So schützen SharePoint und OneDrive Ihre Daten in der Cloud
Sie kontrollieren Ihre Daten. Wenn Sie Ihre Daten in SharePoint und OneDrive für Microsoft 365 ablegen, bleiben Sie der Eigentümer der Daten. Weitere Informationen zum Besitzstatus an Ihren Daten finden Sie unter Microsoft 365 – Datenschutz als Konzept.
So behandeln wir Ihre Daten
Microsoft-Techniker verwalten SharePoint und OneDrive mithilfe einer PowerShell-Konsole, die eine Zwei-Faktor-Authentifizierung erfordert. Wir führen tägliche Aufgaben in Form von Workflows durch, um schnell auf neue Situationen reagieren zu können. Eincheckvorgänge für den Dienst erfordern eine Codeüberprüfung und eine Genehmigung durch das Management.
Kein Techniker hat ständige Zugriff auf den Dienst. Wenn Techniker Zugriff benötigen, müssen sie ihn anfordern. Ihre Berechtigung wird überprüft, und wenn der Zugriff des Technikers genehmigt wurde, erfolgt dies nur für einen begrenzten Zeitraum. In seltenen Fällen, in denen Microsoft-Techniker Zugriff auf Inhalte benötigen (z. B. wenn Sie ein Support-Ticket einreichen, weil ein Benutzer nicht auf eine wichtige Datei zugreifen kann, von der wir glauben, dass sie beschädigt ist), müssen die Techniker einen bestimmten Workflow einchecken, der eine geschäftliche Begründung erfordert und Genehmigung durch den Manager. Ein Überwachungsereignis wird generiert, das Sie im Microsoft 365 Admin Center anzeigen können. Sie können auch ein Feature namens Kunden-Lockbox aktivieren, sodass Sie die Anforderung genehmigen müssen. Der Techniker erhält nur Zugriff auf die betreffende Datei. Informationen zum Aktivieren oder Deaktivieren der Kunden-Lockbox sowie zum Genehmigen und Ablehnen von Anforderungen finden Sie unter Microsoft Purview-Kunden-Lockbox-Anforderungen.
So können Sie Ihre Daten zuverlässig schützen
Eines der wichtigsten Dinge, die Sie zum Schutz Ihrer Daten tun können, besteht darin, eine zweistufige Authentifizierung für Ihre Identitäten in Microsoft 365 anzufordern. Dadurch wird verhindert, dass Anmeldeinformationen ohne einen zweiten Faktor verwendet werden, und die Auswirkungen kompromittierter Kennwörter werden gemildert. Der zweite Schritt kann über einen Telefonanruf, eine SMS oder eine App erfolgen. Beginnen Sie beim Rollout der zweistufigen Authentifizierung mit Ihren globalen Administratoren und dann mit anderen Administratoren und Websitesammlungsadministratoren. Informationen dazu finden Sie unter Einrichten der mehrstufigen Authentifizierung für Microsoft 365-Benutzer.
Weitere Dinge, die wir empfehlen, um die Sicherheit zu erhöhen:
Verwenden Sie Microsoft Entra gerätebasierten bedingten Zugriff, um den Zugriff auf nicht verwaltete Geräte wie Flughafen- oder Hotelkiosks zu blockieren oder einzuschränken. Siehe: Steuern des Zugriffs von nicht verwalteten Geräten.
Erstellen Sie Richtlinien, um Benutzer nach einem Zeitraum der Inaktivität von Microsoft 365-Websitzungen abzumelden. Weitere Informationen finden Sie unter Inaktive Benutzer abmelden.
Bewerten Sie den Bedarf an IP-basierten Sitzungen. Diese simulieren das Zugriffsmodell einer lokalen Bereitstellung. Lesen Sie mehr unter Steuern des Zugriffs basierend auf Netzwerkstandort oder App.
Ermöglichen Sie es Mitarbeitern, umfassend sowie sicher zu teilen. Sie können eine Anmeldung anfordern oder Links verwenden, die ablaufen oder eingeschränkte Berechtigungen gewähren. Siehe: Verwalten der externen Freigabe für Ihre SharePoint-Umgebung.
Verhindern Sie die versehentliche Offenlegung vertraulicher Inhalte. Erstellen Sie DLP-Richtlinien, um Dokumente zu identifizieren und deren gemeinsame Nutzung zu verhindern. Weitere Informationen zu Verhinderung von Datenverlust.
Schutz während der Datenübertragung und von ruhenden Daten
Schutz während der Datenübertragung
Wenn Daten von Clients und zwischen Rechenzentren in den Dienst übertragen werden, werden sie durch erstklassige Verschlüsselung geschützt. Informationen finden Sie unter Datenverschlüsselung in OneDrive und SharePoint. Wir erlauben nur sicheren Zugriff. Wir werden keine authentifizierten Verbindungen über HTTP herstellen, sondern stattdessen auf HTTPS umleiten.
Schutz von ruhenden Daten
Physischer Schutz: Nur eine begrenzte Anzahl wichtiger Mitarbeiter hat Zugang zu den Rechenzentren. Ihre Identitäten werden anhand mehrerer Authentifizierungsfaktoren verifiziert, darunter Smartcards und biometrische Daten. Es gibt Sicherheitsbeauftragte vor Ort, Bewegungsmelder und Videoüberwachung. Warnungen bei Angriffserkennung überwachen anomale Aktivitäten.
Netzwerkschutz: Die Netzwerke und Identitäten sind vom Microsoft-Unternehmensnetzwerk isoliert. Wir verwalten den Dienst mit dedizierten Active Directory-Domänen, wir haben separate Domänen für Test und Produktion, und die Produktionsdomäne ist aus Gründen der Zuverlässigkeit und Sicherheit in mehrere isolierte Domänen unterteilt. Weitere Informationen zur integrierten physischen und logischen Sicherheit von Microsoft 365 finden Sie unter integrierte Sicherheit aus Microsoft 365.
Anwendungssicherheits: Techniker, die Features erstellen, befolgen den Security Development Lifecycle. Automatisierte und manuelle Analysen helfen, mögliche Sicherheitsrisiken zu erkennen. Das Microsoft Security Response Center (Microsoft Security Response Center) hilft bei der Einstufung eingehender Sicherheitsrisikoberichte und der Bewertung von Risikominderungen. Über die Microsoft Cloud Bug Bounty können Personen auf der ganzen Welt Geld verdienen, indem sie Sicherheitsrisiken melden. Weitere Informationen hierzu finden Sie unter Microsoft Cloud Bug Bounty-Bedingungen.
Inhaltsschutz: Ihre Daten werden auf Datenträgerebene mit BitLocker-Verschlüsselung und auf Dateiebene mit Schlüsseln verschlüsselt. Informationen finden Sie unter Datenverschlüsselung in OneDrive und SharePoint. Informationen zur Verwendung des Kundenschlüssels zum Bereitstellen und Steuern der Schlüssel, die zum Verschlüsseln Ihrer ruhenden Daten in Microsoft 365 verwendet werden, finden Sie unter Häufig gestellte Fragen zur Dienstverschlüsselung mit Microsoft Purview-Kundenschlüssel.
Das Microsoft 365 Antimalware-Modul scannt Dokumente zum Zeitpunkt des Uploads nach Inhalten, die einer AV-Signatur entsprechen (stündlich aktualisiert). Weitere Informationen finden Sie unter Virenerkennung in SharePoint. Verwenden Sie für einen erweiterten Schutz Microsoft 365 Advanced Threat Protection (ATP). ATP analysiert gemeinsam genutzte Inhalte und wendet Threat Intelligence und Bedrohungsanalysen an, um ausgeklügelte Bedrohungen zu erkennen. Weitere Informationen finden Sie unter Microsoft 365 Advanced Threat Protection.
So begrenzen Sie das Risiko, dass Inhalte auf nicht vertrauenswürdige Geräte heruntergeladen werden:
Synchronisierung auf Geräte in den angegebenen Domänen beschränken: Synchronisierung nur auf Computern zulassen, die mit bestimmten Domänen verknüpft sind.
Verwenden Sie Intune, um den Zugriff auf Inhalte in den mobilen OneDrive- und SharePoint-Apps einzuschränken: Zugriffssteuerung auf Features in den mobilen OneDrive- und SharePoint-Apps.
So verwalten Sie ruhende Inhalte:
Konfigurieren von IRM-Richtlinien in SharePoint-Dokumentbibliotheken zum Einschränken des Downloads von Inhalten. Siehe: Einrichten von Information Rights Management (IRM) im SharePoint Admin Center.
Bewerten Sie die Verwendung von Azure Information Protection (AIP). Durch Klassifizierung und Bezeichnung können Sie die Verwendung von Daten nachverfolgen und steuern. Besuchen Sie Azure Information Protection.
Hohe Verfügbarkeit, immer wiederherstellbar
Unsere Rechenzentren sind innerhalb der Region geografisch verteilt und fehlertolerant. Daten werden in mindestens zwei Rechenzentren gespiegelt, um die Auswirkungen einer Naturkatastrophe oder eines Dienstausfalls zu minimieren. Weitere Informationen finden Sie unter Wo Ihre Microsoft 365-Kundendaten gespeichert werden.
Metadaten-Backups werden 14 Tage lang aufbewahrt und können innerhalb von fünf Minuten zu einem beliebigen Zeitpunkt wiederhergestellt werden.
Im Falle eines Ransomware-Angriffs können Sie mit dem Versionsverlauf (Versionsverwaltung für eine Liste oder Bibliothek aktivieren und konfigurieren) ein Rollback durchführen und den Papierkorb oder den Papierkorb der Websitesammlung wiederherstellen (Gelöschte Elemente aus dem Papierkorb der Websitesammlung wiederherstellen). Wenn ein Element aus dem Papierkorb der Websitesammlung entfernt wird, können Sie den Support innerhalb von 14 Tagen anrufen, um auf eine Datensicherung zuzugreifen. Informationen zum neuen Feature zum Wiederherstellen von Dateien, mit der Benutzer ein gesamtes OneDrive zu einem beliebigen Zeitpunkt innerhalb der letzten 30 Tage wiederherstellen können, finden Sie unter Wiederherstellen Ihres OneDrive.
Fortlaufende Überprüfung
Wir überwachen unsere Rechenzentren kontinuierlich, um ihre Integrität und Sicherheit zu gewährleisten. Dies beginnt mit dem Inventar. Ein Inventaragent scannt jedes Subnetz auf der Suche nach Nachbarn. Für jeden Computer führen wir eine Zustandserfassung durch.
Nachdem wir über ein Inventar verfügen, können wir die Integrität von Computern überwachen und korrigieren. Der Sicherheitspatch-Train wendet Patches an, aktualisiert Antivirensignaturen und stellt sicher, dass wir eine als funktionierend bekannte Konfiguration gespeichert haben. Wir verfügen über eine rollenspezifische Logik, die sicherstellt, dass wir nur einen bestimmten Prozentsatz der Maschinen gleichzeitig patchen oder rotieren.
Wir haben einen automatisierten Workflow, um Maschinen zu identifizieren, die nicht den Richtlinien entsprechen, und sie zum Austausch in die Warteschlange zu stellen.
Das Microsoft 365 „Red Team“ innerhalb von Microsoft besteht aus Angriffsexperten. Sie suchen nach jeder Möglichkeit, sich unberechtigten Zugang zu verschaffen. Das „Blue Team“ besteht aus Defense-Technikern, die sich auf Prävention, Erkennung und Wiederherstellung konzentrieren. Sie erstellen Technologien zum Erkennen von und Reagieren auf Angriffe. Weitere Informationen zu den Erkenntnissen der Sicherheitsteams bei Microsoft finden Sie im Sicherheit, Datenschutz und Compliance-Blog
So überwachen und beobachten Sie Aktivitäten in Ihrem Microsoft 365-Abonnement:
Wenn Sie über ein lokales Security Operations Center oder SIEM verfügen, können Sie die Aktivität mit der Verwaltungsaktivitäts-API überwachen. Weitere Informationen finden Sie unter Microsoft 365 Verwaltungs-APIs – Übersicht. Dadurch werden Aktivitäten aus SharePoint, Exchange, Microsoft Entra-ID, DLP und mehr angezeigt. Wenn Sie kein lokales Security Operations Center oder SIEM haben, können Sie Cloud App Security verwenden. Cloud App Security verwendet die Verwaltungsaktivitäts-API. Weitere Informationen finden Sie unter Übersicht über die Sicherheit von Microsoft 365 Cloud-Apps. Über Cloud App Security können Sie Aktivitäten melden, suchen und benachrichtigen.
Verwenden Sie Microsoft Entra ID Protection. Dabei wird maschinelles Lernen angewendet, um verdächtiges Kontoverhalten zu erkennen, beispielsweise gleichzeitige Anmeldungen desselben Benutzers in verschiedenen Teilen der Welt. Sie können Identity Protection so konfigurieren, dass Maßnahmen ergriffen werden, um diese Anmeldungen zu blockieren. Weitere Informationen finden Sie unter Microsoft Entra ID Protection.
Verwenden Sie die Sicherheitsbewertung, um das Sicherheitsprofil Ihres Abonnements anhand einer positiv bekannten Basis zu bewerten und Möglichkeiten zur Erhöhung des Schutzes zu identifizieren. Weitere Informationen finden Sie unter Microsoft-Sicherheitsbewertung.
Geprüft und kompatibel
Die Einhaltung gesetzlicher Vorschriften ist für Microsoft 365 von grundlegender Bedeutung. Wir stellen sicher, dass der Dienst den behördlichen und Compliance-Standards entspricht. Wir helfen Ihnen auch, Ihren Überwachungs- und Compliance-Verpflichtungen nachzukommen. Das Service Trust Portal ist eine zentrale Anlaufstelle für Compliance- und Vertrauensinformationen für Microsoft-Unternehmensdienste. Das Portal enthält Berichte, Whitepaper, Verletzlichkeitsbewertungen und Compliance-Leitfäden. Weitere Informationen zum Service Trust Portal finden Sie unter Erste Schritte mit dem Microsoft Service Trust Portal.
Um Ihre behördlichen Anforderungen zu erfüllen:
Microsoft 365-Aktivität im Security & Compliance Center überwachen: Durchsuchen Sie das Überwachungsprotokoll im Microsoft 365 Security & Compliance Center.
Erstellen von eDiscovery-Fällen: Verwalten von eDiscovery-Fällen im Microsoft 365 Security & Compliance Center
Anwenden von Aufbewahrungsrichtlinien: Erstellen und Anwenden von Informationsverwaltungsrichtlinien.