Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Ist Microsoft 365 HIPAA-konform?

Ist Microsoft 365 HIPAA-konform?

Jul 30, 2020

Microsoft 365 kann die HIPAA-Konformität durch seine integrierten Sicherheitskontrollen, die Business Associate Vereinbarung (BAA) und die Compliance Center-Tools unterstützen. Abgedeckte Einrichtungen müssen Funktionen wie Verschlüsselung, Zugriffskontrollen, Audit-Protokolle und Multi-Faktor-Authentifizierung aktivieren, während sie sicherstellen, dass das Personal strenge Datenhandhabungspraktiken befolgt. Die Konformität ist nicht automatisch; die letztendliche Verantwortung liegt bei der Gesundheitsorganisation, die Microsoft 365 verwendet.

Office 365 HIPAA-Konformität ist ein drängendes Anliegen für eine wachsende Zahl von Gesundheitsunternehmen. Microsofts robuste Cloud-Lösung ermöglicht es Anbietern, Aufzeichnungen zu führen und einfach zu kommunizieren — aber ist es zu einfach? Kann sensible Informationen wirklich geschützt werden, wenn sie in der Cloud gespeichert sind?

Cloud-Computing setzt sich seit einigen Jahren in der Gesundheitsbranche durch. Es bietet zahlreiche Vorteile als Strategie und ermöglicht es Organisationen und Pflegeanbietern, zu erweitern, wo und wie sie Technologie nutzen können. Indem es für Anbieter einfacher wird, Patientenakten zu behalten und zu referenzieren, selbst wenn sie unterwegs sind, verbessert und vereinfacht Cloud-Computing die Patientenerfahrung.

Ausgewählte verwandte Inhalte:

Dieser Schritt in die Cloud ist insgesamt positiv für das Gesundheitswesen, bringt jedoch zusätzliche Verantwortung für Compliance- und Sicherheitsspezialisten mit sich. Glücklicherweise wird die Suche nach HIPAA-konformer Cloud-Software einfacher, da immer mehr Anbieter und Entwickler die Marktnachfrage erkennen. Viele Lösungsanbieter haben ihre Angebote mittlerweile angepasst, um den HIPAA-Anforderungen von Gesundheitsorganisationen gerecht zu werden.

Microsoft 365, wohl der am weitesten verbreitete Cloud-Dienst, ist ein herausragendes Beispiel. Es bietet HIPAA compliance für alle Gesundheitsorganisationen, die über eine business associate agreement (BAA) verfügen und diese ordnungsgemäß nutzen. In diesem Artikel erfahren Sie mehr darüber, was Microsoft unternommen hat, um seine 365-Suite den HIPAA-Anforderungen entsprechend zu gestalten und welche Aspekte des Datenschutzes weiterhin in der Verantwortung der Anbieter liegen.

Ausgewählte verwandte Inhalte:

HIPAA BAA und Microsoft 365

Das HIPAA-Konformitätsniveau jeder Cloud-Lösung hängt von der BAA der Benutzerorganisation ab. Eine der bequemsten Funktionen von Microsoft 365 für den Gesundheitskunden ist, dass es eine BAA als Standard-Serviceelement bietet.

Was ist eine BAA?

Ein Business Associate Agreement ist ein Vertrag zwischen einer von HIPAA erfassten Einrichtung (wie einer Arztpraxis oder einem Krankenhaus) und einem verbundenen Unternehmen. Sobald irgendwelche geschützten Gesundheitsinformationen (PHI) in die Cloud hochgeladen werden, unterliegen beide Parteien automatisch den HIPAA-Vorschriften. Aus diesem Grund müssen Sie ein BAA mit einem Cloud-Anbieter haben, bevor Sie irgendeine Lösung im Zusammenhang mit Patientendaten implementieren.

Wie funktioniert Microsofts BAA?

Standardmäßig bietet Microsoft sein BAA als Teil seiner Online Services Terms für Nutzer an, die als überdeckte Einheiten oder Geschäftspartner gemäß HIPAA definiert sind. Das BAA umfasst Dynamics 365, Office 365 und einige andere Cloud-Dienste.

Wenn Sie Microsoft als Lösungsanbieter in Betracht ziehen, überprüfen Sie the BAA im Detail, um sicherzustellen, dass die abgedeckten Dienste und Bedingungen des BAA Ihren Anforderungen entsprechen. Microsoft ändert sein BAA nicht auf Kundenwunsch, daher müssen die Bedingungen so wie sie geschrieben sind ausreichend sein.

Microsoft 365 Security Controls und HIPAA-Anforderungen

Um zu bestätigen, dass seine Sicherheitspraktiken mit den Empfehlungen des offiziellen Herausgebers von HIPAA, dem U.S. Department of Health and Human Services (HHS), übereinstimmen, hat Microsoft Informationssicherheitsaudits nach dem ISO 27001 Standard durchgeführt. Dieser Standard bewertet mehrere Aspekte der IT-Sicherheit einer Organisation, einschließlich der Frage, ob sie den Empfehlungen des HHS folgt.

Die Ergebnisse bestätigen, dass Office 365 alle für die Einhaltung notwendigen HIPAA-Sicherheits- und Datenschutzkontrollen umfasst. Sie können auf diese Kontrollen über das Microsoft 365 Compliance Center zugreifen.

Das Microsoft Compliance Center

Das Microsoft Compliance Center bietet Kunden Zugang zu den Werkzeugen und Informationen, die sie benötigen, um Compliance zu verwalten. Es umfasst Funktionen wie:

  • Ihr Compliance Score, ein risikobasierter Wert, der den Fortschritt bei der Risikominderung misst
  • Eine aktive Alarmkarte, die Ihre Sicherheitsbenachrichtigungen auflistet und Sie zu detaillierteren Informationen führt
  • Ein Abschnitt zur Netwrix Data Classification um Ihnen zu helfen, wichtige Daten richtig zu organisieren
  • Ein Berichtsbereich mit Informationen über Drittanbieter-Apps, freigegebene Dateien und mehr
  • Ein Berechtigungsbereich der es Ihnen ermöglicht, den Zugriff innerhalb Ihrer Organisation zu verwalten
  • Ein Abschnitt mit Lösungen mit detaillierten Informationen über die Compliance-Strategien Ihrer Organisation
  • Ein Tool zum Schutz vor Datenverlust um Ihnen das Verfolgen sensibler Informationen zu ermöglichen

Das Compliance Center ist eine robuste Ressource. Es steht allen Microsoft-Geschäftskunden zur Verfügung, aber einige Funktionen, wie erweitertes Bedrohungsmanagement, Sensitivitätsbezeichnungen für Data Classification, einige DLP-Funktionalitäten, sind möglicherweise nicht verfügbar, es sei denn, Sie verfügen über eine Top-Level-Lizenz.

Microsoft 365-Sicherheitsfunktionen für HIPAA

Microsoft bietet viele Sicherheitsfunktionen, um Unternehmen dabei zu unterstützen, die Einhaltung spezifischer Vorschriften zu gewährleisten. Besonders relevant für HIPAA sind:

  • Zugriff mit minimalen Rechten: Diese Funktion begrenzt das Risiko und die Auswirkungen von Datenpannen indem sie erweiterten Zugriff nur denjenigen gewährt, die ihn benötigen.
  • Datenschutzbeauftragte: Microsoft empfiehlt Kunden mit einer BAA, Vertreter als HIPAA Datenschutzbeauftragte zu benennen, was ihnen Zugang zu Mitteilungszentren-Benachrichtigungen über mögliche Verstöße im Zusammenhang mit elektronisch geschützten Gesundheitsinformationen (ePHI) gewährt.
  • End-to-End-Verschlüsselung: Microsoft verschlüsselt alle Daten, wenn sie auf die Server des Unternehmens hochgeladen oder dort gespeichert werden. Sie werden auch verschlüsselt, wenn sie außerhalb der Microsoft-Einrichtungen übertragen werden (Verschlüsselung während der Übertragung); jedoch können einige Informationen, einschließlich Daten in Betreffzeilen und Adressfeldern von E-Mails, aufgrund von Standard-Internetprotokollen nicht verschlüsselt werden. Daher empfiehlt Microsoft, dass alle Benutzer das Personal schulen, niemals ePHI in den An-, Von- oder Betreffzeilen einer E-Mail zu verwenden.
  • Data Loss Prevention: ePHI ist vor der Weitergabe an unbefugte Betrachter geschützt.
  • Multi-Factor Authentication: Benutzer müssen Informationen bereitstellen, die an ein anderes Gerät oder Konto gesendet wurden, bevor sie sich anmelden dürfen.
  • Audit-Protokolle: Administratoren können einsehen, wer Dokumente angesehen, geöffnet, geteilt oder gelöscht hat.
  • Datensicherungen: Diese Funktion ist nach HIPAA erforderlich, damit exakte Kopien von ePHI bei Bedarf wiederhergestellt werden können.
  • Sicherheitskonfiguration: Microsoft ermöglicht es Kunden, ihre Sicherheitseinstellungen für viele durch die BAA abgedeckte Dienste zu ändern. Für die HIPAA-Konformität könnte die sicherste Strategie darin bestehen, die strengstmöglichen Parameter festzulegen. Detaillierte Konfigurationsanweisungen finden Sie in Microsofts HIPAA implementation guide.

Wie Microsoft Sicherheitsverletzungen handhabt

Microsofts BAA besagt, dass im Falle eines Sicherheitsvorfalls das Unternehmen alle globalen Administratoren Ihres Kontos und alle Benutzer, die die Bezeichnung Privacy Reader haben, innerhalb von 30 Tagen benachrichtigen wird.

Microsoft benachrichtigt Ihre Kunden nicht über eine Verletzung der Sicherheit. Diese Verantwortung liegt bei Ihnen unter HIPAA, das alle abgedeckten Einheiten dazu verpflichtet, betroffene Personen zu benachrichtigen, wenn eine Verletzung ungesicherte ePHI betrifft. Microsoft übermittelt auch keine erforderlichen Benachrichtigungen an den Sekretär von HHS oder die Medien.

Im Falle eines Verstoßes gegen ein potentielles ePHI-Repository ist Microsoft nicht dafür verantwortlich, gespeicherte Daten zu scannen, um festzustellen, ob ePHI tatsächlich kompromittiert wurde. Sie werden benachrichtigt, dass ein Verstoß stattgefunden hat. Dann müssen Sie bewerten, ob ePHI kompromittiert wurde und welches Ausmaß die Auswirkungen haben, falls vorhanden.

Konfiguration für Office 365 HIPAA-Compliance: bewährte Methoden

Microsoft stellt klar, dass letztendlich die Verantwortung für die HIPAA-Konformität beim Kunden liegt. Der Anbieter empfiehlt, dass alle Unternehmen einen Satz von Verfahren und Richtlinien erstellen, um ihrem Personal die Nutzung von Office 365 auf eine Weise zu ermöglichen, die die Einhaltung unterstützt. Hier sind einige der wichtigsten Schritte, die während des Einrichtungsprozesses befolgt werden sollten.

1. Überprüfen Sie die Service-Details.

  • Stellen Sie sicher, dass die Produkte, die Sie verwenden möchten, im Rahmen der Microsoft’s HIPAA Compliance Services liegen.
  • Überprüfen Sie die BAA, um sicherzustellen, dass die enthaltenen Sicherheits- und Datenschutzpraktiken Ihren Anforderungen entsprechen.

2. Richten Sie Zugriffskontrollverfahren ein.

  • Geben Sie im Microsoft 365 Message Center Ihre Datenschutz-Leser an.
  • Aktivieren Sie die Zugriffsverfolgung für Ihre Administratoren, damit Sie sehen können, wann sie auf Benutzerkonten zugreifen.

3. Schulungen zum Ausschluss von PHI durchführen.

  • Verwaltungspersonal sollte keine ePHI in Verzeichnisse, Adressbücher oder globale Adresslisten eingeben.
  • Kein Personal sollte ePHI in Fehlerbehebungs- oder Supportgesprächen mit Microsoft teilen.
  • Benutzer sollten ePHI nicht in Dateinamen, E-Mail-Kopfzeilen oder öffentlich zugänglichen SharePoint-Standorten erwähnen.
  • Benutzer sollten ePHI per E-Mail nur an ausdrücklich autorisierte Nutzer senden.

4. Verfahren für die Zugriffsüberprüfung festlegen.

  • Überprüfen Sie regelmäßig den Benutzerzugriff auf alle ePHI-Speicherorte.
  • Überprüfen Sie regelmäßig Benutzerzugriffsberechtigungen, Passwortänderungen und Ergänzungen zu gemeinsam genutzten Ressourcen.
  • Erstellen Sie ein Protokoll für die Aktualisierung von Zugriffsrechten bei Personaländerungen.

Wie Netwrix Microsoft 365-Kunden unterstützt

Die Einhaltung von HIPAA ist keine leichte Aufgabe, und die Einbeziehung der Compliance im Zusammenhang mit Cloud-Diensten kann selbst die Ressourcen der robustesten Organisation belasten. Netwrix kann einen Großteil dieser Last von Ihren Schultern nehmen mit seiner Lösung für HIPAA-Compliance.

Wissen Sie genau, wo Sie ePHI speichern

Die Netwrix-Lösung kann die spezifischen OneDrive for Business-Repositorys, Exchange Online-Postfächer und SharePoint Online-Sites in Ihrem Konto identifizieren, die ePHI enthalten. Dies ist der erste Schritt, um diese ePHI vor internen und externen Bedrohungen zu schützen.

Reduzieren Sie Ihre Angriffsfläche, indem Sie Berechtigungen minimieren

Die Netwrix-Lösung kann Ihnen auch dabei helfen sicherzustellen, dass Sie die richtigen Berechtigungen eingerichtet haben. Sie kann automatisch übermäßige Berechtigungen für sensible Daten identifizieren und entfernen. Sie vereinfacht auch den Zugriffsüberprüfungs- und Berechtigungsnachweisprozess, wodurch sich Ihre Chancen verbessern, passing compliance audits gleich beim ersten Mal zu bestehen.

Bedrohungen identifizieren und darauf reagieren

Dank detaillierter systemübergreifender Sichtbarkeit kann die Netwrix-Lösung Warnsignale erkennen, die auf Insider-Bedrohungen hindeuten könnten, wie fehlgeschlagene Zugriffsversuche, Privilegienerweiterung und ungewöhnlich hohe Anzahl von Lesevorgängen, und Anzeichen von Ransomware in Entwicklung erkennen. Es ermöglicht Ihnen, problemlos in verdächtige Aktivitäten einzutauchen, sodass Sie Bedrohungen blockieren können, bevor sie ernsthaften Schaden anrichten.

Wenn es zu einem Sicherheitsvorfall kommt, egal welcher Herkunft, kann Netwrix Ihnen helfen, die Schwere des Vorfalls zu bestimmen, sodass Sie alle Anforderungen zur Benachrichtigung der Behörden und betroffenen Nutzer erfüllen können.

Ausgewählte verwandte Inhalte:

Microsoft 365 und HIPAA-Compliance FAQ

Gibt es Bedenken bezüglich HIPAA beim Einsatz von Office 365?

Solange Sie Microsofts BAA sorgfältig überprüfen und den Umfang seiner Sicherheits- und Compliance-Schutzmaßnahmen verstehen, bestätigen, dass diese Schutzmaßnahmen Ihren HIPAA-Compliance-Anforderungen entsprechen und alle erforderlichen Sicherheitskontrollen Ihrerseits vorhanden sind, sollten Sie kaum Bedenken hinsichtlich der HIPAA-Compliance haben.

Die HIPAA-Schutzmaßnahmen von Office 365 sind robust, aber letztendlich liegt die Verantwortung für die Einhaltung bei Ihnen als der von HIPAA abgedeckten Einheit.

Welcher Microsoft Office 365-Tarif ist HIPAA-konform?

Microsoft bietet seinen HIPAA-Compliance BAA für Nutzer von Office 365 Business, Office 365 US Government und Office 365 US Government Defense an. Allerdings verfügen niedrigere Lizenzstufen dieser Dienste (wie Business Basic, Business Standard und Business Premium) möglicherweise nicht über alle erweiterten Sicherheitsfunktionen, die Sie zur Aufrechterhaltung Ihrer Compliance nutzen möchten.

Microsoft empfiehlt Benutzern, die eine HIPAA-Konformität anstreben, die Aktivierung von erstklassigen Sicherheitsschutzmaßnahmen. Einige dieser Schutzmaßnahmen, einschließlich Anti-Phishing Threat Explorers und Data Loss Prevention, stehen nur Inhabern von höherwertigen Enterprise-Lizenzen zur Verfügung.

Garantiert ein BAA mit Microsoft die Einhaltung von HIPAA und dem HITECH Act?

Nein, ein BAA garantiert keine Compliance. Der Zweck des BAA besteht darin, zu klären, welche Compliance-Anforderungen in der Verantwortung des HIPAA-Geschäftspartners liegen. Wenn beispielsweise ein Bruch in Ihrem Microsoft Office 365-Konto auftritt, wird Microsoft Sie darüber informieren, dass es passiert ist.

Selbst unter dem robustesten BAA haben Sie als Cloud-Service-Kunde immer noch Verantwortlichkeiten, um die Einhaltung zu gewährleisten. Sie müssen ein internes Compliance-Programm einrichten und aufrechterhalten, das alles abdeckt, was von Ihnen als HIPAA-unterworfene Organisation verlangt wird. Zum Beispiel müssen Sie interne Richtlinien, Verfahren und Prozesse implementieren, um sicherzustellen, dass Ihr Personal sich so verhält, dass keine HIPAA-Vorschriften verletzt werden.

Microsofts BAA unterstützt Sie dabei, die HIPAA-Grundsätze einzuhalten, wenn Sie die Dienste des Unternehmens nutzen, aber es erledigt nicht alles für Sie. Sie müssen immer noch sicherstellen, dass Ihr Team Office 365 so verwendet, dass es mit jeder Regel von HIPAA und dem HITECH Act übereinstimmt.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen