HIPAA-Passwort-Anforderungen erklärt

Der Health Insurance Portability and Accountability Act (US-amerikanisches Gesetz zu Gesundheitsfürsorge; kurz: HIPAA; ) schreibt die Verwendung von Passwörtern oder einer gleichwertigen Methode zur Sicherung von Konten vor, die Zugang zu elektronischen geschützten Gesundheitsinformationen (electronic protected health information; kurz: ePHI) haben. In diesem Beitrag gehen wir auf die HIPAA Passwort-Anforderungen ein, um Sie bei der Entwicklung und Umsetzung einer Passwort-Richtlinie zur Einhaltung von HIPAA zu unterstützen und so das Risiko von Datenschutzverletzungen und Bußgeldern für diejenigen zu verringern, die mit ePHI arbeiten.

HIPAA verlangt eine Authentifizierungsmethode, um zu verhindern, dass unbefugte Personen Zugang zu ePHI erhalten – und Passwörter sind die einfachste Authentifizierungsmethode. Die Kosten und die Komplexität von Alternativen zu Passwörtern haben zur Folge, dass die meisten Organisationen im Gesundheitswesen auf absehbare Zeit weiterhin auf Passwörter zur Authentifizierung setzen werden.

Die HIPAA-Passwort-Anforderungen sind in den administrativen Schutzmaßnahmen der HIPAA-Sicherheitsregel – 45 CFR § 164.308 a(5)(d) –, die sich auf die "Passwortverwaltung" beziehen, detailliert aufgeführt. Dabei handelt es sich eher um eine angemessene als um eine erforderliche Schutzmaßnahme, die "Verfahren zur Erstellung, Änderung und Sicherung von Passwörtern" fordert.

Es ist wichtig, den Unterschied zwischen "angemessen" und "erforderlich" in der HIPAA-Gesetzgebung zu erklären. Erforderlich bedeutet natürlich, dass die von HIPAA erfassten Einrichtungen die Norm einhalten müssen. Angemessen bedeutet, dass die Norm beachtet werden muss und nicht ignoriert werden kann. Das bedeutet, dass Passwörter zur Sicherung von Konten verwendet werden müssen, es sei denn, es wird eine alternative Maßnahme eingeführt, die ein gleichwertiges Maß an Schutz bietet. Die Verwendung biometrischer Authentifizierung wie z. B. Fingerabdrücke wäre etwa eine HIPAA-konforme Alternative zu Passwörtern.

Die Entscheidung über die Verwendung von Passwörtern oder einer alternativen Methode zur Sicherung von Konten sollte auf der Grundlage einer Risikoanalyse getroffen werden. Welche Entscheidung Sie auch immer treffen, Sie sollten sie zusammen mit den Gründen für die Entscheidung dokumentieren.

Einschlägiger Blog-Beirag: Warum einen HIPAA-konformen Passwort-Manager verwenden?

Die HIPAA-Passwort-Anforderungen verlangen von den betroffenen Einrichtungen und ihren Geschäftspartnern die Entwicklung und Umsetzung einer Passwort-Richtlinie. Um die Passwort-Anforderungen der HIPAA-Sicherheitsrichtlinie zu erfüllen, muss eine HIPAA-konforme Passwort-Richtlinie die Erstellung von Passwörtern, die Anforderungen an die Änderung von HIPAA-Passwörtern und die Sicherung von Passwörtern abdecken.

Die HIPAA-Anforderungen an Passwörter enthalten keine spezifischen Angaben zu Länge und Komplexität von Passwörtern. Das liegt daran, dass sich bewährte Verfahrensweisen im Laufe der Zeit ändern und spezifische technische HIPAA-Anforderungen wahrscheinlich regelmäßige gesetzliche Aktualisierungen erfordern würden. Stattdessen legt HIPAA fest, dass bewährte Verfahren für die Verwendung von Passwörtern befolgt werden sollten.

Anerkannte Sicherheitspraktiken sollten befolgt werden – etwa die, welche das National Institute of Standards and Technology (NIST) in seinen speziellen Veröffentlichungen bereitstellt. Die NIST-Richtlinien für Passwörter sind in der Sonderveröffentlichung "Digital Identity Guidelines – Authentication and Lifecycle Management (800-63B)" enthalten. Eine HIPAA-Passwortrichtlinie sollte auf den neuesten Empfehlungen von NIST beruhen.

Die NIST-Richtlinien empfehlen die Verwendung von mindestens 8 Zeichen, um Passwörter weniger anfällig für Brute-Force-Angriffe zu machen, und die Verwendung einer komplexen und zufälligen Kombination von Buchstaben und Zahlen sowie Sonderzeichen wie Symbole. Begriffe aus dem Wörterbuch sollten vermieden werden, ebenso wie häufig verwendete schwache Passwörter – zum Beispiel: Qwertz123!

Lange, komplexe und randomisierte Passwörter sind viel schwerer zu erraten, aber auch viel schwerer zu merken. Infolgedessen neigen Benutzer dazu, Passwörter auf eine vorhersehbare Weise zu erstellen. Das bedeutet, dass selbst wenn die Verwendung komplexer Passwörter erzwungen wird, die Passwörter möglicherweise nicht besonders stark sind.

Die derzeitige bewährte Vorgehensweise sieht daher vor, die Verwendung von Sonderzeichen nicht vorzuschreiben, sondern sie einfach zuzulassen. Längere Passwörter sind besser, und die Benutzer werden aufgefordert, Passphrasen anstelle von Passwörtern zu verwenden. Eine Passphrase besteht aus einer längeren Folge von vorzugsweise nicht zusammenhängenden Wörtern, wie z. B. "architekt-nachteule-raumschiff".

Das NIST empfiehlt nicht mehr, Passwortänderungen zu erzwingen – eine Praxis, die auch als "rotierende Passwörter" bezeichnet wird. "Benutzer neigen dazu, schwächere gespeicherte Passwörter zu wählen, wenn sie wissen, dass sie diese in naher Zukunft ändern müssen", erklärt das NIST. "Wenn diese Änderungen anstehen, wählen sie oft einen geheimen Schlüssel, das ihrem alten, gespeicherten Schlüssel ähnlich ist, indem sie eine Reihe gängiger Transformationen anwenden, wie z. B. die Erhöhung einer Zahl im Passwort."

Sobald eine HIPAA-Passwort-Richtlinie entwickelt wurde, sollte sie auch durchgesetzt werden, und die Mitarbeiter sollten in Bezug auf die Passwortsicherheit und die besten Methoden der Passwort-Cybersicherheit geschult werden, darunter die Erstellung individueller Passwörter, die Vermeidung der Wiederverwendung oder Wiederverwertung von Passwörtern und Techniken zur Erstellung sicherer Passwörter.

HIPAA enthält keine spezifischen Anforderungen für die Erstellung sicherer Passwörter, so dass auch hier bewährte Verfahren der Cybersicherheit befolgt werden sollten. Passwörter sollten niemals im Klartext gespeichert werden, sondern verschlüsselt und vorzugsweise auch "gesalzen" sein (die Verwendung einer individuellen, zufälligen Zeichenfolge sowohl bei der Übertragung als auch im Ruhezustand). Dadurch wird es für Unbefugte, die in den Besitz von Passwortlisten gelangen, wesentlich schwieriger, die Verschlüsselung zu knacken.

Es ist inzwischen allgemein anerkannt, dass Unternehmen die HIPAA-Multifaktor-Authentifizierung (MFA) implementieren sollten, um das Risiko in Fällen zu verringern, in denen Passwörter kompromittiert werden könnten. Das funktioniert folgendermaßen: Selbst wenn ein Passwort kompromittiert wird, z. B. bei einem Phishing-Angriff, kann die betrügerische Instanz bei aktivierter HIPAA-Zwei-Faktor-Authentifizierung nicht allein mit dem Passwort auf Ihr System zugreifen – sie bräuchte dazu die zusätzliche Authentifizierung durch das MFA-Gerät. Auf diese Weise kann MFA verhindern, dass allein kompromittierte Passwörter verwendet werden, um Zugriff auf Konten zu erhalten, in denen ePHI gespeichert sind.

Da Organisationen im Gesundheitswesen in der Regel Hunderte oder Tausende von Passwörtern verwalten müssen, lohnt es sich, einen HIPAA-konformen Passwort-Manager wie Bitwarden in Betracht zu ziehen. Bitwarden ist ein quelloffener für Unternehmen ausgelegter Passwort-Manager, der auf jedes beliebige Gerät heruntergeladen werden kann – und auf den man von überall her zugreifen kann.

Bitwarden macht es einfach, individuelle Passwörter zu generieren und zu speichern, Benutzergruppen zu erstellen und Aktivitäten über Ereignis- und Prüfprotokolle zu überwachen. Für größere Organisationen im Gesundheitswesen unterstützt Bitwarden API-Zugang, die Synchronisierung von Verzeichnissen und benutzerdefinierte Verwaltungsrollen sowie die Möglichkeit, Verwaltungs-Richtlinien anzuwenden.

Einige Passwort-Manager argumentieren, die Einhaltung von HIPAA sei für einen Passwort-Manager nicht erforderlich, da die gespeicherten Daten verschlüsselt sind. Die HIPAA-Verschlüsselungs-Anforderungen besagen jedoch, dass Systeme, die zur Speicherung von ePHI verwendet werden, auch dann HIPAA-konform sein müssen, wenn diese Daten verschlüsselt sind. Aus diesem Grund hat Bitwarden in die HIPAA-Konformität investiert und wurde von einem externen Prüfer zertifiziert. Bitwarden erfüllt alle Anforderungen, ein vertrauenswürdiger Geschäftspartner einer Gesundheitsorganisation zu sein, die nach den HIPAA-Vorschriften arbeiten muss.

Testen Sie Bitwarden noch heute kostenlos für Ihr Team oder Ihre Organisation.

__

Anmerkung der Redaktion: Dieser Blog-Beitrag wurde ursprünglich am 29. März 2021 in englischer Sprache veröffentlicht und am 20. Mai 2022 aktualisiert.