WannaCry & Co.

Sicherheitskonzepte für die Health-Care-Industrie

Seite: 2/2

Warum technische Sicherungsmaßnahmen gemäß HIPAA implementieren?

Sicherheitsmaßnahmen nach HIPAA nicht zu implementieren ist für eine Organisation/ein Unternehmen im Health-Care-Bereich keine Option, über die sich lohnen würde, nachzudenken. Technische Sicherungsmaßnahmen tragen dazu bei sicherheitsrelevante Vorkommnisse zu verhindern. Zudem müssen Unternehmen im Gesundheitswesen HIPAA-konform sein. Beispielsweise wenn ein Auditor sie prüft.

Ist damit garantiert, dass kein sicherheitsrelevantes Ereignis eintritt? Leider nicht! Aber die Einhaltung der HIPAA-Richtlinien und das Implementieren von Best Practices der IT-Sicherheit, weisen nach, dass das betreffende Unternehmen HIPAA-konform ist, wenn ein Sicherheitsvorfall eintritt. Das schützt unter Umständen vor hohen Geldstrafen im Falle einer Datenschutzverletzung.

Digitale Zertifikate für Menschen, Geräte, Dienste, Anwendungen

Die HIPAA Security Rule definiert keine spezifischen Anforderungen an einen bestimmten Technologietyp. Jede Gesundheitsorganisation kann ihre eigenen Sicherheitsmaßnahmen implementieren, um den Standard und die Spezifikation zu erfüllen. Zertifizierungsstellen wie GlobalSign messen digitalen Zertifikaten eine wichtige Rolle zu, wenn Gesundheitseinrichtungen und -organisationen technische Sicherungsmaßnahmen nach HIPAA angehen. Die Schlüsselbegriffe: eindeutige Benutzeridentifikation, Verschlüsselung und Entschlüsselung, Authentifizierungs- und Integritätskontrollen.

Best Practices in der IT-Sicherheit beginnen mit der Identität. Wenn jedes "Ding" eine Identität hätte, wäre alles sicherer. Menschen, Geräte, Dienste, Anwendungen und all jene Dinge, die sich mit dem Internet verbinden, müssen eine Identität besitzen, um Kommunikationen und Transaktionen zu verschlüsseln, sich für einen Dienst zu authentifizieren, einen ordnungsgemäßen Zugang zu autorisieren und ihre Integrität nachzuweisen. Digitale Zertifikate bieten diese Identität und das damit verbundene Vertrauen. Sie ermöglichen viele Sicherheitsanwendungen, die Teil der technischen Sicherungsmaßnahmen nach HIPAA sind:

  • Web- und Serversicherheit - Weisen Sie nach, dass Ihre öffentlichen und privaten Websites und Server legitim sind und schützen und verschlüsseln Sie Datenübertragungen und -transaktionen mit SSL/TLS-Zertifikaten.
  • Benutzer- und Geräteauthentifizierung und Zugangskontrolle - Implementieren Sie starke Authentifizierung, ohne die Endbenutzer mit Hardware-Token oder Anwendungen zu belasten, und gewährleisten Sie, dass nur zugelassene Benutzer, Computer und Geräte (einschließlich Mobilgeräte) Zugang zu autorisierten Netzwerken und Diensten haben.
  • Dokumentensignierung - Digitale Signaturen mit vertrauenswürdigen digitalen Zertifikaten ersetzen handschriftliche Unterschriften und schaffen ein manipulationssicheres Siegel zum Schutz Ihrer Patientenakten und anderer Dokumente, die sicher und geheim gehalten werden müssen.
  • Sichere E-Mail - Digitales Signieren und Verschlüsseln aller internen E-Mails mindert die Risiken von Phishing und Datenverlust durch eine klare Verifizierung der Nachrichtenherkunft. Damit können Empfänger legitime Nachrichten von Phishing-Mails unterscheiden, und es wird gewährleistet, dass nur bestimmungsgemäße Empfänger Zugang zu E-Mail-Inhalten haben.

Zweifellos ist Sicherheit im Gesundheitswesen eine komplexe Angelegenheit, aber sie ist notwendig, um sensible Daten zu schützen. Verordnungen wie HIPAA und Leitlinien der HCIC Task Force bieten einen sehr guten Rahmen für die Einführung von Best Practices. Digitale Zertifikate sollten auf jeden Fall Teil eines mehrschichtigen Sicherheitsansatzes sein.

(ID:44768774)