Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Compliance: Zauberformel oder Bürde? Und was HIPAA damit zu tun hat

Geschrieben von Michael Buckbee | Jul 15, 2016 11:56:00 AM

Neu sind sie in deutschen Unternehmen nicht, die Forderungen ein umfassendes Compliance-Management einzuführen. Schon vor etwa 10 Jahren begannen Beratungsunternehmen gemeinsam mit Experten aus der IT-Sicherheit damit, das Thema an Unternehmen heranzutragen. Aus den gesetzlichen Vorgaben leitet sich ein Anforderungsprofil ab, das sich in den letzten Jahren sukzessive erweitert hat.

Was Compliance ausmacht – Die Basics

Der Rahmen des Compliance-Managements hat sich nicht grundlegend verändert und besteht im Wesentlichen aus vier Anforderungen:

  • den gesetzlichen Anforderungen, die über Bundes- und Landesgesetze geregelt sind. Dazu gehören das Bundesdatenschutzgesetz (BDSG), KonTraG, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, die GDPdU, Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, S-Ox, Sarbanes-Oxley Act, Basel II, Solvency II und das KWG, Kreditwesengesetz – um nur einige zu nennen.
  • dem notwendigen Framework wie ISO-Normen und branchenrelevanten Standards und Vorschriften
  • den Policies/Richtlinien innerhalb des Unternehmens
  • und schließlich der Nachweis über deren Einhaltung wie ihn beispielsweise externe Auditoren erbringen

Für viele Unternehmen ist Compliance allerdings ein Unwort. Denn viele verbinden damit nur noch mehr gesetzliche und formale Bürokratie, die Geschäftsabläufe eher behindert als fördert. Compliance umzusetzen ist, auch wenn das wie eine Binsenweisheit klingt, kein einmaliger Akt, sondern ein kontinuierlicher Prozess, ressourcen- und kostenintensiv.

Aber der Druck von Außen wächst: Haftungsrisiken, die insbesondere die Unternehmensführung betreffen, eine kritische Medienöffentlichkeit, die sich spektakulärer Fälle dankbar annimmt, eine Rechtsprechung, die Verantwortlichkeiten juristisch bindend einfordert und bestätigt.

Eine „Alibi-Compliance“ reicht also nicht.

Aufgrund dessen setzen sich deutsche Unternehmen inzwischen sehr ernsthaft mit den Themen Compliance und Compliance-Management auseinander. Hier herrschte vor allem im internationalen Vergleich betrachtet noch ein deutlicher Nachholbedarf. Die ehedem zu beobachtende Sorglosigkeit ist inzwischen längst gewichen.

Vertraulich und verletzlich: Beispiel Patientendaten

Ein Beispiel für besonders sensible Daten sind Gesundheitsdaten wie beispielsweise digitale Patienteninformationen. Neben den eigentlichen medizinischen Datenverwaltungssystemen kommen noch die Netzwerke, Server und Speicher dazu, die Gesundheitsdienstleister und deren Partner berücksichtigen müssen. Die Kommunikation über mobile Endgeräte, die elektronische Kommunikation mit Patienten und ausgesprochen heterogene Umgebungen erschweren einen richtlinienkonformen Datenzugriff und Datenschutz.

HIPAA hier?

Der Health Insurance Portability and Accountability Act (kurz: HIPAA) ist wie die deutschen Äquivalente und Regelungen des Bundesdaten-schutzgesetzes (BDSG) relativ abstrakt formuliert, bezieht sich aber auf konkret auf einzelne Bereiche im Gesundheitswesen zum Beispiel auf den Umgang mit elektronischen Patientendaten.

Besonders interessant ist in diesem Zusammenhang die 2013 eingeführte „Omnibus Rule“. Sie bindet nun auch Drittunternehmen, wie beispielsweise die Anbieter von Cloud-Lösungen an HIPAA, falls sie an irgendeiner Stelle mit Gesundheitsdaten in Berührung kommen.

Neben dem BDSG bilden unterschiedliche Gesetzestexte die Sicherheitsforderungen für Patientendaten ab, darunter auch ländergetriebene wie das Gesundheitsdatenschutzgesetz in Nordrhein-Westfalen. Die Fülle ist für einzelne Akteure oftmals kaum mehr zu durchschauen.

HIPAA ist in den USA – und im Gegensatz zum deutschen Modell – für sämtliche Einrichtungen gültig, die mit Patientendaten in Berührung kommen. Dies und die strikten Regeln machen HIPAA auch hierzulande interessant, wenn es um Datenzugriff und Compliance-Management geht.

Compliance verbessern – und was Data-Governance-Lösungen dazu beitragen

Wir haben sechs komplexe Compliance-Bereiche am Beispiel von HIPAA unter die Lupe genommen. Es lohnt sich einen genaueren Blick auf genau diese Bereiche zu werfen, will man in einem Unternehmen oder einer Institution die Voraussetzungen für umfassende Compliance schaffen.

1. Sicherheitsmanagement: Verstöße verhindern, aufdecken, Gegenmaßnahmen ergreifen und umsetzen

Hier hilft eine detaillierte Historie dessen, was Benutzer, Gruppen und gegebenenfalls auch Administratoren-Accounts in den jeweiligen Verzeichnissen mit welchen Daten gemacht haben.

Sind diese Aktivitäten entsprechend lückenlos dokumentiert, lässt sich nachvollziehen, an welchen Stellen ein Administrator beispielsweise Sicherheitseinstellungen oder Zugriffsberechtigungen auf Ordner und Dateien geändert hat. Diese Historie lässt sich sowohl für sämtliche Nutzeraktivitäten nachvollziehen als auch für Dateien und Ordner. Lösungen wie DatAdvantage von Varonis überwachen die Daten sowie die zugehörigen Dateiaktivitäten vollständig. Dazu generieren sie automatisch Benachrichtigungen und Reports. Auf dieser Basis kann ein Unternehmen bedarfsgerecht forensische Analysen aufsetzen beziehungsweise bestehende Geschäftsprozesse überprüfen.

2. Mitarbeiter und Berechtigungsmanagement: Wer hat Zugriff auf welche Informationen und ist auch tatsächlich dazu berechtigt?

  1. Wir empfehlen, dass nur die Mitarbeiter auf Daten zugreifen können, die das im Sinne eines „need to know“ auch tatsächlich müssen. Sollte dies nicht oder nicht mehr der Fall sein, sollte man den Zugriff beschränken.
  2. Alle Aktivitäten rund um die Vergabe von Berechtigungen sollten sich transparent nachvollziehen lassen.
  3. Das gilt insbesondere für den Zugriff auf alle nutzergenerierten unstrukturierten Daten. So stärkt man beispielsweise einen Workflow, in dem sensible Daten und Ordner sofort und automatisch nur an die autorisierten Data und Business Owner gehen.

3. Zugriffmanagement bei sensiblen Informationen: Policies und Richtlinien einführen und umsetzen, die den Umgang mit besonders schützenswerten, elektronisch gespeicherten Daten regeln.

Hier berücksichtigt Varonis DataPrivilege zwei wesentliche Aspekte: Zum einen Richtlinien zu stärken, die dafür sorgen, dass der Zugriff auf sensible Daten gesichert und regelkonform abläuft, zum anderen die Prozesse zu stärken, die erwünschte Aktionen definieren (beispielsweise einen Zugriff generell oder nur für einen bestimmten abgegrenzten Zeitraum zu erlauben oder zu verweigern). Das hat einen doppelten Effekt, will man Richtlinien kommunizieren und durchsetzen:

  • Alle beteiligten Parteien ziehen an einem Strang. Seien es die eigentlichen Eigentümer der Daten, seien es (HIPAA) Compliance Verantwortliche, Auditoren, Benutzer und nicht zuletzt die IT-Abteilungen. Alle sind gleichermaßen informiert und auf einem identischen Wissenstand.
  • Die Möglichkeit sämtliche Aktivitäten transparent nachzuvollziehen, stärkt über das Berechtigungsmanagement die übergreifende Compliance beziehungsweise erlaubt es gezielt, bestimmte Bereiche anzupassen.

4. Zugriffskontrolle: Nur berechtige Benutzer und Software-Anwendungen erhalten Zugriffsrechte

Varonis-Lösungen adressieren dieses Anforderungsprofil in zweifacher Hinsicht. Sie identifizieren explizit und automatisiert die Personen, die nicht im Sinne eines „need to know“ auf Daten und Informationen zugreifen müssen diese Zugriffsrechte aber dennoch haben. Ein Administrator kann aufgrund dieses Wissens entscheiden, wie er zukünftig mit diesen Zugriffsrechten verfahren will. Und: Innerhalb des Prozesses identifiziert DataPrivilege zusätzlich die eigentlichen Eigentümer der Daten im Sinne der Geschäftsprozesse. Diese Data Owner (also die tatsächlichen Dateneigentümer und nicht die IT-Abteilung) sind dann für die Zugriffsrechte verantwortlich.

5. Auditing: Transparent nachvollziehen

Varonis-Lösungen stellen die dazu erforderlichen Berichte zusammen, sie verzeichnen sämtliche (Benutzer-)Aktivitäten und Änderungen, was sensible Daten und die damit verbundenen Berechtigungen anbelangt. Das gilt auch für komplexe Datenabfragen oder wenn verschiedene Parameter neu in einem Bericht zusammengeführt werden sollen. Das kann zum Beispiel dann der Fall sein, wenn Compliance-Richtlinien mit anderen Normen und Standards kombiniert werden.

6. Dokumentation: …und schriftlich dokumentieren

Sämtliche Aktivitäten, die Active-Directory-Objekte oder Dateien  betreffen, werden in Berichten dokumentiert und zusammengefasst. Die Lösung generiert diese Reports automatisch und verschickt sie, je nach Bedarf und Organisationsstruktur regelmäßig oder wie vom Benutzer festgelegt. Beispielsweise in als kritisch eingestuften Bereichen und Abteilungen häufiger als in anderen.

 

 

 

 

 

 

 

 

 

 

The post Compliance: Zauberformel oder Bürde? Und was HIPAA damit zu tun hat appeared first on Varonis Deutsch.