8 Schritte zur Verringerung des Drittparteirisikos im Gesundheitswesen

Erfahren Sie, wie Sie Ihr Risikomanagement für Geschäftspartner von reaktiv auf proaktiv umstellen können.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Dezember 5, 2023 9 min gelesen

Die Gesundheitsbranche sieht sich mit einer schnell wachsenden Bedrohung durch Cyberangriffe konfrontiert, die von ihren Lieferantenbeziehungen ausgehen. Die rasche Einführung elektronischer Gesundheitsakten zur Digitalisierung von Patientendaten, die Einführung von Geräten aus dem Internet der Dinge (IoT) wie Fitness-Trackern und Herzschrittmachern und die Abhängigkeit von Geschäftspartnern für kritische Funktionen machen das Problem noch akuter. Organisationen des Gesundheitswesens werden wahrscheinlich mit mehr Risiken konfrontiert sein, die sich aus dem raschen technologischen Wandel und der Veränderung von Geschäftsbeziehungen ergeben und die nur noch zunehmen werden.

Mehrere öffentlichkeitswirksame Verstöße in jüngster Zeit veranschaulichen dieses Risiko anschaulich, wie z. B. die Vorfälle bei American Medical Collection Agency (AMCA ) und HCA Healthcare, wo unzureichende Sicherheitskontrollen bei Geschäftspartnern zur Kompromittierung von Millionen von Patientendaten führten.

Trotz etablierter Vorschriften wie HIPAA und Risikomanagement-Frameworks wie NIST SP 800-66 haben Organisationen des Gesundheitswesens nach wie vor mit Sicherheitsverletzungen durch Dritte zu kämpfen, die zu erheblichen Geldstrafen und behördlichen Kontrollen führen. Darüber hinaus sehen sich moderne Sicherheits- und Risikomanagementteams im Gesundheitswesen mit komplexen TPRM-Herausforderungen konfrontiert, wie z. B. isolierten Anbieterinformationen und unzureichenden Bewertungsmethoden.

In diesem Beitrag gehen wir auf die 8 Schritte ein, die Organisationen des Gesundheitswesens unternehmen sollten, um die Risiken für Geschäftspartner von Drittanbietern zu erkennen, zu verwalten und zu verringern. Darüber hinaus werden wir die potenziellen Ergebnisse der Implementierung eines proaktiven und prozessgesteuerten Ansatzes für die Sicherheit im Gesundheitswesen und TPRM untersuchen.

8 Schritte, um das Risiko für Dritte auf den Weg zu einer besseren Gesundheit zu bringen

Es gibt klare Schritte, die Unternehmen unternehmen sollten, um Risiken für Geschäftspartner zu erkennen, zu verwalten und zu reduzieren. Diese Schritte helfen Ihrem Unternehmen, das Risikomanagement für Geschäftspartner über den gesamten Lebenszyklus des Lieferanten hinweg proaktiv zu gestalten.

1. Risikomanagement-Anforderungen in Business Associate-Verträge einbauen

Um Ihr Risikomanagementprogramm für Dritte im Gesundheitswesen (TPRM) proaktiv zu verbessern, automatisieren Sie den Vertragslebenszyklus. Dies gewährleistet die Durchsetzung und Nachverfolgung wichtiger Datensicherheits- und Datenschutzklauseln von Anfang an. Durch die Einführung eines automatisierten Ansatzes für die Verwaltung des Vertragslebenszyklus stellen Sie sicher, dass der Vertrag des Geschäftspartners die Verantwortlichkeiten und die Klauseln über das Recht auf Überprüfung ausdrücklich festlegt. Darüber hinaus erleichtert dieser Ansatz die Nachverfolgung und Verwaltung von Service Level Agreements (SLAs), Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs) auf rationale Weise. Eine wichtige Überlegung bei diesem Schritt ist es, sicherzustellen, dass Ihre Funktionen für das Management des Vertragslebenszyklus vollständig in Ihre Risikomanagement-Plattform eines Drittanbieters integriert sind. Auf diese Weise haben Sie eine nahtlose Verwaltung der Anbieter vom Vertragsabschluss bis zur Risikobewertung, und alle internen Parteien können Verträge und Risiken entsprechend ihrer Rolle einsehen und verwalten.

2. Entwickeln Sie ein zentrales Inventar aller Drittparteien

Zentralisieren Sie Ihr Inventar von Drittanbietern und Lieferanten für eine effektive Steuerung des Risikomanagements für Geschäftspartner im Gesundheitswesen und minimieren Sie das Risiko, dass nicht autorisierte Anbieterbeziehungen Ihre IT-Abläufe beeinträchtigen. Führen Sie die Lieferanteninventur in einem zentralen System durch - nicht in Tabellenkalkulationen -, damit mehrere interne Teams an der Lieferantenverwaltung teilnehmen können und der Prozess zum Nutzen aller automatisiert werden kann.

Beginnen Sie mit dem Import von Lieferanten in eine Risikomanagementlösung eines Drittanbieters über eine Tabellenkalkulationsvorlage oder eine API-Verbindung zu Ihrem bestehenden Beschaffungssystem. Befähigen Sie Unternehmensteams zur nahtlosen Eingabe wichtiger Lieferantendetails über ein zentralisiertes und anpassbares Aufnahmeformular mit einem zugehörigen Genehmigungsworkflow. Diese benutzerfreundliche Funktion ist über eine E-Mail-Einladung zugänglich und erfordert keine spezielle Schulung.

Erstellen Sie bei der Konsolidierung aller Dienstleister umfassende Profile, die demografische Informationen, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Geschäftseinblicke, Reputationsdetails, Datenverletzungen und die finanzielle Leistung eines Geschäftspartners enthalten. Dieser zentralisierte Ansatz verbessert das Risikobewusstsein im gesamten Unternehmen und liefert den Beschaffungsteams wertvolle Informationen für fundierte Beschaffungs- und Auswahlentscheidungen. Dieser Ansatz hat den zusätzlichen Vorteil, dass das Unternehmen Kosten einsparen kann, da es keine separaten Systeme mehr unterhalten muss, die Daten in Silos bereitstellen.

3. Erstellen einer Karte der Geschäftspartner zur Ermittlung des Risikos einer Technologiekonzentration

Ermitteln Sie während des Inventarisierungsprozesses Technologien von Drittanbietern in Ihrem Geschäftspartner-Ökosystem, um zusätzliche Beziehungen aufzudecken, die Konzentrationsrisiken für Ihr Unternehmen darstellen könnten. Dieser Schritt ist entscheidend für die Visualisierung potenzieller Angriffswege, die Angreifer nutzen könnten, um Ihr Unternehmen anzugreifen, und ermöglicht eine proaktive Eindämmung oder Behebung von Schwachstellen. Erreichen Sie dies durch gezielte Bewertungen oder passives Scannen.

Wenn Sie beispielsweise eine Übersicht über die Geschäftspartner haben, die ein kompromittiertes Software-Tool verwenden, können Sie die zu überprüfenden Anbieter nach Prioritäten ordnen und sich dabei besonders auf die wichtigsten oder geschäftskritischen Anbieter konzentrieren. Durch diese Priorisierung wird sichergestellt, dass jede potenzielle Malware-Belastung gründlich bewertet wird, wobei der strategische Schwerpunkt auf Anbietern liegt, deren Betriebsunterbrechungen größere Auswirkungen auf Ihr Unternehmen haben könnten.

4. Durchführung einer detaillierten inhärenten Risikobewertung zur Priorisierung von Geschäftspartnern

Sobald die Geschäftspartner zentralisiert und kartiert sind, führen Sie Bewertungen des inhärenten Risikos durch. Zu den Kriterien für die Berechnung des inhärenten Risikos gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts (z. B. Datenschutz, Zahlungsfähigkeit usw.)
  • Standort(e) und damit verbundene rechtliche oder regulatorische Überlegungen (z. B. GDPR, HIPAA usw.)
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Erfahrung mit operativen oder patientennahen Prozessen
  • Interaktion mit geschützten Gesundheitsdaten
  • Grad der Abhängigkeit von vierten Parteien
  • Finanzieller Status und Gesundheit
  • Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, geeignete Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Prüfungen entsprechend den Risiken bestimmen, die sie für Ihr Unternehmen darstellen.

5. Bewertung der Widerstandsfähigkeit und Kontinuitätspläne von Geschäftspartnern

Bewerten Sie im Rahmen Ihrer regelmäßigen Sicherheits- und Datenschutzprüfung auch Geschäftspartner mithilfe von gezielten Fragebögen zum Lieferantenrisiko, die sich an bekannten Industriestandards für die Sicherheit der Lieferkette orientieren, z. B. NIST 800-161 und ISO 27036. Die Ergebnisse dieser Bewertungen helfen Ihnen dabei, die erforderlichen Abhilfemaßnahmen zu treffen. Entscheiden Sie sich für Lösungen, die eine Automatisierung der Arbeitsabläufe, eine umfassende Überprüfung und Analyse, Unterstützung für die Verwaltung von Nachweisen und integrierte Empfehlungen für Abhilfemaßnahmen bieten, um Sicherheitslücken effizient zu schließen.

Beauftragen Sie während des Bewertungsprozesses die Softwareanbieter, eine Software-Stückliste (SBOM) zu erstellen. SBOMs beschreiben nicht nur die Komponenten, aus denen eine Software besteht, sondern erläutern auch die Qualitätssicherungs- und Sicherheitsbewertungsprozesse, die während des Softwareentwicklungsprozesses eingesetzt werden. Dies ist bei der in Schritt 7 beschriebenen Reaktion auf einen Vorfall sehr nützlich.

6. Kontinuierliche Überwachung von Geschäftspartnern im Hinblick auf Cyber-Attacken

Proaktives Management von Risiken für Geschäftspartner bedeutet, dass Sie ständig auf den nächsten Angriff vorbereitet sein müssen - und das erfordert, dass Ihr Team auf Signale für einen bevorstehenden Sicherheitsvorfall achtet. Zu den wichtigsten zu überwachenden Bereichen gehören kriminelle Foren, Onion-Seiten, spezielle Dark-Web-Foren, Threat-Feeds, Paste-Sites für durchgesickerte Anmeldeinformationen, Sicherheits-Communities, Code-Repositories sowie Datenbanken für Schwachstellen und Hacks/Verstöße.

Um diesen Prozess zu rationalisieren, sollten Sie Lösungen in Erwägung ziehen , die die Erkenntnisse über alle Risiken konsolidieren und unternehmensweit darstellen. Dieser konsolidierte Ansatz erleichtert die Korrelation von Überwachungsdaten mit Bewertungsergebnissen und erstellt ein einheitliches Risikoregister für jeden Anbieter. Diese Integration erhöht die Effizienz der Risikoprüfung, der Berichterstattung und der Reaktionsinitiativen und senkt gleichzeitig die Kosten durch den Wegfall redundanter Softwarelizenzen.

Sorgen Sie außerdem für die Integration von Betriebs-, Reputations- und Finanzdaten Dritter in die Überwachung von Geschäftspartnern. Diese Einbeziehung stellt den Kontext zu Cyber-Ergebnissen her und ermöglicht die Messung der geschäftlichen Auswirkungen von Vorfällen im Laufe der Zeit.

7. Testen Sie Ihren Plan für die Reaktion auf Vorfälle bei Drittanbietern

Die Automatisierung der Reaktion auf Vorfälle ist der Schlüssel zur Verringerung der mittleren Zeit bis zur Entdeckung (MTTD) und der mittleren Zeit bis zur Reaktion (MTTR), wodurch die Auswirkungen von Vorfällen bei Dritten auf Ihren Betrieb reduziert werden können. Ziehen Sie diese Schritte in Betracht, um ein proaktiveres Modell für die Reaktion auf Drittanbietervorfälle zu entwickeln:

  • Nutzung eines zentralisierten Fragebogens für das Ereignis- und Vorfallsmanagement zur Verkürzung der Reaktionszeiten und zur Vereinfachung und Standardisierung von Bewertungen
  • Verfolgen Sie den Fortschritt bei der Beantwortung von Fragebögen in Echtzeit, um das Potenzial für Auswirkungen zu verringern.
  • Ermöglichen Sie es Geschäftspartnern, Vorfälle proaktiv selbst zu melden, um den Kontext zu verbessern und die Reaktionszeiten zu verkürzen.
  • Verwenden Sie Workflow-Regeln, um automatisierte Playbooks auszulösen, die auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen reagieren.
  • Erstellung von Abhilfeanleitungen für Anbieter, die ihnen dabei helfen, ein akzeptables Risikoniveau für Ihr Unternehmen zu erreichen

Durch die Zentralisierung der Reaktion auf Vorfälle von Drittanbietern in einem einzigen Unternehmensvorfallmanagementprozess können Ihre IT-, Sicherheits-, Rechts-, Datenschutz- und Compliance-Teams effektiv zusammenarbeiten, um Risiken zu minimieren.

8. Berücksichtigen Sie die Risiken von Offboarded Business Associates

Geschäftspartner, die nicht mehr mit Ihrem Unternehmen zusammenarbeiten, können immer noch ein erhebliches Risiko darstellen - wenn sie nicht ordnungsgemäß ausgegliedert wurden. Seien Sie proaktiv und schaffen Sie Offboarding-Verfahren, um das Risiko für Ihr Unternehmen nach Vertragsende zu verringern.

Zu den wichtigsten Schritten gehören:

  • Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden, und verwenden Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
  • Nutzen Sie anpassbare Umfragen und Arbeitsabläufe, um über den Systemzugang, die Datenvernichtung, die Zugangsverwaltung, die Einhaltung aller relevanten Gesetze und die Abschlusszahlungen zu berichten.
  • Zentrale Speicherung und Verwaltung von Dokumenten und Zertifizierungen, wie NDAs, SLAs, SOWs und Verträge
  • Durchsetzung von Abhilfemaßnahmen, wenn dies zum Schutz des Unternehmens erforderlich ist
  • Visualisierung und Bewältigung aller verbleibenden Compliance-Anforderungen durch automatische Zuordnung der Bewertungsergebnisse zu bestehenden Vorschriften oder Rahmenwerken

Stellen Sie sicher, dass Sie bewährte Offboarding-Checklisten verwenden, um sicherzustellen, dass alle Aufgaben entsprechend den Risikomanagement-Prioritäten Ihres Unternehmens erledigt werden.

Ergebnisse eines gesunden Risikomanagementprogramms für Geschäftspartner von Drittanbietern

Ein proaktiveres Risikomanagementprogramm für Geschäftspartner bringt mehrere Vorteile mit sich.

Schnellere Erkennung von Symptomen

Durch die Automatisierung des Vertragsabschlusses mit Geschäftspartnern, des Onboarding, der Risikobewertung und der Überwachungsprozesse reduziert Ihr Team die Zeit, die normalerweise für das manuelle Sammeln, Analysieren und Verarbeiten von Informationen benötigt wird. Das bedeutet, dass Sie potenzielle Risiken für Geschäftspartner bereits zu einem früheren Zeitpunkt in der Geschäftsbeziehung oder während eines aktiven Cyberangriffs erkennen können, sodass Sie geeignete Maßnahmen ergreifen können, um die negativen Folgen zu mindern.

Genaue Diagnose der zugrundeliegenden Ursachen

Durch die Zentralisierung von Cyber-, Betriebs-, Reputations- und Finanzdaten von Drittanbietern - sei es beim Onboarding oder bei der fortlaufenden Überwachung - kann Ihr Team Daten aus verschiedenen Quellen mit den Bewertungsergebnissen abgleichen, das Potenzial für weitere Risiken erkennen und auf Risiken mit hoher Priorität reagieren. Dies vereinfacht auch die Audit-Berichterstattung.

Verordneter Weg zum Wohlbefinden

Durch automatisierte Abhilfemaßnahmen, die Überprüfung von Nachweisen und kompensierende Kontrollen stellt ein proaktiverer Ansatz für das Risikomanagement von Geschäftspartnern sicher, dass Dritte ihre Risiken auf einem für Ihr Unternehmen akzeptablen Niveau handhaben und dass sie über die nötigen Praktiken verfügen, um effektiv auf Störungen zu reagieren.

Organisationen des Gesundheitswesens sind in der Regel auf Hunderte von Drittanbietern angewiesen, um wichtige unterstützende Dienste bereitzustellen. Schwachstellen bei Drittanbietern können die Patientenversorgung ernsthaft gefährden. Daher ist es für Krankenhäuser unerlässlich, einen Prozess zur Identifizierung, Analyse und Abschwächung solcher Risiken zu entwickeln.

Nächste Schritte für das Risikomanagement für Dritte im Gesundheitswesen

Die Sammlung der richtigen Informationen zur Analyse der Sicherheitslage der Geschäftspartner Ihrer Organisation ist der Schlüssel zu einem effektiven Risikomanagementprogramm für Dritte. Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihre Organisation im Gesundheitswesen bei der Entwicklung eines TPRM-Programms unterstützen kann, das die Risiken über den gesamten Lebenszyklus des Lieferanten mindert, laden Sie das Whitepaper8 Schritte zum erfolgreichen Risikomanagement für Drittanbieter im Gesundheitswesen herunter, oder fordern Sie noch heute eine Demo an.

 

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2025 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2025 Mitratech, Inc. Alle Rechte vorbehalten.