Neue HIPAA-Regeln verlangen MFA und Verschlüsselung für ePHI – Ist Ihre Organisation bereit?

Die HIPAA-Sicherheitsregel erhält ein großes Update – eines der größten seit Jahren. Am 27. Dezember 2024 hat das Office for Civil Rights (OCR) neue Cybersicherheitsanforderungen vorgeschlagen, die den Schutz elektronischer geschützter Gesundheitsinformationen (ePHI) vor der zunehmenden Welle von Cyberbedrohungen gewährleisten sollen.

Diese Aktualisierungen wurden am 6. Januar 2025 veröffentlicht und leiteten eine 60-tägige öffentliche Kommentierungsphase ein. Nach Ablauf der Kommentierungsphase wird das OCR das Feedback prüfen, die vorgeschlagene Regel gegebenenfalls überarbeiten und sie zur behördlichen Genehmigung finalisieren. Nach der Genehmigung und Veröffentlichung wird die Regel ein Inkrafttretensdatum sowie einen Zeitplan für die Einhaltung enthalten. Sofern es keine größeren Verzögerungen gibt, könnte die endgültige Regel Ende 2025 oder Anfang 2026 erscheinen. Sie wird ein Inkrafttretensdatum und eine Frist für die Einhaltung (oft 6–24 Monate nach Veröffentlichung) enthalten.

Die Änderungen zielen darauf ab, einen stärkeren Datenschutz und klarere Compliance-Erwartungen zu schaffen. Dies erfolgt zusätzlich zur verpflichtenden Durchsetzung wichtiger Sicherheitsmaßnahmen.

Diese Maßnahmen umfassen:

• Mehrfaktor-Authentifizierung (MFA) für alle Systeme, die auf ePHI zugreifen
• Verschlüsselung von ePHI im Ruhezustand und während der Übertragung
• Technologie-Inventare und Netzwerk-Mapping zur Nachverfolgung der Bewegung von ePHI
• Strengere und detailliertere Anforderungen an die Risikoanalyse

Für Verantwortliche im Bereich Datensicherheit gilt es nachzuweisen, dass ePHI überall und jederzeit ordnungsgemäß geschützt ist. Viele Organisationen haben jedoch keinen ausreichenden Einblick in ihre Daten und darauf zugreifende Personen.

Die Frage ist also: Wie können Sie Schutz und Compliance nachweisen, wenn Sie nicht wissen, wo sich Ihre ePHI befindet? Sie können nicht schützen, was Sie nicht kennen, und Sie können keine MFA durchsetzen, wenn Sie nicht wissen, wer auf ePHI zugreift.

Die neuen HIPAA-Sicherheitsanforderungen im Überblick

1. Multi-Faktor-Authentifizierung (MFA) ist jetzt erforderlich

MFA ist keine Empfehlung mehr – es ist eine Verpflichtung für jedes System, das Zugriff auf ePHI gewährt. Dies gilt für On-Premises-, Cloud- und Drittsysteme, die von betroffenen Unternehmen und Geschäftspartnern verwendet werden.

Was Sie tun müssen:

• Implementieren Sie MFA für alle Konten, die auf ePHI zugreifen
• Überwachen Sie den Zugriff auf verdächtige Aktivitäten
• Erzwingen Sie eine rollenbasierte Zugriffskontrolle, um unnötigen Zugriff zu begrenzen

So hilft Cyera: Um MFA durchzusetzen, müssen Sie zunächst Ihre Daten entdecken und klassifizieren, um zu verstehen, wo sich Ihre ePHI befinden. Mit diesem Wissen, das Ihnen durch Cyeras Funktionen zur Datenentdeckung und -klassifizierung sowie unser Identitätsmodul bereitgestellt wird, erhalten Sie Klarheit darüber, wo sich Ihre ePHI befinden und wer – oder was – Zugriff auf ePHI hat.

2. Verschlüsselung muss im Ruhezustand und während der Übertragung durchgesetzt werden

Verschlüsselung ist eine bewährte Branchenpraxis, aber jetzt ist sie unter HIPAA ausdrücklich vorgeschrieben. ePHI muss standardmäßig verschlüsselt werden – egal, ob es sich um strukturierte, semi-strukturierte oder unstrukturierte Daten handelt.

Auch wenn die Art der Verschlüsselung nicht ausdrücklich angegeben ist, muss sie angemessen und geeignet sein, zum Beispiel:

• Anwendung von AES-256-Verschlüsselung für ruhende Daten
• Verwendung von TLS 1.2+ Verschlüsselung für Daten während der Übertragung
• Sicherstellung, dass Cloud- und Drittanbieter die Verschlüsselungsrichtlinien einhalten

Der zuletzt genannte Punkt bedeutet eine verstärkte Sorgfaltspflicht bei der Zusammenarbeit mit Dritten. Dies wird zu Änderungen in den Prozessen führen, einschließlich Risikobewertungen von Drittanbietern, sowie zu einer Aktualisierung der vertraglichen Formulierungen, um eine ordnungsgemäße Datenverarbeitung sicherzustellen.

Wie Cyera hilft: Zu verstehen, wo sich Ihre ePHI befindet, ist der erste Schritt zur Überprüfung der Verschlüsselung. Cyeras DSPM-Lösung bietet tiefe Einblicke in Ihre Datenspeicher und liefert detaillierte Metadaten, die Ihnen helfen, wichtige Sicherheitsmaßnahmen wie die Verschlüsselung zu bewerten.

Die Sichtbarkeit der Verschlüsselung kann je nach Speichersystem variieren. Bei lokalen Daten kann die Verschlüsselung unterschiedlich ausfallen – auch wenn ein Speichersystem die Festplatte verschlüsselt, bedeutet das nicht zwangsläufig, dass die Daten selbst verschlüsselt sind. Die Festplattenverschlüsselung schützt in erster Linie vor physischem Diebstahl und nicht unbedingt die ruhenden Daten. Cyera hilft Ihnen, diese Komplexitäten zu verstehen und stellt sicher, dass Ihre Verschlüsselungsmaßnahmen den Sicherheits- und Compliance-Standards entsprechen.

3. Organisationen müssen alle Technologie-Assets und Datenbewegungen nachverfolgen

Die neue Regel bringt eine weitere wichtige Anforderung mit sich: Jede Organisation muss ein aktuelles Inventar aller Technologie-Assets führen, die ePHI verarbeiten, speichern oder übertragen. Dazu gehört auch die Erstellung einer Netzwerkübersicht, die die Bewegung von ePHI zwischen internen Systemen und externen Partnern nachverfolgt.

Diese Anforderung ähnelt der PCI-Compliance, bei der Organisationen die Architektur und Komponenten der Cardholder Data Environment klar dokumentieren müssen. Nach den neuen HIPAA-Vorschriften müssen betroffene Einrichtungen nun eine klar definierte ePHI-Datenhalter/-verarbeiter-Umgebung schaffen.

Der Schlüssel ist, sicherzustellen, dass ePHI nur innerhalb dieser festgelegten, dokumentierten Umgebung gespeichert, verarbeitet oder übertragen wird. Wenn ePHI diese kontrollierte Umgebung verlässt und in einen „außerhalb des Geltungsbereichs“ liegenden Bereich innerhalb des Unternehmens gelangt, muss auch diese Umgebung die im Regelwerk festgelegten Mindestanforderungen an die Sicherheit erfüllen und unterliegt einer Prüfung.

Was Sie tun müssen:

• Identifizieren und dokumentieren Sie alle Systeme, Geräte und Anwendungen, die ePHI speichern oder verarbeiten
• Erfassen Sie, wie ePHI sich durch interne und externe Umgebungen bewegt
• Überprüfen und aktualisieren Sie dieses Inventar mindestens einmal jährlich – oder nach größeren Änderungen.

So hilft Cyera: Im Laufe der Jahre haben viele Unternehmen den Überblick über ihre sensibelsten Daten verloren, einschließlich ePHI. Cyera löst dieses Problem. Durch die Anbindung an Ihre Datenquellen entdeckt, inventarisiert und klassifiziert Cyera Daten automatisch mit hoher Präzision, in großem Umfang und mit hoher Geschwindigkeit – sogar Schatten-Daten, von deren Existenz Sie vielleicht nichts wissen. Mithilfe von KI kann Cyera sogar ePHI-Datentypen aufdecken, die für Ihr Unternehmen einzigartig sind – auf eine Weise, wie es herkömmliche Methoden wie Regular Expressions (RegEx) und Mustererkennung einfach nicht können.

4. Die Risikoanalyse muss umfassender sein

HIPAA hat schon immer Risikobewertungen verlangt, aber die neue Regel bedeutet, dass eine generische Sicherheitsrisikobewertung nicht mehr ausreicht. Die neue Regel fordert detailliertere Bewertungen von Cyber-Bedrohungen, Schwachstellen und Schutzmaßnahmen, die speziell auf den Schutz elektronischer geschützter Gesundheitsinformationen (ePHI) ausgerichtet sind.

Was Sie tun müssen:

• Überprüfen Sie Ihr Inventar an Technologie-Assets und Ihre Netzwerkkarte
• Identifizieren Sie alle realistischen Bedrohungen für die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI
• Bewerten Sie Schwachstellen in elektronischen Systemen und Netzwerken
• Bestimmen Sie Risikostufen basierend auf Wahrscheinlichkeit und potenziellen Auswirkungen

Dies ist auch keine einmalige Prüfung – sie erfordert eine kontinuierliche Überwachung und Risikominderung, um die Compliance aufrechtzuerhalten.

So hilft Cyera: Cyera bietet detaillierte Bewertungen von Datenrisiken, indem Ihre Daten entdeckt, klassifiziert und Ihre Datensicherheitsreife im Hinblick auf Governance-, Datenschutz-, Sicherheits- und Compliance-Kontrollen bewertet werden. Mit der Bewertung identifizieren wir Risiken und liefern tiefere Einblicke in die Wirksamkeit kritischer Datensicherheitskontrollen. Die Bewertung umfasst eine virtuelle, von einem CISO geleitete Reifegradbewertung unter Verwendung eines Capability Maturity Model Integration (CMMI), um Ihnen zu helfen, Ihre Datensicherheitslage im Zusammenhang mit HIPAA und anderen regulatorischen Rahmenwerken zu verstehen.

5. Begründung für adressierbare Sicherheitsmaßnahmen erforderlich

HIPAA erlaubt eine gewisse Flexibilität durch „adressierbare“ Sicherheitsmaßnahmen (manchmal auch als kompensierende Kontrollen bezeichnet). Das bedeutet, dass die Mindestanforderungen an Kontrollen auf verschiedene Weise erfüllt werden können, einschließlich durch Design, Architektur oder eine Kombination ergänzender Kontrollen, die zusammenarbeiten, um die regulatorischen Standards zu erfüllen oder zu übertreffen. Die neue Regel stellt klar, dass Organisationen ihre Begründung für die alternative Maßnahme vollständig dokumentieren und eine detaillierte Rechtfertigung vorlegen müssen.

Was Sie tun müssen:

• Stellen Sie sicher, dass jede Abweichung von den Standard-Sicherheitskontrollen umfassend dokumentiert wird.
• Akzeptable alternative Sicherheitsmaßnahmen identifizieren, wo erforderlich
• Seien Sie darauf vorbereitet, Ihre Sicherheitsentscheidungen bei Audits zu verteidigen

So hilft Cyera: Cyera bietet detaillierte Metadaten zu Ihren Datenspeichern, einschließlich der vorhandenen oder fehlenden Sicherheitsmaßnahmen. Dies verschafft Ihnen zusammen mit dem Data Risk Assessment Service Klarheit über die Umsetzung Ihrer Kontrollen im Zusammenhang mit ePHI.

Eine starke Datensicherheitsstrategie vereinfacht die Einhaltung von Vorschriften

Die neuen HIPAA-Anforderungen spiegeln einen Wandel wider – Gesundheitseinrichtungen müssen ihr Datenschutzprogramm auf ein neues Niveau heben. Organisationen, die einen datenorientierten Ansatz verfolgen, werden die HIPAA-Compliance effizienter gestalten und gleichzeitig das Risiko von Datenschutzverletzungen, Bußgeldern und Reputationsschäden verringern.

Ist Ihre Organisation bereit für diese HIPAA-Änderungen? Jetzt ist der richtige Zeitpunkt, um zu überprüfen, wie Sie ePHI verfolgen, sichern und schützen. Fordern Sie noch heute eine Demo an, um zu sehen, wie Cyera Sie unterstützen kann.