Haftungsausschluss: Bei diesem Artikel handelt es sich weder um eine umfassende Abhandlung zum Thema Datenschutz noch um eine rechtliche Beratung für Unternehmen zur Einhaltung von Datenschutzgesetzen wie HIPAA. Er liefert lediglich Hintergrundinformationen zur Erläuterung, wie CrowdStrike einigen wichtigen rechtlichen Fragen begegnet. Diese rechtlichen Informationen sind nicht gleichzusetzen mit einer Rechtsberatung, bei der ein Rechtsbeistand das Recht auf Ihre spezifischen Umständen anwendet. Deshalb müssen Sie sich an einen Rechtsbeistand wenden, wenn Sie zur Auslegung dieser Informationen oder ihrer Korrektheit Rat suchen. Sie dürfen diesen Artikel also weder als Rechtsberatung noch als Empfehlung zu einer bestimmten Rechtsauslegung verstehen.

Die HIPAA-Sicherheitsrichtlinie

Die Security Standards for the Protection of Electronic Protected Health Information (Sicherheitsstandards für den Schutz elektronischer geschützter Gesundheitsdaten) wurden unter dem US-amerikanischen Health Insurance Portability and Accountability Act von 1996 (HIPAA) erstellt und werden auch als HIPAA-Sicherheitsrichtlinie bezeichnet. Sie dienen dem Schutz elektronisch vorliegender geschützter Gesundheitsinformationen (PHI) von Einzelpersonen.

Unter PHI sind Gesundheitsdaten zu verstehen, anhand derer Einzelpersonen identifiziert werden können. PHI können auch demografische Daten, Krankengeschichten, Patientenakten in Papier- oder elektronischer Form und Versicherungsdetails umfassen.

Was ist die HIPAA-Sicherheitsrichtlinie?

Die HIPAA-Sicherheitsrichtlinie beschreibt Sicherheitsstandards zum Schutz der elektronischen personenbezogenen Gesundheitsdaten (ePHI), die von den betroffenen Einrichtungen und ihren Geschäftspartnern empfangen, verwendet, gepflegt oder übermittelt werden.

Die betroffenen Einrichtungen und ihre Geschäftspartner müssen sich nicht nur an die HIPAA-Sicherheitsrichtlinie halten, sondern darüber hinaus die Standards for Privacy of Individually Identifiable Health Information (Standards für den Schutz individuell identifizierbarer Gesundheitsdaten) einhalten, die auch als HIPAA-Vertraulichkeitsrichtlinie bezeichnet werden. Eine Nichteinhaltung dieser beiden Richtlinien kann verschiedene zivil- oder strafrechtliche Sanktionen zur Folge haben.

Um die Anforderungen der HIPAA-Sicherheitsrichtlinie zu erfüllen, müssen administrative, technische und physische Schutzmaßnahmen getroffen werden, die Gesundheitsdienstleistern dabei helfen, Datenverluste zu verhindern und die Vertraulichkeit elektronischer geschützter Gesundheitsdaten (ePHI) zu wahren. Im Folgenden werden die verschiedenen Arten von Schutzmaßnahmen näher erläutert.

Administrative Schutzmaßnahmen

Administrative Schutzmaßnahmen zielen auf viele Aspekte des Schutzes von ePHI ab und umfassen zum Beispiel interne Handlungen, Richtlinien und Verfahren. Sie schreiben auch vor, wie Mitarbeiter mit den Gesundheitsdaten von Einzelpersonen umgehen müssen. Dabei müssen die folgenden neun Standards eingehalten werden.

Sicherheitsverwaltungsprozess

Der Sicherheitsverwaltungsprozess soll Sicherheitsverletzungen durch die Umsetzung von Richtlinien verhindern und korrigieren. Er umfasst die folgenden Spezifikationen:

• Risikoanalyse
• Risikomanagement
• Sanktionen
• Prüfung der Vorgänge in Informationssystemen

Zugewiesene Sicherheitsverantwortung

Die zugewiesene Sicherheitsverantwortung bezieht sich auf die Aufgaben des Cybersicherheitspersonals, das für die Umsetzung der HIPAA-Sicherheitsrichtlinie zuständig ist und alle erforderlichen Richtlinien und Verfahren entwickelt. Die damit beauftragte Kraft kann sowohl die Rollen der Sicherheitsbeauftragten und der Beauftragten für den Schutz der Privatsphäre ausfüllen.

Personalsicherheit

Diese Richtlinie stellt sicher, dass alle betroffenen Mitarbeiter Zugriff auf ePHI haben. Sie regelt auch die Verwaltung personenbezogener Daten bei Verfahren zur Sicherheitsüberprüfung und zur Beendigung des Beschäftigungsverhältnisses. Die Richtlinie regelt weiterhin die Berechtigung von Benutzern und Computersystemen zur Einsicht in ePHI.

Verwaltung des Informationszugriffs

Wie die Personalsicherheit regelt auch die Verwaltung des Informationszugriffs den Zugriff der Mitarbeiter auf ePHI. Dies erfolgt nach dem Least-Privilege-Prinzip, nach dem nur verifizierte Verantwortliche zu einem gegebenen Zeitpunkt Zugriff auf die Daten haben.

Schulung zum Sicherheitsbewusstsein

Administrative Sicherheitsmaßnahmen und andere Cybersicherheits-Richtlinien sind ohne Kenntnis der betrieblichen Abläufe wirkungslos. Schulungen zum Sicherheitsbewusstsein sorgen dafür, dass Gesundheitspersonal stets über die neuesten Cybersicherheitsverfahren informiert ist. Sie helfen auch dabei, die Verantwortung der Mitarbeiter für die Durchsetzung der HIPAA-Sicherheitsrichtlinie zu definieren. Die Schulungen behandeln im Allgemeinen:

• Sicherheitserinnerungen
• Schutz vor schädlicher Software
• Anmeldungsüberwachung
• Kennwortverwaltung

Verfahren bei Sicherheitszwischenfällen

Zwischenfälle werden definiert als „versuchtes oder erfolgreiches nicht autorisiertes Zugreifen auf oder Nutzen, Offenlegen, Ändern oder Zerstören von Informationen oder Eingreifen in den Systembetrieb in einem Informationssystem“. Dieser Standard definiert die Verfahren zur Identifizierung von Sicherheitszwischenfällen und Eindämmung ihrer Folgen.

Der Notfallplan

Der Notfallplan ist eine administrative Sicherheitsmaßnahme, mit der sichergestellt werden soll, dass ePHI-Daten auch in Notfällen (z. B. nach Brand, Vandalismus, Naturkatastrophen, Systemausfällen) verfügbar sind. Die Standards für einen Notfallplan umfassen:

• Datensicherungsplan
• Notfallwiederherstellungsplan
• Notfallbetriebsplan
• Prüf- und Revisionsverfahren
• Analyse der Anwendungs- und Datenkritikalität

Bewertung

Der Prozess zur Überwachung und Evaluierung von Systemen gemäß der HIPAA-Sicherheitsrichtlinie wird als Evaluierung bezeichnet. Es handelt sich um einen fortlaufenden Prozess zur Überwachung der Umgebung im Hinblick auf die ePHI-Sicherheit.

Verträge und andere Vereinbarungen mit Geschäftspartnern

Geschäftspartner von Unternehmen, die die HIPAA-Sicherheits- und Privatsphäre-Richtlinie einhalten, müssen möglicherweise schriftliche Zusicherungen über den Schutz von ePHI vorlegen.

Physische Schutzmaßnahmen

Physische Schutzmaßnahmen dienen zur Erfüllung des Aspekts der Informationssicherheit der HIPAA-Sicherheitsrichtlinie. Diese Schutzmaßnahmen schützen die Gebäude und Geräte, in denen ePHI aufbewahrt werden. Dabei handelt es sich nicht um einen einheitlichen Ansatz, da die spezifischen physischen Maßnahmen von der Größe des Unternehmens und der Art der Praxis oder des Betriebs abhängen. Physische Schutzmaßnahmen umfassen verschiedene Bereiche.

Gebäudezugangskontrollen

Einrichtungen müssen den Zugang zu den Gebäuden und Räumen kontrollieren, in denen Patientendaten aufbewahrt werden. Gemäß dieser Anforderung werden die Personen, Methoden (Türschlösser, Sicherheitsbeauftragte, Videoüberwachung usw.) und Notfallmaßnahmen zur Zugangssicherung identifiziert. Gegenstand der Richtlinie sind:

• Gebäudesicherheitsplan
• Zugangskontroll- und Validierungsverfahren
• Wartungsunterlagen

Nutzung von Workstations und Gerätesicherheit

Bei der Workstationsicherheit geht es um die Nutzung und Sicherheit von Computern und Arbeitsplatz-Tools zur Speicherung von ePHI. Die HIPAA-Sicherheitsanforderungen beziehen sich auf die Umgebung, den Arbeitsablauf und darauf, welche Mitarbeiter (intern oder extern) auf ePHI zugreifen können.

Die Gerätestandards beschreiben den Umgang mit elektronischen Medien und Hardwaresystemen am Arbeitsplatz und außerhalb, auf denen ePHI gespeichert sind. Als Kernanforderung regelt die Gerätesicherheit die Entsorgung und Wiederverwendung elektronischer Medien. Für die Medienentsorgung werden die Methoden zum Löschen von Daten festgelegt, während für die Medienwiederverwendung die Verfahren für die Wiederverwendung elektronischer Medien, auf denen ePHI gespeichert sind, definiert werden.

Weitere Sicherheitsanforderungen:

• Rechenschaftspflicht (Unterlagen über Hardware und elektronische Medien)
• Sicherung und Speicherung (Erstellung zugänglicher Kopien der ePHI)

Technische Schutzmaßnahmen

Diese stellen den technischen Aspekt der in der HIPAA-Sicherheitsrichtlinie vorgesehenen Schutzmaßnahmen dar. Technische Schutzmaßnahmen dienen zum Schutz der Technologie zum Speichern von Patientendaten. Sie schreiben nicht vor, welche Technologielösungen Einrichtungen verwenden müssen, sie beschreiben jedoch die spezifischen Aspekte, die durch technologische Mittel geschützt werden müssen.

Bei den technischen Schutzmaßnahmen müssen die folgenden Standards eingehalten werden.

Zugriffs- und Auditkontrollen

Durch Zugriffskontrollen wird sichergestellt, dass nur solche Personen oder Softwareprogramme Zugriff auf die Daten haben, denen die entsprechenden Berechtigungen gewährt wurden. Der Standard hilft Unternehmen, die Benutzeraktivitäten zu identifizieren und zu verfolgen. Die Zugriffskontrollen umfassen auch Notfallverfahren zur Rettung von ePHI. Automatische Abmeldung (eine Richtlinie zur Beendigung von Computersitzungen) sowie Verschlüsselungs- und Entschlüsselungsprozesse gehören ebenfalls zur Zugriffskontrolle.

Auditkontrollen liefern umfassende Berichte über Software- und Hardwareaktivitäten im Zusammenhang mit ePHI, sodass Unternehmen erkennen können, wann bestimmte Benutzer auf bestimmte Dateien zugreifen.

Authentifizierung und Integritätskontrollen

Technische Schutzmaßnahmen betreffen auch die Authentifizierung und Integrität. Durch Authentifizierung wird sichergestellt, dass die Identität oder Anmeldeinformationen eines Benutzers korrekt sind, während sich die Integrität auf den Schutz der ePHI vor unbefugter Änderung, Zerstörung oder Beschädigung bezieht.

Unternehmen, die mit Patientendaten arbeiten, müssen Technologieplattformen zur automatischen Prüfung der Datenintegrität z. B. durch Prüfsummenprüfung oder digitale Signaturen implementieren. Der Standard erfordert auch eine Multifaktor-Authentifizierung (MFA) zur doppelten Prüfung der Benutzeridentität, bevor der Zugriff auf interne Systeme erlaubt wird.

Übertragungssicherheit

Bei der Übertragungssicherheit geht es um den Schutz der ePHI während ihrer Übertragung. Sie betrifft E-Mail, Browser und Netzwerkendgeräte. Die wichtigsten diesbezüglichen HIPAA-Sicherheitsanforderungen sind Integritätskontrollen und Verschlüsselung. Kontrollen verhindern die Änderung von Daten, während sie in Gebrauch sind. Die Verschlüsselung sorgt für den Schutz der Daten während der Übermittlung durch einen Geheimcode.

CrowdStrike und HIPAA

Die Umsetzung der HIPAA-Sicherheitsrichtlinie bringt viele Vorteile, jedoch ist ihre Einhaltung für Gesundheitsunternehmen und andere Einrichtungen, für die sie gilt, auch mit Herausforderungen verbunden. Zu den Hindernissen gehören interne und externe Bedrohungen, wie aus einer Umfrage von HealthITSecurity aus dem Jahr 2016 hervorgeht.

Insidern oder Mitarbeitern wird normalerweise stillschweigend vertraut und der Zugriff auf Systeme und Anwendungen gestattet, insbesondere bei der Remote-Arbeit. Aber durch ungehinderten Zugriff entstehen auch Cybersicherheitslücken, die ausgenutzt werden können. Bedrohungen entstehen nicht nur durch böswillige Absicht, sondern können auch die Folge von Fehlern sein. Ein Beispiel: Laut einem aktuellen Data Breach Investigations Report von Verizon ist die Wahrscheinlichkeit, dass Mitarbeiter im Gesundheitswesen versehentlich auf geschützte Daten zugreifen, zweieinhalbmal höher als böswilliger Missbrauch ihres Zugriffs.

Lösungen wie CrowdStrike Falcon^® können Gesundheitsunternehmen dabei helfen, Cybersicherheits-Zwischenfälle zu verhindern, zu erkennen und darauf zu reagieren, damit sie ihre ePHI vor hochentwickelten hartnäckigen Bedrohungen (Advanced Persistent Threats, APT), Ransomware und anderen Bedrohungen schützen können. Falcon kombiniert Virenschutz der nächsten Generation (NGAV) und endpunktbasierte Detektion und Reaktion (EDR) zum Schutz von Daten. Außerdem kann Falcon^® Device Control Sicherheitsvorkehrungen bei der Gerätenutzung und Rechenschaftspflicht durchsetzen. Mit Device Control erhalten Sie eine kontextbezogene Sichtbarkeit von USB-Geräten, was dabei hilft, eine unerwünschte Offenlegung oder Manipulation von ePHI zu verhindern. Darüber hinaus können Sie auch Geräte sperren, um unbefugten Zugriff auf Daten oder die Einführung schädlicher Software zu verhindern. Falcon Fusion, ein Teil der CrowdStrike Falcon^®-Plattform, automatisiert komplexe Workflows zur Reaktion auf Zwischenfälle und reduziert damit die durchschnittliche Zeit bis zu ihrer Behebung. Unternehmen prüfen auch die Einführung von HIPAA-konformen Firewalls und Verschlüsselungsrichtlinien für eine effektive Netzwerküberwachung.

Sicherheitszwischenfälle sind trotz interner Cybersicherheitsrichtlinien unvermeidlich. Daher werden Pläne zur Reaktion auf Zwischenfälle benötigt, damit Sicherheitszwischenfälle und Kompromittierungen im Zusammenhang mit ePHI schnell eingedämmt werden können. CrowdStrike Falcon^® bietet einen Incident-Response-Plan (IR-Plan) zur Identifizierung, Eindämmung und Reaktion auf Zwischenfälle und Kompromittierungen, von denen ePHI betroffen sind, gemäß den HIPAA-Grundsätzen. Es bietet auch Konnektoren zur Integration von Tools für das Sicherheitsinformations- und Ereignismanagement (SIEM) mit CrowdStrike Falcon^®, mit denen Sie Daten verfolgen und Sicherheitsanomalien in Echtzeit erkennen können.

Insgesamt muss Ihr Ansatz zur Einhaltung der HIPAA-Sicherheitsrichtlinie ganzheitlich sein und sicherstellen, dass Sie sich an alle Anforderungen und Schutzmaßnahmen halten, ohne dass die Verfolgung der Geschäftsziele Ihres Unternehmens beeinträchtigt wird.