Da Gesundheitsdaten als hochsensibel und sehr wertvoll gelten, werden sie seit Jahren durch spezielle Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) stark reguliert. Trotzdem verursacht das Gesundheitswesen seit zehn Jahren in Folge die höchsten durchschnittlichen Kosten für Datenschutzverletzungen, die laut dem von IBM und dem Ponemon Institute herausgegebenen Bericht „Cost of a Data Breach Report 2020“ im Jahr 2020 bei 7,13 Millionen US-Dollar pro Datenschutzverletzung liegen werden.
Dies ist zum Teil auf die strengeren regulatorischen Anforderungen zurückzuführen, denen Daten im Gesundheitswesen unterliegen und die höhere Geldstrafen bei Nichteinhaltung nach sich ziehen, aber auch auf die allgemeine Langsamkeit im Umgang mit Datenschutzverletzungen. Es dauert im Durchschnitt 329 Tage, bis eine Gesundheitseinrichtung eine Datenschutzverletzung identifiziert und eindämmt – die längste Zeit aller im Bericht des Ponemon Institute analysierten Branchen.
Und als ob das noch nicht genug wäre, kämpft das Gesundheitswesen auch mit der Nachlässigkeit seiner Mitarbeiter. 27 % der Sicherheitsverletzungen sind auf menschliches Versagen zurückzuführen, einer der höchsten Prozentsätze aller Branchen. Nimmt man noch hinzu, dass 24 % der böswilligen Angriffe auf die stillschweigende Beteiligung oder Leichtgläubigkeit von Mitarbeitern zurückzuführen sind, wird immer deutlicher, warum Data Loss Prevention (DLP)-Lösungen als Teil von Cybersicherheitsstrategien im Gesundheitswesen an Bedeutung gewonnen haben.
DLP-Lösungen wurden entwickelt, um sensible Daten und nicht die Systeme zu schützen, auf denen die Daten gespeichert sind. Sie bieten flexible, anpassbare Richtlinien, die es Unternehmen ermöglichen, Gesundheitsdaten innerhalb und – was heutzutage am wichtigsten ist – außerhalb der Arbeitsumgebung zu kontrollieren und zu überwachen. Lassen Sie uns einen genaueren Blick darauf werfen, wie DLP hilft, Daten im Gesundheitswesen zu schützen!
1. Blockieren nicht autorisierter Übertragungen von Gesundheitsdaten
Die meisten Gesundheitsdaten dürfen das Gelände einer Einrichtung nicht verlassen, ohne verschlüsselt oder auf sicheren, autorisierten Kanälen übertragen zu werden. Dies steht im Zusammenhang mit der Notwendigkeit, den Datenzugriff auf eine „Need-to-know“-Basis zu beschränken. Mitarbeiter, insbesondere wenn sie von zu Hause aus arbeiten, können versucht sein, nicht autorisierte Apps und Dienste von Dritten zu nutzen, um ihre Aufgaben effizient zu erfüllen. Sie könnten Tools wie beliebte Instant-Messaging-Anwendungen, persönliche E-Mails, Cloud-Speicherdienste oder einmalige Web-Transferdienste verwenden. Da die Sicherheit dieser Dienste von den IT-Abteilungen der Gesundheitsorganisationen nicht geprüft wird, besteht ein hohes Risiko von Datenlecks.
Mithilfe von leistungsstarken Tools für kontextbezogenes Scannen und Inhaltsinspektion sowie vordefinierten Richtlinien identifizieren DLP-Lösungen Gesundheitsdaten in Dateien und im Textkörper von E-Mails, bevor sie versendet werden, und blockieren deren Übertragung über nicht autorisierte Kanäle.
2. Kontrolle von Wechseldatenträgern
Mitarbeiter verwenden häufig Wechseldatenträger wie USB Sticks oder externe Laufwerke, um große Dateien oder Informationsmengen zu kopieren. Aufgrund ihrer Größe und Tragbarkeit können diese Geräte leicht verloren gehen oder gestohlen werden und sind in den letzten Jahren auch zu beliebten Werkzeugen für Malware-Angriffe geworden. Ihre Nützlichkeit ist unbestreitbar, aber wie können Organisationen im Gesundheitswesen sie weiterhin nutzen, ohne die Sicherheit der Gesundheitsdaten zu gefährden? DLP bietet eine Antwort.
Viele DLP-Lösungen sind mit Optionen zur Gerätekontrolle ausgestattet, d. h. Organisationen, die sie einsetzen, können die Nutzung von USB- und Peripherieanschlüssen blockieren oder auf autorisierte, vom Unternehmen ausgegebene Geräte beschränken. Einige DLP-Anbieter bieten sogar erzwungene Verschlüsselungsoptionen an, die sicherstellen, dass alle Daten, die auf einen USB-Stick kopiert werden, automatisch verschlüsselt werden und der Zugriff darauf auf diejenigen beschränkt ist, die einen Entschlüsselungsschlüssel besitzen.
3. Zugriff auf Daten einschränken
Eine der vielen Möglichkeiten, wie Gesundheitsdaten angreifbar werden, ist, wenn sie lokal auf den Festplatten der Mitarbeiter gespeichert sind. Oft werden diese Dateien einmal verwendet und vergessen oder archiviert, obwohl sie gelöscht werden sollten, wenn sie nicht mehr benötigt werden.
DLP-Tools können lokal gespeicherte Daten nach Gesundheitsdaten scannen, und wenn diese auf den Computern von nicht autorisiertem Personal identifiziert werden, können Abhilfemaßnahmen wie Löschen oder Verschlüsselung ergriffen werden. Auf diese Weise können Organisationen im Gesundheitswesen die digitale Spur von Gesundheitsdaten reduzieren und sicherstellen, dass sie nur dort gespeichert werden, wo sie benötigt werden.
4. Überwachung und Protokollierung
DLP-Lösungen helfen nicht nur bei der Kontrolle, wie Gesundheitsdaten übertragen und gespeichert werden, sondern überwachen auch kontinuierlich deren Bewegungen. Alle Versuche, eine Richtlinie zu verletzen, werden protokolliert. Mit den Überwachungs- und Protokollierungsfunktionen von DLP können Organisationen des Gesundheitswesens Schwachstellen in ihren Cybersicherheitsstrategien und bei ihren Mitarbeitern erkennen. Wenn sie diese nutzen, können sie durch effektivere Schulungen für Mitarbeiter und kosteneffektivere Cybersicherheitsstrategien, die bekannte Schwachstellen beheben, Geld sparen.
5. Schutz von Gesundheitsdaten bei der Arbeit aus der Ferne
Abhängig von der Ebene, auf der sie eingesetzt werden, arbeiten DLP-Tools auch aus der Ferne. DLP-Lösungen, wie z. B. Endpoint Protector, werden auf der Computerebene implementiert und arbeiten weiter, egal ob ein Computer mit dem Netzwerk einer Gesundheitseinrichtung oder dem Internet verbunden ist. Auf diese Weise ist der Schutz von Daten im Gesundheitswesen ununterbrochen gewährleistet.
Dies ist gerade jetzt während der COVID-19-Pandemie besonders wichtig. Obwohl Vorschriften wie HIPAA gelockert wurden, um die Arbeit aus der Ferne zu ermöglichen, wurde auf keine der Anforderungen verzichtet. Daher ist es für Organisationen im Gesundheitswesen unerlässlich, eine kontinuierliche Einhaltung zu gewährleisten.
