Identity-Governance-Herausforderungen im Gesundheitswesen, in der öffentlichen Verwaltung und im Bildungswesen
Identity Governance ist inzwischen ein selbstverständlicher Schwerpunkt innerhalb von Organisationen. Während Sie mit Identity & Access Management (IAM) die Identitäten und Zugriffsrechte innerhalb der IT-Umgebung verwalten, geht Identity Governance noch einen Schritt weiter. Bei Governance geht es darum, die Kontrolle über dieses Identitäts- und Zugriffsmanagement in einer sich schnell verändernden Umgebung mit immer strengeren Anforderungen zu behalten. Deshalb möchten wir die Verwaltung von Konten und Berechtigungen überwachen, bewerten, pflegen und verbessern können. Wer erhält bestimmte Zugriffsrechte, und wissen wir warum? Ist dieser Zugriff noch erforderlich und woran leiten wir das ab? Das sind Fragen, die immer wichtiger werden.
Die Bedeutung davon nimmt schnell zu, denn Organisationen digitalisieren sich in rasantem Tempo. Benutzer wechseln fortlaufend von Anwendung zu Anwendung, von Netzwerk zu Netzwerk und von Gerät zu Gerät. In dieser Dynamik müssen Sie die Rechteverwaltung für Dutzende oder sogar Hunderte von Anwendungen steuern, während wir manchmal kaum wissen, wo die betreffenden Anwendungen in der Cloud gehostet werden, welche Daten verarbeitet werden und mit wem die Daten geteilt werden.
Das birgt enorme Risiken. Wenn wir die Kontrolle über unsere Anwendungen, Daten und Benutzer nicht behalten, ist die Wahrscheinlichkeit von Datenschutzverletzungen und anderen Cybervorfällen hoch. Der daraus entstehende Schaden betrifft nicht nur Umsatzeinbußen und Wiederherstellungskosten. Er ist auch verheerend für Ihre Reputation, und wir laufen Gefahr, mit Ansprüchen und Bußgeldern konfrontiert zu werden. Auch deshalb steht Governance bei Managern und Entscheidungsträgern weit oben auf der Agenda.
In diesem Blog betrachten wir, welche Governance-Fragestellungen in einigen wichtigen Sektoren eine Rolle spielen. Welche Bedeutung hat das Thema im Gesundheitswesen, in der öffentlichen Verwaltung und im Bildungswesen? Wir erfassen dies anhand eines konkreten Falls, einer Skizze des jeweiligen Sektors als Ganzes, und wir haben häufige Pain Points zusammengestellt.
Identity Governance im Gesundheitswesen
Eine erfahrene Pflegekraft wird in mehreren Abteilungen eingesetzt und erhält deshalb Zugriff auf die Patientenakten der jeweiligen Abteilungen. Die Rechte werden anschließend nicht entzogen, und letztlich „sammelt“ die Mitarbeiterin auf diese Weise Zugriff auf Behandlungsdaten in allen Abteilungen. Verständlich aus dem Gedanken heraus, dass eine so erfahrene Mitarbeiterin überall schnell einspringen können muss, aber im Widerspruch zum Least-Privilege-Prinzip.
Governance-Herausforderungen im Gesundheitssektor
Im Gesundheitswesen ist es entscheidend, dass medizinische Fachkräfte jederzeit Zugriff auf alle Daten haben, die für die Behandlung und Versorgung von Patienten oder Klienten erforderlich sind. Die Herausforderung dabei ist, dass es sich um besondere personenbezogene Daten handelt, denn es geht um medizinische Informationen, und diese müssen Sie als Organisation vertraulich aufbewahren. Sie müssen diese Daten daher besonders gut schützen, aber das darf gleichzeitig niemals dazu führen, dass sie nicht zugänglich sind, wenn sie benötigt werden. Das sind schwierige Zielkonflikte.
Hinzu kommt eine große und vielfältige Benutzergruppe. Nicht nur Ärzte und Pflegekräfte, sondern auch unterstützendes Personal und externe Kräfte benötigen Zugriff. Häufig haben diese mehrere Rollen, die Rollen ändern sich zudem regelmäßig, und die Dienstpläne sind dynamisch. Das macht Identity Lifecycle Management sehr komplex.
Außerdem wird Gesundheitsversorgung nicht isoliert von einer einzigen Einrichtung erbracht. Zusammenarbeitende Fachkräfte, zum Beispiel in Krankenhäusern, Rehabilitationszentren und Hausarztpraxen, benötigen Zugriff auf die Systeme und Daten der jeweils anderen. Und das in einer fragmentierten IT-Landschaft, in der moderne Anwendungen neben älteren Systemen genutzt werden. Das erschwert die zentrale Steuerung und Transparenz.
Häufige Identity-Governance-Probleme und Risiken
Ärzte und Pflegekräfte behalten Zugriff auf Akten außerhalb ihrer Behandlungsbeziehung, zum Beispiel nach Abteilungs- und Dienstplanwechseln. Dadurch sind Patientendaten unnötig breit zugänglich.
Externe Kräfte erhalten manchmal keine eigenen Konten und nutzen deshalb die Zugänge von Kollegen oder Gruppenaccounts. Das ist unerwünscht und steht im Widerspruch zu den Grundsätzen von Informationssicherheitsnormen wie DSGVO & KRITIS.
Die Konten und Zugriffsrechte von ausgeschiedenen Mitarbeitern, Praktikanten oder externen Kräften bleiben aktiv, wodurch Datenschutzverletzungen entstehen können und Einrichtungen Risiken im Umgang mit den Daten ihrer Patienten eingehen.
Gesundheitseinrichtungen haben nicht ausreichend Einblick darin, wer welche Patientendaten eingesehen hat, was Audits und die Analyse von Vorfällen erschwert.
Medizinische Fachkräfte kombinieren Funktionen, zum Beispiel Arzt und Forscher, was zu unklaren Berechtigungen und einem höheren Risiko für zu weitreichenden Zugriff auf medizinische Daten führt.
Berechtigungen werden häufig per Formular oder E-Mail geregelt, wodurch Fehler entstehen und keine zentrale Erfassung der Anfragen und ihrer Bewertung stattfindet.
Bedeutung von Identity Governance im Gesundheitswesen
Im Gesundheitswesen müssen wir Patientendaten also strikt schützen und gleichzeitig für Behandlung und Versorgung unmittelbar zugänglich halten. Und das in einer komplexen Umgebung mit vielen Beschäftigten im Gesundheitswesen, wechselnden Rollen und Zusammenarbeit über Einrichtungs- und Systemgrenzen hinweg. Professionelle Identity Governance, mit der Sie die Kontrolle über Ihr Berechtigungsmanagement behalten, ist dabei entscheidend.
Identity Governance in der öffentlichen Verwaltung
Ein Verwaltungsmitarbeiter verlässt die Kommune, in der er jahrelang komplexe Anträge auf Betriebsgenehmigungen geprüft hat. In seiner neuen Position berät er Unternehmen bei Genehmigungsanträgen. Bei seinem Ausscheiden hat er ordnungsgemäß alle Arbeitsmittel zurückgegeben, stellt aber später fest, dass sein Account im Vorgangsbearbeitungssystem der Kommune noch immer aktiv ist. Ein typischer Fall von „die Katze zum Speck setzen“.
Governance-Herausforderungen im öffentlichen Sektor
Organisationen der öffentlichen Verwaltung sind durch eine Kombination aus Komplexität, öffentlicher Verantwortung und starker Regulierung geprägt. Behörden arbeiten mit großen Mengen an Daten von Bürgern und Unternehmen, wodurch erhebliche Herausforderungen in Bezug auf Datenschutz, Sicherheit und Rechenschaftspflicht entstehen.
Die Organisationsstruktur ist komplex und fragmentiert, mit mehreren Ebenen, Ausführungsorganisationen und Partnern in Verwaltungsketten. Trotz aller Harmonisierungsbemühungen gibt es weiterhin viele eigene Systeme und Prozesse. Einschließlich Legacy-Systemen, die häufig noch mit anderen Behörden geteilt werden. Die Arbeit wird dabei von einer Mischung aus eigenen Verwaltungsmitarbeitern, Beschäftigten von Partnerorganisationen und externen Kräften ausgeführt.
Innerhalb dieser komplexen Landschaft gibt es durchaus viel Aufmerksamkeit für sicheren und transparenten Zugriff, einschließlich Logging, Auditing und Kontrollmechanismen. Durch die komplexe Umgebung, in der sie eingesetzt werden, ist es jedoch oft schwierig, diese Möglichkeiten wirklich optimal zu nutzen. Und jeder Fehler der öffentlichen Verwaltung steht selbstverständlich unmittelbar unter Beobachtung.
Häufige Identity-Governance-Probleme und Risiken
Zugriffsrechte für verschiedene Systeme sind unter anderem auf Städten,Kommunen, Ausführungsorganisationen und Ministerien verteilt. Das erschwert die übergreifende Kontrolle entlang der Verwaltungskette und erhöht das Risiko eines unautorisierten Zugriffs auf Bürgerdaten.
Bei Funktionswechseln, Abordnungen oder dem Ausscheiden bleiben Rechte oft aktiv. Mitarbeiter behalten dadurch Zugriff auf Systeme, ohne dass dafür eine Notwendigkeit besteht.
Rollen und Berechtigungen unterscheiden sich je Organisation und System, wodurch Inkonsistenzen entstehen. Das erschwert die zentrale Durchsetzung von Richtlinien und macht Audits sowie die Rechenschaft gegenüber Aufsichtsbehörden schwieriger.
Oft ist nicht ausreichend transparent, wer wann Bürgerdaten einsehen und zu welchem Zweck darauf zugreifen kann. Das erschwert es, unautorisierte Einsichtnahmen oder Datenmissbrauch zu erkennen.
Mitarbeiter können aufgrund zu weit gefasster Einstellungen Anträge sowohl prüfen als auch genehmigen. Die Funktionstrennung ist nicht korrekt in die Zugriffsrechte übersetzt, und das erhöht das Missbrauchsrisiko.
Bedeutung von Identity Governance in der öffentlichen Verwaltung
Organisationen der öffentlichen Verwaltung verarbeiten enorme Mengen sensibler Daten und müssen darüber jederzeit Rechenschaft ablegen können. Gleichzeitig gibt es eine fragmentierte Struktur mit einer Vielzahl von Systemen, einschließlich veralteter Anwendungen, und Benutzern. Das erschwert die Aufsicht und führt unter anderem zu Problemen bei der Berechtigungspolitik und Funktionstrennung. Der Aufbau einer vollwertigen Identity Governance mit kontinuierlicher Kontrolle und Steuerung ist daher sehr wichtig, um Qualität und Compliance zu verbessern.
Identity Governance im Bildungswesen
Ein Dozent hat innerhalb der Hochschule, an der er unterrichtet, aufgrund zu weit gefasster Zugriffsrechte nicht nur Zugriff auf die eigenen Systeme und Daten. Er kann auch auf die Anwendungen anderer Studiengänge zugreifen und dort problemlos Noten einsehen und sogar ändern. Ohne dass dies überwacht wird.
Governance-Herausforderungen im Bildungssektor
Im Bildungswesen haben Sie es mit einer dynamischen und häufig jungen Benutzerpopulation zu tun. Studierende kommen und gehen, wechseln das Studium oder die Rolle und benötigen oft zeitlich begrenzten Zugriff auf verschiedene Systeme. Das hängt auch damit zusammen, dass innerhalb einer Einrichtung Studierende und Lehrende häufig mehrere Rollen kombinieren. Ein fortgeschrittener Studierender kann beispielsweise auch als Dozent oder Assistent angestellt sein. Auch unter den Mitarbeitern, insbesondere beim Lehrpersonal, gibt es viel Dynamik, unter anderem um Vertretungen zu organisieren.
Das stellt hohe Anforderungen an das Identity Lifecycle Management, denn Berechtigungen müssen fortlaufend vergeben und wieder entzogen werden. Zudem geschieht dies in einer offenen und kooperationsorientierten Kultur, in der Wissensaustausch und Zusammenarbeit im Mittelpunkt stehen. Dann ist es schwieriger, zum Beispiel Least Privilege strikt umzusetzen.
Hinzu kommt, dass viele Bildungseinrichtungen dezentral organisiert sind. Im allgemeinbildenden Schulwesen gibt es Verbünde aus Dutzenden von Schulen, und in der Berufsbildung, an Hochschulen und Universitäten verfügen Fachbereiche und Fakultäten oft über eine hohe Autonomie. Dann ist es schwierig, das Identitäts- und Berechtigungsmanagement zentral abzusichern. Zudem stehen für das IT-Management häufig nur begrenzte Mittel zur Verfügung, und es wird kreativ mit Cloud-Anwendungen und externen Tools gearbeitet.
Häufige Identity-Governance-Probleme und Risiken
Accounts werden nach dem Abschluss oder Ausscheiden nicht immer deaktiviert, wodurch Personen Zugriff auf digitale Lernumgebungen, Research-Anwendungen oder geteilte Dateien behalten.
Damit Unterricht und Gruppenaufgaben reibungslos ablaufen, erhalten Studierende und Lehrende manchmal mehr Zugriff, als nach den eigenen Richtlinien zulässig wäre. Das hat zur Folge, dass Personen unbeabsichtigt Zugriff auf beispielsweise personenbezogene Daten erhalten.
Die periodischen Phasen von Aufnahme und Übergang sorgen für viele Wechsel, bei denen es schwierig ist, alle Berechtigungen aktuell zu halten. Dadurch behalten Studierende und Lehrende häufig Zugriff auf nicht relevante Systeme und personenbezogene Daten.
Fakultäten und Teilstudiengänge haben eigene Prozesse und verwalten eigene Anwendungen und Daten. Dadurch fehlt ein zentraler Überblick über die Zugriffsrechte auf Lehr- und Forschungssysteme.
Studierende und Lehrende nutzen für Gruppenprojekte, Research und die weitere Zusammenarbeit häufig kreativ digitale Anwendungen außerhalb der Sichtbarkeit von IT-Abteilungen. Über solche Shadow-IT können sensible Bildungs- oder Forschungsdaten unbeabsichtigt außerhalb der kontrollierten Umgebung der Einrichtung gelangen.
Bedeutung von Identity Governance im Bildungswesen
Der Bildungssektor hat eine dynamische und relativ vulnerable Benutzerpopulation mit wechselnden Rollen und temporärem Zugriff. Das macht ein gutes Identity Lifecycle Management wichtig, aber auch komplex. Es erhöht das Risiko, dass Accounts unnötig lange aktiv bleiben und zu viele Rechte vergeben werden. Darüber hinaus kämpft der Sektor mit kreativem Shadow-IT-Einsatz. Identity Governance kann im Bildungswesen helfen, mehr Kontrolle über das Zugriffsmanagement zu gewinnen, unter anderem durch bessere Aufsicht und gezielte Steuerung.
Die Bedeutung von Identity Governance
Obwohl sich die Sektoren unterscheiden, zeigen die Herausforderungen der Identity Governance deutliche Gemeinsamkeiten. In allen behandelten Sektoren gibt es komplexe Benutzerstrukturen, fragmentierte Systeme und einen schwierigen Ausgleich zwischen Benutzerfreundlichkeit und Zugänglichkeit einerseits und Zugriffssicherheit andererseits.
Eine der größten gemeinsamen Herausforderungen ist das Lifecycle Management. Die rechtzeitige Anpassung und Entziehung von Zugriffsrechten erweist sich in der Praxis als schwer zu organisieren. Das führt schnell zu zu vielen Zugriffsrechten und den damit verbundenen Risiken. Außerdem fehlt oft der Überblick über die Vergabe von Berechtigungen. Ohne klare Transparenz darüber, wer Zugriff auf welche Systeme hat, ist effektive Governance nicht möglich.
Und die Auswirkungen sind erheblich. Im Gesundheitswesen betreffen Fehler unmittelbar den Datenschutz und die Patientensicherheit, in der öffentlichen Verwaltung beschädigen Sie direkt das Vertrauen der Bürger, und im Bildungswesen geht es nicht nur um die Qualität von Bildung und Forschung, sondern in erster Linie um die Daten von Kindern oder Jugendlichen.
Wie erhalten Sie mehr Kontrolle über Ihre Identity Governance?
Identity Governance ist keine rein technische Fragestellung, sondern eine strategische Notwendigkeit. Organisationen müssen Transparenz darüber haben, wer Zugriff auf welche Systeme hat und warum. Das hilft, Risiken zu reduzieren und compliant zu bleiben. Mit einer starken IAM-Strategie und Governance-Lösungen erhalten Sie mehr Kontrolle. Funktionen wie Reconciliation, Recertification und Role Mining helfen dabei, Berechtigungen zu prüfen und zu optimieren.
Möchten Sie mehr erfahren? Sehen Sie sich die Governance-Lösung von Tools4ever an:
https://www.tools4ever.nl/platform/governance/
Was ist Identity Governance?
Bei Identity Governance geht es darum, die Kontrolle über Benutzer und Zugriffsrechte zu erlangen und zu behalten. Sie schafft Transparenz darüber, wer Zugriff auf welche Systeme hat und warum, und hilft dabei, diese Rechte kontinuierlich zu überprüfen und anzupassen.
Warum ist Identity Governance wichtig?
Ohne eine gute Identity Governance verlieren Organisationen schnell den Überblick über Zugriffsrechte. Das erhöht das Risiko von Datenschutzverletzungen, Missbrauch und Compliance-Problemen. Mit dem richtigen Ansatz behalten Sie die Kontrolle und reduzieren Risiken.
Welche Risiken vermeiden Sie mit Identity Governance?
Mit Identity Governance verhindern Sie unter anderem, dass Mitarbeiter zu viele Rechte haben, dass Konten nach dem Ausscheiden aktiv bleiben und dass nicht ausreichend sichtbar ist, wer Zugriff auf sensible Daten hat.
Wie unterstützt Identity Governance bei der Compliance?
Identity Governance macht transparent, wer Zugriff auf welche Systeme hat und warum. Das unterstützt bei Audits und stellt sicher, dass Sie gesetzliche und regulatorische Anforderungen rund um Datenschutz und Informationssicherheit erfüllen.
