Von persönlichen Daten über Gesundheitsdaten bis hin zu Kontoinformationen – Krankenversicherungen sammeln eine große Menge an hochsensiblen Informationen über ihre Kunden. Dadurch sind sie zu einem attraktiven Ziel für Cyberkriminelle geworden. Aber auch Mitarbeiter, die mit sensiblen Daten nicht sorgsam umgehen sind ein Problem.
Laut dem von IBM und dem Ponemon Institute veröffentlichten Bericht „Cost of a Data Breach Report 2020“ verursacht das Gesundheitswesen seit zehn Jahren in Folge die höchsten durchschnittlichen Kosten für Datenschutzverletzungen, die im Jahr 2020 bei 7,13 Millionen US-Dollar pro Verstoß lagen. Menschliches Versagen trägt einen großen Teil zu dieser Zahl bei, da es für 27 % der Datenschutzverletzungen im Gesundheitswesen verantwortlich ist – einer der höchsten Prozentsätze aller Branchen. Außerdem brauchen Gesundheitsorganisationen im Durchschnitt 329 Tage, um eine Datenschutzverletzung zu identifizieren und einzudämmen – die längste Zeit aller Branchen.
Da Informationen im Gesundheitswesen durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) stark reguliert sind, müssen Krankenversicherungen die sensiblen Daten, die sie sammeln und verarbeiten, schützen oder hohe Geldstrafen und Reputationsschäden riskieren. Data Loss Prevention (DLP)-Lösungen sind, um Datenlecks und Datendiebstahl einzudämmen zu einem wichtigen Bestandteil ihrer Sicherheitsanforderungen geworden.
Warum Krankenkassen auf Data Loss Prevention setzen
Der Hauptgrund, warum sich Krankenversicherer für DLP-Lösungen entscheiden, ist der Schutz vor Insider-Bedrohungen. Während herkömmliche Cybersicherheitsmaßnahmen wie Firewalls und Antivirensoftware sensible Daten vor Cyberangriffen schützen können, benötigen Mitarbeiter Zugang zu diesen Daten, um ihre Aufgaben zu erfüllen.
Die Einschränkung des Zugriffs auf sensible Daten kann dazu beitragen, Datenlecks und Sicherheitsvorfälle durch Insider zu reduzieren, sie aber nicht eliminieren. In einer Branche wie dem Gesundheitswesen, in der viele Mitarbeiter Zugang zu sensiblen Daten benötigen, um ihre Aufgaben zu erfüllen, hat dies auch weniger Auswirkungen.
DLP-Tools schützen sensible Daten direkt und nicht die Systeme, auf denen die Daten gespeichert sind. Sobald sensible Informationen auf der Grundlage von benutzerdefinierten oder vordefinierten Profilen definiert sind, können Unternehmen sie sowohl innerhalb als auch außerhalb der Arbeitsumgebung kontrollieren und überwachen. Dies war besonders während der COVID-19-Pandemie relevant da in deren Folge immer mehr Unternehmen auf hybrides Arbeiten umgestellt haben.
Blockieren von sensiblen Datenübertragungen
DLP-Lösungen erlauben Mitarbeitern den Zugriff auf sensible Daten, verhindern aber, dass sie Dateien mit diesen über unsichere Kanäle wie Messaging-Apps, Cloud- oder File-Sharing-Dienste und persönliche E-Mails übertragen. Sie hindern sie auch daran, Funktionen wie Copy-Paste oder Druckbildschirme zu nutzen, um sensible Daten zu speichern.
Ein weiterer gängiger Austrittspunkt für sensible Informationen sind Wechselmedien wie USB-Sticks. Obwohl sie als nützliches Werkzeug am Arbeitsplatz gelten, sind sie den Cybersecurity-Teams schon lange ein Dorn im Auge. Leicht zu verlieren oder zu stehlen und oft völlig ungesichert, gehören insbesondere USBs zu den häufigsten Lecks, wenn es um Datenverlust geht.
DLP-Technologie kann Übertragungen über Wechseldatenträger wie USBs, externe Laufwerke oder Mobiltelefone blockieren, indem sie die Nutzung von Peripherie- und USB-Anschlüssen sowie Bluetooth einschränkt. Unternehmen können wählen, ob sie deren Nutzung komplett unterbinden oder Ausnahmen für unternehmenseigene Geräte machen, die als sicher gelten. Den Geräten können außerdem verschiedene Vertrauens- und Zugriffsstufen zugewiesen werden.
Identifizierung und Überwachung sensibler Daten
DLP-Lösungen helfen Krankenkassen, die Bewegungen sensibler Daten zu überwachen und zu protokollieren. So gewinnen sie ein neues Bewusstsein dafür, wie Daten genutzt werden und wie sie sich im Unternehmensnetzwerk bewegen. Dies kann Krankenkassen helfen, Schwachstellen bei Datenbewegungen und problematisches (fahrlässiges) Verhalten von Mitarbeitern zu erkennen.
Durch Inhaltsfilterung und kontextbezogenes Scannen finden DLP-Tools nicht nur heraus, wo Daten lokal auf den Festplatten der Mitarbeiter gespeichert sind, sondern ermöglichen es den Administratoren auch, Abhilfen wie Verschlüsselung oder Löschung zu schaffen, wenn sie an nicht autorisierten Orten gefunden werden, um das Risiko von Datenverlusten zu begrenzen. Durch die Protokollierung jedes versuchten Richtlinienverstoßes helfen DLP-Lösungen wie Endpoint Protector Unternehmen dabei, herauszufinden, welche Mitarbeiter möglicherweise eine Datensicherheitsschulung benötigen oder wo neue Richtlinien erforderlich sind.
Unterstützung bei der Erfüllung von Compliance Anforderungen
DLP-Lösungen unterstützen Krankenkassen auch bei ihren Bemühungen um die Einhaltung von Gesetzen wie HIPAA und DSGVO. Viele DLP-Funktionen, von der Blockierung der Übertragung geschützter Gesundheitsinformationen (PHI) über das Internet und der Überwachung und Protokollierung ihrer Bewegungen bis hin zur Gerätekontrolle und Verschlüsselung, erfüllen gängige Compliance-Anforderungen. DLP-Protokolle und -Berichte können auch als Teil von Audits oder zum Nachweis angemessener Sicherheitsmaßnahmen zum Schutz sensibler Gesundheitsdaten verwendet werden.