NIST und HIPAA: Gibt es eine Passwort-Verbindung?

Cyber Security News

Wenn wir mit Benutzerdaten umgehen, ist es wichtig, dass wir unsere Passwortrichtlinien so gestalten, dass sie der Compliance entsprechen. Diese Richtlinien werden sowohl intern als auch extern definiert.

Während Unternehmen ihre eigenen Passwort-Standards aufrechterhalten, haben externe Kräfte wie HIPAA und NIST einen starken Einfluss. Die Einflüsse werden durch die Branche und die eigene Infrastruktur definiert. Wie halten IT-Abteilungen die Compliance mit NIST und HIPAA aufrecht?

In diesem Artikel gehen wir auf die einzelnen Compliance-Maßnahmen und ihre Bedeutung ein.

Was ist NIST-Compliance?

Die vom National Institute of Standards and Technology definierte NIST-Compliance zielt darauf ab, Bundessysteme gegen Cyber-Attacken zu härten. Die Behörde ist zwar nicht regulierend, gehört aber zum US-Handelsministerium, das großen Einfluss auf Regierungsbehörden und deren Auftragnehmer hat.

Zum Beispiel helfen die NIST-Richtlinien den Behörden, die Anforderungen des Federal Information Security Management Act (FISMA) zu erfüllen. Das NIST ist maßgeblich an der Erstellung der Federal Information Processing Standards (FIPS) beteiligt, die mit dem FISMA übereinstimmen. Nichts von alledem wäre ohne das NIST Cybersecurity Framework möglich.

Das Framework skizziert Schritte und Best Practices, die Datenverarbeiter befolgen sollten.

Die Kontrollen beziehen sich auf Folgendes: Authentifizierungsbasierter Zugriff für lokale Workstations, Datenbanken, Websites und Webdienste Audit-Ereignisse für Kennwortänderungen, fehlgeschlagene Anmeldungen und fehlgeschlagene Zugriffe im Zusammenhang mit PIV-Zugangsdaten (Personal Identity Verification), Drittanbieter-Zugangsdaten oder Admin-Aktionen Gruppenkonten (mit gemeinsamen Berechtigungen) und Einzelkonten Passwörter, Zugriffstoken, Biometrie und Multi-Faktor-Authentifizierung (MFA) Verschlüsselung und Passwort-Hashing Minimale Passwortlänge, Komplexität und Validierungszeit

Insbesondere könnte ein Administrator, der die NIST-Standards einhält, notwendige Kennwortrichtlinien definieren, um die Anforderungen an die Mindestlänge und die Filterung durchgesickerter Kennwörter durchzusetzen. Die Passwort-Richtlinien könnten auch die Blockierung der üblichen Zeichenersetzung und anderer vorhersehbarer Konstruktionsmuster von Passwörtern beinhalten, wie z. B. das Ändern eines Passworts, indem nur Zahlen oder Symbole am Ende hinzugefügt werden.

NIST befürwortet die Abschaffung des Ablaufs und der Komplexität von Passwörtern – dies muss jedoch mit den regulatorischen Verpflichtungen der Organisation abgewogen werden; zum Beispiel verlangen PCI-DSS und HITRUS-CFS dies.

Die regelmäßige Bewertung oder Identifizierung kompromittierter Passwörter ist entscheidend. Organisationen können automatisierte Tools verwenden, um Änderungen zu identifizieren und zu erzwingen, wenn diese kontinuierlich erkannt werden.

Die Einhaltung des NIST Cybersecurity Frameworks ist ein hervorragendes Sprungbrett zu starker Sicherheit. Die Agentur warnt jedoch, dass die NIST-Richtlinien KEINE undurchdringlichen Systeme schaffen. Kein Framework ist perfekt.

Was ist HIPAA-Compliance?

Persönliche Gesundheitsdaten fallen unter den hochsensiblen Bereich. Diese Datensätze sind vertraulich und enthalten private Informationen, weshalb Datenbanken und Data-Warehouses starke Schutzmaßnahmen anwenden müssen. Es gibt auch das Argument, dass Passwortrichtlinien zum Schutz der Patientenwürde existieren.

Die Vertraulichkeit zwischen Patient und Arzt sowie die Beziehung zwischen Anbieter und Patient sind entscheidend für die Wahrung der Privatsphäre im gesamten Gesundheitswesen. Viele Patienten haben jedoch kein gutes Bild von den Anbietern im Gesundheitswesen. Im Jahr 2016 zeigte Black Book, dass 87 % der Patienten in gewissem Maße Gesundheitsinformationen von “vertrauenswürdigen” Anbietern zurückhalten.

Sie sehen vielleicht, worauf das hinausläuft. Persönliche medizinische Daten sind so persönlich, dass Vertrauen außerhalb des eigenen Kreises schwer zu gewinnen ist. Dieses Phänomen verstärkt sich in unserem digitalen Zeitalter, in dem Fernzugriff und die gemeinsame Nutzung elektronischer Daten alltäglich sind.

Einige andere Bereiche, die Anlass zur Sorge geben: Finanzielle Informationen für Patienten Zugang zum Patientenportal Persönliche Informationen, die als Teil eines Online-Profils übermittelt werden

Schutz durch Einhaltung von Passwörtern

Heutzutage werden so viele Informationen gesammelt, dass es für Patienten selbst schwierig ist, sie zu sichten. Technologieversierte Anbieter sind damit betraut, diese Daten zu schützen und sie den richtigen Personen zugänglich zu machen. An dieser Stelle kommt der Health Insurance Portability and Accountability Act (HIPAA) ins Spiel.

Erstens umreißt HIPAA drei Arten von Standards, die Organisationen erfüllen müssen: Technische Standards – sie beschreiben die Schutzmaßnahmen, die notwendig sind, um eine Infrastruktur zu schützen und aufrechtzuerhalten, die persönliche elektronische Gesundheitsdaten speichert Physikalische Standards – die beschreiben, wie stationäre Einrichtungen innen und außen geschützt werden müssen Administrative Standards – die die notwendigen Kontrollen und Pflegemaßnahmen seitens der Mitarbeiter zur Aufrechterhaltung der Sicherheit von persönlichen Gesundheitsinformationen beschreiben

Unser natürlicher Schwerpunkt liegt auf technischen und administrativen Standards – ersteres betrifft Online-Systeme oder Datenbanken, die hochsensible Daten speichern. Bei den administrativen Standards geht es um die Rolle der Mitarbeiter bei der Festlegung der Passwortverwaltung und der Zugangsberechtigung. Wie sieht das in einer Passwort-Policy aus?

Beachten Sie, dass sich die Richtlinien von HIPAA und NIST nicht gegenseitig ausschließen. Wenn Sie diese Regeln befolgen, bleiben Sie sowohl HIPAA- als auch NIST-konform: Passwörter müssen mindestens 8 Zeichen lang sein (bei einigen Daten sogar bis zu 64) Keine Passwort-Hinweise an Benutzer geben Ermutigen Sie die Erstellung von einprägsamen Passwörtern, nicht von obskuren, die eine Aufzeichnung erfordern Überprüfen Sie Passwörter anhand von Listen mit verbotenen Passwörtern oder Wörterbüchern mit kompromittierten Passwörtern

Diese Richtlinien sind kritisch. Zusätzlich bietet HIPAA einen gewissen Spielraum in Abhängigkeit von der Einrichtung, die die Schlüsseldaten überwacht. Da Anbieter mikroskopisch klein und riesig sein können (Gesundheitssysteme, Versicherungsanbieter), sind einzigartige Passwortrichtlinien erforderlich.

Bessere NIST- und HIPAA-Konformität mit Specops

Externe Tools können eine große Hilfe bei der Erstellung von konformen Passwortrichtlinien sein. Wir empfehlen zwei Tools: Specops Password Auditor und Specops Password Policy. Diese automatisieren mehrere Prozesse, die für die kontinuierliche Passwortsicherheit entscheidend sind.

Password Auditor ist ein kostenloses Tool, das drei Hauptvorteile bietet: Passwort-Reporting, Überprüfung von Active Directory-Konten und Einhaltung von Standards. Auditor scannt Ihre Umgebung, um sicherzustellen, dass allgemeine und feingranulare Passwortrichtlinien sichere Passwörter fördern. Informative Berichte heben Schwachstellen und problematische Konten hervor und vereinfachen so die Abhilfe. Diese Berichte vergleichen Ihre Richtlinien sogar mit denen, die von der NIST gefordert werden.

Password Auditor zeigt Ihnen auch, wie widerstandsfähig Ihre Systeme gegen Angriffe sind. Sie können auch Domänen und ihre jeweiligen Konten einsehen. Anfällige Passwörter werden identifiziert, wenn sie mit denen übereinstimmen, die in unseren Listen mit angegriffenen Passwörtern gefunden wurden.

Inzwischen bietet die Kennwortrichtlinie ähnliche Vorteile mit größerer Granularität. Hauptsächlich können Sie Folgendes erreichen: schwache Passwörter blockieren, konforme Passwortrichtlinien erstellen und die Passwort-Entropie anvisieren. Mit dem Tool können Sie Ihr eigenes Passwort-Wörterbuch mitbringen und die Specops-Liste mit 2 Milliarden verletzten Passwörtern einbeziehen.

Specops übernimmt die schwere Arbeit – es akzeptiert automatisch Passwörter (und sogar Phrasen), während es nicht konforme Passwörter ablehnt. Setzen Sie Ihre eigenen Anforderungen an Passwortlänge, Komplexität und Zeichen durch. Und schließlich zeigen Ihnen die Compliance-Tools, wie Ihre bestehenden Richtlinien im Vergleich zu den branchenüblichen Richtlinien aussehen. Password Policy bietet Vorlagen und Analysen zum Schutz von Unternehmensdaten vor gängigen Cyberangriffsmethoden.

NIST- und HIPAA-Compliance beruht auf starken Passwortrichtlinien. Zum Glück muss der Compliance-Prozess nicht kompliziert sein.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com