Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
HIPAA-Passwortanforderungen

HIPAA-Passwortanforderungen

Feb 1, 2022

Die Gesundheitsbranche steht vor einer Vielzahl ernsthafter Cybersicherheitsrisiken. Tatsächlich gab es im Jahr 2021 eine Rekordzahl an großen Gesundheitsdatenverletzungen in den USA — das Breach Notification Portal des US-Gesundheitsministeriums listet mindestens 713 Vorfälle auf, die 45,7 Millionen Personen betreffen.

Der Health Insurance Portability and Accountability Act (HIPAA) soll Gesundheitsorganisationen dabei helfen, Risiken für die Sicherheit und Privatsphäre elektronischer persönlicher Gesundheitsinformationen (ePHI) zu verringern. Insbesondere enthält die HIPAA-Sicherheitsregel Passwortanforderungen, um Organisationen dabei zu unterstützen, das Risiko von data breachen zu minimieren. Dieser Artikel erklärt diese Passwortanforderungen und bietet Best Practices für deren Implementierung.

Ausgewählte verwandte Inhalte:

Wer muss sich an HIPAA halten?

HIPAA gilt für beide der folgenden Organisationstypen:

  • Betroffene Einrichtungen — Diese Gruppe umfasst Gesundheitsdienstleister, Gesundheitspläne, Abrechnungsstellen im Gesundheitswesen und Arbeitgeber, die für Versicherungszwecke Zugang zu Gesundheitsinformationen haben
  • Geschäftspartner — Diese Gruppe umfasst Organisationen, die physische Patientenakten oder ePHI handhaben oder speichern, zum Beispiel medizinische Versicherungs- und Abrechnungsunternehmen, Anwaltskanzleien, die medizinische Fälle bearbeiten, Hersteller von medizinischen Geräten und medizinische Kurierdienste. Sie schließt auch Anbieter von Software und Cloud-Diensten ein, die mit ePHI umgehen.

Es ist sehr wichtig zu identifizieren, ob Ihre Organisation dem HIPAA unterliegt, da die Strafen für die Nichteinhaltung der Vorschriften von 100 $ bis 50.000 $ pro Verstoß oder Datensatz reichen können, bis zu einer Höchststrafe von 1,5 Millionen $ pro Jahr für jeden Verstoß. Darüber hinaus können absichtliche Verstöße gegen die HIPAA-Vorschriften zu bis zu 10 Jahren Gefängnis führen.

Warum enthält HIPAA Passwortanforderungen?

HIPAA umfasst aus gutem Grund Anforderungen an Passwörter: Passwörter sind die Schlüssel zu Ihrem ePHI, und eine HIPAA-konforme password policy kann Ihnen helfen, unbefugte Anmeldungen und Datenzugriffe zu verhindern. Tatsächlich haben Angreifer eine Vielzahl von Techniken entwickelt, um Passwörter zu stehlen oder zu knacken, einschließlich:

  • Brute-Force-Angriffe— Hacker führen Programme aus, die verschiedene mögliche Benutzer-ID/Passwort-Kombinationen durchprobieren, bis sie die richtige finden.
  • Wörterbuchangriffe— Dies ist eine Form des Brute-Force-Angriffs, der Wörter aus einem Wörterbuch als mögliche Passwörter verwendet.
  • Password-Spraying-Angriffe — Dies ist eine weitere Art von Brute-Force-Angriff, der sich auf ein einzelnes Konto konzentriert und mehrere Passwörter testet, um Zugang zu erhalten.
  • Credential-Stuffing-Angriffe — Diese Angriffe zielen auf Personen ab, die dieselben Passwörter für verschiedene Systeme und Websites verwenden.
  • Spidering — Hacker sammeln Informationen über eine Person und versuchen dann, Passwörter zu erstellen, die mit diesen Daten erstellt wurden.

Ausgewählte verwandte Inhalte:

Was sind die HIPAA-Passwortanforderungen?

Passwörter sind in den administrativen Schutzmaßnahmen der HIPAA-Sicherheitsregel abgedeckt. Insbesondere §164.308(5D) besagt, dass Organisationen „Verfahren für das Erstellen, Ändern und Sichern von Passwörtern“ implementieren müssen. Eine damit verbundene technische Schutzmaßnahme (§164.312(d)) schreibt vor, dass abgedeckte Einheiten Prozesse einrichten müssen, um die Identität einer Person zu überprüfen, die Zugang zu elektronischen Gesundheitsinformationen sucht.

Diese Unklarheit bezüglich der Passwortanforderungen ist beabsichtigt — HIPAA ist so konzipiert, dass es technologieneutral ist und anerkennt, dass sich Sicherheitsbest-Praktiken im Laufe der Zeit weiterentwickeln, um die Widerstandsfähigkeit gegen bekannte Angriffstechniken zu verbessern.

Also, wie kann meine Organisation konform sein?

Der beste Weg, um die Einhaltung der HIPAA-Passwortrichtlinien zu gewährleisten, besteht darin, Ihre Passwortrichtlinie und -verfahren unter Verwendung eines angemessenen und anerkannten Rahmens zu erstellen. Eine hervorragende Option ist die Special Publication 800-63B des National Institute of Standards and Technology (NIST). Die darin enthaltenen Richtlinien sind hilfreich für jedes Unternehmen, das seine Cybersicherheit verbessern möchte – einschließlich von HIPAA erfasster Einrichtungen und Geschäftspartner.

Die grundlegenden NIST-Richtlinien für Passwörter umfassen Folgendes:

  • Länge — Passwörter sollten zwischen 8 und 64 Zeichen lang sein.
  • Bauwesen — Es wird empfohlen, lange Passphrasen zu verwenden, diese sollten jedoch keine Wörter aus dem Wörterbuch entsprechen.
  • Zeichentypen — Organisationen können Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen und sogar Emoticons erlauben, sollten jedoch NICHT die Verwendung einer Mischung verschiedener Zeichentypen vorschreiben.
  • Multifactor authentication — Der Zugriff auf persönliche Informationen wie ePHI sollte eine Multifaktor-Authentifizierung erfordern, wie beispielsweise ein Passwort plus einen Fingerabdruck oder eine PIN von einem externen Gerät.
  • Zurücksetzen — Ein Passwort sollte nur zurückgesetzt werden müssen, wenn es kompromittiert wurde oder vergessen ist.

Welche Best Practices helfen dabei, Passwörter sicher zu halten?

Hier sind fünf Strategien, die einen messbaren Unterschied in der Sicherheit Ihrer Passwörter bewirken können:

  • Verlängern Sie Ihre Passwörter. Kurze Passwörter sind äußerst leicht zu knacken, aber extrem lange Passwörter schwer zu merken. Der optimale Bereich liegt laut NIST zwischen 8 und 64 Zeichen.
  • Erlauben Sie Benutzern, ihre Passwörter aus verschlüsselten Passwort-Management-Diensten zu kopieren und einzufügen. Auf diese Weise können sie stärkere, längere Passwörter wählen, ohne die Mühe des Eintippens oder die Sorge, sie zu vergessen. Diese bewährte Methode hilft auch, Sicherheitslücken zu verhindern, die durch Mitarbeiter verursacht werden, die Passwörter wiederverwenden oder sie so aufschreiben, dass andere sie sehen könnten.
  • Erlauben Sie keine Passworthinweise. Hinweise machen es oft erstaunlich einfach, das Passwort des Benutzers herauszufinden – in einigen Fällen verwenden Mitarbeiter tatsächlich das Passwort selbst als Hinweis!
  • Erlauben Sie, dass Passwörter Leerzeichen, andere Sonderzeichen und sogar Emojis enthalten. Dies fügt eine weitere Komplexitätsebene hinzu, die dabei hilft, gängige Passwortangriffe zu vereiteln.
  • Überprüfen Sie vorgeschlagene Passwörter anhand von Listen häufig verwendeter und zuvor kompromittierter Passwörter. Diese Aufgabe können Sie an Sicherheitsdienste auslagern

Wie kann Netwrix helfen?

Netwrix bietet mehrere speziell entwickelte Lösungen an, um das Passwortmanagement zu optimieren und zu stärken:

  • Netwrix Password Policy Enforcer erleichtert das Erstellen von starken, aber flexiblen Passwortrichtlinien, die die Sicherheit erhöhen, ohne die Produktivität der Benutzer zu beeinträchtigen oder den Helpdesk und IT-Teams zu belasten.
  • Netwrix Password Reset ermöglicht es Benutzern, ihre eigenen Konten sicher zu entsperren und ihre Passwörter direkt über den Webbrowser zurückzusetzen oder zu ändern. Diese Selbstbedienungsfunktion reduziert Benutzerfrustration und Produktivitätsverluste erheblich und verringert das Volumen von Helpdesk-Anrufen.

Netwrix bietet auch umfassendere Lösungen für die HIPAA-Konformität. Sie befähigen Sie dazu:

  • Führen Sie regelmäßige IT-Risikobewertungen durch, um Ihre Angriffsfläche zu verringern.
  • Verstehen Sie genau, wo sich Ihre sensiblen Daten befinden, damit Sie Ihre Schutzbemühungen priorisieren können.
  • Überwachen Sie Aktivitäten in Ihren lokalen und Cloud-basierten Systemen, erkennen und untersuchen Sie Bedrohungen rechtzeitig, um Datendiebstahl zu verhindern.
  • Reduzieren Sie den Zeit- und Arbeitsaufwand, der für die Vorbereitung auf HIPAA compliance-Prüfungen erforderlich ist, und beantworten Sie Fragen von Prüfern unmittelbar und mühelos.

FAQ

Was sind die minimalen Passwortanforderungen nach HIPAA?

Die HIPAA password requirements besagen, dass betroffene Organisationen „Verfahren zum Erstellen, Ändern und Schützen von Passwörtern“ implementieren müssen. Es gibt keine spezifischen Anforderungen bezüglich der Passwortlänge, Komplexität oder Verschlüsselung. Um die Einhaltung zu gewährleisten, sollten Sie eine starke Passwortrichtlinie unter Verwendung eines etablierten Sicherheitsrahmens wie NIST erstellen.

Was sind die besten Empfehlungen für HIPAA-Passwörter?

Aktuelle Best Practices für Passwörter sind im Detail beschrieben in NIST Special Publication 800-63B. Diese kostenlose Veröffentlichung enthält Richtlinien zur Passwortlänge, Zusammensetzung, Zeichentypen, Zurücksetzanforderungen und zur Multifaktorauthentifizierung.

Wie oft müssen Passwörter gemäß HIPAA geändert werden?

Es gibt keine spezifischen HIPAA-Anforderungen für das Ändern von Passwörtern. NIST-Richtlinien empfehlen, Passwörter nur zu ändern, wenn sie kompromittiert wurden. Heute erkennen Experten, dass das Erfordern häufiger Passwortänderungen oft tatsächlich Sicherheitsprobleme erhöht, da Benutzer zu Strategien wie dem Aufschreiben ihrer Passwörter greifen oder einfach eine Zahl am Ende des Passworts erhöhen, was ihr Konto für Cyberangriffe anfällig macht.

Ist eine Multifaktor-Authentifizierung (MFA) nach HIPAA erforderlich?

HIPAA bietet nicht dieses Detailniveau. Jedoch empfehlen Rahmenwerke für bewährte Verfahren wie NIST die Multifaktor-Authentifizierung, um sensible und regulierte Daten in E-Mails, Datenbanken und anderen Systemen zu schützen. Die Implementierung von MFA, wie von NIST dargelegt, kann das Risiko von Strafen für eine Organisation wegen Nichteinhaltung von HIPAA erheblich reduzieren.

Gibt es Anforderungen zur Kontosperrung in HIPAA?

HIPAA bietet nicht dieses Maß an Detail. Eine HIPAA-konforme Passwortrichtlinie würde jedoch eine Sperre nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche beinhalten, um Passwortrateverfahren zu vereiteln. Den Benutzern zu ermöglichen, ihre eigenen Konten mit einer sicheren self-service password management solution zu entsperren, kann Ihnen erlauben, eine niedrige Schwelle für fehlgeschlagene Anmeldeversuche festzulegen, um die Sicherheit zu erhöhen, ohne das Volumen der Helpdesk-Anrufe zu steigern.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen