Leitfaden zu Schutzmaßnahmen für die Überwachungskontrolle
Microsoft Entra ID erfüllt identitätsbezogene Anforderungen für die Implementierung von Schutzvorrichtungen gemäß Health Insurance Portability and Accountability Act (HIPAA) von 1996. Um HIPAA-Konformität zu erreichen, implementieren Sie anhand dieser Informationen die Schutzmaßnahmen sowie weitere erforderliche Konfigurationen oder Prozesse.
Für die Kontrollmaßnahmen für die Überwachung:
Richten Sie Datengovernance für die Speicherung personenbezogener Daten ein.
Identifizieren und bezeichnen Sie vertrauliche Daten.
Konfigurieren Sie die Überwachungssammlung, und schützen Sie Protokolldaten.
Konfigurieren Sie die Verhinderung von Datenverlusten.
Aktivieren Sie den Informationsschutz.
Zur Schutzmaßnahme:
Ermitteln Sie, ob geschützte Gesundheitsdaten (Protected Health Information, PHI) gespeichert werden.
Identifizieren und minimieren Sie Risiken für gespeicherte Daten.
Dieser Artikel enthält relevante Begriffe zu Schutzmaßnahmen gemäß HIPAA sowie eine Tabelle mit Empfehlungen und Informationen von Microsoft zum Erreichen HIPAA-Konformität.
Kontrollmaßnahmen für die Überwachung
Im Folgenden finden Sie Informationen von HIPAA zu Schutzmaßnahmen. Hier finden Sie auch Empfehlungen von Microsoft, um die Anforderungen hinsichtlich der Implementierung von Schutzmaßnahmen zu erfüllen.
HIPAA-Schutzmaßnahme – Kontrollmaßnahmen für die Überwachung
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| Empfehlung | Aktion |
|---|---|
| Aktivieren von Microsoft Purview | Microsoft Purview bietet Datengovernance und unterstützt beim Verwalten und Überwachen von Daten. Purview hilft dabei, Konformitätsrisiken zu minimieren und gesetzliche Anforderungen zu erfüllen. Microsoft Purview im Governanceportal bietet einen Dienst für einheitliche Datengovernance, mit dem Sie Ihre lokalen, Multicloud- und SaaS-Daten (Software-as-a-Service) verwalten können. Microsoft Purview ist ein Framework und besteht aus einer Reihe von Produkten, die gemeinsame die Visualisierung vertraulicher Daten, den Lebenszyklusschutz für Daten und die Verhinderung von Datenverlusten ermöglichen. |
| Aktivieren von Microsoft Sentinel | Microsoft Sentinel bietet Lösungen für SIEM (Security Information and Event Management) und SOAR (Security Orchestration Automation and Response). Microsoft Sentinel sammelt Überwachungsprotokolle und verwendet integrierte KI, um große Datenmengen zu analysieren. SIEM ermöglicht einer Organisation das Aufdecken von Incidents, die sonst unerkannt bleiben könnten. |
| Konfigurieren von Azure Monitor | Verwenden Sie Azure Monitor-Protokolle, um Protokolle zu sammeln und zu ordnen – auch in Cloud- und Hybridumgebungen. Sie erhalten Empfehlungen, wie Sie in wichtigen Bereichen Ressourcen in Kombination mit dem Azure Trust Center schützen können. |
| Aktivieren von Protokollierung und Überwachung | Protokollierung und Überwachung sind von grundlegender Bedeutung für den Schutz einer Umgebung. Die Daten unterstützen Untersuchungen und helfen dabei, potenzielle Bedrohungen zu erkennen, indem ungewöhnliche Muster identifiziert werden. Aktivieren Sie die Protokollierung und Überwachung von Diensten, um das Risiko nicht autorisierter Zugriffe zu reduzieren. Wir empfehlen die Überwachung von Microsoft Entra-Aktivitätsprotokollen. |
| Überprüfen der Umgebung auf elektronische geschützte Gesundheitsdaten (ePHI, Electronic Protected Health Information) | Microsoft Purview kann im Überwachungsmodus aktiviert werden, um zu überprüfen, welche elektronischen geschützten Gesundheitsdaten sich im Datenbestand befinden und welche Ressourcen zum Speichern dieser Daten verwendet werden. Diese Funktion hilft beim Festlegen der Datenklassifizierung und -bezeichnung basierend auf der Vertraulichkeit der Daten. |
| Erstellen einer Richtlinie zur Verhinderung von Datenverlust (DLP) | DLP-Richtlinien helfen beim Einrichten von Prozessen, die sicherstellen, dass vertrauliche Daten nicht verloren gehen, nicht missbraucht werden und kein Zugriff von nicht autorisierten Personen erfolgt. Sie beugen Sicherheitsverletzungen und Exfiltration vor. Microsoft Purview DLP untersucht E-Mail-Nachrichten. Im Microsoft Purview-Complianceportal können Sie die Richtlinien überprüfen und für Ihre Organisation anpassen. |
| Aktivieren der Überwachung über Azure Policy | Azure Policy hilft beim Durchsetzen von Organisationsstandards und ermöglicht die Bewertung des Konformitätsstatus in der gesamten Umgebung. Bei diesem Vorgehen erhalten Sie Sicherheitsempfehlungen über Microsoft Defender for Cloud und können so Konsistenz, die Einhaltung gesetzlicher Vorschriften und Überwachung sicherstellen. |
| Bewerten der Anforderungen der Geräteverwaltung | Microsoft Intune bietet Funktionen für MDM (Mobile Device Management) und MAM (Mobile Application Management). Mit Microsoft Intune haben Sie die Kontrolle über unternehmenseigene und private Geräte. Zu den Funktionen gehören das Verwalten der Gerätenutzung und das Erzwingen von Richtlinien, mit denen Sie die direkte Kontrolle über mobile Anwendungen erhalten. |
| Anwendungsschutz | Mit Microsoft Intune können Sie ein Framework für den Datenschutz für die Microsoft 365-Büroanwendungen einrichten und diese auf allen Geräten einbinden. App-Schutzrichtlinien stellen sicher, dass Organisationsdaten sowohl auf persönlichen Geräten (BYOD) als auch auf unternehmenseigenen Geräten sicher innerhalb der App bleiben. |
| Konfigurieren des Insiderrisikomanagements | Das Insiderrisikomanagement von Microsoft Purview korreliert Signale, um mögliche böswillige oder unabsichtliche Risiken durch Insider zu identifizieren, z. B. durch Diebstahl von IP-Adressen, Datenlecks und Sicherheitsverletzungen. Mit dem Insiderrisikomanagement können Sie Richtlinien zur Verwaltung von Sicherheit und Konformität erstellen. Diese Funktion basiert auf dem Prinzip „Datenschutz per Entwurf“. Benutzernamen werden standardmäßig pseudonymisiert, und für den Datenschutz auf Benutzerebene werden rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle genutzt. |
| Konfigurieren der Konformität bei der Kommunikation | Die Microsoft Purview-Lösung für Konformität bei der Kommunikation bietet Tools, mit denen Organisationen die Einhaltung gesetzlicher Vorschriften ermitteln können, beispielsweise der Standards der Securities and Exchange Commission (SEC) oder der Financial Industry Regulatory Authority (FINRA). Das Tool überwacht Systeme auf Verstöße gegen ordnungsgemäßes Geschäftsgebaren, z. B. im Hinblick auf vertrauliche Informationen, belästigende oder bedrohliche Sprache und das Teilen von jugendgefährdenden Inhalten. Diese Funktion basiert auf dem Prinzip „Datenschutz per Entwurf“. Benutzernamen werden standardmäßig pseudonymisiert, rollenbasierte Zugriffssteuerungen sind integriert, ermittelnde Personen werden von Administrator*innen eingeladen, und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten. |
Kontrollmaßnahmen für Schutzmaßnahmen
Die folgenden Abschnitte enthalten Informationen von HIPAA zur Kontrolle von Schutzmaßnahmen. Hier finden Sie Microsoft-Empfehlungen zum Erreichen von HIPAA-Konformität.
HIPAA – Schutzmaßnahme
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| Empfehlung | Aktion |
|---|---|
| Überprüfen der Umgebung auf elektronische geschützte Gesundheitsdaten | Microsoft Purview kann im Überwachungsmodus aktiviert werden, um zu überprüfen, welche elektronischen geschützten Gesundheitsdaten sich im Datenbestand befinden und welche Ressourcen zum Speichern dieser Daten verwendet werden. Diese Informationen helfen beim Festlegen der Datenklassifizierung und beim Bezeichnen der Vertraulichkeit der Daten. Darüber hinaus bietet der Inhalts-Explorer Informationen dazu, wo sich vertrauliche Daten befinden. Diese Informationen helfen beim Bezeichnen der Daten sowie beim Wechsel von manuellen Bezeichnungen bzw. von Bezeichnungsempfehlungen auf Clientseite hin zur automatischen Bezeichnung auf Serverseite. |
| Aktivieren von Priva zum Schutz von Microsoft 365-Daten | Microsoft Priva bewertet in Microsoft 365 gespeicherte elektronische geschützte Gesundheitsdaten im Hinblick auf vertrauliche Informationen. |
| Aktivieren der Azure Security-Benchmark | Die Microsoft-Benchmark für Cloudsicherheit ermöglicht die Kontrolle des Datenschutzes über verschiedene Azure-Dienste hinweg und stellt eine Baseline für Implementierung von Diensten bereit, die elektronische geschützte Gesundheitsdaten speichern. Der Überwachungsmodus stellt diese Empfehlungen und Korrekturschritte bereit, um die Umgebung zu schützen. |
| Aktivieren des Defender-Sicherheitsrisikomanagements | Das Microsoft Defender-Sicherheitsrisikomanagement ist ein integriertes Modul in Microsoft Defender for Endpoint. Das Modul hilft Ihnen dabei, Sicherheitsrisiken und Fehlkonfigurationen in Echtzeit zu identifizieren und zu erkennen. Das Modul hilft Ihnen außerdem bei der Priorisierung, indem es die Ergebnisse auf einem Dashboard anzeigt und Berichte zu Geräten, VMs und Datenbanken erstellt. |
Erfahren Sie mehr
Zero-Trust-Säule: Geräte, Daten, Anwendung, Einblicke, Automatisierung und Orchestrierung
Zero-Trust-Säule: Daten, Einblicke, Automatisierung und Orchestrierung
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für