Warum einen HIPAA-konformen Passwort-Manager verwenden?

Bitwarden ist offiziell ein HIPAA-konformer Passwortmanager, nachdem wir im Dezember 2020 einen HIPAA Security Rule Assessment Report von AuditOne überreicht bekommen haben. Diese Anerkennung ergänzt unsere andere bedeutende regulatorische Compliance – darunter DSGVO, CCPA, SOC 2, SOC 3 und EU-US Privacy Shield.

Passwort-Manager speichern wichtige Informationen für Einzelpersonen und Organisationen auf der ganzen Welt. Diese Systeme gehen weit über die reine Speicherung von Passwörtern hinaus. Bitwarden zum Beispiel bietet einzigartige Lösungen für die Speicherung von Kreditkarten, Identitätsinformationen und Notizen. Die Benutzer können völlig frei entscheiden, welche Informationen sie in ihrem Tresor speichern, wobei sie die Gewissheit haben, dass alle Informationen durch eine Ende-zu-Ende-Verschlüsselung geschützt sind.

In Anbetracht der Vielzahl von Daten, die gespeichert werden können, ist es wichtig, dass die Anbieter von Software zur Passwortverwaltung alle Vorkehrungen zum Schutz dieser Daten treffen, einschließlich der Einhaltung wichtiger Compliance-Vorschriften, die für verschiedene Branchen gelten.

Da kein Mitarbeiter von Bitwarden sehen kann, welche Daten in einem persönlichen Tresor gespeichert sind, müssen wir davon ausgehen, dass unsere Kunden sich dafür entscheiden könnten, dort persönliche geschützte Gesundheitsinformationen (PHI: protected health information) oder andere HIPAA-bezogene Daten zu speichern (HIPAA: Health Insurance Portability and Accountability Act; ein US-amerikanisches Gesetz über den Schutz von Gesundheitsinformationen). Es liegt also in unserer Verantwortung, die Vorschriften für den Umgang mit PHI, nämlich HIPAA, einzuhalten.

Einige andere Passwort-Manager vertreten den Standpunkt, dass sie keine PHI speichern und daher keine HIPAA-konforme Passwortverwaltung anbieten müssen. Das US-amerikanische Gesundheitsministerium (Department of Health and Human Services) hat jedoch klargestellt, dass Anbieter nach wie vor für die Einhaltung der HIPAA-Bestimmungen verantwortlich sind, unabhängig davon, ob die gespeicherten Daten verschlüsselt sind und ob der Anbieter über den Verschlüsselungsschlüssel verfügt oder nicht.

Bei Bitwarden wollen wir es unseren Kunden einfach machen, also haben wir uns die Arbeit gemacht und sind jetzt ein HIPAA-kompatibler Passwort-Manager.

Unabhängig davon, ob Sie in der Gesundheitsbranche tätig sind oder nicht, trägt die Bereitstellung eines Passwort-Managers für Mitarbeiter zur Risikominderung bei. Ohne ein System zur Verwaltung von Anmeldeinformationen ist es wahrscheinlicher, dass Mitarbeiter eine unsichere Passwortstrategie Marke Eigenbau praktizieren, die fast immer weniger Sicherheit bietet.

Laut einer Google-Umfrage aus dem Jahr 2019 ist die Wiederverwendung von Passwörtern für mehr als die Hälfte der Befragten immer noch eine gängige Praxis. Dieselbe Umfrage ergab, dass nur 24 Prozent einen Passwort-Manager verwenden.

In einem anderen Forschungsprojekt wurde festgestellt, dass viele Passwörter zwar alle Sicherheitskriterien erfüllen, "aber dennoch leicht zu erraten sind, weil die meisten von uns denselben Mustern folgen".

Die beste Möglichkeit, diese Risiken zu verringern, ist die Verwendung eines Passwort-Managers.

Unternehmen werden sich zunehmend der Notwendigkeit bewusst, ihre Mitarbeiter im Umgang mit einem Passwort-Manager für persönliche und berufliche Zwecke zu schulen und weiterzubilden.

Unserer Erfahrung nach sind verlässliche Schulungspraktiken, die das Risiko reduzieren, mit Aufklärung, Beständigkeit und den richtigen Tools verbunden.

Aufklärung: Mitarbeiter können ihre Gewohnheiten nicht verbessern, ohne zu wissen, dass es ein Problem gibt. Sicherheitsteams sollten über gängige Praktiken der mangelhaften Verwaltung von Passwörtern aufklären, damit die Mitarbeiter ihre Schwachstellen erkennen können.

Beständigkeit: Sichere Passwortmethoden sind für Ihre Mitarbeiter nicht immer ganz oben auf der Agenda. Bringen Sie Ihre Sicherheitsrichtlinien und bewährten Verfahrensweisen immer wieder zur Sprache, um sie bekannt zu machen und ihre Anwendung zu fördern. Führen Sie mehrmals im Jahr Sicherheitsschulungen zu Tools und bewährten Verfahren durch, und machen Sie diese als Teil der Einarbeitung neuer Mitarbeiter zur Pflicht.

Tools: Wählen Sie ein Tool zur Passwortverwaltung, das einfach zu bedienen ist, Ende-zu-Ende verschlüsselt wird und sich an die Anforderungen Ihres Teams anpassen lässt. Ein Passwort-Manager ist der einfachste und sicherste Weg für Einzelpersonen, sensible Daten zu speichern, zu teilen und zu schützen.

Wenn Sie weitere Informationen über HIPAA-Compliance suchen oder Bitwarden eine Geschäftspartnervereinbarung unterzeichnen lassen möchten, kontaktieren Sie uns bitte.

Sind Sie bereit, Bitwarden auszuprobieren? Sorgen Sie für die Sicherheit Ihres Teams im Internet, indem Sie sich für eine kostenlose Testversion für Unternehmen oder für ein kostenloses Einzelkonto registrieren.

Anmerkung der Redaktion: Dieser Artikel wurde ursprünglich am 7. Dezember 2020 in englischer Sprache verfasst und am 16. Juli 2022 aktualisiert.