Was sind Microsoft Defender for Cloud Apps Datenschutz- und Datenschutzpraktiken?

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen aktualisieren wir die Screenshots und Anweisungen hier und in verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Hinweis

Dieser Artikel enthält Schritte zum Löschen von persönlichen Daten vom Gerät oder aus dem Dienst und kann zur Unterstützung Ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) verwendet werden. Allgemeine Informationen zur DSGVO finden Sie unter GDPR section of the Service Trust portal (DSGVO-Bereich des Service Trust Portals).

Microsoft Defender for Cloud Apps ist eine kritische Komponente des Microsoft Cloud Security-Stapels. Dabei handelt es sich um eine umfassende Lösung, mit der Ihre Organisation die Vorteile von Cloudanwendungen voll ausschöpfen kann. Defender für Cloud Apps behalten Sie die Kontrolle über umfassende Sichtbarkeit, Überwachung und granulare Kontrollen über Ihre vertraulichen Daten.

Defender für Cloud Apps verfügt über Tools, die Schatten-IT aufdecken und Risiken bewerten, während Sie Richtlinien erzwingen und Aktivitäten untersuchen können. Dieses Tool unterstützt Sie bei der Zugriffssteuerung in Echtzeit und beim Verhindern von Bedrohungen, sodass Ihre Organisation eine sichere Umstellung auf die Cloud durchführen kann.

Defender für Cloud Apps-Compliance

In einer Welt, in der Datensicherheitsverletzungen und Angriffe an der Tagesordnung liegen, sind Organisationen auf einen CASB (Cloud Access Security Broker) angewiesen, der den Schutz ihrer Daten in den Vordergrund stellt. Defender für Cloud Apps, wie alle Microsoft-Cloud-Produkte und -Dienste, ist aufgebaut, um die strengen Sicherheits- und Datenschutzanforderungen unserer Kunden zu erfüllen.

Um Organisationen dabei zu helfen, die nationalen, regionalen und branchenspezifischen Anforderungen für die Sammlung und Nutzung von Daten von Personen zu erfüllen, bietet Defender für Cloud Apps eine umfassende Reihe von Complianceangeboten. Zu den Complianceangeboten gehören auch Zertifizierungen und Nachweise.

Complianceframework und -angebote

Defender für Cloud Apps erfüllt viele internationale und branchenspezifische Compliancestandards, einschließlich, aber nicht beschränkt auf:

Organization Titel BESCHREIBUNG
logo csa attestation. CSA STAR-Bescheinigung An Azure und Intune wurde basierend auf einer unabhängigen Prüfung die STAR-Bescheinigung der Cloud Security Alliance vergeben.
logo csa certification. CSA STAR-Zertifizierung Azure, Intune und Power BI wurde die STAR-Zertifizierung der Stufe Gold der Cloud Security Alliance erteilt.
logo EU model clauses. EU-Modellklauseln Microsoft bietet EU-Standardvertragsklauseln, d.h. Garantien für Übertragungen persönlicher Daten.
logo HIPAA. HIPAA/HITECH Microsoft bietet Health Insurance & Accountability Act Business Associate Agreements (BAAs).
logo iso 9001. ISO 9001 Microsoft ist für die Implementierung dieser Qualitätsmanagementstandards zertifiziert.
logo iso 27001. ISO/IEC 27001 Microsoft ist für die Implementierung dieser Informationsmanagementstandards zertifiziert.
logo iso 27018. ISO/IEC 27018 Microsoft ist der erste Cloudanbieter, der diese Verhaltensregeln für Datenschutz in der Cloud befolgt.
logo PCI. PCI DSS Azure ist konform mit Payment Card Industry Data Security Standards Level 1 Version 3.1.
logo SOC. SOC 1- und SOC 2 Typ 2-Berichte Microsoft-Clouddienste erfüllen die Service Organization Controls-Standards für Betriebssicherheit.
logo SOC. SOC 3 Microsoft-Clouddienste erfüllen die Service Organization Controls-Standards für Betriebssicherheit.
logo g-cloud. UK G-Cloud Der Crown Commercial Service hat die Zertifizierung von Microsoft-Clouddiensten für Government Cloud v6 verlängert.

Weitere Informationen finden Sie unter Microsoft-Complianceangeboten.

Datenschutz

Ihre Daten gehören Ihnen

  • In Defender für Cloud Apps können Ihre Administratoren die identifizierbaren personenbezogenen Daten anzeigen, die im Dienst über die Suchleiste gespeichert sind.

  • Administratoren können nach den Metadaten oder Aktivitätsdaten eines bestimmten Benutzers suchen. Durch Klicken auf eine Entität werden die Benutzer und Konten geöffnet. Auf der Seite Benutzer und Konten werden umfangreiche Informationen zur Entität bereitgestellt, die aus den verbundenen Cloudanwendungen abgerufen werden. Darüber hinaus werden der Aktivitätsverlauf des Benutzers und auf den Benutzer bezogene Sicherheitswarnungen angezeigt.

  • Sie sind Besitzer Ihrer Daten und können jederzeit Abonnements kündigen und die Löschung Ihrer Daten beantragen. Wenn Sie Ihr Abonnement nicht verlängern, werden Ihre Daten innerhalb der in den Bestimmungen für Onlinedienste festgelegten Frist gelöscht.

  • Wenn Sie sich entscheiden sollten, den Dienst zu beenden, können Sie Ihre Daten mitnehmen.

Defender für Cloud Apps ist der Prozessor Ihrer Daten

  • Defender für Cloud Apps verwendet Ihre Daten nur für Zwecke, die mit der Bereitstellung der Dienste übereinstimmen, für die Sie abonnieren.

  • Wenn sich eine staatliche Stelle an Microsoft wendet, um Zugang zu Ihren Daten zu erhalten, leitet Microsoft die Anfrage nach Möglichkeit an Sie, den Kunden, weiter. Microsoft hat unzulässige Rechtsforderungen angefochten, wodurch die Offenlegung von Kundendaten nach einer Anfrage durch eine Behörde verhindert wurde. Erfahren Sie mehr darüber, wer unter welchen Bedingungen auf Ihre Daten zugreifen kann.

Datenschutzkontrollen

  • Datenschutzsteuerelemente helfen Ihnen, zu konfigurieren, wer in Ihrer Organisation Zugriff auf den Dienst hat und auf was sie zugreifen können.

Aktualisieren von personenbezogenen Daten

Personenbezogene Daten über Benutzer werden aus dem Benutzerobjekt in den verwendeten SaaS-Anwendungen abgeleitet. Aus diesem Gründen werden alle Änderungen, die an das Benutzerprofil in diesen Anwendungen vorgenommen wurden, in Defender für Cloud Apps widerzuspiegeln.

Speicherort der Daten

Defender für Cloud Apps arbeitet derzeit in Rechenzentren in der Europäischen Union, im Vereinigten Königreich und im USA (jeweils "Geo"). Kundendaten, die von dem Dienst gesammelt werden, werden wie folgt (a) für Kunden gespeichert, deren Mandanten in der Europäischen Union oder im Vereinigten Königreich, entweder in der Europäischen Union oder im Vereinigten Königreich, bereitgestellt werden; b) andernfalls verwendet Defender für Cloud Apps Azure Active Directory einen anderen Microsoft-Onlinedienst (z. B. Azure Active Directory oder Azure CDN). ) zum Verarbeiten dieser Daten wird die Datengeolocation durch die Datenspeicherregeln dieses anderen Onlinediensts definiert.

Hinweis

Defender für Cloud Apps verwendet Azure Data Centers auf der ganzen Welt, um eine optimierte Leistung über geolocation bereitzustellen. Das bedeutet, dass die Sitzung eines Benutzers je nach Datenverkehrsmustern und Standort außerhalb einer bestimmten Region gehostet werden kann. Zum Schutz Ihrer Privatsphäre werden keine Sitzungsdaten in diesen Rechenzentren gespeichert.

Weitere Informationen zum Datenschutz

Transparenz

Microsoft bietet Transparenz im Hinblick auf Verfahren:

  • Sie erhalten Informationen darüber, wo Ihre Daten gespeichert werden.
  • Sie erhalten eine Bestätigung, dass Ihre Daten nur für die mit Ihnen vereinbarten Dienste verwendet werden.
  • Sie erhalten Informationen dazu, wie Microsoft-Entwickler und zugelassene Vertragspartner diese Daten nutzen, um Ihnen die betreffenden Dienste zur Verfügung zu stellen.

Microsoft wendet strenge Kontrollen an, um den Zugriff auf Kundendaten zu regeln, gewährt die niedrigste Zugriffsstufe, die für die Erledigung wichtiger Aufgaben erforderlich ist, und widerruft den Zugriff, sobald er nicht mehr benötigt wird.

Datenschutz

Defender für Cloud Apps erzwingt den Datenschutz während der Inhaltsüberprüfung. Dateiinhalte werden im Defender für Cloud Apps-Rechenzentrum nicht gespeichert. Nur die Metadaten der Dateidatensätze und die Übereinstimmungen, die identifiziert wurden, werden gespeichert.

Datenaufbewahrung

Defender für Cloud Apps speichert Daten wie folgt:

  • Aktivitätsprotokoll: 180 Tage
  • Ermittlungsdaten: 90 Tage
  • Warnungen: 180 Tage
  • Governanceprotokoll: 120 Tage

Weitere Informationen zum Umgang mit Daten durch Microsoft finden Sie in den Nutzungsbedingungen für Onlinedienste.

Weitere Informationen zur Transparenz

Löschen von personenbezogenen Daten

Nachdem das Konto eines Benutzers aus einer verbundenen Cloudanwendung gelöscht wurde, werden Defender für Cloud Apps die Kopie der Daten innerhalb von zwei Jahren automatisch löschen.

Exportieren von personenbezogenen Daten

Defender für Cloud Apps bietet Ihnen die Möglichkeit, alle Benutzeraktivitäten und Sicherheitsbenachrichtigungsinformationen in CSV zu exportieren.

Datenfluss

Defender für Cloud Apps bietet Ihnen den Komfort der Arbeit mit einigen Daten, z. B. Warnungen und Aktivitäten, ohne Ihren üblichen Sicherheitsworkflow zu stören. SecOps kann z. B. die Anzeige von Warnungen in ihrem bevorzugten SIEM-Produkt wie Microsoft Sentinel bevorzugen. Um solche Workflows zu aktivieren, macht Defender für Cloud Apps bei der Integration in Microsoft- oder Drittanbieterprodukte einige Daten über sie verfügbar.

In der folgenden Tabelle sind die Daten aufgeführt, die für die einzelnen Produktintegrationen angezeigt werden:

Microsoft-Produkte

Produkt Verfügbar gemachte Daten Konfiguration
Microsoft 365 Defender Warnungen und Benutzeraktivitäten Nach dem Onboarding automatisch in Microsoft 365 Defender aktiviert
Microsoft Sentinel Warnungen und Ermittlungsdaten In Defender für Cloud Apps aktiviert und in Microsoft Sentinel konfiguriert
Microsoft 365 Compliance Center Warnungen für Office 365 Automatisch gestreamt an Microsoft 365 Compliance Center
Microsoft Defender für Cloud Warnungen für Azure Standardmäßig in Defender für Cloud Apps aktiviert; kann in Microsoft Defender für Cloud deaktiviert werden.
Microsoft Graph-Sicherheits-API Warnungen Verfügbar über die Microsoft Graph-Sicherheits-API
Microsoft Power Automate Warnungen, die gesendet werden, um einen automatisierten Flow zu initiieren Konfiguriert in Defender für Cloud Apps

Drittanbieterprodukte

Integrationstyp Verfügbar gemachte Daten Konfiguration
Über einen SIEM-Agent Warnungen und Ereignisse In Defender für Cloud Apps aktiviert und konfiguriert
Verwenden der REST-API für Defender für Cloud Apps Warnungen und Ereignisse In Defender für Cloud Apps aktiviert und konfiguriert
ICAP-Connector Datei für DLP-Überprüfung In Defender für Cloud Apps aktiviert und konfiguriert

Hinweis

Andere Produkte erzwingen möglicherweise Defender für Cloud keine rollenbasierten Sicherheitsberechtigungen für Apps, um zu steuern, wer Zugriff auf welche Daten hat. Vor der Integration in andere Produkte müssen Sie daher unbedingt wissen, welche Daten an das gewünschte Produkt gesendet werden und wer darauf zugreifen kann.

Sicherheit

Verschlüsselung

Microsoft verwendet Verschlüsselungstechnologie, um Ihre Daten während der Ruhe in einer Microsoft-Datenbank zu schützen und wenn sie zwischen Benutzergeräten und Defender für Cloud Apps-Rechenzentren wechselt. Darüber hinaus werden alle Kommunikation zwischen Defender für Cloud Apps und verbundenen Apps mit HTTPS verschlüsselt.

Hinweis

Defender für Cloud Apps nutzt Transport Layer Security (TLS)-Protokolle 1.2+ zur Bereitstellung einer erstklassigen Verschlüsselung. Auf native Clientanwendungen und Browser, die TLS 1.2 oder höher nicht unterstützen, kann nicht zugegriffen werden, wenn sie mit Sitzungssteuerung konfiguriert wurden. SaaS-Apps, die TLS 1.1 oder niedriger verwenden, werden jedoch im Browser als TLS 1.2+ angezeigt, wenn sie mit Defender für Cloud Apps konfiguriert sind.

Identitäts- und Zugriffsverwaltung

Defender für Cloud Apps können Sie den Zugriff von Administratoren auf das Portal basierend auf geolocation mithilfe von Azure Active Directory einschränken. Es ist möglich, mithilfe Azure Active Directory mehrstufige Authentifizierung auf das Defender für Cloud Apps-Portal zuzugreifen.

Berechtigungen

Defender für Cloud Apps unterstützt rollenbasierte Zugriffssteuerung. Office 365 und Azure Active Directory Rollen für globale Administratoren und Sicherheitsadministratoren haben vollständigen Zugriff auf Defender für Cloud Apps, und Sicherheitsleser haben Lesezugriff. Weitere Informationen.

Kundenkontrollen für Organisationscompliance

Bereichsbezogene Bereitstellung

Defender für Cloud Apps können Sie ihre Bereitstellung einschränken. Mithilfe von Scoping können Sie nur bestimmte Gruppen mithilfe von Defender für Cloud Apps steuern oder bestimmte Gruppen aus Defender für Cloud Apps-Governance ausschließen. Weitere Informationen finden Sie unter Bereichsbezogene Bereitstellung.

Anonymisierung

Sie können Cloud Discovery-Berichte wahlweise anonym halten. Nachdem Ihre Protokolldateien in Microsoft Defender for Cloud Apps hochgeladen wurden, werden alle Benutzernameninformationen durch verschlüsselte Benutzernamen ersetzt. Für spezielle Sicherheitsuntersuchungen kann der echte Benutzername aufgelöst werden. Private Daten werden mithilfe von AES-128 mit einem dedizierten Schlüssel pro Mandant verschlüsselt. Weitere Informationen.

Sicherheit und Datenschutz für Defender für Cloud Apps US Government GCC High-Kunden

Informationen zu Defender für Cloud Apps-Compliancestandards und zum Speicherort von Daten für US Government GCC High-Kunden finden Sie unter Enterprise Mobility + Security für die Beschreibung des Diensts der US-Regierung.

Nächste Schritte

Erhalten Sie eine kostenlose Testversion von Defender für Cloud Apps, und erfahren Sie, wie sie Ihre geschäftlichen Herausforderungen erfüllt.