Ein Passwort wird kompromittiert, wenn es bei einem Datenleck durchgesickert und im Darknet verfügbar gemacht wird, was es anderen ermöglicht, unbefugten Zugriff auf Ihre Online-Konten zu
Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das nationale Datenschutz- und Sicherheitsstandards festlegen soll, um die Vertraulichkeit der Gesundheitsinformationen von Patienten zu schützen und Datenverletzungen zu verhindern. Alle mit dem Gesundheitswesen verbundenen Organisationen, einschließlich Krankenversicherungsunternehmen und Geschäftspartner, unterliegen den HIPAA-Vorschriften, d. h. sie müssen die HIPAA-Konformitätsanforderungen erfüllen.
Im Abschnitt „Sicherheitsbewusstsein und -schulung“ des HIPAA heißt es, dass Organisationen über „Verfahren zum Erstellen, Ändern und Schützen von Passwörtern“ verfügen müssen. Ein Password Manager hilft dabei, sicherzustellen, dass Ihre Organisation HIPAA-konform ist, indem er starke Passwörter generiert und sie sicher in einem verschlüsselten Tresor speichert.
Lesen Sie weiter, um mehr über die Anforderungen an HIPAA-Passwörter zu erfahren und wie ein Password Manager dazu beitragen kann, diese zu erfüllen.
HIPAA-Passwortanforderungen
HIPAA erfordert zwar keinen Password Manager, doch verlangt er, dass die Passwortverwaltung Teil Ihres HIPAA-Compliance-Plans ist. Im Folgenden finden Sie die Sicherheitspraktiken für Anmeldeinformationen, die auf die Leitlinien des National Institute of Standards and Technology (NIST) zu HIPAA-Passwortanforderungen abgestimmt sind.
- Passwortkomplexität: HIPAA stellt keine spezifischen Anforderungen an die Passwortkomplexität. NIST empfiehlt jedoch, dass Mitarbeiter verstehen, wie sie starke, einzigartige Passwörter erstellen und schützen können.
- Passwortrotation: HIPPA erfordert derzeit keine Passwortänderungen, und NIST rät Mitarbeitern davon ab, Passwörter regelmäßig zu ändern. NIST fordert jedoch auf, Passwörter sofort zu ändern, wenn sie kompromittiert wurden.
- Multifaktor-Authentifizierung (MFA): NIST empfiehlt, MFA zu aktivieren, wenn sie verfügbar ist.
- Passwortfreigabe: HIPAA adressiert nicht speziell die Passwortfreigabe, doch NIST empfiehlt nachdrücklich, Benutzern die Freigabe von Passwörtern für Systeme und Daten zu untersagen, die elektronisch gespeicherte, geschützte Gesundheitsinformationen (ePHI) enthalten.
- Überwachung und Protokollierung: IT-Administratoren sollten die Anmeldeaktivitäten von Benutzern überwachen, um sicherzustellen, dass Benutzer nicht versuchen, auf Datensätze oder Systeme zuzugreifen, die für ihre Aufgaben irrelevant sind.
- Offboarding: Organisationen sollten Offboarding-Verfahren einrichten, um Benutzerpasswörter und den Zugriff auf PHI sofort zu deaktivieren, wenn sie das Unternehmen verlassen oder Positionen wechseln. NIST empfiehlt, für Mitarbeiter, die freiwillig gehen, andere Verfahren zu ergreifen, als für Mitarbeiter, die unfreiwillig gekündigt werden.
Die Vorteile der Verwendung eines Password Managers für HIPAA-Compliance
Im Folgenden finden Sie einige der Vorteile der Verwendung eines Password Managers für HIPAA-Compliance.
Erstellen Sie starke Passwörter
Ein Problem, mit dem viele Menschen konfrontiert sind, ist die Erstellung starker Passwörter für verschiedene Konten. Dieser Kampf führt oft dazu, dass Menschen schwache Passwörter verwenden, die für Cyberkriminelle leicht zu erraten sind. Alternativ verwenden Menschen Passwörter für mehrere Konten wieder, was mehrere Konten kompromittiert, wenn nur eines kompromittiert wird. Da Password Manager bei der Erstellung starker Passwörter helfen, müssen sich Benutzer keine Sorgen mehr machen, dass sie starke Passwörter selbst erstellen müssen. Darüber hinaus können Unternehmen sicherstellen, dass jeder ihrer Mitarbeiter starke Passwörter verwendet, um Unternehmenskonten und sensible Daten zu schützen.
Multifaktor-Authentifizierung
Es kann schwierig sein, sicherzustellen, dass Benutzer MFA für jedes Konto aktivieren, für das sie verfügbar ist. Obwohl es erforderlich ist, um HIPAA-Compliance zu gewährleisten, aktivieren viele Benutzer sie immer noch nicht. Mit einem Password Manager können IT-Administratoren die Verwendung von MFA für jedes Konto durchsetzen. Einige Password Manager wie Keeper® können MFA-Codes auch in ihrem sicheren digitalen Tresor speichern, was die Anmeldung bei Websites und Systemen vereinfacht, die mit MFA aktiviert sind.
Rollenbasierte Zugriffskontrollen (RBAC)
Einige der besten Password Manager ermöglichen es IT-Administratoren, rollenbasierte Zugriffskontrollen einzurichten und durchzusetzen. Mit RBAC können IT-Administratoren Zugriffsebenen einfach anpassen und Konten deaktivieren, wenn Benutzer das Unternehmen verlassen oder Aufgaben wechseln. RBAC verbessert nicht nur die Sicherheit und erfüllt HIPAA-Compliance-Anforderungen, sondern trägt auch dazu bei, Kosten und Verwaltungsaufwand zu reduzieren.
Sichere Speicherung
Die besten Password Manager können mehr als nur Passwörter speichern, einschließlich Passkeys, Dateien und Dokumente. Alles, was in einem Zero-Knowledge-Password Manager gespeichert ist, wird im Ruhezustand und während der Übertragung verschlüsselt, um sicherzustellen, dass nur autorisierte Benutzer darauf zugreifen können. Dadurch wird sichergestellt, dass Daten nicht in die Hände von Cyberkriminellen gelangen, und die Compliance-Anforderung von HIPAA, nur Personen Zugriff zu gewähren, die über die entsprechenden Zugriffsrechte verfügen.
Worauf Sie bei einem HIPAA-konformen Password Manager achten sollten
Nicht alle Password Manager werden gleich erstellt. Im Folgenden erfahren Sie, worauf Ihr Unternehmen bei einem HIPAA-konformen Password Manager achten sollte.
Starke Verschlüsselung
Ein Password Manager ist nur so stark wie die Verschlüsselung, die er bietet. Der Password Manager, den Sie zum Schutz Ihres Unternehmens auswählen, sollte sowohl Zero-Trust als auch Zero-Knowledge sein, um sicherzustellen, dass nur autorisierte Personen über die Möglichkeit verfügen, auf den Password Manager-Tresor zuzugreifen, und dass die Ver- und Entschlüsselung immer lokal auf dem Gerät des Benutzers erfolgt. Darüber hinaus sollte der Password Manager Daten auch mit AES-256-Bit-Verschlüsselung und Elliptischer Kurvenkryptografie (ECC) schützen, die als robusteste Verschlüsselung in der Cybersicherheitsbranche gilt.
2FA-Unterstützung
Der von Ihnen gewählte Password Manager sollte auch die Zwei-Faktor-Authentifizierung (2FA) unterstützen. Durch die Aktivierung von 2FA für Ihr Password Manager-Konto wird sichergestellt, dass es mit einer zusätzlichen Sicherheitsebene geschützt ist, um unbefugten Zugriff zu verhindern. Der Password Manager sollte die folgenden 2FA-Optionen bieten:
- SSO-Authentifizierung
- FIDO2-WebAuthn-Hardware-Sicherheitsschlüssel
- Passkeys
- Biometrische Authentifizierung (z. B. FaceID, Touch ID, Windows Hello)
Automatische E-Mail-Bereitstellung
Mit der automatischen E-Mail-Bereitstellung können Passwort-Tresore für Tausende von Benutzern mit einer Domain-Übereinstimmung mit E-Mail-Adressen bereitgestellt werden. Dies macht es für große Unternehmen einfach, den Password Manager für ihre Mitarbeiter bereitzustellen.
Wählen Sie Keeper als Ihren HIPAA-konformen Password Manager
Ein Password Manager wie Keeper kann Ihrem Unternehmen bei der Einhaltung von HIPAA-Passwortanforderungen helfen, indem er starke Passwörter generiert, MFA durchsetzt und aktiviert, rollenbasierte Zugriffskontrollen implementiert und sichere Speicherung bietet. Da Keeper nie Zugriff auf Benutzerdaten hat, ist eine Business Associate Agreement (BAA) für die HIPAA-Compliance nicht erforderlich.
Sind Sie bereit, Ihre Gesundheitsorganisation vor passwortbezogenen Datenschutzverletzungen zu schützen und HIPAA-Compliance zu gewährleisten? Starten Sie noch heute eine kostenlose 14-Tage-Testversion für Unternehmen von Keeper.