Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Entra-ID erfüllt identitätsbezogene Praxisanforderungen für die Implementierung der im Gesetz zur Regelung der Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) von 1996 festgelegten Schutzmaßnahmen. Um HIPAA-konform zu sein, liegt es in der Verantwortung von Unternehmen, die Sicherheitsvorkehrungen mithilfe dieser Anleitungen zusammen mit anderen Konfigurationen oder Prozessen zu implementieren, die erforderlich sind. Dieser Artikel enthält Anleitungen zum Erreichen der HIPAA-Compliance für die folgenden drei Steuerelemente:
- Schutzmaßnahmen für die Integrität
- Schutzmaßnahmen für die Authentifizierung von Personen oder Entitäten
- Schutzmaßnahmen für die Sicherheit bei Übertragungen
Leitfaden zu Schutzmaßnahmen für die Integrität
Die Microsoft Entra-ID erfüllt identitätsbezogene Praxisanforderungen für die Implementierung von HIPAA-Schutzmaßnahmen. Um HIPAA-konform zu sein, implementieren Sie die Sicherheitsvorkehrungen mithilfe dieser Anleitung zusammen mit anderen Konfigurationen oder Prozessen, die erforderlich sind.
Für die Schutzmaßnahmen für Datenänderungen:
Schützen Sie Dateien und E-Mails auf allen Geräten.
Ermitteln und Klassifizieren vertraulicher Daten.
Verschlüsseln Sie Dokumente und E-Mails, die vertrauliche oder personenbezogene Daten enthalten.
Der folgende Inhalt enthält die Anleitungen von HIPAA, gefolgt von einer Tabelle mit den Empfehlungen und Anleitungen von Microsoft.
HIPAA – Integrität
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Empfehlung | Aktion |
|---|---|
| Aktivieren von Microsoft Purview Information Protection (IP) | Ermitteln, klassifizieren, schützen und steuern Sie vertrauliche Daten sowohl im Speicher als auch während der Übertragung. Der Schutz Ihrer Daten über Microsoft Purview Information Protection hilft beim Bestimmen der Datenlandschaft, beim Überprüfen des Frameworks und beim Ausführen aktiver Schritte zum Identifizieren und Schützen Ihrer Daten. |
| Konfigurieren der In-Situ-Aufbewahrung von Exchange | Exchange Online bietet mehrere Einstellungen zur Unterstützung von eDiscovery. Die In-Situ-Aufbewahrung verwendet spezifische Parameter in Bezug auf die Elemente, die aufbewahrt werden sollen. Die Entscheidungsmatrix kann auf Schlüsselwörtern, Absendern, Bestätigungen und Datumsangaben basieren. Microsoft Purview eDiscovery-Lösungen Ist Teil des Microsoft Purview Compliance-Portals und deckt alle Microsoft 365-Datenquellen ab. |
| Konfigurieren der Erweiterung "Secure/Multipurpose Internet Mail" in Exchange Online | S/MIME- ist ein Protokoll, das zum Senden digital signierter und verschlüsselter Nachrichten verwendet wird. Sie basiert auf asymmetrischer Schlüsselpaarung, einem öffentlichen und privaten Schlüssel. Exchange Online bietet Verschlüsselung und Schutz des Inhalts der E-Mails und Signaturen, die die Identität des Absenders überprüfen. |
| Aktivieren der Überwachung und Protokollierung. | Protokollierung und Überwachung sind für die Sicherung einer Umgebung unerlässlich. Die Informationen werden verwendet, um Untersuchungen zu unterstützen und potenzielle Bedrohungen zu erkennen, indem ungewöhnliche Muster identifiziert werden. Aktivieren Sie die Protokollierung und Überwachung von Diensten, um das Risiko eines nicht autorisierten Zugriffs zu verringern. Microsoft Purview Auditing bietet Einblicke in geprüfte Aktivitäten in den Diensten von Microsoft 365. Es unterstützt Untersuchungen, indem die Aufbewahrung von Prüfprotokollen erhöht wird. |
Leitfaden zu Schutzmaßnahmen für die Authentifizierung von Personen oder Entitäten
Die Microsoft Entra-ID erfüllt identitätsbezogene Praxisanforderungen für die Implementierung von HIPAA-Schutzmaßnahmen. Um HIPAA-konform zu sein, implementieren Sie die Sicherheitsvorkehrungen mithilfe dieser Anleitung zusammen mit anderen Konfigurationen oder Prozessen, die erforderlich sind.
Für die Schutzmaßnahmen für die Überwachung sowie Personen und Entitäten:
Stellen Sie sicher, dass der Anspruch des Endbenutzers für den Datenzugriff gültig ist.
Identifizieren und mindern Sie alle Risiken für gespeicherte Daten.
Der folgende Inhalt enthält die Anleitungen von HIPAA, gefolgt von einer Tabelle mit den Empfehlungen und Anleitungen von Microsoft.
HIPAA – Person- oder Entitätsauthentifizierung
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Stellen Sie sicher, dass Benutzer und Geräte, die auf ePHI-Daten zugreifen, autorisiert sind. Sie müssen sicherstellen, dass Geräte kompatibel sind und Aktionen überwacht werden, um Risiken für die Datenbesitzer zu kennzeichnen.
| Empfehlung | Aktion |
|---|---|
| Aktivieren der mehrstufigen Authentifizierung | Die Multifaktor-Authentifizierung von Microsoft Entra schützt Identitäten, indem sie eine zusätzliche Sicherheitsebene hinzufügt. Die zusätzliche Ebene bietet eine effektive Möglichkeit, unbefugten Zugriff zu verhindern. MFA ermöglicht die Anforderung einer weiteren Überprüfung der Anmeldeinformationen während des Authentifizierungsprozesses. Durch Einrichten der Authenticator-App ermöglichen Sie die Überprüfung mit nur einem Klick. Alternativ können Sie die kennwortlose Konfiguration von Microsoft Entra konfigurieren. |
| Aktivieren von Richtlinien für bedingten Zugriff | Richtlinien für bedingten Zugriff helfen, den Zugriff nur auf genehmigte Anwendungen einzuschränken. Microsoft Entra analysiert Signale entweder vom Benutzer, Gerät oder Standort, um Entscheidungen zu automatisieren und Organisationsrichtlinien für den Zugriff auf Ressourcen und Daten zu erzwingen. |
| Einrichten einer gerätebasierten Richtlinie für bedingten Zugriff | Der bedingte Zugriff mit Microsoft Intune für die Geräteverwaltung und Microsoft Entra-Richtlinien können den Gerätestatus nutzen, um den Zugriff auf Ihre Dienste und Daten zu gewähren oder zu verweigern. Durch die Bereitstellung von Gerätekonformitätsrichtlinien wird ermittelt, ob das Gerät die Sicherheitsanforderungen erfüllt, um zu entscheiden, ob der Zugriff auf die Ressourcen zugelassen oder verweigert wird. |
| Verwenden der rollenbasierten Zugriffssteuerung (RBAC) | Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Microsoft Entra ID bietet Sicherheit auf Unternehmensebene mit Aufgabentrennung. Passen Sie Berechtigungen an, und überprüfen Sie sie, um die Vertraulichkeit, den Datenschutz und die Zugriffsverwaltung für Ressourcen und vertrauliche Daten mit den Systemen zu schützen. Microsoft Entra ID unterstützt integrierte Rollen, d. h. einen festen Satz von Berechtigungen, die nicht geändert werden können. Sie können auch eigene benutzerdefinierte Rollen erstellen, denen Sie eine vordefinierte Liste hinzufügen können. |
Leitfaden zu Schutzmaßnahmen für die Übertragungssicherheit
Die Microsoft Entra-ID erfüllt identitätsbezogene Praxisanforderungen für die Implementierung von HIPAA-Schutzmaßnahmen. Um HIPAA-konform zu sein, implementieren Sie die Sicherheitsvorkehrungen mithilfe dieser Anleitung zusammen mit anderen Konfigurationen oder Prozessen, die erforderlich sind.
Zur Verschlüsselung:
Schützen Sie die Vertraulichkeit der Daten.
Datendiebstahl verhindern.
Verhindern Sie nicht autorisierten Zugriff auf geschützte Gesundheitsinformationen (PHI).
Stellen Sie das Verschlüsselungsniveau der Daten sicher.
So schützen Sie die Übertragung von PHI-Daten:
Schützen Sie die Weitergabe von PHI-Daten.
Schützen Sie den Zugriff auf PHI-Daten.
Stellen Sie sicher, dass übertragene Daten verschlüsselt sind.
Im Folgenden finden Sie eine Liste der Schutzmaßnahmen für die Überwachung und Übertragungssicherheit aus dem HIPAA-Leitfaden und den Empfehlungen von Microsoft, damit Sie die Anforderungen an die Implementierung von Schutzmaßnahmen mit Microsoft Entra ID erfüllen können.
HIPAA – Verschlüsselung
Implement a mechanism to encrypt and decrypt electronic protected health information.
Stellen Sie sicher, dass ePHI-Daten mit dem kompatiblen Verschlüsselungsschlüssel/-prozess verschlüsselt und entschlüsselt werden.
| Empfehlung | Aktion |
|---|---|
| Überprüfen von Microsoft 365-Verschlüsselungspunkten | Verschlüsselung mit Microsoft Purview in Microsoft 365 ist eine hochsichere Umgebung, die umfassenden Schutz auf mehreren Ebenen bietet: das physische Rechenzentrum, Netzwerksicherheit, Zugriffsschutz, Anwendungssicherheit und Datensicherheit. Überprüfen Sie die Verschlüsselungsliste, und ändern Sie sie, wenn mehr Kontrolle erforderlich ist. |
| Überprüfen der Datenbankverschlüsselung | Transparent Data Encryption (transparente Datenverschlüsselung) sorgt für eine zusätzliche Sicherheitsebene, um ruhende Daten vor nicht autorisiertem oder Offlinezugriff zu schützen. Sie verschlüsselt die Datenbank mit AES-Verschlüsselung. Dynamische Datenmaskierung für vertrauliche Daten, wodurch die Exposition vertraulicher Daten begrenzt wird. Sie maskiert die Daten für nicht authentifizierte Benutzer. Die Maskierung enthält festgelegte Felder, die Sie in einem Datenbankschemanamen, Tabellennamen und Spaltennamen definieren. Neue Datenbanken werden standardmäßig verschlüsselt, und der Datenbankverschlüsselungsschlüssel wird durch ein integriertes Serverzertifikat geschützt. Es wird empfohlen, die Datenbanken zu überprüfen, um sicherzustellen, dass die Verschlüsselung im Datenbestand aktiviert ist. |
| Überprüfen von Azure-Verschlüsselungspunkten | Azure-Verschlüsselungsfunktion umfasst wichtige Bereiche ruhender Daten, Verschlüsselungsmodelle und Schlüsselverwaltung mithilfe von Azure Key Vault. Überprüfen Sie die verschiedenen Verschlüsselungsstufen und ihre Übereinstimmung mit Szenarien innerhalb Ihrer Organisation. |
| Bewerten der Governance bei der Datensammlung und -aufbewahrung | Microsoft Purview Data Lifecycle Management ermöglicht es Ihnen, Aufbewahrungsrichtlinien anzuwenden. Die Microsoft Purview-Datensatzverwaltung ermöglicht Ihnen das Anwenden von Aufbewahrungsbezeichnungen. Mit dieser Strategie erlangen Sie Einblicke in Vermögenswerte im gesamten Datenbestand. Diese Strategie hilft Ihnen auch, vertrauliche Daten in Clouds, Apps und Endpunkten zu schützen und zu verwalten. Wichtig: Wie in 45 CFR 164.316angegeben: Zeitlimit (Erforderlich). Bewahren Sie die Dokumentation, die von Absatz (b)(1) dieses Abschnitts gefordert wird, für sechs Jahre ab dem Erstellungsdatum oder dem Datum, an dem sie zuletzt in Kraft war, auf, je nachdem, welcher Zeitpunkt später liegt. |
HIPAA - Schutz der Übertragung von PHI-Daten
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Richten Sie Richtlinien und Verfahren ein, um den Datenaustausch zu schützen, der PHI-Daten enthält.
| Empfehlung | Aktion |
|---|---|
| Bewerten des Zustands von lokalen Anwendungen | Die Implementierung des Microsoft Entra-Anwendungsproxys veröffentlicht lokale Webanwendungen extern und auf sichere Weise. Mit dem Microsoft Entra-Anwendungsproxy können Sie einen externen URL-Endpunkt sicher in Azure veröffentlichen. |
| Aktivieren der mehrstufigen Authentifizierung | Die Microsoft Entra-Multi-Faktor-Authentifizierung (MFA) schützt Identitäten durch eine zusätzliche Sicherheitsebene. Das Hinzufügen weiterer Sicherheitsebenen ist eine effektive Möglichkeit, unbefugten Zugriff zu verhindern. MFA ermöglicht die Anforderung einer weiteren Überprüfung der Anmeldeinformationen während des Authentifizierungsprozesses. Sie können die Authenticator--App so konfigurieren, dass die Authentifizierung mit nur einem Klick oder eine kennwortlose Authentifizierung bereitgestellt wird. |
| Aktivieren von Richtlinien für bedingten Zugriff für den Anwendungszugriff | Richtlinien für bedingten Zugriff helfen, den Zugriff auf genehmigte Anwendungen einzuschränken. Microsoft Entra analysiert Signale entweder vom Benutzer, Gerät oder Standort, um Entscheidungen zu automatisieren und Organisationsrichtlinien für den Zugriff auf Ressourcen und Daten umzusetzen. |
| Überprüfung von Richtlinien für Exchange Online Protection (EOP) | Exchange Online-Spam- und Schadsoftwareschutz bietet integrierte Schadsoftware- und Spamfilterung. EOP schützt eingehende und ausgehende Nachrichten und ist standardmäßig aktiviert. Exchange Online Protection (EOP)-Dienste bieten auch Spoofingbekämpfung, Isolierung von Nachrichten (Quarantäne) sowie die Möglichkeit, Nachrichten in Outlook zu melden. Die Richtlinien können an unternehmensweite Einstellungen angepasst werden, diese haben Vorrang vor den Standardrichtlinien. |
| Konfigurieren von Vertraulichkeitsbezeichnungen | Vertraulichkeitsbezeichnungen von Microsoft Purview ermöglichen es Ihnen, Ihre Unternehmensdaten zu klassifizieren und zu schützen. Die Etiketten stellen Schutzeinstellungen in der Dokumentation für Container bereit. Beispielsweise schützt das Tool Dokumente, die in Microsoft Teams und SharePoint-Websites gespeichert sind, um Datenschutzeinstellungen festzulegen und zu erzwingen. Erweitern Sie Bezeichnungen auf Dateien und Datenressourcen, z. B. auf SQL, Azure SQL, Azure Synapse, Azure Cosmos DB und AWS RDS. Zusätzlich zu den 200 standardmäßig verfügbaren Typen vertraulicher Informationen gibt es erweiterte Klassifizierer wie Namensentitäten, trainierbare Klassifizierer und das Entity Data Model (EDM) zum Schützen benutzerdefinierter Typen vertraulicher Informationen. |
| Bewerten, ob eine private Verbindung zum Herstellen einer Verbindung mit Diensten erforderlich ist | Azure ExpressRoute erstellt private Verbindungen zwischen cloudbasierten Azure-Rechenzentren und der lokalen Infrastruktur. Daten werden nicht über das öffentliche Internet übertragen. Der Dienst verwendet Layer 3-Konnektivität, verbindet den Edgerouter und bietet dynamische Skalierbarkeit. |
| Bewerten Sie VPN-Anforderungen | VPN Gateway (siehe Dokumentation) verbindet ein lokales Netzwerk über Site-to-Site-, Point-to-Site-, VNet-to-VNet- und Multistandort-VPN-Verbindungen mit Azure. Der Dienst bietet sichere Datenübertragungen und unterstützt so Hybridarbeitsumgebungen. |