Händewaschen als Best Practice: Lernkultur zwischen Krankenhaushygiene und Identity Security

Thomas Müller-Martin schlägt einen Bogen der Erkenntnis von der Krankenhaushygiene im 19. Jahrhundert zur „Identity Security“ unserer Tage

[datensicherheit.de, 03.06.2026] In seinem aktuellen Kommentar zieht Thomas Müller-Martin, „Field Strategist DACH“ bei Omada Identity, eine bemerkenswerte – bildhafte – Parallele zwischen Krankenhaushygiene und „Identity Security“: Beides sei unverzichtbar, werde aber chronisch unterschätzt, weil es unsichtbar arbeite. Er erläutert, warum Identity-Teams lernen müssten, ihre Erfolge in Kennzahlen zu übersetzen, die auch Vorstände verstehen könnten – und wie aus einem unterschätzten IT-Projekt eine strategische Geschäftsfunktion erwächst, die angesichts von NIS-2, DORA und KI-Agenten dringender denn je gebraucht wird.

Foto: Omada Identity

Thomas Müller-Martin rät: Erst als Geschäftsfunktion bekommt „Identity Security“ die Ressourcen, die sie braucht, um gegenwärtige Probleme zu lösen und künftigen vorzubeugen!

„Identity Security“ heute am Entscheidungspunkt wie im 19. Jahrhundert die Hygiene in Krankenhäusern

Müller-Martin erinnert an die geschichtliche Entwicklung der Hygiene in Krankenhäusern: „Als der Wiener Arzt Ignaz Semmelweis 1847 in Wien vorschlug, sich vor jedem Eingriff die Hände zu waschen, sank die Sterblichkeitsrate auf seiner Station von über zehn auf unter zwei Prozent. Die Fachwelt reagierte mit Ablehnung, denn es erschien schlicht zu simpel, dass eine so einfache Lösung solch drastische Auswirkungen haben könnte.“ Heute sei Hygiene nicht verhandelbar: „Sie ist die Infrastruktur, auf der jede medizinische Innovation erst funktioniert!“

• „Identity Security“ steht heute demnach an einem ähnlichen Punkt: „Sie steuert, wer auf welche Systeme zugreift, schließt verwaiste Konten und sorgt dafür, dass Audits bestanden werden. Wenn ein Ransomware-Angriff scheitert, weil kompromittierte Anmeldedaten ins Leere laufen, war oft ein gut konfiguriertes Identitätsmanagement der Grund.“

Nur wisse aber niemand im Unternehmen davon und oftmals schon gar nicht die Führungsebene. „Und was niemand sieht, muss sich jedes Quartal neu rechtfertigen oder wird gleich als Kostenstelle abgetan, schlimmstenfalls als Bremsklotz, der Veränderungsprozesse behindert.“

Identity-Teams messen bisher ihren Erfolg in Kategorien, welche außerhalb der IT-Abteilung auf Unverständnis stoßen

Das Problem sei nicht mangelnde Leistung, sondern mangelnde Kommunikation. „Identity-Teams messen ihren Erfolg in Kategorien, die außerhalb der IT-Abteilung niemand versteht – angebundene Systeme, abgeschlossene Rezertifizierungen, bereinigte Berechtigungsstrukturen. Für Vorstände ist das schlimmstenfalls Fachsimpelei.“

• Was diese indes brauchten, seien Kennzahlen: Statt „20 Systeme sind ongeboardet“ müsste die Aussage lauten: „20 potenzielle Einstiegspunkte für Angreifer geschlossen“ und „unser IAM erlaubt es dem Unternehmen, sich kontrolliert weiterzuentwickeln“. Die IT sei nicht mehr der „Bottleneck“ der Digitalen Transformation.

Statt „Rezertifizierungskampagne abgeschlossen“ müsse es zudem heißen: „Wir haben 400 Berechtigungen entzogen, die nicht mehr legitim waren, und weil wir dran bleiben haben Angreifer bei einem erfolgreichen Angriff eine (zum Beispiel) 30 Prozent geringere Chance an kritische Informationen zu gelangen.“ Dies seien Angaben, welche jeder Vorstand verstehen könne – „aber eben nur, wenn sie jemand auf den Tisch legt“.

Reaktion nach Schadenseintritt: „Identity Management“ folgt bislang noch zu oft dem Feuerwehrprinzip

Ohne diese Sichtbarkeit entstehe ein Teufelskreis: „Kein Budget, keine Kapazität. Keine Kapazität, keine strategische Arbeit.“ Dieser Zustand lasse sich mit einem weiteren Bild beschreiben: „Viele Identity-Teams arbeiten wie Feuerwehrleute. Sie rücken aus, wenn es brennt, löschen das aktuelle Problem und warten auf den nächsten Alarm: das nächste Support-Ticket, die nächste Systemanbindung, die nächste Bereinigung unsauberer HR-Daten.“

• Was fehlt, sei der „Brandschutzbeauftragte“: Also jemand, „der systemisch denkt, präventiv plant und dafür sorgt, dass ,Brände’ gar nicht erst entstehen“. Bei jeder Industrieanlage, jeder Brücke, jedem Flughafen sei diese Funktion selbstverständlich. Im „Identity Management“ hingegen dominiere eben noch immer das Feuerwehrprinzip: Löschen im „Brandfall“, anstatt den „Brand“ zu vermeiden.

Dieser Zustand werde unhaltbar, weil sich die Anforderungen gerade verdichteten. Nicht-menschliche Identitäten überstiegen die Zahl menschlicher Nutzer bereits um ein Vielfaches. „KI-Agenten bringen ,Governance’-Anforderungen mit, die klassische Modelle nicht abbilden. NIS-2 und DORA erhöhen den Nachweisdruck. Und wie Hygiene im Krankenhaus lässt sich keiner dieser Anforderungen begegnen, wenn die Grundfunktion als Projekt behandelt wird, das irgendwann ,erledigt’ ist.“

„Identity Security“ sollte als betriebliche Querschnittsfunktion verstanden werden

„Identity Security“ sei eine demselben Prinzip der Hygiene im Krankenhaus folgende Querschnittsfunktion. „Sie funktioniert nur, wenn alle kontinuierlich mitmachen – ,Business’, ,IT’, ,Security’, ,HR’ und ,Operations’ – und wenn alle sie als gemeinsame Verantwortung begreifen und nicht als das Problem der jeweils anderen Abteilung.“ Wie im Falle Semmelweis könne eine simple Lösung durchaus auch eine effektive Lösung sein.

• IT-Verantwortliche müssen dieses fundamentale Sicherheitsprinzip allerdings mit unmissverständlichen Indikatoren, sprich handfesten Zahlen, an das Management kommunizieren können.

Denn dieser Perspektivwechsel mache aus einem IT-Projekt eine Geschäftsfunktion. Müller-Martin gibt abschließend zu bedenken: „Und erst als Geschäftsfunktion bekommt ,Identity Security’ die Ressourcen, die sie braucht, um gegenwärtige Probleme zu lösen und künftigen vorzubeugen! Nur, wer dieses Fundament sichtbar macht, kann es pflegen und ,Identity Security’ als Wegbereiter unternehmerischer Transformation zementieren.“

Weitere Informationen zum Thema:

Omada by tp-link
Streben nach Exzellenz. Auf der Suche nach Möglichkeiten

Omada
Webinar: Jenseits des klassichen IGA: Identity Governance, der Hidden Champion der Identity Fabric / Referent: Thomas Müller-Martin, Lead Architect, Omada / Co-Speaker: David Johnson, Lead Consultant, iC Consult (On-demand-Webinar)

WIKIPEDIA
Ignaz Semmelweis

datensicherheit.de, 04.04.2024
Bedeutung des Identitätsmanagements: Identity Management Day 2024 soll Authentizität und Sicherheit betonen / Beteiligten auf allen Ebenen sollen Leitlinien zum sicheren Identitätsmanagement an die Hand gegeben werden

datensicherheit.de, 10.03.2023
Identity Lifecycle Management – das A und O der IT-Sicherheit / Von Audit bis zum Onboarding

datensicherheit.de, 28.09.2021
Home-Office: Identity Security essenziell für sicheres Arbeiten / Im hektischen Umstieg auf Fernarbeit im Home-Office oftmals Sicherheits- und Compliance-Lücken aufgetan