Weitere Informationen zu Schutzmaßnahmen
Microsoft Entra ID erfüllt identitätsbezogene Anforderungen für die Implementierung von Schutzvorrichtungen gemäß Health Insurance Portability and Accountability Act (HIPAA) von 1996. Zum Erreichen von HIPAA-Konformität liegt es in der Verantwortung der Unternehmen, die Schutzmaßnahmen mithilfe der Informationen in dieser Dokumentation zusammen mit anderen erforderlichen Konfigurationen oder Prozessen zu implementieren. Dieser Artikel enthält Anleitungen zum Erreichen von HIPAA-Konformität für die folgenden drei Kontrollmaßnahmen:
- Schutzmaßnahmen für die Integrität
- Schutzmaßnahmen für die Authentifizierung von Personen oder Entitäten
- Schutzmaßnahmen für die Sicherheit bei Übertragungen
Informationen zu Schutzmaßnahmen für die Integrität
Microsoft Entra ID erfüllt identitätsbezogene Praxisanforderungen für die Implementierung von HIPAA-Schutzmaßnahmen. Um HIPAA-Konformität zu erreichen, implementieren Sie anhand dieser Informationen die Schutzmaßnahmen sowie weitere erforderliche Konfigurationen oder Prozesse.
Für die Schutzmaßnahmen für Datenmodifikationen:
Schützen Sie Dateien und E-Mails auf allen Geräten.
Ermitteln und klassifizieren Sie vertrauliche Daten.
Verschlüsseln Sie Dokumente und E-Mails, die vertrauliche oder personenbezogene Daten enthalten.
Der folgende Inhalt enthält Informationen von HIPAA, gefolgt von einer Tabelle mit den Empfehlungen und Informationen von Microsoft.
HIPAA – Integrität
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
Empfehlung | Aktion |
---|---|
Aktivieren von Microsoft Purview Information Protection | Ermitteln, klassifizieren, schützen und steuern Sie vertrauliche Daten sowohl im Speicher als auch während der Übertragung. Der Schutz Ihrer Daten über Microsoft Purview Information Protection hilft beim Bestimmen der Datenlandschaft, beim Überprüfen des Frameworks und beim Ausführen aktiver Schritte zum Identifizieren und Schützen Ihrer Daten. |
Konfigurieren der In-Situ-Aufbewahrung von Exchange | Exchange Online bietet verschiedene Einstellungen zur Unterstützung von eDiscovery. Die In-Situ-Aufbewahrung verwendet spezifische Parameter in Bezug auf die Elemente, die aufbewahrt werden sollen. Die Entscheidungsmatrix kann auf Stichwörtern, Absendern, Empfängern und Daten basieren. Die Microsoft Purview eDiscovery-Lösung ist Teil des Microsoft Purview-Complianceportals und deckt alle Microsoft 365-Datenquellen ab. |
Konfigurieren der Secure/Multipurpose Internet Mail Extensions (S/MIME) in Exchange Online | S/MIME ist ein Protokoll, das zum Senden digital signierter und verschlüsselter Nachrichten verwendet wird. Es basiert auf asymmetrischen Schlüsselpaaren aus einem öffentlichen und einem privaten Schlüssel. Exchange Online stellt die Verschlüsselung und den Schutz der Inhalte von E-Mails und Signaturen bereit, die die Identität des Absenders verifizieren. |
Aktivieren von Überwachung und Protokollierung | Protokollierung und Überwachung sind von grundlegender Bedeutung für den Schutz einer Umgebung. Die Informationen werden verwendet, um Untersuchungen zu unterstützen und potenzielle Bedrohungen zu erkennen, indem ungewöhnliche Muster identifiziert werden. Aktivieren Sie die Protokollierung und Überwachung von Diensten, um das Risiko nicht autorisierter Zugriffe zu senken. Die Überwachung von Microsoft Purview bietet Einblicke in überwachte Aktivitäten für alle Dienste in Microsoft 365. Diese Maßnahme hilft bei Untersuchungen, indem sie die Aufbewahrung von Überwachungsprotokollen erweitert. |
Informationen zu Schutzmaßnahmen für die Authentifizierung von Personen oder Entitäten
Microsoft Entra ID erfüllt identitätsbezogene Praxisanforderungen für die Implementierung von HIPAA-Schutzmaßnahmen. Um HIPAA-Konformität zu erreichen, implementieren Sie anhand dieser Informationen die Schutzmaßnahmen sowie weitere erforderliche Konfigurationen oder Prozesse.
Für die Schutzmaßnahmen für Überwachung sowie Personen und Entitäten:
Stellen Sie sicher, dass der Endbenutzeranspruch für den Datenzugriff gültig ist.
Identifizieren und minimieren Sie Risiken für gespeicherte Daten.
Der folgende Inhalt enthält Informationen von HIPAA, gefolgt von einer Tabelle mit den Empfehlungen und Informationen von Microsoft.
HIPAA – Authentifizierung von Personen oder Entitäten
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Stellen Sie sicher, dass Personen und Geräte, die auf elektronische geschützte Gesundheitsdaten (ePHI, Electronic Protected Health Information) zugreifen, autorisiert sind. Sie müssen sicherstellen, dass Geräte konform sind und Aktionen überwacht werden, um Risiken für die Datenbesitzer zu kennzeichnen.
Empfehlung | Aktion |
---|---|
Aktivieren der mehrstufigen Authentifizierung | Die Microsoft Entra-Multi-Faktor-Authentifizierung (MFA) schützt Identitäten durch zusätzliche Sicherheitsvorkehrungen. Diese zusätzlichen Vorkehrungen sind eine effektive Möglichkeit, um nicht autorisierten Zugriff zu verhindern. Die MFA ermöglicht die Anforderung einer weiteren Überprüfung der Anmeldeinformationen während des Authentifizierungsprozesses. Durch Einrichten der Authenticator-App ermöglichen Sie die Verifizierung mit nur einem Klick. Sie können auch die kennwortlose Konfiguration von Microsoft Entra konfigurieren. |
Aktivieren von Richtlinien für bedingten Zugriff | Richtlinien für bedingten Zugriff helfen dabei, den Zugriff auf genehmigte Anwendungen zu beschränken. Microsoft Entra analysiert Signale von Benutzer*innen, Geräten oder Standorten, um Entscheidungen zu automatisieren und Organisationsrichtlinien für den Zugriff auf Ressourcen und Daten zu erzwingen. |
Einrichten einer gerätebasierten Richtlinie für bedingten Zugriff | Der bedingte Zugriff mit Microsoft Intune für die Geräteverwaltung und Microsoft Entra-Richtlinien können den Gerätestatus nutzen, um Zugriff auf Ihre Dienste und Daten zu gewähren oder zu verweigern. Durch Bereitstellung von Gerätekonformitätsrichtlinien wird ermittelt, ob das Gerät die Sicherheitsanforderungen erfüllt – darauf basierend wird die Entscheidung getroffen, ob der Zugriff auf die Ressourcen zugelassen oder verweigert wird. |
Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) | RBAC in Microsoft Entra ID bietet Sicherheit auf Unternehmensebene mit Aufgabentrennung. So können Sie Berechtigungen anpassen und überprüfen, um die Vertraulichkeit, den Datenschutz und die Zugriffsverwaltung für Ressourcen und vertrauliche Daten sowie die Systeme zu schützen. Microsoft Entra ID unterstützt integrierte Rollen. Damit ist ein festgelegter Satz von Berechtigungen gemeint, der nicht geändert werden kann. Sie können auch eigene benutzerdefinierte Rollen erstellen, denen Sie eine vordefinierte Liste hinzufügen können. |
Informationen zu Schutzmaßnahmen für die Sicherheit bei Übertragungen
Microsoft Entra ID erfüllt identitätsbezogene Praxisanforderungen für die Implementierung von HIPAA-Schutzmaßnahmen. Um HIPAA-Konformität zu erreichen, implementieren Sie anhand dieser Informationen die Schutzmaßnahmen sowie weitere erforderliche Konfigurationen oder Prozesse.
Für die Verschlüsselung:
Schützen Sie die Vertraulichkeit von Daten.
Verhindern Sie Datendiebstahl.
Verhindern Sie nicht autorisierte Zugriffe auf geschützte Gesundheitsdaten (Personal Health Information, PHI).
Stellen Sie die Verschlüsselungsebene von Daten sicher.
Zum Schützen der Übertragung von geschützten Gesundheitsdaten:
Schützen Sie die Freigabe von geschützten Gesundheitsdaten.
Schützen Sie den Zugriff auf geschützte Gesundheitsdaten.
Stellen Sie sicher, dass die übertragenen Daten verschlüsselt sind.
Der folgende Inhalt enthält eine Liste der Informationen zu Schutzmaßnahmen für die Überwachungs- und Übertragungssicherheit aus dem HIPAA-Leitfaden und den Empfehlungen von Microsoft, damit Sie die Anforderungen an die Implementierung von Schutzmaßnahmen mit Microsoft Entra ID erfüllen können.
HIPAA – Verschlüsselung
Implement a mechanism to encrypt and decrypt electronic protected health information.
Stellen Sie sicher, dass ePHI-Daten mit einem konformen Verschlüsselungsschlüssel/-prozess verschlüsselt und entschlüsselt werden.
Empfehlung | Aktion |
---|---|
Überprüfen der Microsoft 365-Verschlüsselungspunkte | Die Verschlüsselung mit Microsoft Purview in Microsoft 365 ist eine höchst sichere Umgebung, die umfassenden Schutz auf mehreren Ebenen bietet: physisches Rechenzentrum, Sicherheit, Netzwerk, Zugriff, Anwendung und Datensicherheit. Überprüfen Sie die Verschlüsselungsliste, und erweitern Sie sie ggf., wenn ein höheres Maß an Kontrolle erforderlich ist. |
Überprüfen der Datenbankverschlüsselung | Die transparente Datenverschlüsselung fügt weitere Sicherheitsvorkehrungen hinzu, um ruhende Daten vor nicht autorisiertem oder Offlinezugriff zu schützen. Sie verschlüsselt die Datenbank mithilfe der AES-Verschlüsselung. Die dynamische Datenmaskierung für vertrauliche Daten schränkt die Offenlegung vertraulicher Daten ein. Sie maskiert die Daten für nicht autorisierte Benutzer. Die Maskierung umfasst festgelegte Felder, die Sie in einem Datenbankschemanamen, einem Tabellennamen und einem Spaltennamen definieren. Neue Datenbanken werden standardmäßig verschlüsselt, und der Datenbankverschlüsselungsschlüssel wird mit einem integrierten Serverzertifikat geschützt. Es empfiehlt sich, Ihre Datenbanken zu überprüfen, um sicherzustellen, dass die Verschlüsselung für den Datenbestand festgelegt ist. |
Überprüfen von Azure-Verschlüsselungspunkten | Die Verschlüsselungsfunktion von Azure kann in vielen wichtigen Bereichen eingesetzt werden, z. B. für ruhende Daten, Verschlüsselungsmodelle und die Schlüsselverwaltung über Azure Key Vault. Sehen Sie sich die verschiedenen Verschlüsselungsebenen und deren Eignung für Szenarien in Ihrer Organisation an. |
Bewerten der Governance bei der Datensammlung und -aufbewahrung | Die Verwaltung des Datenlebenszyklus von Microsoft Purview ermöglicht Ihnen die Anwendung von Aufbewahrungsrichtlinien. Die Datensatzverwaltung von Microsoft Purview ermöglicht Ihnen das Anwenden von Aufbewahrungsbezeichnungen. Mit dieser Strategie erhalten Sie Einblicke in Ressourcen im gesamten Datenbestand. Diese Strategie hilft Ihnen auch dabei, vertrauliche Daten über Clouds, Apps und Endpunkte hinweg zu schützen und zu verwalten. Wichtig: Hinweis in 45 CFR 164.316: Zeitlimit (erforderlich). Bewahren Sie die Dokumentation, die von Absatz (b)(1) dieses Abschnitts gefordert wird, ab dem Erstellungsdatum oder ab dem letzten Gültigkeitsdatum (je nachdem, welches Datum später liegt) sechs Jahre lang auf. |
HIPAA – Schützen der Übertragung von geschützten Gesundheitsdaten
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Richten Sie Richtlinien und Verfahren ein, um den Austausch von Daten zu schützen, bei denen geschützte Gesundheitsdaten involviert sind.
Empfehlung | Aktion |
---|---|
Bewerten des Zustands von lokalen Anwendungen | Die Implementierung des Microsoft Entra-Anwendungsproxys veröffentlicht lokale Webanwendungen extern und auf sichere Weise. Mit dem Microsoft Entra-Anwendungsproxy können Sie einen externen URL-Endpunkt sicher in Azure veröffentlichen. |
Aktivieren der mehrstufigen Authentifizierung | Die Microsoft Entra-Multi-Faktor-Authentifizierung (MFA) schützt Identitäten durch Sicherheitsvorkehrungen. Das Hinzufügen weiterer Sicherheitsvorkehrungen ist eine effektive Möglichkeit, um nicht autorisierten Zugriff zu verhindern. Die MFA ermöglicht die Anforderung einer weiteren Überprüfung der Anmeldeinformationen während des Authentifizierungsprozesses. Sie können die Authenticator-App konfigurieren, um eine Verifizierung mit nur einem Klick oder eine kennwortlose Authentifizierung zu ermöglichen. |
Aktivieren von Richtlinien für bedingten Zugriff für den Anwendungszugriff | Richtlinien für bedingten Zugriff helfen dabei, den Zugriff auf genehmigte Anwendungen zu beschränken. Microsoft Entra analysiert Signale von Benutzer*innen, Geräten oder Standorten, um Entscheidungen zu automatisieren und Organisationsrichtlinien für den Zugriff auf Ressourcen und Daten zu erzwingen. |
Überprüfen von EOP-Richtlinien (Exchange Online Protection) | Der Spam- und Malwareschutz von Exchange Online bietet eine integrierte Malware- und Spamfilterung. EOP schützt ein- und ausgehende Nachrichten und ist standardmäßig aktiviert. EOP-Dienste bieten auch Spoofingbekämpfung, das Verschieben von Nachrichten in die Quarantäne sowie die Möglichkeit, Nachrichten in Outlook zu melden. Die Richtlinien können auf unternehmensweite Einstellungen angepasst werden und haben dann Vorrang vor den Standardrichtlinien. |
Konfigurieren von Vertraulichkeitsbezeichnungen | Vertraulichkeitsbezeichnungen von Microsoft Purview ermöglichen Ihnen das Klassifizieren und Schützen der Daten Ihrer Organisation. Die Bezeichnungen bieten Schutzeinstellungen in der Dokumentation für Container. Das Tool schützt beispielsweise Dokumente, die in Microsoft Teams- und SharePoint-Websites gespeichert sind, und Sie können Datenschutzeinstellungen festlegen und erzwingen. Erweitern Sie Bezeichnungen auf Dateien und Datenressourcen beispielsweise aus SQL, Azure SQL, Azure Synapse, Azure Cosmos DB und AWS RDS. Zusätzlich zu den 200 vorkonfigurierten Arten von vertraulichen Informationen gibt es erweiterte Klassifizierer wie Namensentitäten, trainierbare Klassifizierer und das EDM zum Schützen benutzerdefinierter vertraulicher Arten. |
Bewerten, ob zum Verbinden mit Diensten eine private Verbindung erforderlich ist | Azure ExpressRoute erstellt private Verbindungen zwischen cloudbasierten Azure-Rechenzentren und der lokalen Infrastruktur. Daten werden nicht über das öffentliche Internet übertragen. Der Dienst verwendet Layer-3-Konnektivität, verbindet den Edgerouter und bietet dynamische Skalierbarkeit. |
Bewerten von VPN-Anforderungen | Die VPN Gateway-Dokumentation stellt in folgenden Modi eine Verbindung zwischen einem lokalen Netzwerk und Azure her: Site-to-Site, Point-to-Site, VNet-to-VNet und Multisite-VPN. Der Dienst unterstützt hybride Arbeitsumgebungen durch Bereitstellung sicherer Datenübertragungen. |