Jedes Krankenhaus kämpft an zwei Fronten zugleich: mit einer Personalnot und mit einer unerbittlichen Welle von Cyberangriffen. Hohe Fluktuation beim Personal trifft auf Rekordwerte bei Datenschutzvorfällen im Gesundheitswesen - und statische Zugriffskontrollen kommen da nicht mehr mit. Warum das für Patientendaten so gefährlich ist - und wie moderne, kontinuierliche Identity Governance in der Praxis wirklich aussieht.

Die Realität: Hohe Personalfluktuation trifft auf Rekordzahlen bei Datenschutzvorfällen

Die Fluktuation im Gesundheitswesen ist kein vorübergehender Ausschlag nach der Pandemie, sondern der neue Normalzustand.

In US-Krankenhäusern lag die durchschnittliche Fluktuationsrate bei examinierten Pflegekräften 2023 bei rund 18,4 %, die Gesamtfluktuation beim Krankenhauspersonal bei etwa 22-23 %. In vielen Häusern ist jedes Jahr eine von fünf klinischen Fachkräften neu im Team.

Gleichzeitig explodieren die Zahlen bei Datenschutzverletzungen.

  • 2023 war das schlechteste Jahr aller Zeiten für Datenschutzvorfälle im Gesundheitswesen: 725 große Vorfälle wurden dem HHS OCR gemeldet, 133 Millionen Patientendatensätze waren betroffen - 156 % mehr als 2022.
  • Über 124 Millionen dieser Datensätze - mehr als 93 % - wurden durch Hacking oder andere IT-Vorfälle kompromittiert.
  • Der IBM-Bericht "Cost of a Data Breach 2023" bezifferte die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen auf rund 10,93 Millionen US-Dollar - Höchstwert aller Branchen und über 50 % mehr als im Jahr 2020.

Bis 2024 verschärfte sich die Lage weiter: Das HIPAA Journal schätzt, dass in nur einem Jahr rund 275 Millionen Datensätze aus dem Gesundheitswesen kompromittiert wurden - Daten, die etwa 82 % der US-Bevölkerung betreffen.

Hohe Personalfluktuation und aggressive Angreifer sind eine toxische Kombination. Wenn Ihr Modell für Zugriffskontrolle von stabilen Belegschaften und Rollen ausgeht, ist es bereits veraltet.

Wo statische Zugriffskontrollen im Krankenhaus versagen

Die meisten Gesundheitseinrichtungen organisieren Identitäts- und Berechtigungsmanagement immer noch so:

  • Bereitstellung und Entzug von Zugängen per Tickets oder Tabellenkalkulationen
  • SSO auf einigen Systemen - aber EMR/EHR, Radiologie und Fachportale bleiben Inseln
  • Vierteljährliche oder jährliche Zugriffsüberprüfungen, bei denen Führungskräfte endlose Berechtigungslisten nur noch "abnicken"

Bei hoher Fluktuation treten drei typische Fehlermuster immer wieder auf.

1. Unvollständiges Offboarding und verwaiste Konten

Jedes Mal, wenn eine Pflegekraft, ein Assistenzarzt, eine Honorar- oder Zeitarztkraft, ein externer Dienstleister oder eine Verwaltungskraft ausscheidet, müssten Dutzende Systeme aktualisiert werden. In der Praxis werden einige vergessen oder verspätet bearbeitet.

Die Breach-Analyse 2024 des HIPAA Journal zeigt das Risiko: Bei einem großen Vorfall in einem US-Kinderkrankenhaus wurden 1,2 Millionen Datensätze kompromittiert, nachdem ein Mitarbeiter eines Geschäftspartners auch nach seiner Kündigung noch Zugriff hatte. Ein klassisches "verwaistes Konto" - direkt verursacht durch ein defektes Offboarding.

2. Rollenwechsler mit weiterbestehendem Hochrisiko-Zugriff

Fluktuation bedeutet nicht nur Abgänge, sondern ständige interne Wechsel:

  • Intensivpflegende wechseln in den ambulanten Bereich
  • Chirurginnen und Chirurgen übernehmen Dienste in einem zweiten Haus
  • Externe Fachärzte greifen aus der Ferne auf die Onkologie zu

Mit statischer, manueller Governance sammeln sich Berechtigungen an. Zugriffe bleiben "für alle Fälle" bestehen, das Prinzip der minimalen Rechte wird ausgehöhlt, und es entstehen verdeckte Einstiegspunkte in besonders schützenswerte Gesundheitsdaten.

3. Die "neue Art von Identitäten", für die sich niemand zuständig fühlt

Krankenhäuser laufen heute auch auf:

  • RPA-Bots, die Abrechnungen verarbeiten
  • KI-Schreibhilfen, die Arzt-Patienten-Gespräche mitprotokollieren
  • Support-Konten von Herstellern für Bildgebung/Labore
  • Drittanbieter-Portale, die an Epic, Cerner oder ähnliche Systeme angebunden sind

Diese nicht-menschlichen oder externen Identitäten passen nicht in HR-gesteuerte Standardprozesse. Sie tauchen selten in Leaver-/Mover-Listen auf, haben aber weitreichende Datenzugriffe. Wenn Personen wechseln, bleiben Dienstkonten und Hersteller-Logins häufig unberührt bestehen.

Das Ergebnis: Identitätsblindflecken genau dort, wo Sie sie sich am wenigsten leisten können.

Warum "periodische Reviews + SSO" heute nicht mehr ausreichen

Hackerangriffe schaffen es in die Schlagzeilen, doch interne Fehler und fehlerhafte Berechtigungen sind ebenso allgegenwärtig.

2023 gab es im US-Gesundheitswesen 127 Vorfälle im Bereich "unbefugter Zugriff/Offenlegung", bei denen 8,6 Millionen Datensätze betroffen waren - 10,4 % mehr Vorfälle und 13,6 % mehr Datensätze als 2022. Häufig handelte es sich um:

  • Ehemalige Mitarbeitende mit weiterhin aktivem Zugriff
  • Geteilte oder generische Konten
  • Übermäßig ausgestattete Nutzer mit Zugriff weit über das Notwendige hinaus

Die Sicherheitsregelungen von HIPAA formulieren klare Erwartungen:

  • Eindeutige Benutzeridentifikation (verpflichtend)
  • Notfallzugriffsverfahren
  • Automatische Abmeldung, um unbeaufsichtigte Sitzungen zu begrenzen
  • Schutzmaßnahmen für Verschlüsselung/Entschlüsselung
  • Verfahren zur Überprüfung der Berechtigungen und zur Beendigung von Beschäftigungsverhältnissen

Krankenhäuser ignorieren diese Vorgaben nicht - aber manuelle, ticketbasierte Prozesse können sie angesichts der heutigen Geschwindigkeit und Größenordnung nicht mehr ausreichend erfüllen.

Statische Kontrollen vs. Realität hoher Fluktuation

Problemfeld Statischer Ansatz Wirkung bei hoher Fluktuation
Onboarding neuer Mitarbeitender AD-/SSO-Konto + Tickets Verzögerungen, Schattenzugänge, Workarounds, um Versorgung aufrechtzuerhalten
Rollenwechsel (Movers) Ad-hoc-Anpassungen von Gruppen/Apps Zugriffe werden selten reduziert; Privilegien wachsen über die Zeit
Offboarding (Leaver) Manuelle Checklisten pro Abteilung Verwaiste Konten; HIPAA-Risiko
Temporäres/Leihpersonal Generische Logins, Abkürzungsprozesse Keine Verantwortlichkeit; Prüfpfade gehen verloren
Hersteller & Drittportale Einmaliges Onboarding, nicht HR-geführt Herstellerkonten bleiben lange nach Vertragsende aktiv

Jährliche Zertifizierungen und Tabellen-Reviews können mit permanenten Angriffen und ständigem Personalwechsel nicht Schritt halten.

Moderne Identity Governance im Gesundheitswesen: kontinuierlich, kontextsensitiv, agentisch

Was ist die realistische Alternative für ein 300-Betten-Krankenhaus mit überlastetem IT-Team?

Moderne, umfassende Identity Governance ruht auf drei Säulen:

  1. Umfassende Abdeckung über den gesamten Technologiestapel
  2. Feingranulare, richtliniengesteuerte Kontrolle
  3. Agentische Workflows - KI-gestützte, autonome Abläufe, die Identitäten in Echtzeit steuern

1. Umfassende Abdeckung - nicht nur SCIM-fähige Anwendungen

Die meisten "modernen IGA"-Lösungen kommen genau dort zum Stillstand, wo SCIM endet. Das ist ein Problem, wenn Hochrisikosysteme (Epic, Cerner, Labor, PACS, OT/ICS, spezialisierte klinische SaaS-Lösungen) keine APIs haben oder teure Upgrades für die Anbindung erfordern.

Iden setzt genau hier an:

  • Anbindung von EMR/EHR, Radiologie, HRIS, ITSM, spezialisierten klinischen und Drittportalen - mit SCIM, mit API oder auch ohne beides
  • Automatisierung von Zugriffsrechten bis auf Ebene von Klinik, Station, Fachbereich und Modul - nicht nur ein zentraler EMR-Schalter
  • Onboarding/Offboarding von externen Portalen und Systemen von Geschäftspartnern, bei denen HIPAA-Haftungsfragen im Vordergrund stehen

Die universelle Connector-Technologie von Iden automatisiert das Zugriffsmanagement für über 175 Anwendungen - einschließlich nicht-SCIM-/nicht-API-fähiger Tools - und liefert neue kundenspezifische Connectoren in bis zu 48 Stunden.

2. Feingranulare Steuerung statt grober Gruppen

SCIM bietet Kontrolle auf Gruppenebene. Das Gesundheitswesen braucht mehr:

  • Berechtigungen auf Klinik-, Stations- oder Abteilungsebene
  • Modulbezogenen EMR-Zugriff (Onkologie, Pädiatrie usw.)
  • Klare Trennung von Versorgung, Abrechnung, Kodierung und Forschung

Der SCIM++-Ansatz von Iden: Berechtigungen auf Ebene von Kanal, Repository, Projekt oder Modul - durch Richtlinien gesteuert, nicht durch Gruppen. Beispiele:

  • Eine Intensivpflegekraft wechselt in den ambulanten Bereich? Der ICU-Zugriff läuft automatisch mit ihrer letzten ICU-Schicht ab.
  • Eine Studienkoordinatorin für klinische Studien verliert den Produktivzugriff auf Abrechnungssysteme, sobald sie in die Forschung wechselt.

3. Agentische Workflows und kontinuierliche Governance

Agentische Workflows sind KI-gesteuert, autonom und reagieren sofort auf Identitätsereignisse. Im Krankenhaus bedeutet das:

  • Überwachung von HRIS/Dienstplanung auf Joiner-Mover-Leaver-Ereignisse
  • Echtzeitbewertung von Zugriffsanfragen anhand von Richtlinien, Risiken und bestehenden Berechtigungen
  • Automatische Bereitstellung, Just-in-time-Zugriffe und schnelle Entziehung von Berechtigungen über alle angeschlossenen Systeme hinweg
  • Kontinuierlicher Abgleich und sofortige Bereinigung von Berechtigungen nach Rollen- oder Vertragsänderungen

Für schlanke Teams ist das überlebenswichtig: Kunden von Iden reduzieren manuelle Zugriffstickets um 80 % innerhalb von 60 Tagen und gewinnen pro Quartal rund 120 Stunden für Benutzerzugriffs-Reviews zurück. Das ist der Unterschied zwischen "gerade so Audit bestanden" und tatsächlich verbesserter Sicherheit.

Kontinuierliche Identity Governance mit HIPAA in Einklang bringen

HIPAA schreibt keine konkreten Werkzeuge vor - sondern Ergebnisse.

Ein kontinuierlicher, agentischer Ansatz erfüllt die Anforderungen der HIPAA-Sicherheitsregel zu Zugriffskontrolle und Personalsteuerung:

Zugriffskontrolle (45 CFR §164.312(a))

  • Eindeutige Benutzeridentifikation: Jede menschliche und nicht-menschliche Identität - inklusive Bots und Dienstkonten - erhält eine eindeutige, gesteuerte Kennung. Geteilte Logins werden zu zeitlich begrenzten, nachvollziehbaren, namentlichen Konten.
  • Automatische Abmeldung: Identitätsrichtlinien erzwingen Sitzungs-Timeouts; agentische Workflows markieren begründete klinische Ausnahmen und hinterlegen kompensierende Kontrollen.
  • Notfallzugriffsverfahren: Notfallzugriffe ("Break-Glass") sind richtliniengesteuert, streng zeitlich begrenzt und werden automatisch widerrufen - mit vollständigem Audit-Trail.
  • Verschlüsselung/Übertragungssicherheit: Identity Governance integriert sich mit VPN, TLS und Datenträgerverschlüsselung, sodass nur autorisierte Identitäten überhaupt an Speicherorte für sensible Gesundheitsdaten gelangen.

Administrative Schutzmaßnahmen (45 CFR §164.308)

  • Überprüfung der Berechtigungen der Belegschaft: Agentische Workflows prüfen, ob Neueinstellungen und Rollenwechsler die Freigabekriterien erfüllen, bevor Zugänge gewährt werden.
  • Beendigung von Beschäftigungsverhältnissen: Sobald HR die Beendigung erfasst, entzieht die Governance Zugriffe sofort über EMR, SaaS, Portale und lokale Systeme - ohne wartende Tickets.
  • Informationszugangsmanagement: Feingranulare, richtliniengesteuerte Zugriffe stellen sicher, dass Mitarbeitende nur die Gesundheitsdaten sehen, die sie tatsächlich benötigen - dynamisch angepasst, wenn sich ihre Rolle ändert.

Alles wird mit unveränderlichen Prüfprotokollen und Verschlüsselung auf Bankniveau dokumentiert, sodass in der Audit-Saison Antworten wie "Wer hatte wann Zugriff?" schnell verfügbar sind.

Was IT-Teams im Gesundheitswesen realistisch erwarten können

Mit kontinuierlicher, KI-nativer Governance stellen sich die Vorteile sofort ein:

  • Sicherheit und Schutz von Patientendaten

    • Verwaiste Konten werden aus EMR, Portalen und SaaS entfernt
    • Schnelles, konsequent durchgesetztes Offboarding bei Personal- und Agenturwechseln
    • Das Prinzip minimaler Rechte wird eingehalten; schleichende Privilegienausweitung wird rückgängig gemacht

  • Compliance- und Audit-Fähigkeit

    • Echtzeit-Übersichten über alle Zugriffe - menschliche und nicht-menschliche
    • Automatisierte, auditfähige Zugriffsüberprüfungen im Einklang mit HIPAA, SOC 2, ISO 27001, DORA
    • Direkte Verknüpfung von HR-Aktionen mit Identitätsänderungen

  • Entlastung im Betrieb für schlanke IT-/Security-Teams

    • Weniger Tickets der Art "aus Epic hinzufügen/entfernen"
    • Weniger Ad-hoc-Skripting für nicht-SCIM-fähige Anwendungen
    • Mehr Fokus für strategische Prioritäten: Segmentierung, Backups, Incident Response

Iden-Kunden reduzieren ihre SaaS-/Lizenzverschwendung um bis zu 30 % durch automatisches Rightsizing und Deprovisioning und gehen innerhalb von 24 Stunden produktiv - statt nach 6-18 Monaten wie bei Legacy-IGA-Lösungen.

Für Krankenhäuser ist das essenziell - nicht optional. Nur so lassen sich permanente Personalwechsel bewältigen, ohne ständig massive Identitätsrisiken in Kauf zu nehmen.

Konkrete nächste Schritte für CIOs und CISOs im Gesundheitswesen

Sie können nicht alles über Nacht reparieren. Gehen Sie pragmatisch vor:

  1. Quantifizieren Sie Ihre Exponierung.

    • Erfassen Sie jedes System mit Gesundheitsdaten: EMR, Radiologie, Portale, spezialisierte SaaS-Anwendungen
    • Dokumentieren Sie, wie Onboarding, Rollenwechsel und Offboarding heute ablaufen

  2. Identifizieren Sie Bereiche mit hoher Fluktuation und hohem Risiko.

    • Stationen mit besonders hoher Fluktuation bei Pflege- und Servicepersonal
    • Anbieterportale und Systeme von Geschäftspartnern
    • Dienstkonten und Bots mit Zugriff auf Gesundheitsdaten

  3. Automatisieren Sie zunächst Joiner-Mover-Leaver-Prozesse aus dem HRIS.

    • Binden Sie HR/Dienstplanung als "Single Source of Truth" an
    • Führen Sie richtlinienbasierte Lifecycle-Automatisierung in ein bis zwei Bereichen mit der höchsten Fluktuation ein

  4. Schließen Sie die Connector-Lücke.

    • Automatisieren Sie zuerst die Kernsysteme: EMR, Radiologie, zentrale Portale - insbesondere jene ohne SCIM
    • Verzichten Sie auf teure "SCIM-Upgrade"-Projekte - setzen Sie stattdessen auf agentische, universelle Connectoren

  5. Behandeln Sie verwaiste Konten wie einen laufenden Sicherheitsvorfall.

    • Führen Sie einen automatisierten Kontoabgleich zwischen HR, Identitätssystem und Anwendungen durch
    • Räumen Sie Altlasten auf - danach halten agentische Workflows Sie kontinuierlich auf dem aktuellen Stand

Bei der Bewertung von Plattformen sollten Sie vollständige Abdeckung mit feingranularer Kontrolle und null Zusatzaufwand für schlanke Teams verlangen - nicht Tools, die 20 % automatisieren und Sie für die restlichen 80 % ungeschützt zurücklassen.

Iden wurde genau für diese Lücke entwickelt. Wenn hohe Fluktuation und HIPAA-Druck Ihnen den Schlaf rauben, sollten Sie prüfen, was kontinuierliche, agentische Identity Governance in der Praxis leisten kann.

Häufig gestellte Fragen

Wie führt hohe Personalfluktuation konkret zu HIPAA-Verstößen?

Hohe Fluktuation bedeutet mehr Neueintritte, Rollenwechsel, Austritte - jeder Ihrer Prozesse wird stärker belastet. Manuelles Offboarding, verteilt auf IT, Verwaltung und externe Dienstleister, lässt Konten aktiv, die längst hätten gesperrt werden müssen. Diese "vergessenen" Konten führen direkt zu Exposition von Gesundheitsdaten und zu Maßnahmen der Aufsichtsbehörden.

Welche Personalveränderungen gefährden die Sicherheit von Patientendaten am meisten?

Drei kritische Punkte:

  • Ausscheidende Mitarbeitende mit weiterhin bestehendem Zugriff auf Gesundheitsdaten
  • Rollenwechsler, die Hochrisikoberechtigungen behalten
  • Temporäres/externes Personal (Honorarärzte, Agenturpflege, externe Kodierkräfte) mit Identitäten, die nicht sauber an HR oder Verträge gekoppelt sind

Jeder dieser Fälle erzeugt eine Lücke, wenn Zugriffe nicht kontinuierlich aktualisiert werden.

Reicht SSO nicht aus, wenn wir Logins konsequent absichern?

SSO ist ein starkes Eingangstor, aber keine Identity Governance:

  • Viele Systeme mit Gesundheitsdaten (Portale, Altsysteme) sind nicht angebunden
  • Das Prinzip minimaler Rechte wird nicht über Module/Abteilungen hinweg durchgesetzt
  • Deprovisioning für nicht-SCIM-fähige Anwendungen bleibt manuell

Sie benötigen eine Governance, die Rolle und Kontext versteht - und über den gesamten Technologiestapel hinweg handelt.

Was sind agentische Workflows im Identity-Kontext des Gesundheitswesens?

Agentische Workflows sind KI-gesteuert und autonom. Sie:

  • Erkennen Identitätsereignisse (Einstellung, Wechsel, Beendigung, Herstellerwechsel)
  • Bewerten den Kontext (Rolle, Dienstplan, Trennungsanforderungen/Risiko, bestehende Berechtigungen)
  • Stellen Zugriffe bereit, passen sie an oder entziehen sie - sofort und systemübergreifend

So können sich IT- und Security-Teams auf Ausnahmen konzentrieren statt auf eine Flut von Tickets.

Wenn wir noch mit Tabellen arbeiten - wo sollten wir anfangen?

Starten Sie dort, wo das Risiko am höchsten ist:

  1. Automatisieren Sie Joiner-/Mover-/Leaver-Prozesse auf einer Einheit mit hoher Fluktuation (z. B. Notaufnahme/Allgemeinstation).
  2. Nehmen Sie sich ein kritisches System mit Gesundheitsdaten außerhalb von SSO vor (häufig ein externes oder älteres klinisches Portal).
  3. Führen Sie eine automatisierte Zugriffsüberprüfung für Nutzer mit hohem Wert durch (z. B. alle mit EMR-Adminrechten).

Erweitern Sie die Abdeckung von dort aus - bis menschliche und nicht-menschliche Identitäten, On-Premises und SaaS, unter kontinuierlicher, umfassender Governance stehen.