Klassisches Portal: Datensicherheit und Datenschutz in Defender for Cloud Apps
Hinweis
Microsoft Defender for Cloud Apps ist Teil des Produkts Microsoft Defender XDR das Signale aus der gesamten Microsoft Defender Suite korreliert, um Erkennungs-, Untersuchungs- und Reaktionsfunktionen auf Vorfallsebene bereitzustellen. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft Defender XDR.
Microsoft Defender for Cloud Apps ist eine wichtige Komponente des Microsoft Cloud Security-Stapels. Es handelt sich um eine umfassende Lösung, mit der Ihre Organisation alle Vorteile von Cloudanwendungen nutzen kann. Mit Defender für Cloud Apps behalten Sie die Kontrolle durch umfassende Transparenz, Prüfung und detaillierte Kontrolle Ihrer vertraulichen Daten.
Defender für Cloud Apps verfügt über Tools, die dabei helfen, Schatten-IT aufzudecken und Risiken zu bewerten, während Sie gleichzeitig Richtlinien durchsetzen und Aktivitäten untersuchen können. Dieser Dienst hilft Ihnen dabei, den Zugriff in Echtzeit zu steuern und Bedrohungen abzuwehren, damit Ihr Unternehmen sicherer auf die Cloud umsteigen kann.
Defender for Cloud Apps Compliance
In einer Welt, in der Datenpannen und Angriffe an der Tagesordnung sind, ist es für Unternehmen unerlässlich, sich für einen Cloud Access Security Broker (CASB) zu entscheiden, der alle Anstrengungen unternimmt, um ihre Daten zu schützen. Microsoft Defender for Cloud Apps ist wie alle Cloudprodukte und -dienste von Microsoft darauf ausgelegt, die strengen Sicherheits- und Datenschutzanforderungen der Kunden zu erfüllen.
Damit Unternehmen nationale, regionale und branchenspezifische Anforderungen an die Erfassung und Verwendung personenbezogener Daten erfüllen könenn, bietet Microsoft Defender for Cloud Apps eine umfassende Palette an Complianceangeboten. Diese Angebote umfassen Zertifizierungen und Nachweise.
Konformitätsframework und -angebote
Microsoft Defender for Cloud Apps erfüllt viele internationale und branchenspezifische Konformitätsstandards u. a.:
| Organisation | Titel | Beschreibung |
|---|---|---|
 |
CSA STAR-Nachweis | Azure und Intune haben auf Grundlage einer unabhängigen Prüfung den STAR-Nachweis der Cloud Security Alliance erhalten. |
 |
CSA STAR-Zertifizierung | Azure, Intune und Power BI wurden mit der STAR-Zertifizierung der Cloud Security Alliance auf der Stufe Gold ausgezeichnet. |
 |
EU-Modellklauseln | Microsoft bietet EU-Standardvertragsklauseln und Garantien bei der Übermittlung personenbezogener Daten. |
 |
HIPAA/HITECH | Microsoft bietet Verträge für Geschäftspartner gemäß Health Insurance Portability & Accountability Act. |
 |
ISO 9001 | Microsoft ist für die Umsetzung dieser Qualitätsmanagementstandards zertifiziert. |
 |
ISO/IEC 27001 | Microsoft ist für die Umsetzung dieser Managementstandards für Informationssicherheit zertifiziert. |
 |
ISO/IEC 27018 | Microsoft war der erste Cloudanbieter, der diese Verhaltensregeln für Datenschutz in der Cloud eingehalten hat. |
 |
PCI-DSS | Azure erfüllt die Anforderungen von Payment Card Industry Data Security Standards Level 1, Version 3.1. |
 |
SOC 1- und SOC 2 Type 2-Berichte | Microsoft-Clouddienste entsprechen den SOC-Standards (Service Organization Controls) für betriebliche Sicherheit. |
|
SOC 3 | Microsoft-Clouddienste entsprechen den SOC-Standards (Service Organization Controls) für betriebliche Sicherheit. |
 |
G-Cloud (UK) | Der Crown Commercial Service erneuerte die Klassifizierung von Microsoft-Clouddiensten für Government Cloud v6. |
Klicken Sie unter Microsoft Compliance Offerings auf „Defender for Cloud Apps“ für weitere Informationen.
Datenschutz
Ihre Daten gehören Ihnen
In Microsoft Defender for Cloud Apps können Ihre Administratoren die im Dienst gespeicherten identifizierbaren persönlichen Daten mithilfe der Suchleiste im Portal anzeigen.
Administratoren können nach Metadaten oder Aktivitätsdaten für einen bestimmten Benutzer suchen. Durch Klicken auf eine Entität werden die Benutzer und Konten geöffnet. Auf der Seite Benutzer und Konten werden umfangreiche Informationen zur Entität bereitgestellt, die aus den verbundenen Cloudanwendungen abgerufen werden. Darüber hinaus werden der Aktivitätsverlauf für den Benutzer und Sicherheitswarnungen in Bezug auf den Benutzer angezeigt.
Sie sind Besitzer Ihrer Daten und können jederzeit Abonnements kündigen und die Löschung Ihrer Daten beantragen. Wenn Sie Ihr Abonnement nicht verlängern, werden Ihre Daten innerhalb der in den Nutzungsbedingungen für Onlinedienste festgelegten Frist gelöscht.
Wenn Sie sich entscheiden sollten, den Dienst zu beendigen, können Sie Ihre Daten mitnehmen.
Defender for Cloud Apps ist der Auftragsverarbeiter Ihrer Daten.
Defender for Cloud Apps verwendet Ihre Daten nur für Zwecke, die mit der Bereitstellung der von Ihnen abonnierten Dienste vereinbar sind.
Wenn sich eine staatliche Stelle an Microsoft wendet, um Zugang zu Ihren Daten zu erhalten, leitet Microsoft die Anfrage nach Möglichkeit an Sie, den Kunden, weiter. Microsoft hat unzulässige Rechtsforderungen angefochten, wodurch die Offenlegung von Kundendaten nach einer Anfrage durch eine Behörde verhindert wurde. Erfahren Sie mehr darüber, wer und unter welchen Bedingungen auf Ihre Daten zugreifen kann.
Kontrollmechanismen für den Datenschutz
- Mithilfe von Datenschutzkontrollen können Sie konfigurieren, wer in Ihrem Unternehmen Zugriff auf den Dienst hat und auf was zugegriffen werden kann.
Aktualisieren von personenbezogenen Daten
Persönliche Daten über Benutzer werden aus dem Objekt des Benutzers in den SaaS-Anwendungen verwendet. Aus diesem Grund spiegelt sich jede Änderung am Benutzerprofil in diesen Anwendungen in Microsoft Defender for Cloud Apps wider.
Datenspeicherort
Defender for Cloud Apps arbeitet derzeit in Rechenzentren in der Europäischen Union, im Vereinigten Königreich und im USA (jeweils „Geo"). Kundendaten, die vom Dienst erhoben werden, werden wie folgt gespeichert: (a) für Kunden, deren Mandanten in der Europäischen Union oder im Vereinigten Königreich bereitgestellt werden entweder in der Europäischen Union oder im Vereinigten Königreich; (b) andernfalls in einem Rechenzentrum im Geo, das dem Ort, an dem der Microsoft Entra-Mandant des Kunden bereitgestellt wurde, am nächsten liegt; oder (c) Wenn Defender für Cloud Apps einen anderen Microsoft-Onlinedienst (z. B. Microsoft Entra ID oder Azure CDN) zum Verarbeiten dieser Daten verwendet, wird die Datengeografie gemäß den Datenspeicherregeln dieses anderen Onlinediensts definiert.
Hinweis
Defender for Cloud Apps verwendet Azure Data Centers auf der ganzen Welt, um durch Geolocation eine optimierte Leistung zu bieten. Dies bedeutet, dass die Sitzung eines Benutzers je nach Datenverkehrsmustern und seinem Standort außerhalb einer bestimmten Region gehostet werden kann. Um Ihre Privatsphäre zu schützen, werden jedoch keine Sitzungsdaten in diesen Rechenzentren gespeichert.
Weitere Informationen zum Datenschutz
Transparenz
Microsoft bietet Transparenz:
- Sie erhalten Informationen darüber, wo Ihre Daten gespeichert werden.
- Sie erhalten eine Bestätigung, dass Ihre Daten nur für die mit Ihnen vereinbarten Dienste verwendet werden.
- Sie erhalten Informationen dazu, wie Microsoft-Entwickler und zugelassene Vertragspartner diese Daten nutzen, um Ihnen die betreffenden Dienste zur Verfügung stellen zu können.
Microsoft wendet strenge Kontrollen an, um den Zugriff auf Kundendaten zu regeln, gewährt die niedrigste Zugriffsstufe, die für die Erledigung wichtiger Aufgaben erforderlich ist, und widerruft den Zugriff, sobald er nicht mehr benötigt wird.
Datenschutz
Defender für Cloud Apps erzwingt den Datenschutz während der Inhaltsüberprüfung. Dateiinhalte werden nicht im Rechenzentrum von Defender for Cloud Apps gespeichert. Nur die Metadaten der Dateidatensätze und die Übereinstimmungen, die identifiziert wurden, werden gespeichert.
Datenaufbewahrung
Defender für Cloud Apps speichert Daten wie folgt:
- Aktivitätsprotokoll: 180 Tage
- Ermittlungsdaten: 90 Tage
- Warnungen: 180 Tage
- Governanceprotokoll: 120 Tage
Weitere Informationen zum Umgang mit Daten durch Microsoft finden Sie in den Nutzungsbedingungen für Onlinedienste.
Weitere Informationen zur Transparenz
Löschen personenbezogener Daten
Sobald ein Benutzerkonto aus einer verbundenen Cloudanwendung gelöscht worden ist, löscht Microsoft Defender for Cloud Apps automatisch die Kopie der Daten innerhalb von 2 Jahren.
Exportieren personenbezogener Daten
Mit Microsoft Defender for Cloud Apps können Sie alle Benutzeraktivitäten und Sicherheitswarnungsinformationen in CSV-Dateien exportieren.
Datenfluss
Defender for Cloud Apps bietet Ihnen den Komfort beim Arbeiten mit einigen Daten, z. B. Warnungen und Aktivitäten, ohne Ihren üblichen Sicherheitsworkflow zu unterbrechen. SecOps kann z. B. die Anzeige von Warnungen in ihrem bevorzugten SIEM-Produkt wie Microsoft Sentinel bevorzugen. Um solche Workflows zu ermöglichen, macht Defender for Cloud Apps bei der Integration mit Microsoft- oder Drittanbieterprodukten einige Daten über sie verfügbar.
Die folgende Tabelle zeigt, welche Daten für jede Produktintegration angezeigt werden:
Microsoft-Produkte
| Produkt | Data Exposed | Konfiguration |
|---|---|---|
| Microsoft Defender XDR | Warnungen und Benutzeraktivitäten | Beim Onboarding automatisch auf Microsoft Defender XDR aktiviert |
| Microsoft Sentinel | Warnungen und Ermittlungsdaten | In Defender for Cloud Apps aktiviert und in Microsoft Sentinel konfiguriert |
| Grundlegendes zum Microsoft Purview-Complianceportal | Benachrichtigungen für Microsoft 365 | Automatisch an Microsoft Purview-Complianceportal gestreamt |
| Microsoft Defender für Cloud | Warnungen für Azure | In Defender for Cloud Apps standardmäßig aktiviert; kann in Microsoft Defender für Cloud deaktiviert werden |
| Microsoft Graph-Sicherheits-API | Alerts | Via Microsoft Graph Security API verfügbar |
| Microsoft Power Automate | Warnungen, die gesendet werden, um einen automatisierten Fluss auszulösen | Konfiguriert in Defender for Cloud Apps |
| Microsoft Entra ID-Schutz | Teilmenge der Warnungen für das Identitätsrisikomodell | Beim Onboarding automatisch auf Microsoft Entra ID Protection aktiviert |
Drittanbieterprodukte
| Integrationstyp | Data Exposed | Konfiguration |
|---|---|---|
| Verwenden eines SIEM-Agents | Warnungen und Ereignisse | Aktiviert und konfiguriert in Defender for Cloud Apps |
| Unter Verwendung der Defender for Cloud Apps-REST-API | Warnungen und Ereignisse | Aktiviert und konfiguriert in Defender for Cloud Apps |
| ICAP Connector | Datei für DLP-Scan | Aktiviert und konfiguriert in Defender for Cloud Apps |
Hinweis
Andere Produkte erzwingen möglicherweise keine rollenbasierten Sicherheitsberechtigungen für Defender for Cloud Apps, um zu steuern, wer Zugriff auf welche Daten hat. Stellen Sie daher vor der Integration mit anderen Produkten sicher, welche Daten an das Produkt gesendet werden, das Sie verwenden möchten und wer darauf zugreifen kann.
Sicherheit
Verschlüsselung
Microsoft nutzt Verschlüsselungstechnologie, um Ihre Daten zu schützen, während sie in einer Microsoft-Datenbank ruhen und wenn sie zwischen Endgeräten und Defender for Cloud Apps-Rechenzentren ausgetauscht werden. Die gesamte Kommunikation zwischen Defender for Cloud Apps und verbundenen Apps wird außerdem mit HTTPS verschlüsselt.
Hinweis
Defender for Cloud Apps nutzt die Transport Layer Security (TLS)-Protokolle 1.2+, um eine erstklassige Verschlüsselung zu gewährleisten. Systemeigene Clientanwendungen und Browser, die TLS 1.2+ nicht unterstützen, sind nicht zugänglich, wenn sie mit sitzungssteuerung konfiguriert sind. SaaS-Apps, die TLS 1.1 oder niedriger verwenden, werden jedoch im Browser als TLS 1.2+ angezeigt, wenn sie mit Defender for Cloud Apps konfiguriert sind.
Identitäts- und Zugriffsverwaltung
Defender for Cloud Apps ermöglicht es Ihnen, den Zugriff von Administratoren auf das Portal basierend auf der Geolocation mithilfe der Microsoft Entra-ID zu beschränken. Es ist möglich, Multi-Factor-Authentification für den Zugriff auf das Defender for Cloud Apps-Portal unter Verwendung von Azure Active Directory anzufordern.
Berechtigungen
Defender for Cloud Apps unterstützt die rollenbasierte Zugriffssteuerung. Microsoft 365- und Microsoft Entra-Administrator- und Sicherheitsadministratorrollen haben Vollzugriff auf Defender for Cloud Apps, und Sicherheitsleser haben Lesezugriff. Weitere Informationen.
Steuerelemente von Kunden für Unternehmenskonformität
Bereichsbezogene Bereitstellung
Mit Defender for Cloud Apps können Sie ihre Bereitstellung einschränken. Dies ermöglicht es Ihnen, nur bestimmte Gruppen mit Defender for Cloud Apps zu verwalten oder bestimmte Gruppen von der Defender for Cloud Apps-Governance auszuschließen. Weitere Informationen finden Sie unter Bereichsbezogene Bereitstellung.
Anonymisierung
Sie können Cloud Discovery-Berichte wahlweise anonym halten. Nachdem Ihre Protokolldateien in Microsoft Defender for Cloud Apps hochgeladen wurden, werden alle Informationen zum Benutzernamen durch verschlüsselte Benutzernamen ersetzt. Für spezielle Sicherheitsuntersuchungen kann der echte Benutzername aufgelöst werden. Private Daten werden mithilfe von AES-128 mit einem dedizierten Schlüssel pro Mandant verschlüsselt. Weitere Informationen.
Sicherheit und Datenschutz für Defender for Cloud Apps US Government GCC High-Kunden
Informationen zu den Compliancestandards für Defender for Cloud Apps und zum Speicherort von Daten für US Government GCC High-Kunden finden Sie in der Dienstbeschreibung enterprise Mobility + Security für US Government.
Nächste Schritte
- Übersicht Defender for Cloud Apps
- Defender for Cloud Apps – Dokumentation
- Registrieren für Defender for Cloud Apps
Holen Sie sich eine kostenlose Testversion von Defender for Cloud Apps, und erfahren Sie, wie Defender for Cloud Apps Ihre geschäftlichen Herausforderungen meistert.