Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Die Amazon-One-Medical-Datenpanne: Wenn Drittanbieter-Dateispeicherung zum Risiko für geschützte Gesundheitsinformationen wird

Die Amazon-One-Medical-Datenpanne: Wenn Drittanbieter-Dateispeicherung zum Risiko für geschützte Gesundheitsinformationen wird

von Patrick Spencer updated Juni 23, 2026 Cybersecurity-Risikomanagement
Lesezeit: 12 Minuten

Der Amazon One Medical-Datenvorfall verdeutlicht eine Tatsache, die die Sicherheits-Community im Gesundheitswesen kennt, aber nur schwer umsetzt: Es spielt keine Rolle, wie stark Ihre klinischen Systeme geschützt sind, wenn die Daten, die daraus in nachgelagerte Dateispeicher, Abrechnungsprozesse und von Drittanbietern verwaltete Umgebungen fließen, nicht denselben Kontrollen unterliegen. ShinyHunters, die Bedrohungsgruppe, die bereits Verstöße bei Ticketmaster, Santander und Snowflake-Kundenumgebungen für sich beansprucht hat, veröffentlichte angebliche Amazon One Medical-Patientendatensätze in einem Darknet-Forum und behauptete, 8,8 Terabyte an Daten aus einer Drittanbieter-Dateispeicherumgebung exfiltriert zu haben. Unabhängige Prüfungen bestätigten die Echtheit der Proben als Patientendaten, darunter Namen, Geburtsdaten, Versicherungsinformationen, Diagnosen und Behandlungsnotizen – eine Kombination, die der HIPAA-Definition von geschützten Gesundheitsinformationen in mehreren Kategorien entspricht.

Der Vorfall folgt einem Muster, das Sicherheitsforscher seit Jahren dokumentieren: Gesundheitsorganisationen investieren stark in die Absicherung ihrer EHR-Plattformen und klinischen Netzwerke, setzen jedoch dieselben Patientendaten versehentlich Risiken aus, indem sie deren Fluss in Dateispeicherumgebungen, Integrationsplattformen und von Drittanbietern verwaltete Systeme zulassen, die nicht über gleichwertige Sicherheitskontrollen verfügen. Die Daten im ruhenden Zustand in diesen nachgelagerten Umgebungen verfügen häufig nicht über die Verschlüsselung, die in den zentralen klinischen Systemen angewendet wird, unterliegen deutlich weniger strengen ABAC-Kontrollen und werden von Anbietern überwacht, deren HIPAA Business Associate Agreement-Verpflichtungen möglicherweise nicht kürzlich oder gründlich überprüft wurden.

Der Kiteworks 2026 Data Security and Compliance Risk: Annual Forecast Report hat die Datenexponierung durch Drittanbieter im Gesundheitswesen als eine der risikoreichsten Kategorien für das Jahr eingestuft. Die Kombination aus verstärktem Datenaustausch über Versorgungsnetzwerke, aggressiver Monetarisierung von Gesundheitsdaten durch Bedrohungsakteure und anhaltender Unterinvestition in die Sicherheit nicht-EHR-basierter Datenumgebungen schafft die Voraussetzungen für genau diese Art von Datenschutzverstoß. Der Amazon One Medical-Vorfall ist 2026 das bislang prominenteste Beispiel für dieses Risikoprofil.

Dieser Beitrag beleuchtet, was über den Vorfall bekannt ist, welche Auswirkungen die Exponierung für betroffene Patienten und die regulatorischen Verpflichtungen von Amazon One Medical hat und welche Lehren Gesundheitsorganisationen daraus für ihre eigene Risikobewertung ziehen sollten.

wichtige Erkenntnisse

1. Eine Fehlkonfiguration bei einem Drittanbieter-Dateispeicher, nicht ein klinischer Systembruch, war der Einstiegspunkt

Der Vorfall hatte seinen Ursprung nicht in den elektronischen Gesundheitsakten oder klinischen Systemen von Amazon One Medical, sondern in einer Drittanbieter-Dateispeicherumgebung. Das unterstreicht das anhaltende Risiko, das von von Anbietern verwalteter Infrastruktur für Gesundheitsorganisationen ausgeht – selbst wenn interne Systeme ordnungsgemäß gesichert sind.

2. Die ShinyHunters-Behauptung von 8,8 TB bleibt unbestätigt, aber eine Teilbestätigung ist noch gravierender

Die Behauptung von ShinyHunters, 8,8 Terabyte an Patientendaten exfiltriert zu haben, wurde bislang nicht vollständig unabhängig bestätigt. Allerdings wurden Proben von Patientendatensätzen, die in Darknet-Foren veröffentlicht wurden, als authentisch verifiziert – was bedeutet, dass bereits ein Bruchteil des behaupteten Datenvolumens einen erheblichen HIPAA-Verstoß darstellt.

3. PHI-Exponierung betrifft neun US-Metropolregionen

Bestätigte Patientendatensätze aus dem exponierten Datensatz umfassen Personen aus neun US-Metropolregionen, in denen Amazon One Medical tätig ist. Das vergrößert die potenziell betroffene Bevölkerung erheblich und erhöht das Risiko für Compliance-Verstöße und Rechtsstreitigkeiten entsprechend.

4. Gesundheitsorganisationen schützen Daten außerhalb klinischer Systeme systematisch zu wenig – sowohl während der Übertragung als auch im ruhenden Zustand

Das Muster – sensible Patientendaten in einem Dateispeichersystem, das nicht denselben Sicherheitskontrollen wie die zentrale klinische Infrastruktur unterliegt – spiegelt eine systemische Lücke im gesamten Gesundheitssektor wider und ist kein Einzelfall von Amazon One Medical.

5. HIPAA-Anforderungen an Business Associate Agreements begründen direkte Haftung – unabhängig vom Ort des Vorfalls

Die Beziehung von Amazon One Medical zu einem Drittanbieter für Dateispeicherung löst HIPAA Business Associate Agreement-Verpflichtungen aus. Ein Verstoß in dieser Umgebung führt zu denselben Benachrichtigungs- und Haftungsrisiken wie ein Vorfall in den eigenen Systemen des Unternehmens – ein Fakt, den viele Gesundheitsorganisationen bei der Bewertung ihres TPRM noch unterschätzen.

Sie Vertrauen auf die Sicherheit Ihres Unternehmens. Können Sie es auch nachweisen?

Jetzt lesen

Was ist passiert: Zeitlicher Ablauf und Zuordnung des Vorfalls

Der Vorfall wurde öffentlich bekannt, als ShinyHunters einen Beispieldatensatz auf einem Darknet-Marktplatz veröffentlichte und behauptete, er stamme aus 8,8 Terabyte an Amazon One Medical-Patientendaten, die durch Ausnutzung einer Fehlkonfiguration in einer Drittanbieter-Dateispeicherumgebung erlangt wurden. Die Gruppe legte Beispielfälle als Besitznachweis vor, und unabhängige Sicherheitsforscher bestätigten anschließend, dass ein Teil dieser Datensätze in Format und Inhalt mit Amazon One Medical-Patientendaten übereinstimmte – einschließlich Koordinationsnotizen zur Versorgung und Abrechnungsdaten der Versicherung.

ShinyHunters ist ein gut dokumentierter Bedrohungsakteur mit einer Historie großvolumiger Datendiebstähle aus Cloud- und SaaS-Umgebungen. Frühere Aktionen richteten sich gegen fehlkonfigurierte Cloud-Speicher-Buckets, kompromittierte SaaS-Anbieterumgebungen und ausgenutzte Zugangsdaten bei Integrationsplattformen. Die Behauptung im Fall Amazon One Medical folgt derselben Methodik: Statt gehärtete klinische Systeme direkt anzugreifen, identifizierte die Gruppe eine weniger überwachte Speicherumgebung in der Lieferkette und exfiltrierte Daten daraus. Das beanspruchte Volumen von 8,8 TB – sofern zutreffend – würde einen der größten Einzelvorfälle im Gesundheitswesen nach Datenvolumen im Jahr 2026 darstellen.

Amazon bestätigte, dass es „unautorisierten Zugriff auf eine Drittanbieter-Dateispeicherumgebung“ im Zusammenhang mit Amazon One Medical untersucht und betroffene Patienten gemäß HIPAA-Anforderungen informiert hat. Das Unternehmen stellte klar, dass die zentralen klinischen Systeme nicht kompromittiert wurden und der Zugriff auf die Drittanbieter-Umgebung beschränkt war. Die Strafverfolgungsbehörden wurden informiert, wie es dem Standardprotokoll für Incident Response bei Vorfällen dieser Größenordnung entspricht.

Die Unterscheidung zwischen „keine Kompromittierung der zentralen klinischen Systeme“ und „Kompromittierung eines Drittanbieter-Dateispeichers“ ist rechtlich und operativ bedeutsam – bietet Patienten und Aufsichtsbehörden jedoch wenig Trost. Nach HIPAA trägt das betroffene Unternehmen (Amazon One Medical) die Verantwortung für den Schutz von PHI, unabhängig davon, ob diese in eigenen Systemen oder bei einem Business Associate gespeichert sind. Die Meldepflichten, die Untersuchung durch das Office for Civil Rights und die potenzielle zivilrechtliche Haftung sind in beiden Fällen identisch.

Die betroffenen PHI-Kategorien

Die von unabhängigen Forschern verifizierten Beispieldatensätze zeigen, dass der kompromittierte Datensatz Kombinationen von PHI enthält, die mehrere von HIPAA definierte Identifikationskategorien umfassen. Zu den sensibelsten bestätigten Kategorien zählen vollständige Namen in Verbindung mit Geburtsdaten, Versicherungsnummern und Zahlerinformationen, Diagnosecodes und klinische Notizen, Rezeptdaten sowie Nachrichten zur Versorgungskoordination zwischen Leistungserbringern. In Kombination stellen diese Elemente das dar, was HIPAA-Experten als „hochriskante“ PHI bezeichnen – Datensätze, die Identitätsdiebstahl, Versicherungsbetrug und gezielte Social-Engineering-Angriffe auf Patienten ermöglichen.

Der geografische Umfang verschärft die Situation zusätzlich. Amazon One Medical ist in neun großen US-Metropolregionen tätig, und der Vorfall scheint Datensätze von Patienten aus all diesen Märkten zu umfassen. Multistaatliche Meldepflichten bedeuten, dass Amazon One Medical nicht nur die bundesweiten HIPAA-Anforderungen erfüllen muss, sondern auch unterschiedliche staatliche Meldegesetze – einige davon, wie etwa Kaliforniens CCPA/CPRA, verlangen zusätzliche Maßnahmen und kürzere Fristen als das 60-Tage-Fenster von HIPAA. Organisationen, die CCPA unterliegen, müssen für bestimmte Vorfallkategorien innerhalb von 30 Tagen nach Entdeckung benachrichtigen, was die Reaktionszeit erheblich verkürzt.

Der HIPAA Minimum Necessary Rule ist in diesem Zusammenhang besonders relevant. Die Regel verlangt, dass Unternehmen und deren Business Associates nur das Minimum an PHI für den jeweiligen Zweck nutzen und darauf zugreifen. Wenn die kompromittierte Dateispeicherumgebung mehr Datensätze enthielt, als für den jeweiligen Betriebszweck tatsächlich erforderlich waren – ein häufiges Problem, wenn Gesundheitsorganisationen Daten ohne systematische Datenminimierungsprüfung in von Anbietern verwaltete Umgebungen migrieren – entsteht daraus sowohl ein Compliance-Problem als auch ein erschwerender Faktor bei der Bewertung der Schwere des Vorfalls.

Die Kombination aus Breite (neun Städte), Tiefe (mehrere PHI-Kategorien pro Patient) und Aktualität (Daten aus aktiven Patientenbeziehungen) macht diesen Vorfall unabhängig von der Bestätigung des vollen 8,8-TB-Volumens zu einem schwerwiegenden Datenschutzverstoß hinsichtlich Meldepflicht und Haftungsrisiko. Das HIPAA-Risikobewertungsmodell verlangt von Unternehmen, die Wahrscheinlichkeit einer Kompromittierung von PHI anhand verfügbarer Beweise zu bewerten – und authentisch verifizierte Beispieldaten überschreiten diese Schwelle eindeutig.

Warum Drittanbieter-Dateispeicherung die dauerhafte Schwachstelle im Gesundheitswesen bleibt

Die Sicherheitsinvestitionen im Gesundheitswesen konzentrieren sich stark auf Systeme, die direkt von Klinikern genutzt werden – EHR-Plattformen, klinische Bildgebungssysteme, Netzwerke für medizinische Geräte, Telemedizin-Infrastruktur. Diese Fokussierung ist sinnvoll, da diese Systeme besonders wertvolle Ziele sind und ihre Kompromittierung unmittelbare Auswirkungen auf die Patientensicherheit haben kann. Doch die Konzentration auf klinische Systeme hinterlässt systematische Lücken in den Umgebungen, in denen PHI als Nebenprodukt des normalen Betriebs entsteht: Dateitransfer-Workflows zwischen Leistungserbringern und Kostenträgern, von Anbietern verwaltete Abrechnungs- und Kodierungsplattformen, Tools zur Versorgungskoordination, die Daten über Netzwerke hinweg aggregieren, sowie die diversen Dateispeicherumgebungen, die all diese Systeme integrieren.

Third-Party Risk Management im Gesundheitswesen ist häufig eher ein Ziel als gelebte Praxis. Organisationen schließen in der Regel ein Business Associate Agreement beim Vertragsabschluss mit einem Anbieter ab, führen zu Beginn eine Sicherheitsbewertung durch und überprüfen diese dann nur selten – manchmal erst bei Vertragsverlängerung. In der Zwischenzeit kann sich die Sicherheitslage des Anbieters verändert haben, das von ihm gehaltene Datenvolumen kann deutlich gewachsen sein und die Integrationspunkte, über die Daten fließen, können sich erweitert haben. Keine dieser Änderungen löst in den meisten Vendor Risk Management-Programmen im Gesundheitswesen eine verpflichtende Sicherheitsüberprüfung aus.

Die Dateispeicherumgebung, die im Fall Amazon One Medical als Einstiegspunkt diente, repräsentiert eine Infrastrukturkategorie, die Gesundheitsorganisationen oft als risikoarm einstufen: Sie ist kein klinisches System, verarbeitet keine Echtzeit-Patientenversorgung und hat keine direkten Schnittstellen zu Patienten. Doch die darin gespeicherten Daten sind genauso sensibel wie die in zentralen klinischen Systemen – und liegen dort häufig länger, mit weniger Kontrolle, und akkumulieren Datensätze, die eigentlich Datenminimierungs- und Aufbewahrungsrichtlinien unterliegen sollten, die aber nie angewendet wurden.

Gesundheitsorganisationen, die nach diesem Vorfall ihre eigenen Anbieterlandschaften überprüfen, werden oft ein ähnliches Muster feststellen: PHI in Dateispeichern, Abrechnungsarchiven und Integrations-Middleware, die nicht denselben Anforderungen an Verschlüsselung, Zugriffskontrolle oder Audit Logging unterliegen wie ihre EHR-Umgebungen. Diese Lücke ist kein Versagen eines einzelnen Anbieters – sie ist ein strukturelles Merkmal des Datenflusses im komplexen Zusammenspiel von Leistungserbringern und Kostenträgern. Ihre Schließung erfordert einen systematischen Ansatz für Data Governance, der dem Datenfluss folgt und nicht an der Grenze der Primärsysteme des Unternehmens endet. Organisationen, die diese Lücke ernsthaft schließen wollen, sollten auch ihr Supply Chain Risk Management überprüfen, um sicherzustellen, dass nachgelagerte Anbieter denselben Sicherheitsstandards unterliegen wie direkte Business Associates.

Regulatorische Konsequenzen: HIPAA, OCR und staatliche Verpflichtungen

Die regulatorischen Folgen eines Vorfalls dieser Größenordnung sind erheblich und vielschichtig. Nach der HIPAA Breach Notification Rule muss Amazon One Medical betroffene Personen innerhalb von 60 Tagen nach Entdeckung informieren, das US-Gesundheitsministerium benachrichtigen und – da der Vorfall mehr als 500 Personen in mehreren Bundesstaaten betrifft – prominente Medien in jedem betroffenen Bundesstaat informieren. Das HHS Office for Civil Rights führt eine Untersuchung durch, bei der Amazon One Medical nachweisen muss, dass sein HIPAA-Compliance-Programm, einschließlich des Business Associate Managements, dem geforderten Sorgfaltsmaßstab entspricht.

Die HIPAA Security Rule verlangt von Unternehmen, administrative, physische und technische Schutzmaßnahmen für elektronische PHI zu implementieren. Im Fall eines Drittanbieter-Vorfalls konzentriert sich die OCR-Untersuchung darauf, ob das Business Associate Agreement die Sicherheitsanforderungen ausreichend spezifizierte, ob die Auswahl und Überwachung des Anbieters angemessen war und ob die spezifische Fehlkonfiguration, die den Vorfall ermöglichte, im Rahmen eines angemessenen Sicherheitsbewertungsprogramms hätte erkannt werden können.

Staatliche Gesetze erhöhen die Komplexität zusätzlich. Kaliforniens CPRA gewährt Verbrauchern das Recht zu erfahren, ob ihre personenbezogenen Daten kompromittiert wurden, und schreibt spezifische Meldefristen und -inhalte vor, die von HIPAA abweichen. Die Federal Trade Commission hat zudem ihre Bereitschaft erhöht, eigenständige Durchsetzungsmaßnahmen gegen Gesundheitsorganisationen wegen Datenschutzverstößen zu ergreifen – unabhängig von HIPAA – und schafft so eine zweite regulatorische Ebene für mögliche Sanktionen.

Die kumulierte regulatorische Exponierung durch einen multistaatlichen Vorfall dieses Profils – bundesweite HIPAA-Untersuchung, potenzielle OCR-Geldbußen, Ermittlungen der Generalstaatsanwälte der Bundesstaaten und FTC-Prüfungen – kann leicht 10 Millionen US-Dollar übersteigen, noch bevor private Klagen berücksichtigt werden. Die HIPAA-Geldbußen können bis zu 1,9 Millionen US-Dollar pro Verstoßkategorie und Jahr betragen, und die OCR hat wiederholt die Höchststrafen verhängt, wenn Unternehmen keine ausreichenden Risikoanalysen durchgeführt oder das Business Associate Agreement nicht angemessen überwacht haben.

Für Gesundheitsorganisationen, die angesichts dieses Vorfalls ihre eigene Exponierung überprüfen, stellen sich folgende praktische Fragen: Legen Ihre Business Associate Agreements Sicherheitsanforderungen für die von Ihren Anbietern gehaltenen Daten fest? Wann haben Sie zuletzt eine Sicherheitsbewertung der Dateispeicher- und Integrationsumgebungen Ihrer wichtigsten Anbieter durchgeführt? Unterliegen die PHI in diesen Umgebungen denselben Standards für AES-256-Verschlüsselung, Zugriffskontrolle und Audit Logging wie Ihre klinischen Systeme? Wenn Sie diese Fragen nicht sicher beantworten können, ist bereits diese Unsicherheit ein Compliance-Risiko.

Eine Healthcare-Datensicherheitsarchitektur, die dem tatsächlichen Bedrohungsmodell entspricht

Der Amazon One Medical-Vorfall wirft eine Architekturfrage auf, die Sicherheitsprogramme im Gesundheitswesen direkt adressieren müssen: Wie lassen sich konsistente Sicherheitskontrollen für PHI anwenden – unabhängig davon, wo sie sich im Ökosystem befinden?

Die Antwort liegt darin, vom Perimeter-und-Kern-Modell – bei dem sich Sicherheitskontrollen auf klinische Systeme konzentrieren und der Rest als weniger risikoreich gilt – zu einem datenorientierten Modell überzugehen, bei dem Verschlüsselung, Zugriffskontrolle und Audit Logging den Datenfluss begleiten, egal wohin die Daten gelangen. Das schließt von Anbietern verwaltete Dateispeicher, Integrationsplattformen, Abrechnungssysteme und die verschiedenen Datenflüsse, die diese Systeme verbinden, mit ein.

Ende-zu-Ende-Verschlüsselung für PHI während der Übertragung und im ruhenden Zustand sollte Standard sein – nicht nur eine fortgeschrittene Sicherheitsmaßnahme. Daten in von Anbietern verwalteten Umgebungen sollten mit FIPS 140-3 Level 1-validierter Verschlüsselung geschützt werden, und die Verschlüsselungsschlüssel sollten so verwaltet werden, dass der Anbieter keinen Zugriff auf die Klartextdaten hat – und so die Angriffsfläche durch Speicherfehlkonfigurationen eliminiert wird. Wenn die Speicherumgebung fehlkonfiguriert ist und Daten exponiert werden, bietet verschlüsselte Information mit extern verwalteten, kundeneigenen Schlüsseln einen wirksamen Schutz, den unverschlüsselte Daten nicht bieten.

ABAC für den Dateizugriff – auch in von Anbietern verwalteten Umgebungen – begrenzt, auf welche Daten ein kompromittiertes Anbieter-Konto oder eine Fehlkonfiguration zugreifen kann. Statt breiten Zugriff auf eine Dateispeicherumgebung zu gewähren und auf Perimeterkontrollen zur Verhinderung von Exfiltration zu setzen, erzwingen ABAC-Ansätze feingranulare Zugriffskontrollen basierend auf Benutzerattributen, Datensensibilität und Kontext. Kompromittiert ein Angreifer ein Konto in einer Speicherumgebung, erhält er nur Zugriff auf die Daten, auf die dieses Konto zugreifen darf – und nicht mehr.

Ein einheitlicher Audit-Trail über alle Umgebungen, in denen PHI gespeichert ist, verschafft Sicherheits- und Compliance-Teams die Transparenz, die sie benötigen, um anomale Zugriffe zu erkennen, Vorfälle zu untersuchen und Compliance gegenüber OCR-Prüfern nachzuweisen. Die CISO Dashboard-Funktion im Kiteworks Private Data Network bietet diese einheitliche Transparenz über alle Kommunikationskanäle – einschließlich Managed File Transfer, Secure Email, Secure File Sharing und Enterprise-Integrationen – mit einer zentralen Übersicht darüber, wer wann und von wo auf welche Daten zugegriffen hat.

Gesundheitsorganisationen, die die strukturelle Lücke schließen wollen, die der Amazon One Medical-Vorfall offenlegt, sollten auch ihre Sicherheitsarchitektur im Hinblick auf DSPM für das Gesundheitswesen überprüfen – insbesondere, ob sie wissen, wo PHI im gesamten Ökosystem gespeichert ist und nicht nur in den zentralen klinischen Systemen. Die Anwendung von Datenklassifizierungsverfahren auf Inhalte in von Anbietern verwalteten Umgebungen ist Voraussetzung dafür, zu wissen, was sensibel ist, wo es gespeichert wird und ob es ausreichend geschützt ist.

Erfahren Sie mehr darüber, wie Kiteworks Gesundheitsorganisationen dabei unterstützt, PHI im gesamten Datenökosystem zu schützen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Verifizierte Proben aus dem Vorfall umfassen Patientennamen, Geburtsdaten, Versicherungsnummern, Diagnosecodes, klinische Notizen und Rezeptdaten – Kategorien, die HIPAA als geschützte Gesundheitsinformationen klassifiziert. Der Vorfall betrifft Patienten aus neun US-Metropolregionen, in denen Amazon One Medical tätig ist, und ist somit ein multistaatlicher Vorfall mit bundesweiten HIPAA-Meldepflichten sowie staatsspezifischen Anforderungen nach Gesetzen wie Kaliforniens CCPA und CPRA. Die von ShinyHunters behaupteten 8,8 Terabyte an Daten wurden bislang nicht vollständig unabhängig bestätigt, aber die Bestätigung authentischer Datensätze bedeutet, dass betroffene Patienten davon ausgehen sollten, dass ihre PHI kompromittiert wurden, und ihre Versicherungs- und Gesundheitskonten auf unbefugte Aktivitäten überwachen sollten. Patienten in Kalifornien haben möglicherweise zusätzliche Rechte, Informationen zum Vorfall gemäß den CPRA-Bestimmungen des Bundesstaates anzufordern.

Nach HIPAA bleibt das betroffene Unternehmen für den Schutz von PHI verantwortlich – unabhängig davon, ob diese in eigenen Systemen oder in der Umgebung eines Business Associate gespeichert sind. Wenn ein BA einen Vorfall erleidet, muss das Unternehmen dennoch die HIPAA Breach Notification Rule einhalten – einschließlich Patientenbenachrichtigung innerhalb von 60 Tagen, Meldung an das HHS und Medienbenachrichtigung bei Vorfällen mit mehr als 500 Betroffenen in einem Bundesstaat. Die OCR-Prüfung untersucht, ob das Business Associate Agreement von Amazon One Medical mit dem Speicheranbieter die Sicherheitsanforderungen ausreichend spezifizierte, ob eine angemessene Due Diligence durchgeführt wurde und ob die technischen Schutzmaßnahmen der HIPAA Security Rule in der Anbieterumgebung eingehalten wurden. Die Haftung umfasst Zivilgeldbußen und potenzielle Vergleichsvereinbarungen, die eine fortlaufende Compliance-Überwachung vorschreiben, die sich über Jahre nach dem Vorfall erstrecken kann. Gesundheitsorganisationen mit ähnlichen Anbieterstrukturen sollten ihre Incident-Response-Pläne überprüfen, um BA-Vorfallsszenarien explizit abzudecken.

Drei Kontrollen, in Kombination angewendet, hätten die Auswirkungen des Vorfalls deutlich verringert. Erstens: Verschlüsselung der PHI im ruhenden Zustand in der Speicherumgebung mit extern verwalteten Schlüsseln – sodass eine Fehlkonfiguration der Speicherumgebung keine lesbaren Daten exponiert. Zweitens: ABAC zur Steuerung des Zugriffs auf einzelne Datensätze innerhalb der Speicherumgebung, um zu begrenzen, auf welche Daten ein kompromittiertes Konto oder eine Fehlkonfiguration zugreifen kann. Drittens: ein kontinuierlicher Audit-Trail, der Zugriffsereignisse in der von Anbietern verwalteten Umgebung erfasst und mit Verhaltens-Benchmarks korreliert – sodass Massen-Exfiltration Anomaliealarme auslöst. Gesundheitsorganisationen sollten prüfen, ob ihre Business Associate Agreements diese Kontrollen als Voraussetzung für die Speicherung von PHI verlangen und nicht nur als Best Practices empfehlen. Ein Sicherheits-Risikomanagement-Framework, das explizit auch BA-Umgebungen abdeckt, ist unerlässlich, um diese Lücke zu schließen.

Gesundheitsorganisationen sollten den Amazon One Medical-Vorfall als Anlass nehmen, ihre eigenen Anbieterlandschaften zu überprüfen. Der erste Schritt ist die Bestandsaufnahme, welche Anbieter PHI speichern, in welchem Umfang und unter welchen Sicherheitskontrollen. Der zweite Schritt ist die Überprüfung der Business Associate Agreements, um sicherzustellen, dass sie Anforderungen an Verschlüsselung, Zugriffskontrolle und Audit Logging enthalten, die den aktuellen Best Practices entsprechen. Der dritte Schritt ist die Durchführung von Sicherheitsbewertungen bei Hochrisiko-Anbietern – insbesondere solchen, die große Mengen an PHI in Dateispeicher- oder Integrationsumgebungen speichern – anstatt sich auf punktuelle Bewertungen zum Vertragsbeginn zu verlassen. Organisationen, die Lücken identifizieren, sollten die TPRM-Behebung als Compliance-Priorität einstufen und ihre Prüf- und Behebungsmaßnahmen dokumentieren, um ihre Compliance mit den Risikomanagement-Anforderungen der HIPAA Security Rule nachzuweisen. Die Anwendung von Data Governance-Richtlinien, die eine regelmäßige Überprüfung der von Anbietern gehaltenen PHI-Mengen vorschreiben, hilft, unkontrollierte Datenanhäufung zu vermeiden.

Kiteworks schließt die architektonische Lücke, die der Amazon One Medical-Vorfall aufzeigt – das Fehlen konsistenter Sicherheitskontrollen für PHI außerhalb zentraler klinischer Systeme – durch sein Private Data Network. Die Plattform setzt FIPS 140-3 Level 1-validierte Verschlüsselung für alle Inhalte während der Übertragung und im ruhenden Zustand ein, erzwingt ABAC-Richtlinien, die steuern, auf welche Daten Nutzer und Systeme je nach Rolle, Sensibilität und Kontext zugreifen können, und protokolliert jedes Zugriffsereignis in einem einheitlichen Audit-Trail über alle Kommunikationskanäle hinweg. Für branchenspezifische Compliance unterstützt Kiteworks HIPAA-Compliance, einschließlich der technischen Schutzmaßnahmen der Security Rule, und bietet die Dokumentations- und Reporting-Funktionen, die OCR-Prüfungen verlangen. Das CISO Dashboard verschafft Sicherheits- und Compliance-Verantwortlichen Echtzeit-Transparenz über PHI-Zugriffe im gesamten Unternehmen – auch in von Anbietern verwalteten Integrationsumgebungen – und schließt damit die Blindstelle, die den Amazon One Medical-Vorfall ermöglichte. Für Organisationen, die neben HIPAA auch weitere branchenspezifische Compliance-Anforderungen erfüllen müssen, bietet Kiteworks eine einheitliche Plattform, die Sicherheitskontrollen über alle sensiblen Inhalts-Workflows hinweg konsolidiert.

Weitere Ressourcen

  • Blogbeitrag
    So gestalten Sie einen sicheren File-Transfer-Workflow für Drittanbieter und Auftragnehmer
  • Blogbeitrag
    Die Bedeutung von Vendor Risk Management für CISOs
  • Blogbeitrag
    So schützen Sie geistiges Eigentum bei der Zusammenarbeit mit externen Partnern
  • Blogbeitrag
    Bedrohungen bekämpfen mit Supply Chain Security & Risk Management
  • Blogbeitrag
    Partner-Datenpannen: Ihre Sicherheit ist nur so stark wie Ihr schwächster Partner

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks