Sichere Daten bei der Übermittlung

Die HIPAA-Richtlinie verlangt unterschiedliche Verschlüsselungssoftware, je nachdem, ob es sich um Daten „in Ruhe“ oder „in Transit (in Übertragung)“ handelt.

In Ruhe: Die Daten sind inaktiv, auf einer Festplatte oder SSD oder auf einem Gerät wie einem Tablet gespeichert. Die Daten sollten durch fortschrittliche Kryptographie, Sicherheit für die gesamte Festplatte/virtuelle Festplatte und Verschlüsselung für mobile Geräte (falls zutreffend) geschützt werden.

In Transit: aktive Übertragung zwischen einem Sender und einem Ziel, z. B. per E-Mail, Übertragung in die Cloud oder zwischen einem Server und einem mobilen Gerät.

Die Einhaltung von HIPAA wird durch Maßnahmen wie AES-256 ermöglicht, die nahezu unmöglich zu bezwingen sind und von der US-Regierung für den Umgang mit vertraulichen Daten zugelassen sind. TLS (Transport Layer Security) ist ein weiteres Protokoll für die sichere Datenübertragung, wie z. B. HTTPS, E-Mail oder IMs. Es verwendet auch AES-256, kombiniert mit anderen Sicherheitsmaßnahmen. OpenPGP (Pretty Good Privacy) und S/MIME entsprechen ebenfalls den HIPAA-Richtlinien, haben aber Anforderungen an die Verwaltung öffentlicher Schlüssel, die viele im Vergleich zu AES-256 und TLS 1.2 als sehr aufwändig empfinden.

Die allgemeine Empfehlung lautet, dass sichere Systeme AES-256-Verschlüsselung für Daten in Ruhe und TLS für Daten im Transit verwenden. Dies ist jedoch nicht das A und O Ihrer Sicherheitsmaßnahmen. Es ist wichtig, Schwachstellen in Ihrer HIPAA-konformen Sicherheit zu erkennen und zu beseitigen.

• Personal und Ausbildung (Social Engineering): Es ist ein Klischee, aber es ist wahr – der Mensch ist das schwächste Glied in der Cybersicherheit, und das ist in der Gesundheitsbranche nicht anders.
• Verlorene oder gestohlene Geräte: Wie bereits erwähnt, können verlorene Laptops, USB-Sticks, Telefone oder andere Geräte, die ePHI enthalten, zu Strafzahlungen in 7-stelliger Höhe führen.
• Drittanbieter als Partner: Alle externen Cloud- oder IT-Anbieter, die mit ePHI umgehen, müssen die gleichen technischen Sicherheitsstandards einhalten wie der Gesundheitsdienstleister oder der Service, mit dem sie zusammenarbeiten
• Ungesicherte E-Mail-Systeme/Server: Wenn jemand in Ihrer Organisation noch ungesicherte E-Mail-Clients oder -Server verwendet, schalten Sie diese ab
• Schwache Verschlüsselung: Innovationen in der Computertechnologie, insbesondere beim Quanten-Computing, bedeuten, dass alte Verschlüsselungsstandards, die lange Zeit als ausreichend sicher galten, in Wirklichkeit für moderne Cyberkriminelle gefährlich durchlässig sein können
• Stagnierende Verschlüsselungsschlüssel und Zertifikate: Verschlüsselungsschlüssel, die über die von der NIST empfohlene Lebensdauer hinaus oder nach einem Datenschutzverstoß weiter verwendet werden, können Unternehmen für Datenschutzverletzungen anfällig machen

Die technischen Sicherheitsvorkehrungen der HIPAA-Richtlinien können verwirrend sein, da die Verschlüsselungsanforderungen als „adressierbar“ bezeichnet werden. Die Formulierung zur Verschlüsselung von PHI ist vage: „...Einrichtungen müssen einen Mechanismus zur Verschlüsselung von PHI implementieren, wann immer dies angemessen erscheint“.

In diesem Zusammenhang bedeutet „adressierbar“, dass eine Schutzmaßnahme oder eine gleichwertige Alternative angewandt werden muss, oder dass ein gerechtfertigter Grund dafür dokumentiert werden muss, warum die Schutzmaßnahme nicht angewandt wurde. So stellt beispielsweise die interne Kommunikation über einen internen, durch eine Firewall geschützten Server kein Risiko für die Integrität von PHI aus externen Quellen dar. Allerdings muss die Kommunikation, die ePHI enthält und die eine durch Firewalls geschützte Einrichtung verlässt, nun über eine adressierbare Schutzmaßnahme verfügen.

Einrichtungen dürfen ePHI nur dann per E-Mail über offene Netze übermitteln, wenn diese Informationen angemessen geschützt sind. Es muss eine Risikoanalyse durchgeführt werden, um die Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu ermitteln, damit ein Risikomanagementplan erstellt werden kann, damit diese Risiken auf ein angemessenes Niveau reduziert werden.

Die universelle Verschlüsselung von Nachrichten ist eine gängige Methode des Risikomanagements, doch können anstelle der Verschlüsselung auch gleichwertige Schutzniveaus verwendet werden.

Neben verlorenen oder gestohlenen Laptops und Speichersticks können auch persönliche mobile Geräte am Arbeitsplatz die Datensicherheit von Patienteninformationen untergraben. Etwa 4 von 5 Angehörigen der Gesundheitsberufe nutzen ein Tablet für das Workflow-Management. Ein Verbot der Verwendung unverschlüsselter Geräte im Gesundheitswesen würde zu massiven Störungen der Kommunikation und anderer Aspekte des Gesundheitswesens führen.

Sichere Messaging-Plattformen bieten eine mögliche Lösung für dieses Problem, da sie die HIPAA-Verschlüsselungsanforderungen erfüllen, indem sie PHI sowohl in Ruhe als auch im Transit verschlüsseln. Kommunikationen, die PHI enthalten, sind nicht entschlüsselbar, wenn sie abgefangen werden oder ein unbefugter Zugriff erfolgt. Sichere Messaging-Lösungen erfüllen nicht nur die HIPAA-Anforderungen an die E-Mail-Verschlüsselung, sondern auch die Anforderungen an Zugangskontrolle, Audit-Kontrollen, Integritätskontrollen und ID-Authentifizierung. Diese Lösung ist viel nützlicher als Pager, da sie den sicheren Austausch von medizinischen Informationen (einschließlich Bildern) ermöglicht.

Angesichts des technologischen Fortschritts und der immer ausgefeilteren Cyberkriminalität wird die Notwendigkeit der Einhaltung des HIPAA und anderer Rechtsvorschriften zum Schutz der geschützten Gesundheitsdaten von Patienten bei der Übermittlung immer deutlicher.

#KingstonIsWithYou