Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Wie man eine HIPAA-Risikobewertung durchführt

Wie man eine HIPAA-Risikobewertung durchführt

Jan 27, 2022

Das US-Gesundheitsministerium (HHS) verlangt von Gesundheitseinrichtungen, dem Health Insurance Portability and Accountability Act von 1996 (HIPAA) zu folgen. Dieses Gesetz verpflichtet Gesundheitseinrichtungen dazu, Richtlinien und Verfahren einzuführen, um die Privatsphäre und Sicherheit der geschützten Gesundheitsinformationen (PHI) der Patienten zu wahren.

Eine grundlegende Anforderung ist die Durchführung von Risikobewertungen. Dieser Artikel erklärt die Anforderungen an die Risikobewertung nach HIPAA und bietet Orientierungshilfe zu den beteiligten Schritten.

Was ist eine HIPAA-Risikobewertung?

HIPAA hat zwei Schlüsselkomponenten:

  • HIPAA-Sicherheitsregel (45 CFR Teil 160 und Unterabschnitte A und C von Teil 164) — Verlangt von den betroffenen Einrichtungen, ePHI mit den angemessenen administrativen, physischen und technischen Schutzmaßnahmen zu sichern.
  • Datenschutz-Grundverordnung (45 CFR Teil 160 und Unterabschnitte A und E von Teil 164) — Regelt, wer Zugang zu PHI haben darf, wie es verwendet werden kann und wann es offengelegt werden darf.

Eine HIPAA-Sicherheitsrisikobewertung ist entscheidend, um beiden Regelungen zu entsprechen. Sie hilft Ihnen, potenzielle Risiken und Schwachstellen für die Vertraulichkeit, Verfügbarkeit und Integrität aller PHI zu identifizieren, die Ihre Organisation erstellt, empfängt, aufbewahrt oder übermittelt, und geeignete Kontrollen zur Risikominderung zu implementieren.

Kostenloser Leitfaden zum Herunterladen:

Ist meine Organisation dazu verpflichtet, eine HIPAA-Risikobewertung durchzuführen?

HIPAA-Risikobewertungen sind für jede abgedeckte Einrichtung erforderlich, die PHI generiert, empfängt, speichert oder überträgt, wie medizinische Zentren und Gesundheitspläne. Geschäftspartner, Subunternehmer und Lieferanten, die mit ePHI interagieren, müssen ebenfalls HIPAA-Risikobewertungen durchführen.

Sie sollten HIPAA-Sicherheitsbewertungen mindestens einmal pro Jahr sowie immer dann durchführen, wenn neue Arbeitsmethoden, Technologien oder bedeutende Upgrades bestehender IT-Systeme eingeführt werden.

Betroffene Organisationen müssen die HIPAA-Risikobewertungsanforderung ernst nehmen. Das Office for Civil Rights (OCR) kann Strafen von 100 bis 50.000 US-Dollar pro Verstoß oder pro Datensatz verhängen, bis zu einem Höchstbetrag von 1,5 Millionen US-Dollar pro Jahr, für jeden Verstoß.

Webinar ansehen:

Welche Schritte gibt es bei einer HIPAA-Risikobewertung?

HIPAA schreibt keine spezifische Risikoanalysemethodik vor. Stattdessen beziehen sich Organisationen routinemäßig auf Standards wie NIST 800-30 für Richtlinien, um die HIPAA compliance zu erreichen und aufrechtzuerhalten. NIST SP 800-30 definiert standardisierte Risikobewertungsmethoden zur Bewertung der Wirksamkeit von Sicherheitskontrollen in Informationssystemen.

Im Allgemeinen umfasst eine HIPAA-Risikobewertung die folgenden neun Schritte:

Schritt 1: Bestimmen Sie den Umfang Ihrer Risikoanalyse.

Zuerst müssen Sie den Umfang Ihrer Risikoanalyse festlegen. Eine HIPAA-Risikoanalyse muss das ePHI Ihrer Organisation umfassen, unabhängig von dessen Quelle, Standort oder dem elektronischen Medium, das für die Erstellung, den Empfang, die Aufbewahrung oder Übertragung verwendet wird.

Zusätzlich muss die Analyse alle „vernünftigen“ Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit dieser ePHI abdecken. „Vernünftig“ bedeutet alle vorhersehbaren Bedrohungen für die HIPAA compliance, einschließlich externer böswilliger Akteure, bösartiger Insider und menschlicher Fehler aufgrund von mangelndem Wissen oder Training.

Schritt 2: Daten sammeln.

Als Nächstes sammeln Sie vollständige und genaue Informationen über die Nutzung und Offenlegung von ePHI. Sie können dies tun, indem Sie:

  • Analyse des Inventars vergangener und aktueller Projekte
  • Durchführung von Interviews
  • Dokumentation überprüfen
  • Einsatz weiterer Datenerfassungstechniken nach Bedarf

Schritt 3: Identifizieren Sie potenzielle Bedrohungen und Schwachstellen.

Analysieren Sie dann die Bedrohungen und Schwachstellen für jedes Stück regulierter Daten. Schließen Sie alle vernünftigerweise vorhersehbaren Bedrohungen ein.

Die identifizierten Bedrohungen sollten Faktoren umfassen, die für Ihre Sicherheitsumgebung einzigartig sind. Wenn Sie beispielsweise Amazon Web Services (AWS) als Ihre Cloud-Lösung verwenden, sollten Sie Sicherheitsrisiken identifizieren, die mit AWS verbunden sind.

Schritt 4: Bewerten Sie Ihre aktuellen Sicherheitsmaßnahmen.

Dokumentieren Sie die Schutzvorkehrungen und Maßnahmen, die Sie bereits umgesetzt haben, um Risiken für Ihre ePHI zu mindern. Stellen Sie sicher, dass Sie die folgenden Maßnahmen einschließen:

  • Technische Maßnahmen wie Zugangskontrolle, Authentifizierung, Verschlüsselung, automatische Abmeldung, Überwachung und andere Hardware- und Softwarekontrollen.
  • Nicht-technische Maßnahmen, die betriebliche und Managementkontrollen wie Richtlinien, Verfahren und physische oder umweltbezogene Sicherheitsmaßnahmen umfassen.

Analysieren Sie die Konfiguration und Verwendung jeder Sicherheitsmaßnahme, um deren Angemessenheit und Wirksamkeit zu bestimmen. Dies wird Ihnen helfen, die mit jeder Sicherheitsmaßnahme verbundenen Risiken zu reduzieren.

Schritt 5: Bestimmen Sie die Wahrscheinlichkeit des Auftretens von Bedrohungen.

Bewerten Sie die Wahrscheinlichkeit, dass eine Bedrohung eine bestimmte Schwachstelle auslöst oder ausnutzt, und bewerten Sie jede mögliche Kombination aus Bedrohung und Schwachstelle. Gängige Strategien zur Ausdrucksweise der Eintrittswahrscheinlichkeit umfassen die Verwendung von Kategorien wie Hoch, Mittel und Niedrig oder die Zuweisung eines spezifischen numerischen Gewichts.

Schritt 6: Bestimmen Sie die potenzielle Auswirkung jedes Bedrohungsereignisses.

Erläutern Sie die möglichen Ergebnisse jeder Datenbedrohung, wie zum Beispiel:

  • Unbefugter Zugriff oder Offenlegung
  • Permanenter Verlust oder Beschädigung
  • Vorübergehender Verlust oder Nichtverfügbarkeit
  • Verlust des finanziellen Cashflows
  • Verlust von physischen Vermögenswerten

Schätzen und dokumentieren Sie die Auswirkungen jedes Ergebnisses. Maßnahmen können qualitativ oder quantitativ sein.

Schritt 7: Bestimmen Sie das Risikoniveau.

Analysieren Sie die den Wahrscheinlichkeiten und Auswirkungen jeder Bedrohung zugewiesenen Werte. Anschließend weisen Sie basierend auf der zugewiesenen Wahrscheinlichkeit und dem Auswirkungsgrad eine Risikostufe zu.

Schritt 8: Bestimmen Sie geeignete Sicherheitsmaßnahmen und schließen Sie die Dokumentation ab.

Ermitteln Sie die potenziellen Sicherheitsmaßnahmen, die Sie nutzen könnten, um jedes Risiko auf ein akzeptables Maß zu reduzieren. Berücksichtigen Sie die Wirksamkeit der Maßnahme, die regulatorischen Anforderungen bei der Implementierung und jegliche organisatorische Richtlinien und Verfahrensanforderungen. Vergessen Sie nicht, alle Ergebnisse zu dokumentieren.

Schritt 9: Überprüfen und aktualisieren Sie regelmäßig die Risikobewertung.

Entwickeln Sie abschließend eine Richtlinie, die beschreibt, wie oft Risikobewertungen durchgeführt werden sollen. Mindestens einmal jährlich sollte eine solche Bewertung stattfinden. Zusätzlich sollten Sie die Bewertung aktualisieren, wenn sich etwas ändert, wie zum Beispiel die Sicherheitssysteme Ihrer Organisation, Autoritäts- und Risikostufen oder Richtlinien. Verfolgen Sie jede Änderung in der Revisionshistorie am Ende der Bewertung.

Tipps für eine erfolgreiche HIPAA-Risikobewertung

Die Durchführung von HIPAA-Risikobewertungen kann besonders herausfordernd sein, wenn Sie ein kleines Team und begrenzte Ressourcen haben. Beachten Sie diese Tipps bei der Implementierung von HIPAA-Risikobewertungen:

  • Wählen Sie eine verantwortliche Person aus, die mit der Durchführung der Bewertung betraut wird.
  • Verstehen Sie, dass Sie die Bewertung entweder intern durchführen oder an einen HIPAA-Experten auslagern können. Das Auslagern der Bewertung kann dazu führen, dass die Analyse- und Planungsaufgaben schneller abgeschlossen werden.
  • Denken Sie an den Zweck der HIPAA-Risikobewertung. Es handelt sich nicht um ein Audit – vielmehr soll es Ihnen helfen, Risiken zu identifizieren, zu priorisieren und zu mindern.
  • Stellen Sie sicher, dass Ihre Dokumentation den HIPAA-Standards entspricht. Dokumentieren Sie alle Verfahren und Richtlinien genau und stellen Sie sie zentral zur Verfügung.
  • Denken Sie daran, dass Sie verpflichtet sind, den Bewertungsprozess mindestens jährlich zu wiederholen.
  • Beachten Sie die HIPAA-Benachrichtigungspflichten, wie die Breach Notification Rule. Diese Regel verlangt von Organisationen, den HHS-Sekretär zu benachrichtigen, wenn eine Verletzung 500 oder mehr Personen betrifft.
  • Schulen Sie alle Mitarbeiter in den HIPAA-Compliance-Praktiken und den Anforderungen zur Benachrichtigung.

Wie kann Netwrix helfen?

Netwrix’s Software zur Einhaltung von HIPAA-Vorschriften hilft Ihnen, die HIPAA-Konformität zu erreichen und nachzuweisen. Insbesondere ermöglicht sie es Ihnen, die von HIPAA geforderten Risikobewertungen durchzuführen, um sich gegen Cybersecurity-Bedrohungen zu schützen. Zum Beispiel verlangt HIPAA von Organisationen, die Risiken für ihre Informationssysteme zu bewerten und auf die Ergebnisse zu reagieren, und die Netwrix-Lösung ermächtigt Sie dazu, die Konfiguration Ihrer Informationssysteme zu untersuchen und Risiken im Account-Management, Data Governance und Sicherheitsberechtigungen zu identifizieren.

Noch besser, die HIPAA functionality der Netwrix-Lösung geht weit über Risikobewertungen hinaus. Entscheidend ist, dass sie Ihnen ermöglicht, aktive Bedrohungen rechtzeitig zu erkennen, um Sicherheitsvorfälle, Datenschutzverletzungen und Geschäftsunterbrechungen zu verhindern. Außerdem beinhaltet die Netwrix-Lösung im Gegensatz zu vielen anderen Audit-Tools vordefinierte Compliance-Berichte, die auf die Anforderungen von HIPAA und anderen gängigen Mandaten abgestimmt sind, was erhebliche Zeit und Mühe bei der Compliance-Vorbereitung spart.

FAQ

Was ist der Unterschied zwischen einer HIPAA-Sicherheitsrisikoanalyse und einer HIPAA-Compliance-Bewertung?

Regelmäßige Risikobewertung ist eine Anforderung des HIPAA-Mandats. Eine HIPAA-Konformitätsbewertung prüft Ihre Einhaltung aller HIPAA-Anforderungen.

Wann ist eine HIPAA-Risikobewertung notwendig?

HIPAA-Risikobewertungen sind für jede Einrichtung erforderlich, die geschützte Gesundheitsinformationen (PHI) erstellt, empfängt, übermittelt oder speichert, wie zum Beispiel Gesundheitspläne und medizinische Zentren.

Wie oft sollten Sie HIPAA-Risikobewertungen überprüfen?

Obwohl HIPAA nicht vorschreibt, wie oft Sie HIPAA-Risikobewertungen durchführen sollten, sollten Sie HIPAA-Bewertungen mindestens einmal pro Jahr sowie immer dann durchführen, wenn Sie neue Arbeitsmethoden einführen, bestehende IT-Systeme aktualisieren oder neue Technologien hinzufügen.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Craig Riddell

Field CISO NAM

Craig ist ein preisgekrönter Informationssicherheitsleiter, der auf Identity and Access Management spezialisiert ist. In seiner Rolle als Field CISO NAM bei Netwrix nutzt er seine umfassende Expertise in der Modernisierung von Identitätslösungen, einschließlich Erfahrung mit Privileged Access Management, Zero Standing Privilege und dem Zero Trust Sicherheitsmodell. Bevor er zu Netwrix kam, hatte Craig Führungspositionen bei HP und Trend Micro inne. Er besitzt sowohl die CISSP- als auch die Certified Ethical Hacker-Zertifizierungen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen