Fragen Sie einen Experten
Die Planung der richtigen Lösung erfordert gute Kenntnisse der Sicherheitsziele Ihres Projekts. Kingston Experten zeigen Ihnen wie's geht.
Fragen Sie einen ExpertenWenn Sie im Bereich Datensicherheit für Organisationen des Gesundheitswesens tätig sind, fragen Sie sich vielleicht, warum Vorschriften und rechtliche Haftung eine so wichtige Rolle bei der Wahl der Datenübertragungs-Technologien spielen, für die sich Ihre Organisation entscheidet. Einer der größten Stressfaktoren im IT-Bereich des Gesundheitswesens ist die Bedeutung der Einhaltung von Datensicherheitsvorschriften wie dem Healthcare Insurance Portability and Accountability Act (besser bekannt als HIPAA).
Dieser Stress ist nicht unbegründet: Datenschutzverletzungen im Gesundheitswesen sind in der Regel mit Abstand die teuersten und verursachen die größten Schäden in Bezug auf Umsatz und Ruf des Unternehmens. Die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitssektor stiegen von 7,13 Mio. US-Dollar im Jahr 2020 auf 9,23 Mio. US-Dollar im Jahr 2021, verglichen mit dem weltweiten Durchschnitt von 3,86 Mio. US-Dollar im Jahr 2020 und 4,24 Mio. US-Dollar im Jahr 2021.
Selbst potenzielle HIPAA-Verstöße werden bestraft, so streng sind die Vorschriften. Im Jahr 2019 wurden ein unverschlüsselter Laptop und ein Speicherstick aus dem University of Rochester Medical Center gestohlen. Dieser Vorfall und der Umgang des URMC damit führte zu einer Zahlung von 3 Mio. US-Dollar an das Office for Civil Rights im Rahmen eines Vergleichs wegen möglicher HIPAA-Verstöße.
Die HIPAA-Richtlinie enthält drei grundlegende Regeln zum Schutz von Patienten und ihren Daten:
Diese Vorschriften gewährleisten, dass Organisationen die Verantwortung für die Vertraulichkeit und Sicherheit elektronischer Patienteninformationen (ePHI) tragen sowie Bedrohungen für diese Daten vorhersehen und sich davor schützen. Sie legen jedoch kein bestimmtes Protokoll, keine bestimmte Technologie oder Norm dafür fest. Denn so wie sich die Bedrohungen der Cybersicherheit weiterentwickeln, müssen auch die Sicherheitstechnologien für HIPAA weiterentwickelt werden. Anstatt festzulegen, welche Verschlüsselungsprotokolle erforderlich sind, ein Schritt, der die Wirksamkeit des Gesetzes durch die Bindung an bestimmte Technologien untergraben hätte, schreibt das Gesetz lediglich die Stärke und Zuverlässigkeit von Sicherheitsstandards vor, die zum Schutz von ePHI verwendet werden. Dies geschah auf Anraten des NIST (National Institute of Science and Technology), um das Gesetz zukunftssicherer zu machen. Die Einrichtungen können die für ihre Verhältnisse am besten geeignete Lösung wählen und sie auf ihr System anwenden.
Die HIPAA-Richtlinie verlangt unterschiedliche Verschlüsselungssoftware, je nachdem, ob es sich um Daten „in Ruhe“ oder „in Transit (in Übertragung)“ handelt.
In Ruhe: Die Daten sind inaktiv, auf einer Festplatte oder SSD oder auf einem Gerät wie einem Tablet gespeichert. Die Daten sollten durch fortschrittliche Kryptographie, Sicherheit für die gesamte Festplatte/virtuelle Festplatte und Verschlüsselung für mobile Geräte (falls zutreffend) geschützt werden.
In Transit: aktive Übertragung zwischen einem Sender und einem Ziel, z. B. per E-Mail, Übertragung in die Cloud oder zwischen einem Server und einem mobilen Gerät.
Die Einhaltung von HIPAA wird durch Maßnahmen wie AES-256 ermöglicht, die nahezu unmöglich zu bezwingen sind und von der US-Regierung für den Umgang mit vertraulichen Daten zugelassen sind. TLS (Transport Layer Security) ist ein weiteres Protokoll für die sichere Datenübertragung, wie z. B. HTTPS, E-Mail oder IMs. Es verwendet auch AES-256, kombiniert mit anderen Sicherheitsmaßnahmen. OpenPGP (Pretty Good Privacy) und S/MIME entsprechen ebenfalls den HIPAA-Richtlinien, haben aber Anforderungen an die Verwaltung öffentlicher Schlüssel, die viele im Vergleich zu AES-256 und TLS 1.2 als sehr aufwändig empfinden.
Die allgemeine Empfehlung lautet, dass sichere Systeme AES-256-Verschlüsselung für Daten in Ruhe und TLS für Daten im Transit verwenden. Dies ist jedoch nicht das A und O Ihrer Sicherheitsmaßnahmen. Es ist wichtig, Schwachstellen in Ihrer HIPAA-konformen Sicherheit zu erkennen und zu beseitigen.
Die technischen Sicherheitsvorkehrungen der HIPAA-Richtlinien können verwirrend sein, da die Verschlüsselungsanforderungen als „adressierbar“ bezeichnet werden. Die Formulierung zur Verschlüsselung von PHI ist vage: „...Einrichtungen müssen einen Mechanismus zur Verschlüsselung von PHI implementieren, wann immer dies angemessen erscheint“.
In diesem Zusammenhang bedeutet „adressierbar“, dass eine Schutzmaßnahme oder eine gleichwertige Alternative angewandt werden muss, oder dass ein gerechtfertigter Grund dafür dokumentiert werden muss, warum die Schutzmaßnahme nicht angewandt wurde. So stellt beispielsweise die interne Kommunikation über einen internen, durch eine Firewall geschützten Server kein Risiko für die Integrität von PHI aus externen Quellen dar. Allerdings muss die Kommunikation, die ePHI enthält und die eine durch Firewalls geschützte Einrichtung verlässt, nun über eine adressierbare Schutzmaßnahme verfügen.
Einrichtungen dürfen ePHI nur dann per E-Mail über offene Netze übermitteln, wenn diese Informationen angemessen geschützt sind. Es muss eine Risikoanalyse durchgeführt werden, um die Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu ermitteln, damit ein Risikomanagementplan erstellt werden kann, damit diese Risiken auf ein angemessenes Niveau reduziert werden.
Die universelle Verschlüsselung von Nachrichten ist eine gängige Methode des Risikomanagements, doch können anstelle der Verschlüsselung auch gleichwertige Schutzniveaus verwendet werden.
Neben verlorenen oder gestohlenen Laptops und Speichersticks können auch persönliche mobile Geräte am Arbeitsplatz die Datensicherheit von Patienteninformationen untergraben. Etwa 4 von 5 Angehörigen der Gesundheitsberufe nutzen ein Tablet für das Workflow-Management. Ein Verbot der Verwendung unverschlüsselter Geräte im Gesundheitswesen würde zu massiven Störungen der Kommunikation und anderer Aspekte des Gesundheitswesens führen.
Sichere Messaging-Plattformen bieten eine mögliche Lösung für dieses Problem, da sie die HIPAA-Verschlüsselungsanforderungen erfüllen, indem sie PHI sowohl in Ruhe als auch im Transit verschlüsseln. Kommunikationen, die PHI enthalten, sind nicht entschlüsselbar, wenn sie abgefangen werden oder ein unbefugter Zugriff erfolgt. Sichere Messaging-Lösungen erfüllen nicht nur die HIPAA-Anforderungen an die E-Mail-Verschlüsselung, sondern auch die Anforderungen an Zugangskontrolle, Audit-Kontrollen, Integritätskontrollen und ID-Authentifizierung. Diese Lösung ist viel nützlicher als Pager, da sie den sicheren Austausch von medizinischen Informationen (einschließlich Bildern) ermöglicht.
Angesichts des technologischen Fortschritts und der immer ausgefeilteren Cyberkriminalität wird die Notwendigkeit der Einhaltung des HIPAA und anderer Rechtsvorschriften zum Schutz der geschützten Gesundheitsdaten von Patienten bei der Übermittlung immer deutlicher.
#KingstonIsWithYou
Die Planung der richtigen Lösung erfordert gute Kenntnisse der Sicherheitsziele Ihres Projekts. Kingston Experten zeigen Ihnen wie's geht.
Fragen Sie einen Experten