Übersicht über die Verwaltung von Sicherheitsvorfällen
Was ist ein Sicherheitsvorfall?
Microsoft definiert einen Sicherheitsvorfall in seinen Onlinediensten als eine bestätigte Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unberechtigten Offenlegung von oder zum unberechtigten Zugriff auf Kundendaten oder personenbezogene Daten während der Verarbeitung durch Microsoft führt. Beispielsweise würde ein nicht autorisierter Zugriff auf die Microsoft Onlinedienste-Infrastruktur und die Exfiltration von Kundendaten einen Sicherheitsvorfall darstellen, während Complianceereignisse, die sich nicht auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Diensten oder Kundendaten auswirken, nicht als Sicherheitsvorfälle betrachtet werden.
Wie reagiert Microsoft auf Sicherheitsvorfälle?
Bei jedem Sicherheitsvorfall ist Microsoft bestrebt, schnell und effektiv zu reagieren, um Microsoft-Dienste und Kundendaten zu schützen. Microsoft verwendet eine Strategie zur Reaktion auf Vorfälle, die entwickelt wurde, um Sicherheitsbedrohungen schnell und effizient zu untersuchen, einzudämten und zu entfernen.
Microsoft-Clouddienste werden kontinuierlich auf Anzeichen einer Kompromittierung überwacht. Zusätzlich zur automatisierten Sicherheitsüberwachung und -warnung erhalten alle Mitarbeiter jährliche Schulungen, um Anzeichen potenzieller Sicherheitsvorfälle zu erkennen und zu melden. Verdächtige Aktivitäten, die von Mitarbeitern, Kunden oder Sicherheitsüberwachungstools erkannt werden, werden zur Untersuchung an dienstspezifische Sicherheitsreaktionsteams eskaliert. Alle Dienstbetriebsteams, einschließlich dienstspezifischer Security Response-Teams, verwalten eine umfassende Rotation im Bereitschaftsdienst, um sicherzustellen, dass Ressourcen für die Reaktion auf Vorfälle 24x7x365 verfügbar sind. Mit unseren Rotationen im Bereitschaftsdienst kann Microsoft jederzeit eine effektive Reaktion auf Vorfälle bereitstellen, einschließlich weit verbreiteter oder gleichzeitiger Ereignisse.
Wenn verdächtige Aktivitäten erkannt und eskaliert werden, initiieren dienstspezifische Security Response-Teams einen Prozess der Analyse, Eindämmung, Tilgung und Wiederherstellung. Diese Teams koordinieren die Analyse des potenziellen Incidents, um dessen Umfang zu bestimmen, einschließlich der Auswirkungen auf Kunden oder Kundendaten. Basierend auf dieser Analyse arbeiten dienstspezifische Security Response-Teams mit betroffenen Serviceteams zusammen, um einen Plan zu entwickeln, um die Bedrohung einzudämmen und die Auswirkungen des Incidents zu minimieren, die Bedrohung aus der Umgebung zu beseitigen und vollständig in einen bekannten sicheren Zustand wiederherzustellen. Relevante Serviceteams implementieren den Plan mit Unterstützung durch dienstspezifische Sicherheitsreaktionsteams, um sicherzustellen, dass die Bedrohung erfolgreich beseitigt wird und betroffene Dienste einer vollständigen Wiederherstellung unterzogen werden.
Nachdem ein Incident behoben wurde, implementieren Serviceteams alle aus dem Vorfall gewonnenen Erkenntnisse, um ähnliche Vorfälle in Zukunft besser zu verhindern, zu erkennen und darauf zu reagieren. Wählen Sie Sicherheitsvorfälle aus, insbesondere solche Vorfälle, die kundenbeeinflussend sind oder zu einer Datenverletzung führen, werden post mortem einem vollständigen Incident unterzogen. Die nachträgliche Analyse dient zur Ermittlung von technischen Fehlern, Verfahrensfehlern, manuellen Fehlern und anderen Prozessmängeln, die möglicherweise zu dem Vorfall beigetragen haben oder während der Vorfallreaktion erkannt wurden. Verbesserungen, die während der Post-Mortem-Phase identifiziert wurden, werden mit der Koordination von dienstspezifischen Security Response-Teams implementiert, um zukünftige Vorfälle zu verhindern und die Erkennungs- und Reaktionsfunktionen zu verbessern.
Wie und wann werden Kunden über Sicherheits- oder Datenschutzvorfälle benachrichtigt?
Wenn Microsoft kenntnis von einer Sicherheitsverletzung mit unbefugtem Verlust, Offenlegung oder Änderung von Kundendaten wird, benachrichtigt Microsoft die betroffenen Kunden innerhalb von 72 Stunden, wie im Datenschutz-Nachtrag (DPA) beschrieben. Die Verpflichtung zur Benachrichtigung auf der Zeitachse beginnt mit dem Eintreten der offiziellen Deklaration des Sicherheitsvorfalls. Wenn ein Sicherheitsvorfall gemeldet wird, erfolgt die Benachrichtigung so schnell wie möglich und ohne unangemessene Verzögerung.
Benachrichtigungen enthalten eine Beschreibung der Art der Sicherheitsverletzung, ungefähre Auswirkungen von Benutzern und Schritte zur Entschärfung (falls zutreffend). Wenn die Untersuchung von Microsoft zum Zeitpunkt der ersten Benachrichtigung nicht abgeschlossen ist, werden in der Benachrichtigung auch die nächsten Schritte und Zeitpläne für die nachfolgende Kommunikation angegeben.
Wenn ein Kunde auf einen Vorfall aufmerksam wird, der Auswirkungen auf Microsoft haben könnte, einschließlich, aber nicht beschränkt auf eine Datenverletzung, ist der Kunde dafür verantwortlich, Microsoft unverzüglich über den Vorfall gemäß der DPA zu benachrichtigen.
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. In der folgenden Tabelle finden Sie Informationen zur Überprüfung von Kontrollen im Zusammenhang mit der Incidentverwaltung.
Azure und Dynamics 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| ISO 27001/27002 Erklärung der Anwendbarkeit Zertifikat |
A.16.1: Management von Informationssicherheitsvorfällen und -verbesserungen | 6. November 2023 |
| ISO 27017 Erklärung der Anwendbarkeit Zertifikat |
A.16.1: Management von Informationssicherheitsvorfällen und -verbesserungen | 6. November 2023 |
| ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A.9.1: Benachrichtigung über eine Datenschutzverletzung mit personenbezogenen Informationen | 6. November 2023 |
| SOC 1 | IM-1: Framework für die Verwaltung von Vorfällen IM-2: Erkennungsmechanismen und Warnungen IM-3: Ausführung der Reaktion auf Vorfälle IM-4: Incident postmortems IM-6: Tests zur Reaktion auf Vorfälle OA-7: Zugriff auf Bereitschaftstechniker |
17. November 2023 |
| SOC 2 SOC 3 |
CCM-9: Forensische Verfahren CUEC: Melden von Vorfällen IM-1: Framework für die Verwaltung von Vorfällen IM-2: Erkennungsmechanismen und Warnungen IM-3: Ausführung der Reaktion auf Vorfälle IM-4: Incident postmortems IM-6: Tests zur Reaktion auf Vorfälle OA-7: Zugriff auf Bereitschaftstechniker SOC2-6: Kundensupport-Website SOC2-9: Dienstdashboards |
17. November 2023 |
Microsoft 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| FedRAMP (Office 365) | IR-4: Behandlung von Incidents IR-6: Vorfallberichterstattung IR-8: Plan zur Reaktion auf Vorfälle |
31. Juli 2023 |
| ISO 27001/27002/27017 Erklärung der Anwendbarkeit Zertifizierung (27001/27002) Zertifizierung (27017) |
A.16.1: Management von Informationssicherheitsvorfällen und -verbesserungen | März 2024 |
| ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A.10.1: Benachrichtigung über eine Datenschutzverletzung mit personenbezogenen Daten | März 2024 |
| SOC 1 | CA-26: Berichterstellung für Sicherheitsvorfälle CA-47: Reaktion auf Vorfälle |
23. Januar 2024 |
| SOC 2 | CA-12: Vereinbarungen zum Servicelevel (SLAs) CA-13: Leitfäden zur Reaktion auf Vorfälle CA-15: Dienststatus Benachrichtigungen CA-26: Berichterstellung für Sicherheitsvorfälle CA-29: Bereitschaftstechniker CA-47: Reaktion auf Vorfälle |
23. Januar 2024 |
| SOC 3 | CUEC-08: Melden von Vorfällen | 23. Januar 2024 |
Ressourcen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für