Provisioning- und Deprovisioning-Workflows landen typischerweise als Tickets im ITSM. Zluri liefert die Workflow-Engine und die Audit-Spur, das ITSM bleibt die Operationsschicht.

Unser Testurteil

Zluri verdient 3 von 5 Sternen. Die Plattform macht in ihrem Kernsegment, Mid-Market-Unternehmen mit ernsthaftem Compliance-Druck, vieles richtig: breite Discovery, ordentliche Access-Reviews, echte IGA-Tiefe und ein Pricing, das spürbar unter Zylo und BetterCloud liegt. Der vierte Stern scheitert am fehlenden deutschsprachigen Support, an der nicht garantierten EU-Datenresidenz und an der UI/UX-Uneinheitlichkeit zwischen den Modulen. Der fünfte Stern ist ohne echten regionalen Track-Record, ohne öffentliche Preisliste und mit einer aktiven Repositionierung weg vom ursprünglichen SaaS-Management-Fokus realistisch nicht erreichbar. Für DACH-Mittelständler, die sich auf Audit-Druck einstellen und keine harten EU-Residency-Auflagen haben, bleibt Zluri trotzdem eine ernsthaft prüfenswerte Option, gerade gegen Zylo positioniert.

Was wir bemerkt haben

• 2025, Zluri hat sich strategisch vom reinen SaaS-Management zur Identity-Governance-Plattform repositioniert, eingeführt unter dem Framework-Namen “IRIS” mit den drei Modulen IVIP (Visibility), IGA (Governance) und ISPM (Security Posture). Alte Kunden, die das Tool für Lizenz-Optimierung gekauft hatten, müssen damit rechnen, dass die Roadmap-Schwerpunkte sich verschieben.
• 2025–2026, Mit dem ISPM-Modul adressiert Zluri non-human Identities (Service Accounts, API-Tokens, KI-Agenten) als eigenes Thema. Das ist marktseitig vor den meisten Wettbewerbern und ein klares Differenzierungs-Argument in Verkaufsgesprächen mit security-getriebenen Käufern.
• Mai 2026, Eine garantierte EU-Datenresidenz (z. B. AWS Frankfurt) ist weiterhin nicht Standard. Wer als deutsches Unternehmen mit Behörden- oder Gesundheitssektor-Kontext arbeitet, muss das vor Vertragsabschluss schriftlich verhandeln. Diese Lücke ist seit Jahren bekannt und bisher nicht geschlossen worden.
• 2024–2026, Im DACH-Raum bleibt Zluri eine indirekte Marke, keine deutsche Niederlassung, keine deutschsprachigen Vertriebs- oder Support-Ressourcen sichtbar. Wer die Plattform einsetzt, arbeitet faktisch komplett auf Englisch.
• Keine öffentlichen Pricing-Änderungen kommuniziert, Zluri arbeitet weiterhin ausschließlich mit Custom Pricing. Anwenderberichte deuten auf eine bewusste Mid-Market-Strategie hin (deutlich günstiger als Zylo bei vergleichbarem Umfang), aber konkrete Listen-Preise gibt es nach wie vor nicht.