Das Ökosystem des Gesundheitswesens ist komplex. Die Vielfältigkeit der verschiedenen Fachbereiche und unterschiedlichen Geräte ergibt eine IT-Infrastruktur, die nur schwer zu verwalten ist. Mit der zunehmenden Digitalisierung steigt für Gesundheitseinrichtungen und -organisationen auch das Risiko, Opfer von Viren, Trojanern und anderen Angriffen aus dem Netz zu werden. Ziel sind meist die vertraulichen Daten in den Patientenakten oder die Schädigung der kritischen Infrastruktur an sich.
Eine Lösung für eine überschaubarere Verwaltung von Zugriffsrechten ist das Data-Owner-Konzept
Angesichts vieler folgenschwerer Datendiebstähle und -verluste in den vergangenen Jahren werden Gesundheitseinrichtungen und -organisationen inzwischen immer stärker in die Pflicht genommen, ihre wachsenden digitalen Netzwerke stabiler zu knüpfen und besser zu überwachen. Die so entstehende Mehrarbeit in Sachen Datensicherheit und Transparenz stellt IT-Abteilungen jedoch vor Herausforderungen.
Um die personenbezogenen Daten zu schützen und die neuen Anforderungen aus Gesetzen und Verordnungen in Zusammenhang mit DSGVO, SOX, BSI, Kritis, ISO 27001 und eHealth zu meistern, ist eine zuverlässige, wie zentrale Verwaltung der Zugriffsrechte nötig. Darüber hinaus helfen automatisierte Reporte und Alarme neue Gesetze und Verordnungen einzuhalten und eine einheitliche Informations- und Datenbasis zu schaffen.
Nachfolgende Empfehlungen können Administratoren in Gesundheitseinrichtungen helfen, mithilfe von kontrollierter Zuweisung von Zugriffsrechten den Überblick in ihren Organisationen zu behalten.
Data Owner benennen
Eine Lösung für eine überschaubarere Verwaltung von Zugriffsrechten ist das Data-Owner-Konzept: Der Administrator delegiert die abteilungsspezifische Vergabe von Datennutzungsrechten an die Abteilungsleitung. So weiß etwa der Data Owner der Personalabteilung, welche Rechte ein neuer Mitarbeiter haben muss – und vor allem, welche nicht. Sensible Daten können leichter identifiziert und klassifiziert werden. Mit Standard-Lösungen und -Betriebssystemen ist ein solches Vorgehen nur schwierig umzusetzen. Ein zentrales Access-Rights-Management-System (ARM) schafft hier die nötige Transparenz und ermöglicht es, die Compliance-Richtlinien besser im Blick zu behalten.
Es ist wichtig, dass Administratoren die Data Owner in der Rechtevergabe schulen. Denn der Know-how-Übertrag und das Bewusstsein für Access Rights Management hilft den Abteilungen und langfristig der ganzen Organisation, ihre Effizienz zu steigern und Prozesse zu optimieren.
Den Mitarbeiterlebenszyklus im Blick haben
Eine unzureichende Verwaltung der Rechte eines Nutzers — von der Neueinstellung bis zum Austritt – birgt immer viele Sicherheitsrisiken und stellt die IT vor große Herausforderungen. Zu den Risiken zählen ungenutzte Konten mit Standardpasswörtern oder Mitarbeiter, die in einen anderen Bereich wechseln, so Zugriffsrechte sammeln und Probleme im Bereich Funktionstrennung oder auf dem sensiblen Gebiet des Zugriffsschutzes verursachen. Auch bieten Nutzerkonten von Mitarbeitern, die eine Einrichtung verlassen haben, aber deren Nutzer-IDs nicht deaktiviert wurden, mögliche Einfallstore für Bots und Hacker. Die wichtigsten Mitarbeiterdaten und Zugriffsrechte in allen Systemen durch Berechtigungsmanagement automatisiert zu synchronisieren, ist entscheidend, um die Datenlage an jeder Schnittstelle des Netzwerks zu vereinheitlichen.
Templates für die Automatisierung nutzen
Oft stellt sich heraus, dass sich Anforderungen unterschiedlicher Mitarbeiter decken. Diese Erkenntnis lässt sich nutzen, um unter Berücksichtigung des Prinzips „Kleinster gemeinsamer Nenner” Templates für Rechtevergabe und Datennutzung zu erstellen. Das spart wertvolle Zeit bei der Einbindung neuer Mitarbeiter. Ändern sich mit der Zeit Position oder Aufgaben, kann der Administrator beziehungsweise der Data Owner neue Rechte vergeben oder alte entziehen. Dadurch lassen sich Fehlerquoten senken, die sich etwa beim händischen Löschen von Accounts ehemaliger Mitarbeiter ergeben können – wie vorhin erwähnt, potentiell attraktiv für Bots und Hacker.
Für mehr Transparenz sorgen
Werden die Zugriffsrechte anschaulich dargestellt und standardisierte Arbeitsschritte für Nachweise, Analysen und Prüfungen vollständig dokumentiert, lassen sich Auffälligkeiten einfach analysieren, kontrollieren und beheben. Die Vorteile einer schnellen Handhabung, verringerter Arbeitslast und Zeitersparnis helfen nicht nur der IT-Abteilung, sondern auch den anderen Abteilungen.
Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten Jahren konstant geblieben: die stetig wachsende Zahl von Insider-Bedrohungen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten Anteil an Cybersicherheits-Vorfällen in Deutschland ausgemacht haben. Beispielsweise indem Mitarbeiter versehentlich Trojaner einschleusen oder absichtlich Daten stehlen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im Falle eines Cyberangriffs sind Kliniken und Krankenhäuser als Betreiber kritische Infrastrukturen (KRITIS) auskunftspflichtig. Innerhalb von 72 Stunden müssen sie beweisen, dass sie ihr Möglichstes getan haben, um einer Attacke vorzubeugen. Mithilfe eines Rechtemanagement-Systems lassen sich mit wenigen Klicks Protokolle über Zugriffsrechte und Berichte erstellen, mit denen die unternommenen Maßnahmen, aber auch die Unschuld der eignen Mitarbeiter nachgewiesen werden kann.
Die Anforderungen sind gestiegen — sie sind aber keine Schikane: Unzureichendes Zugriffsmanagement kann Organisationen im Gesundheitsbereich enormen Schaden zufügen. Insbesondere da die eigenen Mitarbeiter der höchste Risikofaktor für die IT-Sicherheit sind, sollten Gesundheitseinrichtungen und -organisationen nicht nur wegen der Gesetze ein stringentes und effektives Berechtigungsmanagement betreiben, sondern weil es sinnvoll ist und ihnen hilft, besser zu arbeiten.
*Der Autor: Sascha Giese, Head Geek bei SolarWinds
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ec/f9/ecf9f9160f6888ea06073cc11fd1b360/0122816118v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/37/cd37cb387e7bb4413c0a4a5ec06d7056/0124953753v1.jpeg "Ein strukturierter Datenumgang ist heute entscheidender denn je – und zwar nicht nur für Sicherheit und Effizienz, sondern auch für den verantwortungsvollen Einsatz von KI. (Bild: Midjourney / Paula Breukel / KI-generiert)")