Wir sind für Sie da!
+49. (0)89. 18 91 99. 30
mo-fr 8-18 Uhr

visual.jpg

Home | Sicherheit

Sicherheit der Microsoft Online Services


Woher wissen Kunden, dass ihre Informationen bei Microsoft Online Services sicher aufgehoben sind?

Unternehmen müssen eine Kombination von Technologien und Prozessen benutzen, um ihre Systeme für Kommunikation und Zusammenarbeit vor internen und externen Sicherheitsbedrohungen zu schützen. Solche Bedrohungen beruhen auf einer Vielzahl möglicher Angriffswege, deren Abwehr die Einrichtung multipler Schutzebenen erfordert. Kunden können ihre eigenen Sicherheitskontrollen und -prozesse mit Microsoft Online Services erweitern, indem sie:
- Risiken durch ein umfassendes Programm verwalten, das Sicherheit, Datenschutz, Dienstkontinuität und Compliance-Management beinhaltet.
- Mehrfache Ebenen von physischen und logischen Sicherheitskontrollen sowie mehrere Technologien einsetzen.
- Riskomanagementkontrollen und -vorgehensweisen an anerkannten Standards wie ISO 27001 und SAS 70 ausrichten und diese Kontrollen und Vorgehensweisen regelmäßig anhand von Zertifizierungen durch Drittanbieter bestätigen lassen.

 

Wie viele Microsoft-Mitarbeiter verfügen über Administratorrechte? Mit anderen Worten, wie viele Personen verfügen über möglichen Zugang zu Daten?

Die Anzahl von Microsoft-Mitarbeitern mit Administratorzugang variiert je nach Dienst. Der Zugriff auf Microsoft Online Services-Umgebungen für den Dienstleistungssupport und Administratoren ist durch starke Authentifizierungsvorgänge geschützt, die innerhalb jedes Dienstes physische und logische Isolierung fordern. Innerhalb von Microsoft Online Services wird jedem Mitarbeiter ein individuelles Benutzerkonto für Wartungsaktivitäten zur Verfügung gestellt. Der Zugang zur Microsoft Online Services-Umgebung wird in Abhängigkeit von der Funktion der jeweiligen Person und ihrer geschäftlichen Anforderungen gewährt. Die Benutzerkonten erhalten Benutzerprivilegien auf der Grundlage von „Least Privilege"- und „Need-to-Know"-Prinzipien. Benutzerkonten werden geschlossen, sobald sich der Anstellungsstatus eines Mitarbeiters ändert. Die Benutzerkonten werden periodisch abgeglichen, um sicherzustellen, dass jeder gewährte Zugang notwendig ist und weiterhin mit der Funktion der Person übereinstimmt.

Wie verhindert Microsoft, dass Administratoren auf Kundendaten zugreifen können?

Obwohl Datenbankadministratoren definitionsgemäß auf alle Ressourcen einer Datenbank zugreifen können, inklusive der Kundendaten, untersagt Microsoft den Zugriff auf Kundendaten für Zwecke, die nicht durch geschäftliche Erfordernisse gegeben sind. Erlaubt wäre demnach z.B. der Zugriff, um die Leistung von Datenbanken zu steigern, Kunden von einer Datenbank auf eine andere zu migrieren, Dienste und andere für die Leistungserstellung benutzte Microsoft-Produkte und -Dienste zu verbessern oder um auf rechtliche Anfragen zu antworten.

Alle Microsoft-Mitarbeiter sind für den Umgang mit Kundendaten rechenschaftspflichtig: Der Zugang zu Microsoft Online Services wird in einer Weise gewährt, die ihn jeweils auf einen einzigen Benutzer zurückverfolgen lässt. Mit anderen Worten wird die Rechenschaftspflicht durch ein Bündel von 3 Systemkontrollen durchgesetzt, darunter die Benutzung von einmaligen Benutzernamen, Datenzugangskontrollen und Prüfverfahren. Anders als bei generischen Benutzernamen wie „Gast" oder „Administrator" werden eindeutige Benutzernamen verwendet, um die Rechenschaftspflicht durchzusetzen, indem Benutzerhandlungen jeweils mit einer spezifischen Person verknüpft werden. Ferner wird Zweifaktorauthentifizierung, wie z.B. Smartcard-Anmeldungen mit digitalen Zertifikaten oder RSA-Tokens, benutzt, um diese Verknüpfung zu verstärken.

Der Benutzerzugriff auf Daten wird auch durch die Funktion des jeweiligen Benutzers eingeschränkt. So erhalten z.B. Systemadministratoren keinen Administratorzugang zu Datenbanken. Microsoft wendet strenge Kontrollen darauf an, welche Benutzerrollen und welche Benutzer Zugang zu Kundendaten erhalten. So werden z.B. aktuell alle Microsoft-Mitarbeiter in den USA vor der Einstellung einer Sicherheitsprüfung unterzogen. Benutzer müssen ein Formular ausfüllen und begründen, warum sie aus geschäftlichen Gründen Zugang benötigen. Bevor der Zugang gewährt wird, muss der Manager des Benutzers seine Genehmigung erteilen. Ferner werden die Zugangsberechtigungen regelmäßig überprüft, um sicherzustellen, dass nur diejenigen Benutzer Zugang zu den Systemen erhalten, die ihn benötigen.

Wenn Microsoft-Mitarbeiter das Unternehmen verlassen, durchlaufen sie ein Verfahren, bei dem ihr logischer und physischer Zugang aufgehoben wird.Außerdem verfügen die Rechenzentren, auf denen Microsoft Online Services gehostet werden, über biometrische Zugangskontrollen. Bei den meisten sind Handabdrücke für den physischen Zugang erforderlich. Weitere Informationen zu den auf Microsoft Online Services gespeicherten Kundendaten stehen in der Microsoft Online Services-Datenschutzbestimmungen-Erklärung, den Microsoft's Privacy Guidelines For Developing Software Products and Services und dem Whitepaper „Sicherheitsfeatures in Microsoft Online" zur Verfügung.


Wie identifiziert, stoppt und korrigiert Microsoft unberechtigte Datenzugriffe und wie werden Kunden darüber benachrichtigt?

Microsoft hat stabile Prozesse entwickelt, um eine koordinierte Reaktion auf Sicherheitszwischenfälle zu ermöglichen, darunter Identifizierung, Eingrenzung, Behebung und Wiederherstellung.

Identifizierung - System- und Sicherheitsmeldungen werden erfasst, korreliert und analysiert. Zwischenfälle werden von Betriebs- und Sicherheitsteams von Microsoft Online Services untersucht. Wenn ein Zwischenfall sicherheitsrelevant ist, wird er einer Bedrohungsklasse zugeteilt und innerhalb von Microsoft entsprechend eskaliert. Die Eskalation erfolgt unter Einbeziehung von Produkt-, Sicherheits- und technischen Spezialisten.

Eingrenzung - Das Eskalationsteam beurteilt den Umfang und die Auswirkungen des Zwischenfalls. Die erste Priorität des Eskalationsteams besteht darin, den Zwischenfall einzugrenzen und die Datensicherheit zu gewährleisten. Das Eskalationsteam formuliert die Reaktion, führt entsprechende Tests durch und führt Veränderungen ein. Falls tiefergehende Untersuchungen erforderlich sind, werden mit branchenweit führender forensischer Software und in bewährter Vorgehensweisen Inhalte von den betroffenen Systemen gesammelt.

Behebung - Nachdem die Situation eingegrenzt wurde, begibt sich das Eskalationsteam daran, etwaige durch den Sicherheitszwischenfall verursachte Schäden zu beheben und die Ursache zu 4 identifizieren. Falls eine Sicherheitslücke identifiziert wurde, benachrichtigt das Sicherheitsteam die Produktentwicklung.

Wiederherstellung - Während der Wiederherstellung werden Software- oder Konfigurations-aktualisierungen auf das System angewendet und die Dienste werden in ihren kompletten Leistungsumfang zurückversetzt.


Wie hilft Microsoft Kunden, Nachforschungen zu Mitarbeitern des Kunden anzustellen?

Das Microsoft Online Services-Sicherheitsteam darf Kunden operativ bei Sicherheitsfragen unterstützen, die diese anhand der verfügbaren Protokolle und Werkzeuge des Microsoft Online Services-Systems nicht selbst durchführen können. Eine solche Unterstützung wird fallweise durchgeführt, abhängig von der Situation und dem erforderlichen Ressourcenumfang.


Können Kunden auf periodische Berichte zugreifen, in denen die Ergebnisse von Sicherheitsprüfungen, versuchten Angriffen usw. beschrieben werden?

CyberTrust steht auf der CyberTrust-Website zur Verfügung.
Microsoft strebt SAS 70 für die Dienste an, die in BPOS Standard enthalten sind, sowie ISO 27001 für BPOS Standard. Berichte werden Kunden zugänglich gemacht, wenn sie verfügbar sind.
Manche Kunden haben uns wissen lassen, dass sie diese Detailfülle lieber NICHT erhalten würden - dies sei einer der Gründe, warum sie überhaupt erst einen Onlinedienst in Anspruch nehmen. Wir untersuchen dennoch die Möglichkeit, Kunden häufigere, detaillierte Berichte über den Dienststatus, Zwischenfälle usw. zur Verfügung zu stellen. 

 

News

assets/Uploads/_resampled/tickerimage-Logocloudplace.jpg

Die Anwendung, die den vernetzten Onlinehandel mit Cloud Services ermöglicht.

mehr

assets/Uploads/_resampled/tickerimage-SaaSWMLogo-Kopie.jpg

SaaS-WM™ - die Händler-Aktion des Jahres, für den Vertrieb von Microsoft Online Service Produkten

mehr

assets/Hersteller/_resampled/tickerimage-ms-online-services.png

SaaS Distribution startet in das Cloud Computing Jahr mit Microsoft Online Service im Portfolio

mehr

Produkte

Microsoft Office 365

Windows Intune

Exchange Online

SharePoint Online

Office Communications Online

Office Live Meeting

Business Productivity Online Suite

Cloud-Place

Social-Commerce

Dienstleistungen

Trainings

Teststellung

Info & Dokumente

Partner werden

Webinare

BPOS Starterpaket

Specials

Sicherheit

Compliance

Datenschutz

Dienstkontinuität

stay connected

 

© 2011. SaaS Distribution. All rights reserved.