Share
Beitragsbild zu Die harte Wahrheit über die angemessene Sicherheit von Daten im Gesundheitswesen

Die harte Wahrheit über die angemessene Sicherheit von Daten im Gesundheitswesen

Organisationen im Gesundheitswesen werden immer personenbezogene Gesundheitsdaten speichern und übertragen müssen, die oft als geschützte Gesundheitsinformationen (Protected Health Information, PHI) bezeichnet werden. Die Priorisierung der Datensicherheit wird auch in Zukunft von entscheidender Bedeutung sein, damit sie sich vor Cyberangriffen und Datenverlusten schützen und den Schutz der Patientendaten gewährleisten können. Eine Umfrage der American Medical Association ergab, dass 92 % der Patienten der Meinung sind, dass der Schutz ihrer Gesundheitsdaten ein Recht ist und diese Daten geschützt werden müssen. Dies ist allerdings leichter gesagt als getan, wenn es sich um Daten handelt, die übertragbar sein müssen und jederzeit ausgetauscht werden können.

Auch wenn der Schutz von PHI trivial erscheinen mag, kann ein Verstoß gegen die Richtlinien reale Folgen haben. Scripps Health beispielsweise erzielte nach einem Ransomware-Angriff im Jahr 2021 einen Vergleich in Höhe von 3,5 Mio. US-Dollar.

Ohne Panik verbreiten zu wollen, sollten wir uns darüber im Klaren sein, dass die Zahl der Datenschutzverletzungen zunimmt, die gerade Gesundheitseinrichtungen betreffen. Böswillige Angreifer wissen, wie hoch der Wert dabei ist, Daten aus dem Gesundheitswesen zu kompromittieren, und Ransomware-Angriffe nehmen rapide zu, wodurch das Gesundheitswesen weltweit zu einem strategischen Ziel wird.

Was kann also unternommen werden, um eine hohe Datensicherheit zu gewährleisten?

Wir wollen diese einzigartigen Herausforderungen und die Notwendigkeit, sich ständig ändernde Richtlinien einzuhalten, durch eine Vereinfachung der Dinge angehen, und zwar mit der einfachen Anforderung, dass die Datenverschlüsselung ein wesentlicher Bestandteil der Sicherheitsstrategie jeder Organisation im Gesundheitswesen sein muss.

Denn was man sehen kann, kann man entweder angegriffen oder gesichert werden! Dies ist im Auge zu behalten, wenn Sie einen Plan für die Datensicherheit erstellen.

Bei Kingston wissen wir, dass der angemessene Schutz von Gesundheitsdaten eine ernste Angelegenheit ist. Bei der Implementierung der Sicherheit durch Verschlüsselung von Gesundheitsdaten sind mehrere Dinge zu beachten. Zunächst einmal ist es wichtig, den Wert der Datenverschlüsselung für die Einhaltung von Vorschriften und Richtlinien zu verstehen. HIPAA und andere internationale Vorschriften und Richtlinien, wie DSGVO und CCPA enthalten Anforderungen an die Verschlüsselung personenbezogener Daten. Durch den Einsatz von Verschlüsselung können sich Organisationen im Gesundheitswesens vor den Folgen einer Datenverletzung schützen und die Einhaltung dieser Vorschriften gewährleisten.

Aber auch bei der Verschlüsselung gibt es Fallstricke, da es normalerweise zwei Arten gibt: Hard- und softwarebasierte Verschlüsselung.

Das Verständnis des Unterschieds zwischen Software- und Hardware-Verschlüsselung hat Auswirkungen auf die Sicherheit der Gesundheitsdaten von Patienten. Software-Verschlüsselung lässt sich oft preisgünstiger implementieren, aber ihre Sicherheit hängt vom Hostsystem ab. Daher ist dieser Verschlüsselungstyp wesentlich anfälliger für Hacker, wenn Passwörter oder Wiederherstellungsschlüssel im Speicher des Hostsystems, in Auslagerungs- und Ruhezustandsdateien gefunden werden können. Außerdem können viele verschlüsselte Dateiformate mithilfe von Softwaretools angegriffen werden, die im Internet kostenlos oder zu minimalen Kosten erhältlich sind und Brute-Force-Passwortangriffe ausführen können, um den Authentifizierungsprozess zu knacken. Heutige Computer können 1 oder mehr Milliarden Passwortversuche pro Sekunde ausführen. Software-verschlüsselte Dateien können auch kopiert und parallel von einem Netzwerk von Computern angegriffen werden, wodurch die Zeit für die Durchführung von Brute-Force-Angriffen auf Passwörter weiter verkürzt wird.

Bei der Hardware-Verschlüsselung handelt es sich um eine spezielle Sicherheitsumgebung, die sich vollständig auf dem Speichergerät befindet, wobei es sich um einen USB-Stick oder eine externe SSD handeln kann. Die hardwarebasierte Verschlüsselung ist immer aktiv und schützt die Daten, während die Software-Verschlüsselung auf einem Laufwerk von jedermann durch einfaches Neuformatieren entfernt werden kann. Für Gesundheitsdienstleister bedeutet dies, dass ein unvorsichtiger Mitarbeiter den Schutz deaktivieren und ein software-verschlüsseltes Laufwerk in ein angreifbares Speichergerät verwandeln kann.

Deshalb ist die Hardware-Verschlüsselung im Allgemeinen um Längen sicherer, da Passwörter und Verschlüsselungsschlüssel nicht an das Hostsystem weitergegeben werden. Diese zusätzliche Sicherheit ist jedoch im Vergleich zu unverschlüsselten Speicherlaufwerken mit einem Kostenaufschlag verbunden. In Anbetracht der Tatsache, dass ein durchschnittlicher Sicherheitsverstoß im Jahr 2022 in den USA über 4,35* Mio. Dollar kostet, können Einsparungen bei der Software-Verschlüsselung illusorisch sein, wenn es eine bessere Option für mobile Daten gibt, nämlich hardware-verschlüsselte USB-Sticks und externe SSD-Laufwerke mit XTS-AES 256-Bit-Verschlüsselung, die über einen Schutz vor Brute-Force- und BadUSB-Angriffen verfügen. Wenn ein hardware-verschlüsseltes Laufwerk verloren geht, kann davon ausgegangen werden, dass es sicher bleibt und die PHI-Daten weiterhin durch seine hohe Sicherheit geschützt sind.

Die Kingston IronKey XTS-AES 256-Bit-Hardwareverschlüsselung umfasst benutzerfreundliche Laufwerke, die mögliche Frustrationen der Benutzer in Bezug auf die Sicherheit im Vornherein vermeiden. Die Unterstützung mehrerer Passwörter ermöglicht es Benutzern oder Anbietern, den Zugriff auf Laufwerke wiederherzustellen, falls ein Passwort vergessen wurde. Es gibt jetzt eine Alternative zu komplexen Passwörtern, die sich niemand merken kann – ein Passwort als Passphrase von bis zu 64 Zeichen, das der Titel eines Lieblingsbuchs oder eines Lieds, eine Liste von Wörtern, eine Zeile aus einem Gedicht oder Lied oder andere Phrasen sein kann, die sich Ärzte und andere im Gesundheitswesen tätige Personen leicht merken können – und die dennoch für einen Angreifer innerhalb der begrenzten Brute-Force-Passwortsperre und der Krypto-Löschversuche nahezu unmöglich zu erraten sind.

Passphrasen sind auf den Laufwerken Vault Privacy 50, 50C und Vault Privacy 80 External SSD verfügbar. Laufwerke mit Tastatur wie das Vault Privacy 80ES und das Keypad 200 basieren auf einer PIN und ähneln der Verwendung eines Mobiltelefons für Anwendungsfälle, in denen eine PIN bevorzugt wird. Der VP80ES USB-Stick unterstützt sogar Passphrasen über eine benutzerfreundliche alphanumerische Tastatur auf einem Touchscreen.

Layout der verschiedenen hardware-verschlüsselten Kingston IronKey Laufwerke. Hardware-verschlüsselte USB-Sticks und SSDs.

Alle IronKey Laufwerke verfügen über einen starken Schutz vor Brute-Force-Passwortangriffen auf die Laufwerke. Wenn ein Angreifer versucht, Passwörter zu erraten, zählt das Laufwerk die ungültigen Versuche und sperrt die Benutzerpasswörter. Wenn die begrenzte Anzahl der Admin-Passworteingabeversuche ausgeschöpft ist, wird das Laufwerk automatisch verschlüsselt, und alle Daten gehen für immer verloren. Die Software-Verschlüsselung ist nicht in der Lage, gegen solche Angriffe einen wirksamen Schutz zu bieten.

Betriebssystemunabhängige Laufwerke wie der Vault Privacy 80ES und der Keypad 200 sind ideal für den Schutz von Daten, die zwischen medizinischen Geräten und Computern übertragen werden, was für viele Geräte im Gesundheitswesen erforderlich ist. So müssen beispielsweise bei vielen Laborgeräten die Daten von den Technikern manuell in das Computersystem des Anbieters übertragen werden.

Neben hardware-verschlüsselten Geräten sollten Gesundheitsorganisationen zusätzliche Maßnahmen zur Cybersecurity-Datenhygiene in Betracht ziehen, z. B. die Schulung von Mitarbeitern zu bewährten Praktiken, die Implementierung einer Multi-Faktor-Authentifizierung sowie die regelmäßige Aktualisierung von Software und Systemen. Selbst für kleine Gesundheitsdienstleister können regelmäßige Backups auf hardware-verschlüsselten externen SSDs den Unterschied dabei ausmachen, ob sie Opfer von Ransomware-Angriffen werden oder ihre Systeme schnell wiederherstellen können.

Durch einen mehrschichtigen Sicherheitsansatz und die Verankerung des Datenschutzes in den täglichen Gewohnheiten der Mitarbeiter können Gesundheitseinrichtungen Patientendaten wirksam schützen. Die Integration von hardware-verschlüsselten Kingston IronKey Laufwerken als Teil der Datensicherheitsstrategie ist ein wirksames Mittel, um die Einhaltung des HIPAA und anderer Richtlinien zum Schutz von Gesundheitsdaten zu gewährleisten.

Hier finden Sie weitere Produkte von Kingston IronKey, die den Anforderungen an die Datensicherheit im Gesundheitswesen entsprechen, oder fragen Sie einen Experten bei „Ask an Expert“ zu Kingston IronKey, der Ihnen helfen kann, die Daten Ihrer Patienten zu schützen.

Quelle: Kingston Technology-Blog

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden