Wie sieht es bei Microsoft Cloud App Security mit Datensicherheit und Datenschutz aus?

Gilt für: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich. Weitere Informationen zu diesem und anderen Updates finden Sie hier. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.

Hinweis

Dieser Artikel enthält Schritte zum Löschen von persönlichen Daten vom Gerät oder aus dem Dienst und kann zur Unterstützung Ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) verwendet werden. Allgemeine Informationen zur DSGVO finden Sie unter GDPR section of the Service Trust portal (DSGVO-Bereich des Service Trust Portals).

Microsoft Cloud App Security ist eine wichtige Komponente des Microsoft Cloud Security-Angebots. Dabei handelt es sich um eine umfassende Lösung, mit der Ihre Organisation die Vorteile von Cloudanwendungen voll ausschöpfen kann. Mit Cloud App Security behalten Sie die Kontrolle durch umfassende Sichtbarkeit, Überwachung und differenzierte Kontrollfunktionen für Ihre sensiblen Daten.

Cloud App Security bietet Tools, mit denen Sie Schatten-IT aufdecken und Risiken bewerten können. Gleichzeitig können Sie Richtlinien durchsetzen und Aktivitäten untersuchen. Dieses Tool unterstützt Sie bei der Zugriffssteuerung in Echtzeit und beim Verhindern von Bedrohungen, sodass Ihre Organisation eine sichere Umstellung auf die Cloud durchführen kann.

Cloud App Security-Konformität

In einer Welt, in der Datensicherheitsverletzungen und Angriffe an der Tagesordnung liegen, sind Organisationen auf einen CASB (Cloud Access Security Broker) angewiesen, der den Schutz ihrer Daten in den Vordergrund stellt. Wie alle Microsoft-Cloudprodukte und -dienste ist Cloud App Security darauf ausgelegt, die strengen Sicherheits- und Datenschutzanforderungen unserer Kunden zu erfüllen.

Cloud App Security stellt ein umfassendes Complianceangebot bereit, um Organisationen beim Erfüllen nationaler, regionaler und branchenspezifischer Anforderungen hinsichtlich Sammlung und Nutzung personenbezogener Daten zu helfen. Zu den Complianceangeboten gehören auch Zertifizierungen und Nachweise.

Complianceframework und -angebote

Cloud App Security erfüllt zahlreiche internationale und branchenspezifische Konformitätsstandards, unter anderem folgende:

Organization Titel BESCHREIBUNG
Logo „CSA-Nachweis“. CSA STAR-Bescheinigung An Azure und Intune wurde basierend auf einer unabhängigen Prüfung die STAR-Bescheinigung der Cloud Security Alliance vergeben.
Logo „CSA-Zertifizierung“. CSA STAR-Zertifizierung Azure, Intune und Power BI wurde die STAR-Zertifizierung der Stufe Gold der Cloud Security Alliance erteilt.
Logo der EU-Modellklauseln. EU-Modellklauseln Microsoft bietet EU-Standardvertragsklauseln, d.h. Garantien für Übertragungen persönlicher Daten.
Logo von „HIPAA“. HIPAA/HITECH Microsoft bietet Health Insurance Portability & Accountability Act Business Associate Agreements (BAAs).
Logo von „ISO 9001“. ISO 9001 Microsoft ist für die Implementierung dieser Qualitätsmanagementstandards zertifiziert.
Logo von „ISO 27001“. ISO/IEC 27001 Microsoft ist für die Implementierung dieser Informationsmanagementstandards zertifiziert.
Logo von „ISO 27018“. ISO/IEC 27018 Microsoft ist der erste Cloudanbieter, der diese Verhaltensregeln für Datenschutz in der Cloud befolgt.
Logo von „PCI“. PCI DSS Azure ist konform mit Payment Card Industry Data Security Standards Level 1 Version 3.1.
Logo von „SOC“. SOC 1- und SOC 2 Typ 2-Berichte Microsoft-Clouddienste erfüllen die Service Organization Controls-Standards für Betriebssicherheit.
Logo von „SOC“. SOC 3 Microsoft-Clouddienste erfüllen die Service Organization Controls-Standards für Betriebssicherheit.
Logo von „G-Cloud“. UK G-Cloud Der Crown Commercial Service hat die Zertifizierung von Microsoft-Clouddiensten für Government Cloud v6 verlängert.

Weitere Informationen finden Sie unter Microsoft-Complianceangeboten.

Datenschutz

Ihre Daten gehören Ihnen

  • In Cloud App Security können Ihre Administratoren die im Dienst gespeicherten identifizierbaren personenbezogenen Daten mithilfe der Suchleiste im Portal anzeigen.

  • Administratoren können nach den Metadaten oder Aktivitätsdaten eines bestimmten Benutzers suchen. Durch Klicken auf eine Entität werden die Benutzer und Konten geöffnet. Auf der Seite Benutzer und Konten werden umfangreiche Informationen zur Entität bereitgestellt, die aus den verbundenen Cloudanwendungen abgerufen werden. Darüber hinaus werden der Aktivitätsverlauf des Benutzers und auf den Benutzer bezogene Sicherheitswarnungen angezeigt.

  • Sie sind Besitzer Ihrer Daten und können jederzeit Abonnements kündigen und die Löschung Ihrer Daten beantragen. Wenn Sie Ihr Abonnement nicht verlängern, werden Ihre Daten innerhalb der in den Bestimmungen für Onlinedienste festgelegten Frist gelöscht.

  • Wenn Sie sich entscheiden sollten, den Dienst zu beenden, können Sie Ihre Daten mitnehmen.

Cloud App Security verarbeitet Ihre Daten

  • Cloud App Security verwendet Ihre Daten nur für Zwecke, die mit der Bereitstellung der von Ihnen abonnierten Dienste vereinbar sind.

  • Wenn sich eine staatliche Stelle an Microsoft wendet, um Zugang zu Ihren Daten zu erhalten, leitet Microsoft die Anfrage nach Möglichkeit an Sie, den Kunden, weiter. Microsoft hat unzulässige Rechtsforderungen angefochten, wodurch die Offenlegung von Kundendaten nach einer Anfrage durch eine Behörde verhindert wurde. Erfahren Sie mehr darüber, wer unter welchen Bedingungen auf Ihre Daten zugreifen kann.

Datenschutzkontrollen

  • Mithilfe von Datenschutzkontrollen können Sie konfigurieren, wer in Ihrer Organisation Zugriff auf den Dienst hat und auf was zugegriffen werden kann.

Aktualisieren von personenbezogenen Daten

Personenbezogene Daten über Benutzer werden aus dem Benutzerobjekt in den verwendeten SaaS-Anwendungen abgeleitet. Aus diesem Grund spiegelt sich jede Änderung am Benutzerprofil in diesen Anwendungen in Cloud App Security wider.

Speicherort der Daten

Cloud App Security wird derzeit in Rechenzentren in der Europäischen Union, dem Vereinigten Königreich und den USA (was jeweils als eine Geografie bezeichnet wird) betrieben. Kundendaten, die vom Dienst gesammelt werden, werden am folgenden Ort ruhend gespeichert: (a) bei Kunden, deren Mandanten sich in der Europäischen Union oder dem Vereinigten Königreich befinden, in der Europäischen Union oder im Vereinigten Königreich, (b) bei Kunden, deren Mandanten sich an einem anderen Ort befinden, in einem Rechenzentrum in der Geografie, die dem Standort am nächsten liegt, in dem der Azure Active Directory-Mandant des Kunden bereitgestellt wurde, oder (c) wenn Cloud App Security einen anderen Microsoft-Onlinedienst (z. B. Azure Active Directory oder Azure CDN) zur Verarbeitung solcher Daten verwendet, in der Geografie, die in den Datenspeicherungsregeln dieses anderen Onlinediensts definiert ist.

Hinweis

Cloud App Security nutzt Azure-Rechenzentren rund um die Welt, um mithilfe von Geolocationfunktionen eine optimierte Leistung zu bieten. Das bedeutet, dass die Sitzung eines Benutzers je nach Datenverkehrsmustern und Standort außerhalb einer bestimmten Region gehostet werden kann. Zum Schutz Ihrer Privatsphäre werden keine Sitzungsdaten in diesen Rechenzentren gespeichert.

Weitere Informationen zum Datenschutz

Transparenz

Microsoft bietet Transparenz im Hinblick auf Verfahren:

  • Sie erhalten Informationen darüber, wo Ihre Daten gespeichert werden.
  • Sie erhalten eine Bestätigung, dass Ihre Daten nur für die mit Ihnen vereinbarten Dienste verwendet werden.
  • Sie erhalten Informationen dazu, wie Microsoft-Entwickler und zugelassene Vertragspartner diese Daten nutzen, um Ihnen die betreffenden Dienste zur Verfügung zu stellen.

Microsoft wendet strenge Kontrollen an, um den Zugriff auf Kundendaten zu regeln, gewährt die niedrigste Zugriffsstufe, die für die Erledigung wichtiger Aufgaben erforderlich ist, und widerruft den Zugriff, sobald er nicht mehr benötigt wird.

Datenschutz

Cloud App Security erzwingt den Schutz von Daten bei der Inhaltsprüfung. Dateiinhalte werden nicht im Rechenzentrum von Cloud App Security gespeichert. Nur die Metadaten der Dateidatensätze und die Übereinstimmungen, die identifiziert wurden, werden gespeichert.

Datenaufbewahrung

Cloud App Security bewahrt Daten wie folgt:

  • Aktivitätsprotokoll: 180 Tage
  • Ermittlungsdaten: 90 Tage
  • Warnungen: 180 Tage
  • Governanceprotokoll: 120 Tage

Weitere Informationen zum Umgang mit Daten durch Microsoft finden Sie in den Nutzungsbedingungen für Onlinedienste.

Weitere Informationen zur Transparenz

Löschen von personenbezogenen Daten

Sobald das Konto eines Benutzers aus einer verbundenen Cloudanwendung gelöscht wird, löscht Cloud App Security automatisch die Kopie der Daten innerhalb von zwei Jahren.

Exportieren von personenbezogenen Daten

Mit Cloud App Security können Sie alle Benutzeraktivitäten und Sicherheitswarnungsinformationen in CSV-Dateien exportieren.

Datenfluss

Cloud App Security bietet Ihnen die Möglichkeit, mit einigen Daten (z. B. Warnungen und Aktivitäten) zu arbeiten, ohne den üblichen Sicherheitsworkflow zu unterbrechen. Beispielsweise kann es sein, dass Sicherheitsoperatoren Warnungen in ihrem bevorzugten SIEM-Produkt wie z. B. Azure Sentinel anzeigen möchte. Um solche Workflows zu ermöglichen, stellt Cloud App Security bei der Integration in Microsoft- oder Drittanbieterprodukte einige Daten über diese Produkte zur Verfügung.

In der folgenden Tabelle sind die Daten aufgeführt, die für die einzelnen Produktintegrationen angezeigt werden:

Microsoft-Produkte

Produkt Verfügbar gemachte Daten Konfiguration
Microsoft 365 Defender Warnungen und Benutzeraktivitäten Nach dem Onboarding automatisch in Microsoft 365 Defender aktiviert
Azure Sentinel Warnungen und Ermittlungsdaten Aktiviert in Cloud App Security und konfiguriert in Azure Sentinel
Office Security & Compliance Center Warnungen für Office 365 Automatisch gestreamt an Office Security & Compliance Center
Azure Security Center Warnungen für Azure Standardmäßig in Cloud App Security aktiviert; kann in Azure Security Center deaktiviert werden
Microsoft Graph-Sicherheits-API Warnungen Verfügbar über die Microsoft Graph-Sicherheits-API
Microsoft Power Automate Warnungen, die gesendet werden, um einen automatisierten Flow zu initiieren Konfiguriert in Cloud App Security

Drittanbieterprodukte

Integrationstyp Verfügbar gemachte Daten Konfiguration
Über einen SIEM-Agent Warnungen und Ereignisse Aktiviert und konfiguriert in Cloud App Security
Über die REST-API von Cloud App Security Warnungen und Ereignisse Aktiviert und konfiguriert in Cloud App Security
ICAP-Connector Datei für DLP-Überprüfung Aktiviert und konfiguriert in Cloud App Security

Hinweis

Bei anderen Produkten werden die rollenbasierten Sicherheitsberechtigungen von Cloud App Security möglicherweise nicht durchgesetzt. Mit diesen wird jedoch gesteuert, wer auf welche Daten zugreifen kann. Vor der Integration in andere Produkte müssen Sie daher unbedingt wissen, welche Daten an das gewünschte Produkt gesendet werden und wer darauf zugreifen kann.

Sicherheit

Verschlüsselung

Microsoft nutzt Verschlüsselungstechnologie zum Schutz Ihrer Daten, während sie in einer Microsoft-Datenbank ruhen und wenn sie zwischen Endgeräten und Cloud App Security-Rechenzentren ausgetauscht werden. Darüber hinaus wird die gesamte Kommunikation zwischen Cloud App Security und verbundenen Apps mithilfe von HTTPS verschlüsselt.

Hinweis

Cloud App Security nutzt TLS-Protokolle (Transport Layer Security) der Version 1.2 oder höher, um eine erstklassige Verschlüsselung bereitzustellen. Auf native Clientanwendungen und Browser, die TLS 1.2 oder höher nicht unterstützen, kann nicht zugegriffen werden, wenn sie mit Sitzungssteuerung konfiguriert wurden. SaaS-Apps, die mit Cloud App Security konfiguriert wurden und TLS 1.1 oder niedriger verwenden, werden im Browser jedoch so angezeigt, als würden sie TLS 1.2 oder höher verwenden.

Identitäts- und Zugriffsverwaltung

Cloud App Security ermöglicht das Begrenzen des Zugriffs von Administratoren auf das Portal basierend auf dem geografischen Standort mithilfe von Azure Active Directory. Es ist möglich, die mehrstufige Authentifizierung für den Zugriff auf das Cloud App Security-Portal mithilfe von Azure Active Directory anzufordern.

Berechtigungen

Cloud App Security unterstützt die rollenbasierte Zugriffssteuerung. Die Office 365- und Azure Active Directory-Rollen „Globaler Administrator“ und „Sicherheitsadministrator“ haben Vollzugriff auf Cloud App Security, und Sicherheitsleseberechtigte besitzen Lesezugriff. Weitere Informationen.

Kundenkontrollen für Organisationscompliance

Bereichsbezogene Bereitstellung

Mit Cloud App Security können Sie den Bereich Ihrer Bereitstellung festlegen. So erhalten Sie die Möglichkeit, nur bestimmte Gruppen mit Cloud App Security zu verwalten oder bestimmte Gruppen von der Cloud App Security-Governance auszuschließen. Weitere Informationen finden Sie unter Bereichsbezogene Bereitstellung.

Anonymisierung

Sie können Cloud Discovery-Berichte wahlweise anonym halten. Nachdem Ihre Protokolldateien in Microsoft Cloud App Security hochgeladen wurden, werden alle Informationen zu Benutzernamen durch verschlüsselte Benutzernamen ersetzt. Für spezielle Sicherheitsuntersuchungen kann der echte Benutzername aufgelöst werden. Private Daten werden mithilfe von AES-128 mit einem dedizierten Schlüssel pro Mandant verschlüsselt. Weitere Informationen.

Sicherheit und Datenschutz für Cloud App Security GCC High-Kunden der US-Regierung

Informationen zu Cloud App Security-Kompatibilitätsstandards und zum Speicherort der Daten für GCC High-Kunden der US-Regierung finden Sie unter Beschreibung des Diensts Enterprise Mobility + Security für die US-Regierung.

Nächste Schritte

Holen Sie sich eine kostenlose Testversion von Cloud App Security, und erfahren Sie, wie Cloud App Security Ihre geschäftlichen Herausforderungen meistert.