HIPAA-Passwortanforderungen: Best Practices für die Compliance

Die digitale Transformation des Gesundheitswesens hat viele Vorteile gebracht, aber auch neue Herausforderungen beim Schutz von Patientendaten mit sich gebracht. Der Health Insurance Portability and Accountability Act (HIPAA) spielt eine entscheidende Rolle, um sicherzustellen, dass medizinische Daten sicher bleiben. Einer der grundlegendsten Aspekte dieser Sicherheit sind die HIPAA-Passwortanforderungen und die Passwortverwaltung. Wenn Sie einen allgemeineren Überblick über HIPAA suchen, lesen Sie hier unseren Leitfaden zur Navigation durch die HIPAA-Cybersicherheitsanforderungen.

Dieser Blog konzentriert sich auf Passwörter, eine der am leichtesten auszunutbaren Angriffsrouten, die von Cyberkriminellen bevorzugt werden. Wir werden die besten Praktiken für die Erstellung und Pflege starker Passwörter, die Vorteile der Multi-Faktor-Authentifizierung und die Sicherstellung, dass Ihre Passwortrichtlinien vollständig mit den HIPAA-Bestimmungen übereinstimmen, durchgehen.

Egal, ob Sie ein Gesundheitsdienstleister, ein Geschäftspartner oder einfach nur neugierig auf Cybersicherheit im Gesundheitswesen sind, dieser Leitfaden vermittelt Ihnen das wesentliche Wissen, um sensible Patientendaten zu schützen.

HIPPA-Regeln und Richtlinien zu Passwörtern

Die administrativen und technischen Schutzmaßnahmen von HIPAA umreißen die besten Praktiken, Prozesse und Verfahren, um sicherzustellen, dass elektronische persönliche Gesundheitsdaten (ePHI) sicher sind. Sie befassen sich auch explizit mit Anmeldeinformationen und Passwortsicherheit als Teil der Empfehlungen.

Administrative Schutzmaßnahmen

In den administrativen Schutzmaßnahmen gibt es eine Reihe von Abschnitten, die sich direkt mit Passwörtern befassen: Sicherheitsbewusstsein und Schulung (Anmeldeüberwachung und Passwortverwaltung) sowie Sicherheitsvorfallverfahren (Reaktion und Berichterstattung):

• Als Teil der Anmeldeüberwachung sollten Gesundheitsorganisationen fehlgeschlagene Anmeldeversuche erfassen. Das Erzwingen von Sperren oder das Auffordern des Endbenutzers, sein Passwort nach mehreren fehlgeschlagenen Versuchen zurückzusetzen, kann die Mitarbeiter auf unangemessene Anmeldeversuche aufmerksam machen.
• Passwortverwaltung ermöglicht es Benutzern, die entsprechenden Vorkehrungen zu treffen, um Passwörter zu sichern. Dies kann Schulungen zur Erstellung sicherer Passwörter und zum erfolgreichen Merken dieser Passwörter umfassen.
• Reaktion und Berichterstattung umreißt häufige Sicherheitsvorfälle und empfiehlt die notwendigen Richtlinien und Verfahren, um sie zu beheben. Gestohlene Passwörter werden als möglicher Sicherheitsvorfall aufgeführt.

Technische Schutzmaßnahmen

Die technischen Schutzmaßnahmen von HIPAA umreißen zusätzliche Passwortempfehlungen in den folgenden Abschnitten: Zugriffskontrolle (automatische Abmeldung) und Personen- oder Entitätsauthentifizierung.

• Um unbefugten Zugriff zu verhindern, erzwingen Sie die automatische Abmeldung, indem Sie nach einer gewissen Zeit der Systeminaktivität ein Passwort verlangen.
• Der Standard Personen- oder Entitätsauthentifizierung hat keine Implementierungsspezifikation. Er erfordert lediglich die Verwendung eines Geheimnisses, das nur dem Benutzer bekannt ist (ein Passwort), und fördert zusätzliche Authentifizierungsmethoden wie die Zwei-Faktor-Authentifizierung für zusätzliche Sicherheit.
• Es gibt auch bestimmte Standards für die Verschlüsselung im Gesundheitswesen, deren Einhaltung Organisationen empfohlen wird.

Woher weiß ich, ob meine Organisation die HIPAA-Passwortsicherheitsstandards erfüllt?

Die obigen Richtlinien erfordern, dass Systemadministratoren über Transparenz und technische Kontrollen für die Passwortsicherheit in der Umgebung verfügen. Viele Gesundheitsorganisationen verwenden Microsoft Active Directory für die Identitäts- und Zugriffsverwaltung. Active Directory ist eine robuste Plattform. Es verfügt jedoch über begrenzte integrierte Funktionen in Bezug auf die Passwortsicherheit.

Wie können Systemadministratoren also Einblick in schwache, gefährliche und sogar kompromittierte Passwörter in ihrer Active Directory-Umgebung erhalten? Am einfachsten ist es, eine Überprüfung Ihres Active Directory durchzuführen. Specops Password Auditor ist ein schreibgeschütztes Tool, das Ihr Active Directory scannt und einen interaktiven Bericht erstellt. Der Bericht enthält detaillierte Informationen zu allen gefundenen passwortbezogenen Schwachstellen und informiert Sie sogar darüber, ob Ihre Richtlinie mit HIPAA übereinstimmt. Hier kostenlos herunterladen.

Scannen Sie Ihr Active Directory nach 1 Milliarde bekannter kompromittierter Passwörter

Praktische Tipps für die HIPAA-Passwort-Compliance

Während HIPAA keine spezifischen Angaben zu den Passwortanforderungen enthält, können Organisationen standardmäßige Best Practices für die Cybersicherheit verwenden, die von anderen Bundesbehörden wie dem National Institute of Standards and Technology (NIST) veröffentlicht wurden. NIST bietet einen Rahmen für Best Practices im Bereich der Cybersicherheit, einschließlich Empfehlungen zu NIST-Passwortanforderungen. Wir werden in diesem Abschnitt einige vernünftige Kontrollen durchgehen, die eingerichtet werden müssen.

Passwort-Erstellung

• Schwache Passwörter blockieren. Wenn Endbenutzer schwache und leicht zu erratende Passwörter wählen dürfen, sind sie anfällig für Brute-Force-Techniken und Wörterbuchangriffe. Es ist auch wichtig, Passwörter zu blockieren, die spezifisch für Ihr eigenes Unternehmen und die Gesundheitsbranche sind, indem Sie ein benutzerdefiniertes Wörterbuch mit blockierten Passwörtern erstellen.
• Ermutigen Sie zu Passphrasen. Die Länge des Passworts ist die wirksamste Abwehr gegen einen Brute-Force-Angriff. Eine Passphrase besteht normalerweise aus drei zufälligen Wörtern, wodurch typischerweise eine 20 Zeichen lange oder längere Phrase entsteht. Diese Phrasen sind für Endbenutzer viel einfacher zu merken als eine Zeichenfolge aus zufälligen Zeichen. Hier finden Sie eine vollständige Anleitung zum Ausrollen von Passphrasen für Ihre Benutzer.

Passwörter ändern

• Passwortablauf. Während HIPAA keinen Passwortablauf vorschreibt, raten NIST, NCSC und Microsoft nun davon ab, einen regelmäßigen Passwortablauf ohne Grund zu erzwingen. Der einzige Zeitpunkt, zu dem der Passwortablauf Angriffe minimieren kann, ist, wenn sich Hacker über kompromittierte Passwörter Zugriff auf Ihr Netzwerk verschaffen. Während der Ablauf also helfen kann, ein kompromittiertes Passwort zurückzusetzen, ist es wichtiger, Ihr Active Directory kontinuierlich auf kompromittierte Passwörter zu überprüfen.
• Passwortzurücksetzungen. Wenn Sie Endbenutzern erlauben, ihre eigenen Passwörter zurückzusetzen, ist es wichtig, eine Lösung zu haben, die sie durch Multi-Faktor-Authentifizierung verifiziert.

Passwörter schützen

• Schulen Sie Benutzer und Mitarbeiter im Gesundheitswesen. Stellen Sie sicher, dass jeder, der mit ePHI in Kontakt kommt, eine gute Passwort-Hygiene erlernt, z. B. das sofortige Ändern von Standardpasswörtern, nachdem ihm eine neue Anwendung zugewiesen wurde, das Nicht-Wiederverwenden von Passwörtern zwischen verschiedenen Systemen und das Nicht-Weitergeben von Passwörtern an Dritte. Hier finden Sie eine vollständige Anleitung, wie Sie die gemeinsame Nutzung von Passwörtern im Gesundheitswesen verhindern können.

Was sagt HIPAA über Enterprise-Passwort-Manager?

Um die Passwortverwaltung für Benutzer zu vereinfachen und die Passwortsicherheit zu verbessern, greifen Unternehmen zunehmend auf Enterprise-Passwort-Manager zurück. Sind Passwort-Manager aber HIPAA-konform? Während Passwort-Manager Logins für Systeme schützen können, die ePHI speichern, speichern sie ePHI nicht selbst. Das bedeutet, dass sie nicht als HIPAA-konform eingestuft werden können, obwohl viele ihre Verwendung als vernünftigen Schutz für Konten mit Zugriff auf ePHI ansehen.

Passwort-Manager helfen Endbenutzern, stärkere Passwörter für alle Dienste von Drittanbietern auszuwählen und zu verwenden, die Teil des Unternehmens sein können. Sie reichen aber nicht unbedingt aus, um die HIPAA-Anforderungen zu erfüllen und die Sicherheit zu erhöhen. Zusätzlich zur Sicherung der Passwort-Manager-Konfiguration mit Zwei-Faktor-Authentifizierung und einem starken Master-Passwort müssen andere Praktiken, Richtlinien und Tools verwendet werden, um starke Passwörter durchzusetzen.

Werden Sie HIPAA-konform mit der Specops-Passwortrichtlinie

Mit Specops Password Policy können Sie die Angriffsfläche Ihres Unternehmens durch eine einfache Schnittstelle, die sich problemlos in Active Directory integrieren lässt, erheblich reduzieren. Administratoren können Endbenutzer daran hindern, schwache Passwörter zu erstellen, und kontinuierlich nach Passwörtern suchen, die durch Datenlecks oder die Wiederverwendung von Passwörtern kompromittiert wurden. Testen Sie Specops Password Policy kostenlos.

Blockieren Sie kontinuierlich mehr als 4 Milliarden kompromittierte Passwörter in Ihrem Active Directory

Erfahren Sie mehr