Verschlüsselung und Schlüsselverwaltung (Übersicht)

Welche Rolle spielt verschlüsselung beim Schutz von Kundeninhalten?

Die meisten Microsoft Business Cloud Services sind mehrinstanzenfähig, was bedeutet, dass Kundeninhalte auf derselben physischen Hardware wie andere Kunden gespeichert werden können. Um die Vertraulichkeit von Kundeninhalten zu schützen, Onlinedienste Microsoft alle ruhenden und übertragenen Daten mit einigen der stärksten und sichersten verfügbaren Verschlüsselungsprotokolle verschlüsseln.

Verschlüsselung ist kein Ersatz für starke Zugriffssteuerungen. Die Microsoft-Zugriffssteuerungsrichtlinie von Zero Standing Access (ZSA) schützt Kundeninhalte vor unbefugtem Zugriff durch Microsoft-Mitarbeiter. Verschlüsselung ergänzt die Zugriffssteuerung, indem sie die Vertraulichkeit von Kundeninhalten überall dort schützt, wo sie gespeichert sind, und indem verhindert wird, dass Inhalte während der Übertragung zwischen Microsoft Onlinedienste-Systemen oder zwischen Microsoft Onlinedienste und dem Kunden gelesen werden.

Wie verschlüsselt Microsoft Onlinedienste ruhende Daten?

Alle Kundeninhalte in Microsoft Onlinedienste sind durch eine oder mehrere Verschlüsselungsformen geschützt. Microsoft-Server verwenden BitLocker, um die Datenträgerlaufwerke mit Kundeninhalten auf Volumeebene zu verschlüsseln. Die von BitLocker bereitgestellte Verschlüsselung schützt Kundeninhalte, wenn es bei anderen Prozessen oder Kontrollen (z. B. Zugriffssteuerung oder Wiederverwendung von Hardware) zu Einem fehlerhaften physischen Zugriff auf Datenträger mit Kundeninhalten kommen kann.

Zusätzlich zur Verschlüsselung auf Volumeebene Onlinedienste Microsoft die Dienstverschlüsselung auf Anwendungsebene verwenden, um Kundeninhalte zu verschlüsseln. Die Dienstverschlüsselung bietet Zusätzlich zu starkem Verschlüsselungsschutz auch Rechteschutz- und Verwaltungsfunktionen. Es ermöglicht auch die Trennung zwischen Windows-Betriebssystemen und den Kundendaten, die von diesen Betriebssystemen gespeichert oder verarbeitet werden.

Wie verschlüsselt Microsoft Onlinedienste Daten während der Übertragung?

Microsoft Onlinedienste starke Transportprotokolle wie TLS verwenden, um zu verhindern, dass nicht autorisierte Parteien Kundendaten abhören, während sie über ein Netzwerk verschoben werden. Beispiele für Daten während der Übertragung sind E-Mail-Nachrichten, die gerade übermittelt werden, Unterhaltungen, die in einer Onlinebesprechung stattfinden, oder Dateien, die zwischen Rechenzentren repliziert werden.

Bei Microsoft Onlinedienste gelten Daten immer dann als "übertragen", wenn das Gerät eines Benutzers mit einem Microsoft-Server kommuniziert oder ein Microsoft-Server mit einem anderen Server kommuniziert.

Wie verwaltet Microsoft Onlinedienste die für die Verschlüsselung verwendeten Schlüssel?

Eine starke Verschlüsselung ist nur so sicher wie die Schlüssel, die zum Verschlüsseln von Daten verwendet werden. Microsoft verwendet eigene Sicherheitszertifikate zum Verschlüsseln von TLS-Verbindungen für Daten während der Übertragung. Für ruhende Daten werden bitLocker-geschützte Volumes mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der mit einem Volumehauptschlüssel verschlüsselt ist, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. BitLocker verwendet FIPS-kompatible Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals über das Netzwerk gespeichert oder gesendet werden.

Die Dienstverschlüsselung bietet eine weitere Verschlüsselungsebene für ruhende Daten von Kunden, sodass Kunden zwei Optionen für die Verschlüsselungsschlüsselverwaltung haben: von Microsoft verwaltete Schlüssel oder Kundenschlüssel. Bei Verwendung von von Microsoft verwalteten Schlüsseln Onlinedienste Microsoft automatisch die für die Dienstverschlüsselung verwendeten Stammschlüssel generieren und sicher speichern.

Kunden mit Anforderungen zum Steuern ihrer eigenen Stammverschlüsselungsschlüssel können die Dienstverschlüsselung mit Dem Microsoft Purview-Kundenschlüssel verwenden. Mithilfe des Kundenschlüssels können Kunden ihre eigenen kryptografischen Schlüssel entweder mithilfe eines lokalen Hardwaredienstmoduls (HSM) oder azure Key Vault (AKV) generieren. Kundenstammschlüssel werden in AKV gespeichert, wo sie als Stamm eines der Keychains verwendet werden können, der Kundenpostfachdaten oder -dateien verschlüsselt. Auf Kundenstammschlüssel kann nur indirekt über den Microsoft-Onlinedienstcode für die Datenverschlüsselung zugegriffen werden, und microsoft-Mitarbeiter können nicht direkt darauf zugreifen.

Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. In der folgenden Tabelle finden Sie Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit Verschlüsselung und Schlüsselverwaltung.

Azure und Dynamics 365

Externe Überwachungen Section Datum des letzten Berichts
ISO 27001/27002

Erklärung der Anwendbarkeit
Zertifikat
A.10.1: Kryptografische Steuerelemente
A.18.1.5: Kryptografische Steuerelemente
7. November 2022
ISO 27017

Erklärung der Anwendbarkeit
Zertifikat
A.10.1: Kryptografische Steuerelemente
A.18.1.5: Kryptografische Steuerelemente
7. November 2022
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden 7. November 2022
SOC 1
SOC 2
SOC 3
DS-1: Sichere Speicherung kryptografischer Zertifikate und Schlüssel
DS-2: Kundendaten werden während der Übertragung verschlüsselt
DS-3: Interne Kommunikation von Azure-Komponenten, die während der Übertragung verschlüsselt sind
DS-4: Kryptografische Steuerelemente und Verfahren
23. November 2022

Office 365

Externe Überwachungen Section Datum des letzten Berichts
FedRAMP SC-8: Vertraulichkeit und Integrität der Übertragung
SC-13: Verwendung von Kryptografie
SC-28: Schutz ruhender Informationen
27. Juli 2022
ISO 27001/27002/27017

Erklärung der Anwendbarkeit
Zertifizierung (27001/27002)
Zertifizierung (27017)
A.10.1: Kryptografische Steuerelemente
A.18.1.5: Kryptografische Steuerelemente
März 2022
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden März 2022
SOC 2 CA-44: Verschlüsselung von Daten während der Übertragung
CA-54: Verschlüsselung ruhender Daten
CA-62: Postfachverschlüsselung für Kundenschlüssel
CA-63: Löschen von Kundenschlüsseldaten
CA-64: Kundenschlüssel
3. Januar 2023
SOC 3 CUEC-16: Kundenverschlüsselungsschlüssel
CUEC-17: Kundenschlüsseltresor
CUEC-18: Kundenschlüsselrotation
3. Januar 2023

Ressourcen