Wichtige Überlegungen zur Compliance und Sicherheit der Banken und Kapitalmärkte in den Vereinigten StaatenKey compliance and security considerations for US banking and capital markets

EinführungIntroduction

Finanzdienstleistungsinstitute übertreffen fast alle kommerziellen Unternehmen in ihrer Forderung nach strengen Sicherheits-, Compliance- und Governance-Kontrollen.Financial services institutions surpass nearly all commercial businesses in their demand for stringent security, compliance, and governance controls. Der Schutz von Daten, Identitäten, Geräten und Anwendungen ist nicht nur entscheidend für ihr Unternehmen, sondern unterliegt auch den Compliance-Anforderungen und Richtlinien von Aufsichtsbehörden wie der U.S. Securities and Exchange Commission (SEC), der Financial Industry Regulatory Authority (FINRA), dem Federal Financial Institutions Examination Council (FFIEC) und der Commodity Futures Trading Commission (CFTC).The protection of data, identities, devices, and applications is not only critical to their business, it's subject to compliance requirements and guidelines from regulatory bodies such as the U.S. Securities and Exchange Commission (SEC), the Financial Industry Regulatory Authority (FINRA), the Federal Financial Institutions Examination Council (FFIEC), and the Commodity Futures Trading Commission (CFTC). Darüber hinaus unterliegen Finanzinstitute Gesetzen wie Dodd-Frank und dem Sarbanes-Oxley Act von 2002.In addition, financial institutions are subject to laws such as Dodd-Frank and the Sarbanes-Oxley Act of 2002.

Im heutigen Klima erhöhter Sicherheitsüberwachung, Bedenken wegen Insider-Risiken und Verletzungen öffentlicher Daten verlangen die Kunden auch von ihren Finanzinstituten ein hohes Maß an Sicherheit, um ihnen ihre personenbezogenen Daten und Bankvermögen anzuvertrauen.In today's climate of increased security vigilance, insider risk concerns and public data breaches, customers also demand high levels of security from their financial institutions in order to trust them with their personal data and banking assets.

In der Vergangenheit wirkte sich der Bedarf an umfassenden Kontrollen direkt auf die IT-Systeme und -Plattformen aus, die von den Finanzinstituten für die interne und externe Zusammenarbeit genutzt werden, und schränkte diese ein.Historically, the need for comprehensive controls directly impacted and constrained the IT systems and platforms that financial institutions use to enable collaboration internally and externally. Heute brauchen die Mitarbeiter von Finanzdienstleistern eine moderne Kollaborationsplattform, die leicht zu übernehmen und zu benutzen ist.Today, financial services employees need a modern collaboration platform that's easy to adopt and easy to use. Aber Finanzdienstleister können die Flexibilität zur Zusammenarbeit zwischen Benutzern, Teams und Abteilungen nicht mit Sicherheits- und Compliance-Kontrollen eintauschen, die Richtlinien zum Schutz von Benutzern und IT-Systemen vor Bedrohungen durchsetzen.But financial services can't trade the flexibility to collaborate between users, teams, and departments with security and compliance controls that enforce policies to protect users and IT systems from threats.

Im Finanzdienstleistungssektor ist eine sorgfältige Prüfung der Konfiguration und des Einsatzes von Tools zur Zusammenarbeit und von Sicherheitskontrollen erforderlich, einschließlich:In the financial services sector, careful consideration is required for the configuration and deployment of collaboration tools and security controls, including:

  • Risikobewertung gemeinsamer organisatorischer Zusammenarbeit und GeschäftsprozessszenarienRisk assessment of common organizational collaboration and business process scenarios
  • Anforderungen für Informationsschutz und Daten-GovernanceInformation protection and data governance requirements
  • Cybersicherheit und InsiderbedrohungenCybersecurity and insider threats
  • Gesetzliche KompatibilitätsanforderungenRegulatory compliance requirements
  • Sonstige betriebliche RisikenOther operational risks

Microsoft 365 ist eine moderne Workplace-Cloud-Umgebung, die den heutigen Herausforderungen von Finanzdienstleistungsunternehmen gerecht wird. Die sichere und flexible Zusammenarbeit im gesamten Unternehmen wird mit Kontrollen und der Durchsetzung von Richtlinien kombiniert, um strenge gesetzliche Vorschriften einzuhalten.Microsoft 365 is a modern workplace cloud environment that can address the contemporary challenges financial services organizations face. Secure and flexible collaboration across the enterprise is combined with controls and policy enforcement to adhere to stringent regulatory compliance frameworks. Dieser Artikel beschreibt, wie die Microsoft 365-Plattform Finanzdienstleistern bei der Umstellung auf eine moderne Plattform für die Zusammenarbeit unterstützt und gleichzeitig Daten und Systeme sicher und gesetzeskonform hält:This article describes how the Microsoft 365 platform helps financial services move to a modern collaboration platform, while helping keep data and systems secure and compliant with regulations:

  • Ermöglichen Sie die Produktivität von Unternehmen und Mitarbeitern durch den Einsatz von Microsoft 365 und Microsoft TeamsEnable organizational and employee productivity by using Microsoft 365 and Microsoft Teams
  • Sicherung der modernen Zusammenarbeit durch den Einsatz von Microsoft 365Protect modern collaboration by using Microsoft 365
  • Identifizierung vertraulicher Daten und Verhinderung von DatenverlustenIdentify sensitive data and prevent data loss
  • Die Burg verteidigenDefend the fortress
  • Verwaltung von Daten und Einhaltung von Vorschriften durch effektive Verwaltung von DatensätzenGovern data and comply with regulations by effectively managing records
  • Ethische „Absperrungen“ mit Informationsbarrieren errichtenEstablish ethical walls with information barriers
  • Schutz vor Datenexfiltration und Insider-RisikenProtect against data exfiltration and insider risk

Als Microsoft-Partner trug Protiviti zu diesem Artikel bei und lieferte materielles Feedback zu diesem Artikel.As a Microsoft partner, Protiviti contributed to and provided material feedback to this article.

Die folgenden herunterladbaren Illustrationen ergänzen diesen Artikel.The following downloadable illustrations supplement this article. Die Woodgrove Bank und Contoso werden verwendet, um zu demonstrieren, wie die in diesem Artikel beschriebenen Funktionen angewendet werden können, um gängige behördliche Anforderungen an Finanzdienstleistungen zu erfüllen.Woodgrove Bank and Contoso are used to demonstrate how capabilities described in this article can be applied to address common regulatory requirements of financial services. Sie können diese Illustrationen für Ihren eigenen Gebrauch anpassen.Feel free to adapt these illustrations for your own use.

Illustrationen zu Microsoft 365 Informationsschutz und ComplianceMicrosoft 365 information protection and compliance illustrations

ElementItem BeschreibungDescription
Modellposter: Funktionen von Microsoft 365 Informationsschutz und ComplianceModel poster: Microsoft 365 information protection and compliance capabilities
Englisch: Als PDF herunterladen | Als Visio herunterladenEnglish: Download as a PDF | Download as a Visio
Japanische: Als PDF herunterladen | Als Visio herunterladenJapanese: Download as a PDF | Download as a Visio
Aktualisiert: November 2020Updated November 2020
Enthält:Includes:
  • Microsoft Information Protection und Verhinderung von DatenverlustMicrosoft information protection and data loss prevention
  • Aufbewahrungsrichtlinien und AufbewahrungsbezeichnungenRetention policies and retention labels
  • InformationsbarrierenInformation barriers
  • KommunikationscomplianceCommunication compliance
  • Insider-RisikoInsider risk
  • Datenerfassung durch DrittanbieterThird-party data ingestion

Fördern Sie die Produktivität von Unternehmen und Mitarbeitern durch den Einsatz von Microsoft 365 und Microsoft TeamsEmpower organizational and employee productivity by using Microsoft 365 and Teams

Die Zusammenarbeit erfordert in der Regel verschiedene Formen der Kommunikation, die Fähigkeit, Dokumente/Daten zu speichern und auf sie zuzugreifen, sowie die Fähigkeit, andere Anwendungen nach Bedarf zu integrieren.Collaboration typically requires various forms of communication, the ability to store and access documents/data, and the ability to integrate other applications as needed. Mitarbeiter in Finanzdienstleistungen müssen in der Regel mit Mitgliedern anderer Abteilungen oder Teams und manchmal auch mit externen Stellen zusammenarbeiten und kommunizieren.Employees in financial services typically need to collaborate and communicate with members of other departments or teams and sometimes with external entities. Daher ist der Einsatz von Systemen, die Silos schaffen oder den Informationsaustausch erschweren, nicht wünschenswert.Therefore, using systems that create silos or make information sharing difficult is undesirable. Stattdessen ist es vorzuziehen, Plattformen und Anwendungen zu nutzen, die es den Mitarbeitern ermöglichen, sicher und gemäß den Unternehmensrichtlinien zu kommunizieren, zusammenzuarbeiten und Informationen auszutauschen.Instead, it's preferable to leverage platforms and applications that enable employees to communicate, collaborate, and share information securely and according to corporate policy.

Die Bereitstellung einer modernen, cloudbasierten Plattform für die Zusammenarbeit ermöglicht es den Mitarbeitern, Tools auszuwählen und zu integrieren, die sie produktiver machen und ihnen die Möglichkeit geben, flexible Arbeitsweisen zu finden.Providing employees with a modern, cloud-based collaboration platform allows them to choose and integrate tools that make them more productive and empower them to find agile ways to work. Der Einsatz von Teams in Verbindung mit Sicherheitskontrollen und Richtlinien zur Informationsverwaltung, die das Unternehmen schützen, kann Ihren Mitarbeitern helfen, effektiv zu kommunizieren und zusammenzuarbeiten.Using Teams in conjunction with security controls and information governance policies that protect the organization can help your workforce communicate and collaborate effectively.

Teams bietet einen Knotenpunkt der Zusammenarbeit für die Organisation.Teams provides a collaboration hub for the organization. Es trägt dazu bei, Menschen zusammenzubringen, um produktiv an gemeinsamen Initiativen und Projekten zu arbeiten.It helps bring people together to work productively on common initiatives and projects. Mit Teams können Teammitglieder Unterhaltungen im 1:1- und Mehrparteien-Chat führen, Dokumente gemeinsam bearbeiten und mitverfassen sowie Dateien speichern und austauschen.Teams lets team members conduct 1:1 and multi-party chat conversations, collaborate and coauthor documents, and store and share files. Teams erleichtern auch Online-Besprechungen durch integrierte Unternehmensstimme und -video.Teams also facilitates online meetings through integrated enterprise voice and video. Teams kann auch mit Microsoft-Apps wie Microsoft Planner, Microsoft Dynamics 365, PowerApps, Power BI und Branchenanwendungen von Drittanbietern angepasst werden.Teams can also be customized with Microsoft apps such as Microsoft Planner, Microsoft Dynamics 365, PowerApps, Power BI, and third-party line-of-business applications. Teams ist sowohl für interne Teammitglieder als auch für zugelassene externe Benutzer gedacht, die Team-Kanäle betreten, an Chat-Unterhaltungen teilnehmen, auf gespeicherte Dateien zugreifen und andere Anwendungen nutzen können.Teams is designed for use by both internal team members and permitted external users who can join team channels, participate in chat conversations, access stored files, and leverage other applications

Jedes Microsoft-Team wird von einer Microsoft 365-Gruppe unterstützt.Every Microsoft Team is backed by a Microsoft 365 group. Diese Gruppe gilt als der Mitgliedschaftsdienst für zahlreiche Dienste von Office 365, einschließlich Teams.That group is considered the membership service for numerous Office 365 services, including Teams. Die Gruppen von Microsoft 365 werden verwendet, um sicher zwischen „Besitzern“ und „Mitgliedern“ zu unterscheiden und den Zugang zu verschiedenen Fähigkeiten innerhalb der Teams zu kontrollieren.Microsoft 365 groups are used to securely distinguish between "owners" and "members" and to control access to various capabilities within Teams. In Verbindung mit angemessenen Governance-Kontrollen und regelmäßig durchgeführten Zugangsprüfungen ermöglicht es Teams nur Mitgliedern und Besitzern, autorisierte Kanäle und Fähigkeiten zu nutzen.When coupled with appropriate governance controls and regularly administered access reviews, Teams allows only members and owners to utilize authorized channels and capabilities.

Ein häufiges Szenario, bei dem die Teams von Finanzdienstleistungen profitieren, ist die Durchführung interner Projekte oder Programme.A common scenario where Teams benefits financial services is when running internal projects or programs. Beispielsweise müssen viele Finanzinstitute, darunter Banken, Vermögensverwaltungsfirmen, Kreditgenossenschaften und Versicherungsanbieter, über Programme zur Bekämpfung der Geldwäsche und andere Programme zur Einhaltung der Vorschriften verfügen.For example, many financial institutions, including banks, wealth management firms, credit unions, and insurance providers, are required to have anti-money laundering and other compliance programs in place. Ein funktionsübergreifendes Team aus IT, Geschäftsbereichen wie Einzelhandel und Vermögensverwaltung und einer Einheit für Finanzkriminalität muss unter Umständen Daten miteinander austauschen und über das Programm oder bestimmte Ermittlungen kommunizieren.A cross-functional team comprised of IT, lines of business such as retail and wealth management, and a financial crime unit may be required to share data with each other and communicate about the program or specific investigations. Diese Programme verwenden traditionell gemeinsam genutzte Netzlaufwerke, aber dieser Ansatz kann zahlreiche Herausforderungen mit sich bringen, u.a:Traditionally, these programs have used shared network drives, but this approach can present numerous challenges, including:

  • Nur eine Person kann ein Dokument gleichzeitig bearbeiten.Only one person can edit a document at a time.
  • Die Verwaltung der Sicherheit ist zeitaufwendig, da das Hinzufügen/Entfernen von Personen in der Regel mit der IT verbunden ist.Managing security is time-consuming because adding/removing individuals typically involves IT.
  • Die Daten bleiben viel länger auf gemeinsam genutzten Netzlaufwerken gespeichert als erforderlich oder gewünscht.Data remains resident on shared network drives much longer than required or wanted.

Teams können einen Raum für die Zusammenarbeit bereitstellen, um vertrauliche Kundendaten sicher zu speichern und Unterhaltungen zwischen Teammitgliedern zu führen, in denen vertrauliche Themen behandelt werden können.Teams can provide a collaboration space to securely store sensitive client data and conduct conversations between team members where sensitive topics may be discussed. Mehrere Mitglieder des Teams können ein einzelnes Dokument gleichzeitig bearbeiten oder gemeinsam daran arbeiten.Multiple members of the team can edit or collaborate on a single document at the same time. Der Programmbesitzer oder Koordinator kann als Teambesitzer konfiguriert werden und kann dann nach Bedarf Mitglieder hinzufügen und entfernen.The program owner or coordinator can be configured as the team owner and can then add and remove members as needed.

Ein weiteres häufiges Szenario ist die Nutzung von Teams als „virtueller Datenraum“ zur sicheren Zusammenarbeit, inklusive der Speicherung und Verwaltung von Dokumenten.Another common scenario is to use Teams as a "virtual data room" to securely collaborate, including storing and managing documents. Teammitglieder und Syndikate im Investmentbanking, in der Vermögensverwaltung oder bei Private-Equity-Firmen können bei einem Geschäft oder einer Investition sicher zusammenarbeiten.Team members and syndicates within investment banking, asset management, or private equity firms can securely collaborate on a deal or investment. Funktionsbereichsübergreifende Teams sind oft an der Planung und Erfüllung solcher Geschäfte beteiligt, und die Fähigkeit, Daten sicher auszutauschen und Unterhaltungen zu führen, ist eine Kernanforderung.Cross-functional teams are often involved in planning and fulfilling such deals, and the ability to securely share data and conduct conversations is a core requirement. Der sichere Austausch relevanter Dokumente mit externen Investoren ist ebenfalls eine wichtige Voraussetzung.Securely sharing related documents with external investors is also a key requirement. Teams bietet einen sicheren und vollständig überprüfbaren Standort, von dem aus Investitionsdaten zentral gespeichert, geschützt und gemeinsam genutzt werden können.Teams provides a secure and fully auditable location from which to centrally store, protect, and share investment data.

Eine Gruppe von Büroangestellten diskutiert in ein Besprechung Bilder auf einem großen Bildschirm

Teams: Verbessern Sie die Zusammenarbeit und reduzieren Sie das Risiko bei der Einhaltung von VorschriftenTeams: Improve collaboration and reduce compliance risk

Microsoft 365 bietet durch die Nutzung von Microsoft 365-Gruppen als zugrundeliegenden Mitgliedschaftsdienst weitere gemeinsame Richtlinienfunktionen für Teams.Microsoft 365 provides other common policy capabilities for Teams through its use of Microsoft 365 groups as an underlying membership service. Diese Richtlinien können dazu beitragen, die Zusammenarbeit zu verbessern und die Anforderungen der Compliance zu erfüllen.These policies can help improve collaboration and meet compliance needs.

Benennungsrichtlinien für Gruppen in Microsoft 365 tragen dazu bei, dass die Gruppen und damit die Teams von Microsoft 365 gemäß den Unternehmensrichtlinien benannt werden.Microsoft 365 group naming policies help ensure that Microsoft 365 groups, and therefore teams, are named according to corporate policy. Namen können problematisch sein, wenn sie nicht angemessen sind.Names can be problematic if they aren't appropriate. Beispielsweise wissen die Mitarbeiter möglicherweise nicht, mit welchen Teams sie arbeiten oder Informationen austauschen sollen, wenn die Namen nicht angemessen verwendet werden.For example, employees may not know which teams to work with or share information with if names aren't appropriately applied. Richtlinien für die Benennung von Gruppen (einschließlich der Unterstützung von auf Präfixen/Suffixen basierenden Richtlinien und benutzerdefinierten blockierten Wörtern) können eine gute "Hygiene" durchsetzen und die Verwendung bestimmter Wörter, wie reservierte Wörter oder unangemessene Terminologie, verhindern.Group-naming policies (including support for prefix/suffix-based policies and custom blocked words) can enforce good "hygiene" and prevent use of specific words, such as reserved words or inappropriate terminology.

Ablaufrichtlinien für Microsoft 365-Gruppen tragen dazu bei, dass Microsoft 365-Gruppen und damit Teams nicht länger beibehalten werden, als die Organisation will oder braucht.Microsoft 365 group expiration policies help ensure that Microsoft 365 groups and therefore teams, aren't retained for longer periods of time than the organization wants or needs. Diese Fähigkeit trägt dazu bei, zwei wichtige Probleme beim Informationsmanagement zu vermeiden:This capability helps prevent two key information-management issues:

  • Proliferation von Teams, die nicht notwendig sind oder nicht genutzt werden.Proliferation of teams that aren't necessary or used.
  • Übermäßige Aufbewahrung von Daten, die von der Organisation nicht mehr benötigt oder verwendet werden (außer in Fällen von gesetzlicher Aufbewahrung/Konservierung).Over-retention of data that's no longer required or used by the organization (except in cases of legal hold/preservation).

Administratoren können eine Ablauffrist für Microsoft 365-Gruppen festlegen, z. B. 90, 180 oder 365 Tage.Administrators can specify an expiration period for Microsoft 365 groups, such as 90, 180, or 365 days. Wenn ein Dienst, der von einer Microsoft 365-Gruppe unterstützt wird, während der Ablauffrist inaktiv ist, werden die Gruppenbesitzer benachrichtigt.If a service that's backed by a Microsoft 365 group is inactive for the expiration period, group owners are notified. Wenn keine Maßnahmen ergriffen werden, werden die Microsoft 365-Gruppe und alle damit verbundenen Dienste, einschließlich der Teams, gelöscht.If no action is taken, the Microsoft 365 group and all its related services, including Teams, is deleted.

Die übermäßige Aufbewahrung von Daten, die in Teams und anderen gruppenbasierten Diensten gespeichert sind, kann für Finanzdienstleistungsunternehmen ein Risiko darstellen.The over-retention of data that's stored in Teams and other group-based services can pose risks to financial services organizations. Die Ablaufrichtlinien für Microsoft 365-Gruppen sind eine empfohlene Methode, um die Aufbewahrung von nicht mehr benötigten Daten zu verhindern.Microsoft 365 group expiration policies are a recommended way to help prevent retention of data that's no longer needed. In Kombination mit integrierten Aufbewahrungskennzeichen und -richtlinien trägt Microsoft 365 dazu bei, dass Unternehmen nur die Daten aufbewahren, die zur Einhaltung von Unternehmensrichtlinien und gesetzlichen Bestimmungen erforderlich sind.Combined with built-in retention labels and policies, Microsoft 365 helps ensure that organizations are only retaining the data that's required to meet corporate policies and regulatory compliance obligations.

Teams: Integrieren Sie einfach benutzerdefinierte AnforderungenTeams: Integrate custom requirements with ease

Teams ermöglicht standardmäßig die Erstellung von Teams in Selbstbedienung.Teams enables self-service creation of teams by default. Viele regulierte Organisationen möchten jedoch kontrollieren und verstehen, welche Kanäle für die Zusammenarbeit von ihren Mitarbeitern derzeit genutzt werden, welche Kanäle sensible Daten enthalten können und welches das Eigentum an den Organisationskanälen ist.However, many regulated organizations want to control and understand which collaboration channels are currently in use by their employees, which channels may contain sensitive data, and ownership of organizational channels. Um diese Governance-Kontrollen zu erleichtern, bietet Microsoft 365 der Organisation die Möglichkeit, die Erstellung von Selbstbedienungsteams zu deaktivieren.To facilitate these governance controls, Microsoft 365 lets organization disable self-service teams creation. Durch den Einsatz von Tools zur Automatisierung von Geschäftsprozessen wie Microsoft Power Apps und Power Automate können Unternehmen einfache Formulare und Genehmigungsprozesse für Mitarbeiter erstellen und einsetzen, um die Bildung eines neuen Teams zu beantragen.By using business process automation tools such as Microsoft Power Apps and Power Automate, organizations can build and deploy simple forms and approval processes for employees to request creation of a new team. Nach der Genehmigung kann das Team automatisch bereitgestellt und ein Link an den Anforderer gesendet werden.When approved, the team can be automatically provisioned and a link sent to the requestor. Auf diese Weise können Organisationen ihre Konformitätskontrollen und benutzerdefinierten Anforderungen entwerfen und in den Prozess der Teambildung integrieren.In this way, organizations can design and integrate their compliance controls and custom requirements into the team-creation process.

Akzeptable digitale KommunikationskanäleAcceptable digital communication channels

FINRA betont, dass die digitale Kommunikation der regulierten Unternehmen die Aufzeichnungsanforderungen der Regeln 17a-3 und 17a-4 des Exchange Act sowie der FINRA Rule Series 4510 erfüllt.FINRA emphasizes that the digital communications of regulated firms meet the record-keeping requirements of Exchange Act rules 17a-3 and 17a-4, as well as FINRA Rule Series 4510. FINRA veröffentlicht einen Jahresbericht, der wichtige Erkenntnisse, Beobachtungen und effektive Praktiken enthält, um Unternehmen bei der Verbesserung der Einhaltung von Vorschriften und des Risikomanagements zu unterstützen.FINRA releases an annual report that contains key findings, observations, and effective practices to help organizations improve compliance and risk management. In ihrem Bericht 2019 über die Ergebnisse und Beobachtungen von Prüfungen (2019 Report on Examination Findings and Observations) bezeichnete FINRA die digitale Kommunikation als einen Schlüsselbereich, in dem Unternehmen Schwierigkeiten haben, die Anforderungen an die Aufsicht und die Führung von Aufzeichnungen zu erfüllen.In its 2019 Report on Examination Findings and Observations, FINRA identified digital communications as a key area where firms encounter challenges complying with supervision and record-keeping requirements.

Wenn eine Organisation ihren Mitarbeitern erlaubt, eine bestimmte Anwendung, wie z. B. einen App-basierten Nachrichtendienst oder eine Plattform für die Zusammenarbeit, zu nutzen, muss die Firma Geschäftsunterlagen archivieren und die Aktivitäten und Kommunikationen dieser Mitarbeiter in dieser Anwendung überwachen.If an organization permits its employees to use a specific application, such as an app-based messaging service or collaboration platform, the firm must archive business records and supervise the activities and communications of those employees in that application. Die Organisationen sind für die Durchführung der Sorgfaltspflicht zur Einhaltung der FINRA-Regeln und der Wertpapiergesetze sowie für die Verfolgung potenzieller Verstöße gegen diese Regeln im Zusammenhang mit der Nutzung solcher Apps durch die Mitarbeiter verantwortlich.Organizations are responsible for conducting due diligence to comply with FINRA rules and securities laws, and for following up on potential violations of those rules related to employee use of such apps.

Zu den von der FINRA empfohlenen effektiven Praktiken gehören die folgenden:Effective practices recommended by FINRA include the following:

  • Etablierung eines umfassenden Governance-Programms für digitale Kommunikationskanäle.Establish a comprehensive governance program for digital communication channels. Verwaltung von Entscheidungen der Organisation darüber, welche digitalen Kommunikationskanäle zulässig sind, und definieren Sie die Einhaltungsprozesse für jeden digitalen Kanal.Manage the organization's decisions about which digital communication channels are permitted and define compliance processes for each digital channel. Überwachung der sich schnell verändernden Landschaft der digitalen Kommunikationskanäle genau und halten der Compliance-Prozesse auf dem neuesten Stand.Closely monitor the rapidly changing landscape of digital communication channels and keep compliance processes up to date.
  • Klare Definition und Kontrolle der zulässigen digitalen Kanäle.Clearly define and control permissible digital channels. Definieren von genehmigten und unzulässigen digitalen Kanälen.Define both approved and prohibited digital channels. Sperren oder Beschränken der Nutzung unzulässiger digitaler Kanäle oder unzulässiger Funktionen innerhalb digitaler Kanäle, die die Fähigkeit der Organisation einschränken, die Anforderungen an das Archivmanagement und die Aufsicht zu erfüllen.Block or restrict the use of prohibited digital channels, or prohibited features within digital channels, that limit the organization's ability to comply with records management and supervisory requirements.
  • Bereitstellen von Schulungen für die digitale Kommunikation.Provide training for digital communications. Implementierung von obligatorischen Schulungsprogrammen, bevor registrierte Vertreter Zugang zu genehmigten digitalen Kanälen erhalten.Implement mandatory training programs before giving registered representatives access to approved digital channels. Die Schulung trägt dazu bei, die Erwartungen einer Organisation an die geschäftliche und persönliche digitale Kommunikation zu klären, und sie führt die Mitarbeiter durch die konforme Nutzung der zulässigen Funktionen der einzelnen Kanäle.Training helps clarify an organization's expectations for business and personal digital communications, and it guides staff through using permitted features of each channel in a compliant manner.

Die Feststellungen und Beobachtungen der FINRA für die digitale Kommunikation beziehen sich direkt auf die Fähigkeit einer Organisation, die SEC-Regel 17a-4 für die Aufbewahrung aller geschäftsbezogenen Kommunikationen, die FINRA-Regeln 3110 und 3120 für die Überwachung und Überprüfung der Kommunikation und die Regelreihe 4510 für die Aufbewahrung von Aufzeichnungen einzuhalten.FINRA's findings and observations for Digital Communications relate directly to an organization's ability to comply with SEC Rule 17a-4 for retaining all business-related communications, FINRA rules 3110 and 3120 for supervision and review of communications, and Rule Series 4510 for record keeping. Die Commodity Futures Trading Commission (CFTC) verkündet ähnliche Anforderungen gemäß 17 CFR 131.The Commodity Futures Trading Commission (CFTC) promulgates similar requirements under 17 CFR 131. Diese Bestimmungen werden weiter unten in diesem Artikel ausführlich besprochen.These regulations are discussed in depth later in this article.

Microsoft Teams bietet zusammen mit der umfassenden Suite von Microsoft 365 Security & Compliance-Angeboten einen digitalen Kommunikationskanal für Finanzdienstleister, der sie effektiv bei ihren Geschäften und der Einhaltung von Vorschriften unterstützt. In diesem Artikel wird darüber hinaus beschrieben, wie die in Microsoft 365 integrierten Funktionen für Datensatzverwaltung, Informationsschutz, Informationsbarrieren und Aufsichtskontrolle Teams ein solides Toolset bereitstellen, das bei der Einhaltung dieser gesetzlichen Vorschriften hilft.Teams, along with the comprehensive suite of Microsoft 365 security and compliance offerings, provides a corporate digital communication channel for financial services institutions to effectively conduct business and comply with regulations. The remainder of this article describes how Microsoft 365 built-in capabilities for records management, information protection, information barriers, and supervisory control gives Teams a robust toolset to help meet these regulatory obligations.

Sicherung der modernen Zusammenarbeit mit Microsoft 365Protect modern collaboration with Microsoft 365

Sichern von Benutzeridentitäten und Kontrolle des ZugriffsSecure user identities and control access

Sicherung des Zugriffs auf Kundeninformationen, Finanzdokumente und Anwendungen beginnt mit einer starken Sicherung der Benutzeridentität.Protecting access to customer information, financial documents, and applications begins with strongly securing user identities. Dies erfordert eine sichere Plattform für das Unternehmen zur Speicherung und Verwaltung von Identitäten, die ein vertrauenswürdiges Mittel zur Authentifizierung bietet und den Zugriff auf diese Anwendungen dynamisch steuert.This requires a secure platform for the enterprise to store and manage identities, providing a trusted means of authentication, and dynamically controlling access to those applications.

Während der Arbeit können die Mitarbeiter von Anwendung zu Anwendung oder zwischen verschiedenen Standorten und Geräten wechseln.As employees work, they may move from application to application or between multiple locations and devices. Der Zugriff zu den Daten muss bei jedem Schritt auf dem Weg authentifiziert werden.Access to data must be authenticated at each step along the way. Der Authentifizierungsprozess muss ein starkes Protokoll und mehrere Authentifizierungsfaktoren (wie z. B. einen einmaligen SMS-Passcode, eine Authentifizierungs-App und ein Zertifikat) unterstützen, um sicherzustellen, dass Identitäten nicht kompromittiert werden.The authentication process has to support a strong protocol and multiple factors of authentication (such as one-time SMS pass code, authenticator app, and certificate) to ensure that identities aren't compromised. Die Durchsetzung risikobasierter Zugriffsrichtlinien ist entscheidend für den Schutz von Finanzdaten und Anwendungen vor Insider-Bedrohungen, versehentlichen Datenlecks und Datenexfiltration.Enforcing risk-based access policies is critical to protecting financial data and applications from insider threats, inadvertent data leaks, and data exfiltration.

Microsoft 365 bietet mit Azure Active Directory (Azure AD) eine sichere Identitätsplattform, auf der Identitäten zentral gespeichert und sicher verwaltet werden.Microsoft 365 provides a secure identity platform in Azure Active Directory (Azure AD), where identities are centrally stored and securely managed. Azure AD bildet zusammen mit einer Vielzahl verwandter Sicherheitsdienste von Microsoft 365 die Grundlage, um den Mitarbeitern den Zugang zu ermöglichen, den sie für ein sicheres Arbeiten benötigen, und gleichzeitig das Unternehmen vor Bedrohungen zu schützen.Azure AD, along with a host of related Microsoft 365 security services, forms the basis for providing employees with the access they need to work securely while also protecting the organization from threats.

Azure AD Multi-Factor Authentication (MFA) ist in die Plattform integriert und bietet einen zusätzlichen Authentifizierungsnachweis zur Bestätigung der Identität des Benutzers, wenn dieser auf vertrauliche Finanzdaten und Anwendungen zugreift.Azure AD Multi-Factor Authentication (MFA) is built into the platform and provides an additional proof of authentication to help confirm user identity when they access sensitive financial data and applications. Azure MFA erfordert mindestens zwei Formen der Authentifizierung, z. B. ein Kennwort und ein bekanntes mobiles Gerät.Azure MFA requires at least two forms of authentication, such as a password plus a known mobile device. Es unterstützt mehrere Second-Factor-Authentifizierungsoptionen, einschließlich:It supports several second-factor authentication options, including:

  • Der Microsoft Authenticator-AppThe Microsoft Authenticator app
  • Eines einmaligen Passcode, der per SMS zugestellt wirdA one-time passcode delivered via SMS
  • Eines Telefonanrufs, bei dem ein Benutzer eine PIN eingeben mussA phone call where a user must enter a PIN

Wenn das Kennwort irgendwie kompromittiert wird, würde ein potenzieller Hacker immer noch das Telefon des Benutzers benötigen, um Zugriff auf Unternehmensdaten zu erhalten.If password is somehow compromised, a potential hacker would still need the user's phone to gain access to organizational data. Darüber hinaus verwendet Microsoft 365 Modern Authentification als Schlüsselprotokoll, das die gleiche starke und reichhaltige Authentifizierungserfahrung aus Webbrowsern in die Kollaborationstools bringt, die die Mitarbeiter tagtäglich nutzen, einschließlich Microsoft Outlook und die anderen Microsoft Office-Anwendungen.In addition, Microsoft 365 uses Modern Authentication as a key protocol, which brings the same strong and rich authentication experience from web browsers to the collaboration tools that employees use day to day, including Microsoft Outlook and the other Microsoft Office applications.

KennwortlosPasswordless

Kennwörter sind das schwächste Glied in einer Sicherheitskette.Passwords are the weakest link in a security chain. Sie können ein einzelner Punkt des Scheiterns sein, wenn es keine zusätzliche Überprüfung gibt.They can be a single point of failure if there's no additional verification. Microsoft unterstützt eine breite Palette von Authentifizierungsoptionen, um den Bedürfnissen von Finanzinstituten gerecht zu werden.Microsoft supports a broad range of authentication options to fit the needs of financial institutions.

Kennwortlose Methoden helfen, MFA für die Benutzer einfacher zu machen.Passwordless methods help make MFA more convenient for users. Während nicht alle MFA kennwortlos sind, verwenden kennwortlose Technologien eine Multi-Faktor-Authentifizierung.While not all MFA is passwordless, passwordless technologies employ multi-factor authentication. Microsoft, Google und andere Branchenführer haben in einer Gruppe namens Fast IDentity Online (FIDO) Standards entwickelt, um eine einfachere und stärkere Authentifizierung über das Web und mobile Geräte zu ermöglichen.Microsoft, Google, and other industry leaders have developed standards to enable a simpler, stronger authentication experience across the web and mobile devices in a group called Fast IDentity Online (FIDO). Der kürzlich entwickelte FIDO2-Standard ermöglicht es Benutzern, sich einfach und sicher zu authentifizieren, ohne ein Kennwort zu benötigen, um Phishing zu unterbinden.The recently developed FIDO2 standard enables users to authenticate easily and securely without requiring a password to eliminate phishing.

Zu den kennwortlosen MFA-Methoden von Microsoft gehören:Microsoft MFA methods that are passwordless include:

  • Microsoft Authenticator: Aus Gründen der Flexibilität, des Komforts und der Kosten empfehlen wir die Verwendung der mobilen Microsoft Authenticator-App.Microsoft Authenticator: For flexibility, convenience, and cost, we recommend using the Microsoft Authenticator mobile app. Microsoft Authenticator unterstützt biometrische Daten, Push-Benachrichtigungen und Einmal-Passcodes für alle mit Azure AD verbundenen Anwendungen.Microsoft Authenticator supports biometrics, push notifications, and one-time passcodes for any Azure AD-connected app. Es ist in den App-Stores von Apple und Android erhältlich.It's available from the Apple and Android app stores.
  • Windows Hello: Für eine integrierte Erfahrung auf dem PC empfehlen wir die Verwendung von Windows Hello.Windows Hello: For a built-in experience on the PC, we recommend using Windows Hello. Es verwendet biometrische Informationen (wie Gesicht oder Fingerabdruck), um sich automatisch anzumelden.It uses biometric information (such as face or fingerprint) to sign in automatically.
  • FIDO2-Sicherheitsschlüsselsind jetzt bei mehreren Microsoft-Partnern erhältlich: Yubico, Feitian Technologies und HID Global in einem USB-, NFC-fähigen Ausweis oder biometrischen Schlüssel.FIDO2 Security keys are now available from several Microsoft partners: Yubico, Feitian Technologies, and HID Global in a USB, NFC-enabled badge or biometric key.

Azure AD Conditional Access bietet eine robuste Lösung zur Automatisierung von Zugriffskontrollentscheidungen und zur Durchsetzung von Unternehmensrichtlinien zum Schutz von Unternehmenswerten.Azure AD Conditional Access provides a robust solution for automating access control decisions and enforcing organizational policies to protect company assets. Ein klassisches Beispiel ist, wenn ein Finanzplaner auf eine Anwendung zugreifen möchte, die sensible Kundendaten enthält.A classic example is when a financial planner wants to access an application that has sensitive customer data. Sie müssen automatisch eine Multi-Faktor-Authentifizierung durchführen, um speziell auf diese Anwendung zuzugreifen, und der Zugriff muss von einem vom Unternehmen verwalteten Gerät aus erfolgen.They are automatically required to perform a multi-factor authentication to specifically access that application, and access must be from a corporate-managed device. Azure Conditional Access fasst Signale über die Zugriffsanfrage eines Benutzers zusammen, z. B. Eigenschaften über den Benutzer, das Gerät, den Standort und das Netzwerk sowie die Anwendung, auf die der Benutzer zuzugreifen versucht.Azure Conditional Access brings together signals about a user's access request, such as properties about the user, the device, location, and network, and the application that the user is trying to access. Es wertet Zugriffsversuche auf die Anwendung dynamisch anhand konfigurierter Richtlinien aus.It dynamically evaluates attempts to access the application against configured policies. Wenn ein erhöhtes Benutzer- oder Geräterisiko besteht oder andere Bedingungen nicht erfüllt sind, kann Azure AD automatisch Richtlinien durchsetzen, z. B. die Anforderung von MFA, die Forderung nach einer sicheren Kennwortzurücksetzung oder die Einschränkung oder Sperrung des Zugriffs.If user or device risk is elevated, or other conditions are not met, Azure AD can automatically enforce policies such as requiring MFA, requiring a secure password reset, or restricting or blocking access. Dadurch wird sichergestellt, dass vertrauliche Anlagen der Organisation in sich dynamisch verändernden Umgebungen geschützt werden.This helps ensure that sensitive organizational assets are protected in dynamically changing environments.

Azure AD und die damit verbundenen Microsoft 365-Sicherheitsdienste bilden die Grundlage, auf der eine moderne Cloud-Plattform für die Zusammenarbeit für Finanzinstitute eingeführt werden kann, um den Zugang zu Daten und Anwendungen zu sichern und die Einhaltung von Vorschriften zu gewährleisten. Diese Tools bieten die folgenden Schlüsselfunktionen:Azure AD, and the related Microsoft 365 security services, provide the foundation on which a modern cloud collaboration platform can be rolled out to financial institutions so that access to data and applications can be secured, and regulator compliance obligations can be met. These tools provide the following key capabilities:

  • Zentrale Speicherung und sichere Verwaltung von Benutzeridentitäten.Centrally store and securely manage user identities.
  • Verwenden Sie ein starkes Authentifizierungsprotokoll, einschließlich Multi-Faktor-Authentifizierung, um Benutzer bei Zugriffsanforderungen zu authentifizieren und eine konsistente und robuste Authentifizierungserfahrung über alle Anwendungen hinweg zu gewährleisten.Use a strong authentication protocol, including multi-factor authentication, to authenticate users on access requests and provide a consistent and robust authentication experience across all applications.
  • Dynamische Validierung von Richtlinien für alle Zugriffsanfragen, wobei mehrere Signale in den Richtlinienentscheidungsprozess einbezogen werden, einschließlich Identität, Benutzer-/Gruppenmitgliedschaft, Anwendung, Gerät, Netzwerk, Standort und Echtzeit-Risikobewertung.Dynamically validate policies on all access requests, incorporating multiple signals into the policy decision-making process, including identity, user/group membership, application, device, network, location, and real-time risk score.
  • Validieren Sie genaue Richtlinien auf der Grundlage des Benutzerverhaltens und der Dateieigenschaften und setzen Sie bei Bedarf dynamisch zusätzliche Sicherheitsmaßnahmen durch.Validate granular policies based on user behavior and file properties and dynamically enforce additional security measures when required.
  • Identifizieren Sie „Schatten-IT“ in der Organisation und erlauben Sie den InfoSec-Teams, Cloud-Anwendungen zu sanktionieren oder zu blockieren.Identify "shadow IT" in the organization, and allow InfoSec teams to sanction or block cloud applications.
  • Überwachen und kontrollieren Sie den Zugriff auf Microsoft- und Nicht-Microsoft-Cloud-Anwendungen.Monitor and control access to Microsoft and non-Microsoft cloud applications.
  • Proaktiver Schutz vor E-Mail-Phishing und Ransomware-Angriffen.Proactively protect against email phishing and ransomware attacks.

Azure AD Identity ProtectionAzure AD Identity Protection

Bedingter Zugriff schützt die Ressourcen vor verdächtigen Anfragen, während der Identitätsschutz noch weiter geht, indem er eine kontinuierliche Risikoerkennung und Behebung von verdächtigen Benutzerkonten ermöglicht.While Conditional Access protects resources from suspicious requests, Identity Protection goes further by providing ongoing risk detection and remediation of suspicious user accounts. Der Identitätsschutz hält Sie rund um die Uhr über verdächtige Benutzer und Anmeldeverhalten in Ihrer Umgebung auf dem Laufenden.Identity Protection keeps you informed of suspicious user and sign-in behavior in your environment around the clock. Die automatische Reaktion verhindert proaktiv, dass gefährdete Identitäten missbraucht werden.Its automatic response proactively prevents compromised identities from being abused.

Der Identitätsschutz ist ein Tool, mit dem Organisationen drei Hauptaufgaben ausführen können:Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • Automatisieren Sie die Erkennung und Behebung von identitätsbasierten Risiken.Automate the detection and remediation of identity-based risks.
  • Untersuchen Sie Risiken anhand der Daten im Portal.Investigate risks by using data in the portal.
  • Exportieren Sie Daten zur Risikoerkennung zur weiteren Analyse an Drittanbieter-Versorgungsunternehmen.Export risk detection data to third-party utilities for further analysis.

Identitätsschutz nutzt das Wissen, das Microsoft aus seiner Position in Organisationen mit Azure AD, im Verbraucherbereich mit Microsoft-Konten und beim Spielen mit Xbox erworben hat, um Ihre Benutzer zu schützen.Identity Protection uses knowledge that Microsoft has acquired from its position in organizations with Azure AD, in the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. Microsoft analysiert 65 Billionen Signale pro Tag, um Kunden zu identifizieren und vor Bedrohungen zu schützen.Microsoft analyzes 65 trillion signals per day to identify and protect customers from threats. Die Signale, die vom Identitätsschutz erzeugt und in diesen eingespeist werden, können weiter in Tools wie Conditional Access eingespeist werden, um Zugriffsentscheidungen zu treffen.The signals generated by and fed to Identity Protection can be further fed into tools like Conditional Access to make access decisions. Sie können auch an ein SIEM-Tool (Security Information and Event Management) zur weiteren Untersuchung auf der Grundlage der durchgesetzten Richtlinien Ihrer Organisation zurückgeführt werden.They can also be fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

Identitätsschutz hilft Unternehmen, sich automatisch vor Identitätskompromittierungen zu schützen, indem sie die Vorteile der Cloud-Intelligenz nutzen, die durch erweiterte Erkennung auf der Grundlage von Heuristik, Benutzer- und Entitätsverhaltensanalysen (User and Entity Behavior Analytics, UEBA) und Machine Learning (ML) im gesamten Microsoft-Ökosystem ermöglicht wird.Identity Protection helps organizations automatically protect against identity compromise by taking advantage of cloud intelligence powered by advanced detection based on heuristics, user and entity behavior analytics (UEBA), and machine learning (ML) across the Microsoft ecosystem.

Fünf Informationsmitarbeiter sehen zu, während ein anderer eine Präsentation gibt

Identifizierung vertraulicher Daten und Verhinderung von DatenverlustenIdentify sensitive data and prevent data loss

Microsoft 365 ermöglicht allen Organisationen die Identifizierung vertraulicher Daten innerhalb der Organisation durch eine Kombination leistungsstarker Funktionen, einschließlich:Microsoft 365 allows all organizations to identify sensitive data within the organization through a combination of powerful capabilities, including:

  • Microsoft Information Protection (MIP) sowohl für die benutzerbasierte Klassifizierung als auch für die automatische Klassifizierung vertraulicher Daten.Microsoft Information Protection (MIP) for both user-based classification and automated classification of sensitive data.
  • Office 365 Data Loss Prevention (DLP) zur automatisierten Identifizierung sensibler Daten unter Verwendung sensibler Datentypen (mit anderen Worten: reguläre Ausdrücke) und Schlüsselwörter und zur Durchsetzung von Richtlinien.Office 365 Data Loss Prevention (DLP) for automated identification of sensitive data using sensitive data types (in other words, regular expressions) and keywords and policy enforcement.

Microsoft Information Protection (MIP) ermöglicht es Organisationen, Dokumente und E-Mails durch die Verwendung von Vertraulichkeitskennzeichnungen intelligent zu klassifizieren.Microsoft Information Protection (MIP) enables organizations to classify documents and emails intelligently by using sensitivity labels. Vertraulichkeitskennzeichnungen können von Benutzern manuell auf Dokumente in Microsoft Office-Anwendungen und auf E-Mails in Outlook angewendet werden.Sensitivity labels can be applied manually by users to documents in Microsoft Office applications and to emails in Outlook. Die Kennzeichnungen können automatisch Dokumentenmarkierungen, Schutz durch Verschlüsselung und Durchsetzung der Rechteverwaltung anbringen.The labels can automatically apply document markings, protection through encryption, and rights-management enforcement. Vertraulichkeitskennzeichnungen können auch automatisch angewendet werden, indem Richtlinien konfiguriert werden, die Schlüsselwörter und sensible Datentypen (wie Kreditkartennummern, Sozialversicherungsnummern und Identitätsnummern) verwenden, um sensible Daten automatisch zu finden und zu klassifizieren.Sensitivity labels can also be applied automatically by configuring policies that use keywords and sensitive data types (such as credit card numbers, social insurance numbers, and identity numbers) to automatically find and classify sensitive data.

Darüber hinaus stellt Microsoft „lernfähige Klassifizierer“ zur Verfügung, die Machine Learning-Modelle verwenden, um sensible Daten auf der Grundlage des Inhalts zu identifizieren, im Gegensatz zu einem einfachen Mustervergleich oder durch die Elemente innerhalb des Inhalts.In addition, Microsoft provides "trainable classifiers" that use machine-learning models to identify sensitive data based on the content, as opposed to simply through pattern matching or by the elements within the content. Ein Klassifikator lernt, wie man einen Inhaltstyp identifiziert, indem er sich zahlreiche Beispiele für den zu klassifizierenden Inhalt ansieht.A classifier learns how to identify a type of content by looking at numerous examples of the content to be classified. Die Ausbildung eines Klassifizierers beginnt damit, dass er Beispiele für Inhalte in einer bestimmten Kategorie erhält.Training a classifier begins by giving it examples of content in a particular category. Nachdem es aus diesen Beispielen gelernt hat, wird das Modell getestet, indem ihm eine Mischung aus passenden und nicht passenden Beispielen gegeben wird.After it learns from those examples, the model is tested by giving it a mix of matching and non-matching examples. Der Klassifizierer prognostiziert, ob ein bestimmtes Beispiel in die Kategorie fällt oder nicht.The classifier predicts whether a given example falls into the category or not. Eine Person bestätigt dann die Ergebnisse und sortiert die Positiven, Negativen, Falsch-Positiven und Falsch-Negativen, um die Genauigkeit der Vorhersagen des Klassifikators zu erhöhen.A person then confirms the results, sorting the positives, negatives, false positives, and false negatives to help increase the accuracy of the classifier's predictions. Wenn der gelernte Klassifizierer veröffentlicht wird, verarbeitet er Inhalte in Microsoft SharePoint Online, Exchange Online und OneDrive for Business und klassifiziert diese automatisch.When the trained classifier is published, it processes content in Microsoft SharePoint Online, Exchange Online, and OneDrive for Business and automatically classifies the content.

Beim Anwenden von Vertraulichkeitskennzeichnungen auf Dokumente und E-Mails werden Metadaten eingebettet, die die gewählte Vertraulichkeit innerhalb des Objekts identifizieren.Applying sensitivity labels to documents and emails embeds metadata that identifies the chosen sensitivity within the object. Die Vertraulichkeit geht dann mit den Daten mit.The sensitivity then travels with the data. Selbst wenn ein gekennzeichnetes Dokument auf dem Desktop eines Benutzers oder in einem lokalen System gespeichert wird, ist es immer noch geschützt.So even if a labeled document is stored on a user's desktop or within an on-premises system, it's still protected. Diese Funktionalität ermöglicht es anderen Microsoft 365-Lösungen, wie z. B. Microsoft Cloud App Security oder Netzwerkrandgeräten, sensible Daten zu identifizieren und automatisch Sicherheitskontrollen durchzusetzen.This functionality enables other Microsoft 365 solutions, such as Microsoft Cloud App Security or network edge devices, to identify sensitive data and automatically enforce security controls. Vertraulichkeitskennzeichnungen haben den zusätzlichen Vorteil, dass die Mitarbeiter darüber aufgeklärt werden, welche Daten innerhalb einer Organisation als sensibel gelten und wie sie mit diesen Daten umgehen müssen, wenn sie sie erhalten.Sensitivity labels have the added benefit of educating employees about which data within an organization is considered sensitive and how to handle that data when they receive it.

Office 365 Data Loss Prevention (DLP) identifiziert automatisch Dokumente, E-Mails und Unterhaltungen, die vertrauliche Daten enthalten, indem sie nach vertraulichen Daten gescannt und dann Richtlinien für diese Objekte durchgesetzt werden.Office 365 Data Loss Prevention (DLP) automatically identifies documents, emails, and conversations that contain sensitive data by scanning them for sensitive data and then enforcing policy on those objects. Die Richtlinien werden für Dokumente in SharePoint und OneDrive for Business durchgesetzt.Policies are enforced on documents in SharePoint and OneDrive for Business. Sie werden auch durchgesetzt, wenn Benutzer E-Mails senden, und in Teams Chats und Kanalunterhaltungen führen.They're also enforced when users send email, and in Teams chats and channel conversations. Die Richtlinien können so konfiguriert werden, dass nach Schlüsselwörtern, vertraulichen Datentypen und Kennzeichnungen für die Aufbewahrung gesucht wird und ob die Daten innerhalb der Organisation oder extern ausgetauscht werden.Policies can be configured to look for keywords, sensitive data types, retention labels, and whether data is shared within the organization or externally. Es werden Kontrollen zur Verfügung gestellt, um Organisationen bei der Feinabstimmung der DLP-Richtlinien zu helfen, um falsch positive Ergebnisse zu verringern.Controls are provided to help organizations fine-tune DLP policies to reduce false positives. Wenn vertrauliche Daten gefunden werden, können den Benutzern innerhalb von Microsoft 365-Anwendungen anpassbare Richtlinientipps angezeigt werden, um sie darüber zu informieren, dass ihr Inhalt vertrauliche Daten enthält, und dann Korrekturmaßnahmen vorzuschlagen.When sensitive data is found, customizable policy tips can be displayed to users within Microsoft 365 applications to inform them that their content contains sensitive data and then propose corrective actions. Richtlinien können auch verhindern, dass Benutzer auf Dokumente zugreifen, Dokumente gemeinsam nutzen oder E-Mails versenden, die bestimmte Arten von vertraulichen Daten enthalten.Policies can also prevent users from accessing documents, sharing documents, or sending emails that contain certain types of sensitive data. Microsoft 365 unterstützt mehr als 100 integrierte vertrauliche Datentypen.Microsoft 365 supports more than 100 built-in sensitive data types. Organisationen können benutzerdefinierte vertrauliche Datentypen konfigurieren, um ihre Richtlinien zu erfüllen.Organizations can configure custom sensitive data types to meet their policies.

Das Rollout von MIP- und DLP-Richtlinien in Organisationen erfordert eine sorgfältige Planung und ein Benutzerschulungsprogramm, damit die Mitarbeiter das Datenklassifizierungsschema der Organisation verstehen und wissen, welche Arten von Daten als sensibel gelten.Rolling out MIP and DLP policies to organizations requires careful planning and a user education program so that employees understand the organization's data classification schema and which types of data are considered sensitive. Die Bereitstellung von Tools und Schulungsprogrammen, die den Mitarbeitern helfen, vertrauliche Daten zu identifizieren und zu verstehen, wie man damit umgeht, macht sie zu einem Teil der Lösung zur Minderung von Informationssicherheitsrisiken.Providing employees with tools and educational programs that help them identify sensitive data and understand how to handle it makes them part of the solution for mitigating information security risks.

Die Signale, die vom Identitätsschutz erzeugt und in diesen eingespeist werden, können auch in Tools wie den bedingten Zugriff eingespeist werden, um Zugriffsentscheidungen zu treffen, oder in ein SIEM-Tool (Security Information and Event Management) zur Untersuchung auf der Grundlage der durchgesetzten Richtlinien einer Organisation.The signals generated by and fed to Identity Protection can also be fed into tools like Conditional Access to make access decisions or to a security information and event management (SIEM) tool for investigation based on an organization's enforced policies.

Identitätsschutz hilft Unternehmen, sich automatisch vor Identitätskompromittierungen zu schützen, indem sie die Vorteile der Cloud-Intelligenz nutzen, die durch erweiterte Erkennung auf der Grundlage von Heuristik, Benutzer- und Entitätsverhaltensanalysen (UEBA) und Machine Learning im gesamten Microsoft-Ökosystem ermöglicht wird.Identity Protection helps organizations automatically protect against identity compromise by taking advantage of cloud intelligence powered by advanced detections based on heuristics, user and entity behavior analytics, and machine learning across the Microsoft ecosystem.

Ein Informationsmitarbeiter wird vor einer großen Anzahl von Monitoren abgebildet

Die Burg verteidigenDefend the fortress

Microsoft hat kürzlich die Microsoft 365 Defender-Lösung eingeführt, die die moderne Organisation vor der sich entwickelnden Bedrohungslandschaft schützen soll.Microsoft recently launched the Microsoft 365 Defender solution, which is designed to secure the modern organization from the evolving threat landscape. Durch die Nutzung von Intelligent Security Graph bietet die Threat Protection-Lösung umfassende, integrierte Sicherheit gegen mehrere Angriffsvektoren.By leveraging the Intelligent Security Graph, the Threat Protection solution offers comprehensive, integrated security against multiple attack vectors.

Der Intelligent Security GraphThe Intelligent Security Graph

Die Sicherheitsdienste von Microsoft 365 werden durch Intelligent Security Graph unterstützt.Security services from Microsoft 365 are powered by the Intelligent Security Graph. Um Cyberbedrohungen zu bekämpfen, verwendet der Intelligent Security Graph fortschrittliche Analysen, um Bedrohungsinformationen und Sicherheitssignale von Microsoft und seinen Partnern zu verknüpfen.To combat cyberthreats, the Intelligent Security Graph uses advanced analytics to link threat intelligence and security signals from Microsoft and its partners. Microsoft betreibt globale Dienste in großem Maßstab und sammelt Billionen von Sicherheitssignalen, die den Schutz über den gesamten Stack hinweg verstärken.Microsoft operates global services at a massive scale, gathering trillions of security signals that power protection layers across the stack. Machine Learning-Modelle bewerten diese Intelligenz, und die Erkenntnisse über Signale und Bedrohungen werden über unsere Produkte und Dienstleistungen weit verbreitet.Machine-learning models assess this intelligence, and the signal and threat insights are widely shared across our products and services. Dies ermöglicht es uns, Bedrohungen schnell zu erkennen und darauf zu reagieren und den Kunden verwertbare Warnungen und Informationen zur Abhilfe zu bringen.This enables us to detect and respond to threats quickly and bring actionable alerts and information to customers for remediation. Unsere Machine Learning-Modelle werden kontinuierlich geschult und mit neuen Erkenntnissen aktualisiert, was uns dabei hilft, sicherere Produkte zu entwickeln und mehr proaktive Sicherheit zu bieten.Our machine learning models are continuously trained and updated with new insights, helping us build more-secure products and provide more proactive security.

Microsoft Defender für Office 365 bietet einen integrierten Microsoft 365-Dienst, der Unternehmen vor bösartigen Links und Schadsoftware schützt, die in E-Mails und Office-Dokumente enthalten sind.Microsoft Defender for Office 365 provides an integrated Microsoft 365 service that protects organizations from malicious links and malware delivered through email and Office documents. Einer der häufigsten Angriffsvektoren, von dem Benutzer heutzutage betroffen sind, sind E-Mail-Phishing-Angriffe.One of the most common attack vectors that affects users today is email phishing attacks. Diese Angriffe können für bestimmte Benutzer bestimmt sein und können sehr überzeugend sein, bei einigen Maßnahmen, mit denen der Benutzer auf einen bösartigen Link klicken oder eine Anlage öffnen kann, die Schadsoftware enthält.These attacks can be targeted at specific users and can be very convincing, with some call to action that prompts the user to click a malicious link or open an attachment that contains malware. Sobald ein Computer infiziert ist, kann der Angreifer entweder die Anmeldedaten des Benutzers stehlen und sich seitlich in der Organisation bewegen oder E-Mails und Daten exfiltrieren, um nach vertraulichen Informationen zu suchen.Once a computer is infected, the attacker can either steal the user's credentials and move laterally across the organization or exfiltrate emails and data to look for sensitive information. Defender für Office 365 unterstützt sichere Anhänge und sichere Links, indem es Dokumente und Links zum Zeitpunkt des Anklickens auf potenziell bösartige Absichten prüft und den Zugriff blockiert.Defender for Office 365 supports safe attachments and safe links by evaluating documents and links at click-time for potentially malicious intent and blocks access. E-Mail-Anhänge werden in einer geschützten Sandbox geöffnet, bevor sie in das Postfach des Benutzers übermittelt werden.Email attachments are opened in a protected sandbox before they're delivered to a user's mailbox. Außerdem werden Links in Office-Dokumenten auf bösartige URLs überprüft.It also evaluates links in Office documents for malicious URLs. Defender für Office 365 schützt auch Links und Dateien in SharePoint Online, OneDrive for Business und Microsoft Teams.Defender for Office 365 also protects links and files in SharePoint Online, OneDrive for Business, and Teams. Wenn eine bösartige Datei entdeckt wird, sperrt Defender für Office 365 diese Datei automatisch, um den potenziellen Schaden zu verringern.If a malicious file is detected, Defender for Office 365 automatically locks that file to reduce potential damage.

Microsoft Defender für Endpunkt ist eine einheitliche Endpunkt-Sicherheitsplattform für präventiven Schutz, die Erkennung nach einem Angriff und die automatisierte Untersuchung und Reaktion.Microsoft Defender for Endpoint is a unified endpoint security platform for preventative protection, post-breach detection, and automated investigation and response. Defender für Endpunkt bietet integrierte Funktionen für die Erkennung und den Schutz vertraulicher Daten auf Unternehmensendpunkten.Defender for Endpoint provides built-in capabilities for discovery and protection of sensitive data on enterprise endpoints.

Microsoft Cloud App Security (MCAS) ermöglicht Unternehmen die genaue Durchsetzung von Richtlinien und die Erkennung von Verhaltensanomalien auf der Grundlage individueller Benutzerprofile, die automatisch durch Machine Learning definiert werden.Microsoft Cloud App Security (MCAS) enables organizations to enforce policies at a granular level and to detect behavioral anomalies based on individual user profiles that are automatically defined by using machine learning. MCAS-Richtlinien können auf den Azure Conditional Access-Richtlinien aufbauen, um vertrauliche Anlagen des Unternehmens zu schützen, indem zusätzliche Signale bezüglich des Benutzerverhaltens und der Eigenschaften der Dokumente, auf die zugegriffen wird, ausgewertet werden.MCAS policies can build on Azure Conditional Access policies to protect sensitive company assets by evaluating additional signals related to user behavior and properties of the documents that are accessed. Im Laufe der Zeit lernt MCAS das typische Verhalten der einzelnen Mitarbeiter in Bezug auf die Daten, auf die sie zugreifen, und die von ihnen verwendeten Anwendungen kennen.Over time, MCAS learns what's typical behavior for each employee with regard to the data they access and the applications they use. Basierend auf erlernten Verhaltensmustern können Richtlinien dann automatisch Sicherheitskontrollen durchsetzen, wenn ein Mitarbeiter außerhalb dieses Verhaltensprofils handelt.Based on learned behavior patterns, policies can then automatically enforce security controls if an employee acts outside of that behavioral profile. Wenn ein Mitarbeiter beispielsweise in der Regel montags bis freitags von 9 bis 17 Uhr auf eine Buchhaltungsanwendung zugreift, aber plötzlich an einem Sonntagabend stark auf diese Anwendung zugreift, kann MCAS dynamisch Richtlinien durchsetzen, die vom Benutzer eine erneute Authentifizierung verlangen.For example, if an employee typically accesses an accounting application from 9 AM to 5 PM Monday through Friday but suddenly starts to access that application heavily on a Sunday evening, MCAS can dynamically enforce policies to require the user to reauthenticate. Dadurch wird sichergestellt, dass die Anmeldedaten des Benutzers nicht kompromittiert worden sind.This helps ensure that the user's credentials haven't been compromised. MCAS kann auch dazu beitragen, „Schatten-IT“ in der Organisation zu identifizieren, wodurch Informationssicherheitsteams sicherstellen können, dass die Mitarbeiter bei der Arbeit mit sensiblen Daten sanktionierte Tools verwenden.MCAS can also help identify "shadow IT" in the organization, which helps information security teams ensure that employees are using sanctioned tools when they work with sensitive data. Schließlich kann MCAS sensible Daten überall in der Cloud schützen, sogar außerhalb der Microsoft 365-Plattform.Finally, MCAS can protect sensitive data anywhere in the Cloud, even outside the Microsoft 365 platform. Sie ermöglicht Organisationen, bestimmte externe Cloud-Apps zu sanktionieren (oder nicht zu sanktionieren), den Zugriff zu kontrollieren und die Nutzung zu überwachen.It allows organizations to sanction (or unsanction) specific external Cloud apps, controlling access and monitoring usage.

Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokalen Active Directory-Signale nutzt, um komplexe Bedrohungen, kompromittierte Identitäten und bösartige, gegen Ihre Organisation gerichtete Insideraktionen zu identifizieren, zu erkennen und zu untersuchen.Microsoft Defender for Identity is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization. AATP ermöglicht SecOp-Analysten und Sicherheitsexperten, fortgeschrittene Angriffe in hybriden Umgebungen zu erkennen:AATP enables SecOp analysts and security professionals detect advanced attacks in hybrid environments to:

  • Überwachen Sie Benutzer, Entitätsverhalten und Aktivitäten mit Hilfe von lernbasierten Analysen.Monitor users, entity behavior, and activities by using learning-based analytics.
  • Schützt Benutzeridentitäten und Anmeldeinformationen, die in Active Directory gespeichert sind.Protect user identities and credentials stored in Active Directory.
  • Identifizieren und untersuchen Sie verdächtige Benutzeraktivitäten und fortgeschrittene Angriffe in der gesamten Abwehrkette.Identify and investigate suspicious user activities and advanced attacks throughout the kill chain.
  • Bereitstellen klarer Vorfallinformationen auf einer einfachen Zeitachse für eine schnelle Sichtung.Provide clear incident information on a simple timeline for fast triage.

Die Büroangestellten treffen sich in einem kleinen Konferenzraum. Einer hält eine Präsentation.

Verwalten von Daten und DatensätzenGovern data and manage records

Finanzinstitute müssen Ihre Datensätze und Informationen gemäß den regulatorischen, gesetzlichen und geschäftlichen Verpflichtungen beibehalten, die im Rahmen des Aufbewahrungszeitplans für Unternehmen dargestellt werden.Financial institutions must retain their records and information according to their regulatory, legal, and business obligations as represented within their corporate retention schedule. Ein Beispiel: Die SEC fordert Aufbewahrungszeiträume von drei bis sechs Jahren, je nach Datensatztyp, mit sofortiger Zugriffsmöglichkeit in den ersten beiden Jahren.For example, the SEC mandates retention periods of three to six years, based on record type, with immediate accessibility for the first two years. Unternehmen sind mit rechtlichen und behördlichen Compliance-Risiken konfrontiert, wenn die Daten zu kurz aufbewahrt (zu früh verworfen) werden, und müssen jetzt auch Vorschriften berücksichtigen, die die Entsorgung der Daten regeln, wenn die Informationen mehr benötigt werden.Organizations face legal and regulatory compliance risks if data is under-retained (discarded too early), and now also manage regulations that mandate disposal when information is no longer required. Effiziente Strategien für die Datensatzverwaltung heben einen praxisorientierten und konsistenten Ansatz hervor, damit die Informationen angemessen entsorgt werden und gleichzeitig Kosten und Risiken für die Organisation minimiert werden.Effective records-management strategies emphasize a practical and consistent approach so that information is disposed of appropriately while minimizing cost and risk to the organization.

Darüber hinaus fordern aufsichtsbehördliche Verpflichtungen des "New York State Department of Financial Services" von betroffenen Unternehmen, dass sie Richtlinien und Verfahren für die Entsorgung nicht öffentlicher Informationen einhalten. 23 NYCRR 500, Abschnitt 500.13, Beschränkungen hinsichtlich der Aufbewahrung von Daten setzt voraus, dass „im Rahmen des Internetsicherheit-Programms jedes betroffene Unternehmen Richtlinien und Verfahren für die regelmäßige und sichere Entsorgung nicht öffentlicher Informationen, wie in Abschnitt 500.01 (g) (2)-(3) dieses Teils beschrieben, die nicht mehr für Geschäftsvorgänge oder zu anderen berechtigten geschäftlichen Zwecken des behandelten Unternehmens erforderlich sind, es sei denn, dass diese Informationen aufgrund anderer Gesetze oder Vorschriften zurückzuhalten sind.“In addition, regulatory mandates from the New York State Department of Financial Services require covered entities to maintain policies and procedures for disposal of nonpublic information. 23 NYCRR 500, Section 500.13, Limitations on Data Retention requires that "As part of its cybersecurity program, each Covered Entity shall include policies and procedures for the secure disposal on a periodic basis of any Nonpublic Information identified in section 500.01(g)(2)-(3) of this Part that is no longer necessary for business operations or for other legitimate business purposes of the Covered Entity, except where such information is otherwise required to be retained by law or regulation."

Finanzinstitute verwalten große Datenmengen.Financial institutions manage vast amounts of data. Einige Aufbewahrungszeiträume werden durch Ereignisse ausgelöst, z. B. durch einen Vertrag, der abgelaufen ist, oder durch einen Mitarbeiter, der die Organisation verlässt.And some retention periods are triggered by events, such as a contract expiring or an employee leaving the organization. In dieser Umgebung kann es schwierig sein, Aufbewahrungsrichtlinien für Datensätze anzuwenden.In this atmosphere, it can be challenging to apply record retention policies. Die Herangehensweise, organisatorischen Dokumenten die entsprechenden Daten-Aufbewahrungszeiträume exakt zuzuweisen, kann variieren.Approaches to assigning record retention periods accurately across organizational documents can vary. Einige wenden Aufbewahrungsrichtlinien auf breiter Basis an oder nutzen die Autoklassifizierung oder Technologien des maschinellen Lernens.Some apply retention policies broadly or leverage autoclassification and machine-learning techniques. Andere Benutzer identifizieren einen Ansatz, der ein genaueres Verfahren erfordert, das einzelnen Dokumenten eindeutige Aufbewahrungsfristen zuweist.Others identify an approach that requires a more granular process that assigns retention periods uniquely to individual documents.

Microsoft 365 bietet flexible Funktionen, um Aufbewahrungsbezeichnungen und -richtlinien zu definieren, mit denen die Anforderungen für die Datensatzverwaltung intelligent implementiert werden.Microsoft 365 provides flexible capabilities to define retention labels and policies to intelligently implement records-management requirements. Ein Datensatzverwalter bestimmt eine Aufbewahrungsbezeichnung, die in einem traditionellen Aufbewahrungszeitplan für einen Datensatztyp steht.A record manager defines a retention label, which represents a "record type" in a traditional retention schedule. Die Aufbewahrungsbezeichnung enthält Einstellungen, die diese Details definieren:The retention label contains settings that define these details:

  • Wie lange ein Datensatz aufbewahrt wirdHow long a record is retained
  • Was geschieht, wenn der Aufbewahrungszeitraum abläuft (Löschen des Dokuments, Starten einer Anordnungsüberprüfung oder keine Aktion)What occurs when the retention period expires (delete the document, start a disposition review, or take no action)
  • Was den Beginn des Aufbewahrungszeitraums auslöst (Erstellungsdatum, Datum der letzten Änderung, Datum der Bezeichnung oder ein Ereignis) und das Dokument oder die E-Mail als Datensatz kennzeichnet (d. h. es kann nicht bearbeitet oder gelöscht werden)What triggers the retention period to start (created date, last modified date, labeled date, or an event) and marks the document or email as a record (meaning it can't be edited or deleted)

Die Aufbewahrungsbezeichnungen werden dann auf SharePoint-oder OneDrive-Websites, Exchange-Postfächern und Microsoft 365-Gruppen veröffentlicht.The retention labels are then published to SharePoint or OneDrive sites, Exchange mailboxes, and Microsoft 365 groups. Benutzer können die Aufbewahrungsbezeichnungen manuell auf Dokumente und E-Mails anwenden.Users can apply the retention labels manually to documents and emails. Datensatzmanager können mithilfe von Intelligence die Beschriftungen automatisch anwenden.Record managers can use intelligence to automatically apply the labels. Intelligente Funktionen können auf mehr als 90 integrierten Typen vertraulicher Informationen (z. B. „ABA-Outing“, „US-Bankkontonummer“ oder „US-Sozialversicherungsnummer“) basieren.Intelligent capabilities can be based on ninety-plus built-in sensitive information types (such as ABA outing number, US bank account number, or US Social Security Number). Sie können auch basierend auf Schlüsselwörtern oder vertraulichen Daten in Dokumenten oder E-Mails wie Kreditkartennummern oder anderen persönlich identifizierbaren Informationen oder basierend auf SharePoint-Metadaten angepasst werden.They're also customizable based on keywords or sensitive data found in documents or emails, such as credit card numbers or other personally identifiable information or based on SharePoint metadata. Bei Daten, die nicht einfach durch manuellen oder automatisierten Musterabgleich erkannt werden, können lernfähige Klassifizierer dazu verwendet werden, Dokumente auf Grundlage des maschinellen Lernens intelligent einzustufen.For data that's not easily identified through manual or automated pattern matching, trainable classifiers can be used to classify documents intelligently based on machine learning techniques.

Die Securities and Exchange Commission (SEC) verlangt, dass Börsenhändler und andere regulierte Finanzinstitute alle geschäftlichen Mitteilungen beibehalten.The Securities and Exchange Commission (SEC) requires broker-dealers and other regulated financial institutions to retain all business-related communications. Diese Anforderungen gelten für viele Kommunikations-und Datentypen, einschließlich E-Mails, Dokumente, Chatnachrichten, Faxe und vieles mehr.These requirements apply to many types of communications and data, including emails, documents, instant messages, faxes, and more. Die SEC-Regel 17a-4 definiert die Kriterien, denen diese Organisationen entsprechen müssen, um Datensätze in einem elektronischen Datenspeicher zu speichern.SEC rule 17a-4 defines the criteria that these organizations must meet to store records in an electronic data storage system. In 2003 hat die SEC eine Ausgabe herausgegeben, die diese Anforderungen präzisiert.In 2003, the SEC issued a release that clarified these requirements. Die folgenden Kriterien wurden miteinbezogen:It included the following criteria:

  • Daten, die von einem elektronischen Speichersystem aufbewahrt werden, müssen nicht mehr beschreibbar und nicht löschbar sein.Data preserved by an electronic storage system must be non-rewriteable and non-erasable. Dies wird als WORM-Anforderung bezeichnet (einmal schreiben, mehrmals lesen).This is referred to as a WORM requirement (write once, read many).
  • Das Speichersystem muss in der Lage sein, Daten über den in der Regel erforderlichen Aufbewahrungszeitraum im Falle einer Vorladung oder einer anderen Rechtsordnung zu speichern.The storage system must be able to store data beyond the retention period required by the rule, in case of a subpoena or other legal order.
  • Eine Organisation würde nicht gegen die Anforderung in Absatz (f)(2)(II)(A) der Regel verstoßen, wenn sie ein elektronisches Speichersystem benutzte, welches das Überschreiben, Löschen oder anderweitiges Ändern eines Eintrags während des erforderlichen Aufbewahrungszeitraums durch die Nutzung von integrierte Hardware- und Softwaresteuercodes vorbeugt.An organization wouldn't violate the requirement in paragraph (f)(2)(ii)(A) of the rule if it used an electronic storage system that prevents the overwriting, erasing, or otherwise altering of a record during its required retention period through the use of integrated hardware and software control codes.
  • Elektronische Speichersysteme, die lediglich das Risiko „mindern“, dass ein Datensatz überschrieben oder gelöscht wird, indem sie sich z. B. auf eine Zugriffskontrolle stützen, erfüllen die Anforderungen der Regel nicht.Electronic storage systems that merely "mitigate" the risk that a record will be overwritten or erased, for example by relying on access control, don't meet the requirements of the rule.

Damit Finanzinstitute den Anforderungen der SEC-Regel 17a-4 gerecht werden, bietet Microsoft 365 eine Kombination von Funktionen in Bezug auf die Aufbewahrung von Daten, die Konfiguration von Richtlinien und die Speicherung von Daten im Dienst. Dazu zählen:To help financial institutions meet the requirements of SEC rule 17a-4, Microsoft 365 provides a combination of capabilities related to how data is retained, policies are configured, and data is stored within the service. These include:

  • Datenerhalt (Regel 17a-4(a), (b)(4)) – Aufbewahrungskennzeichnungen und -richtlinien sind flexibel, um den Anforderungen der Organisation zu entsprechen, und können automatisch oder manuell auf unterschiedliche Arten von Daten, Dokumenten und Informationen angewendet werden.Preservation of data (Rule 17a-4(a), (b)(4)) – Retention labels and policies are flexible to meet organizational needs and may be automatically or manually applied to different types of data, documents, and information. Eine Vielzahl von Datentypen und Kommunikation wird unterstützt, einschließlich Dokumenten in SharePoint und OneDrive for Business, Daten in Exchange Online-Postfächern sowie Daten in Teams.A wide variety of data types and communications are supported, including documents in SharePoint and OneDrive for Business, data within Exchange Online mailboxes, and data in Teams.

  • Nicht beschreibbares, nicht löschbares Format (Regel 17a-4(f) (2)(ii)(A)) – Erhaltungssperre bei Aufbewahrungsrichtlinien ermöglicht es Datensatzverwalter und Administratoren Aufbewahrungsrichtlinien so zu konfigurieren, dass Sie restriktiv sind, sodass Sie nicht mehr geändert werden können.Non-rewriteable, non-erasable format (Rule 17a-4(f)(2)(ii)(A)) – Preservation Lock capability for retention policies allows records managers and administrators to configure retention policies to be restrictive, such that they can no longer be modified. Dadurch wird verhindert, dass andere Benutzer die Aufbewahrungsrichtlinie entfernen, deaktivieren oder ändern können.This prohibits anyone from removing, disabling, or modifying the retention policy in any way. Dies bedeutet, dass nach dem Aktivieren der Erhaltungssperre sie nicht deaktiviert werden kann, und dass keine Methode vorhanden ist, bei der alle Daten, auf die die Aufbewahrungsrichtlinie angewendet wurde, während des Aufbewahrungszeitraums überschrieben, geändert oder gelöscht werden können.This means that once Preservation Lock is enabled, it can't be disabled, and there is no method by which any data to which the retention policy has been applied can be overwritten, modified, or deleted during the retention period. Darüber hinaus kann der Aufbewahrungszeitraum nicht gekürzt werden.In addition, the retention period can't be shortened. Der Aufbewahrungszeitraum kann jedoch verlängert werden, wenn eine gesetzliche Verpflichtung zur weiteren Speicherung von Daten besteht.However, the retention period can be lengthened, when there's a legal requirement to continue retention of data.

    Wenn eine Erhaltungssperre auf eine Aufbewahrungsrichtlinie angewendet wird, sind die folgenden Aktionen eingeschränkt:When a Preservation Lock is applied to a retention policy, the following actions are restricted:

    • Die in der Richtlinie enthaltene Aufbewahrungsdauer kann nur verlängert, jedoch nicht gekürzt werden.The retention period of the policy can only be increased. It can't be shortened.
    • Benutzer können der Richtlinie hinzugefügt werden, aber vorhandene, in der Richtlinie konfigurierte Benutzer können nicht entfernt werden.Users can be added to the policy, but existing users configured in the policy can't be removed.
    • Die Aufbewahrungsrichtlinie kann von keinem Administrator innerhalb der Organisation gelöscht werden.The retention policy can't be deleted by any administrator within the organization.

    Die Erhaltungssperre stellt sicher, dass kein Benutzer, auch nicht Administratoren mit den höchsten Privilegien, die Einstellungen ändern, die gespeicherten Daten modifizieren, überschreiben oder löschen kann, so dass die Archivierung in Office 365 in Übereinstimmung mit den in der SEC 2003-Ausgabe enthaltenen Richtlinien erfolgt.Preservation Lock helps ensure that no user, not even administrators with the highest levels of privileged access, can change the settings, modify, overwrite or delete the data that has been stored, bringing archiving in Office 365 in line with the guidance provided in the SEC 2003 Release.

  • Qualität, Genauigkeit und Überprüfung des Speichers/Serialisierens und Indizierens von Daten (Regel 17a-4(f) (2) (ii)(B) und (C)) – Office 365-Arbeitslasten enthalten jeweils Funktionen für die automatische Überprüfung der Qualität und Genauigkeit des Prozesses zum Aufzeichnen von Daten auf Speichermedien.Quality, accuracy, and verification of storage/serialization and indexing of data (Rule 17a-4(f)(2) (ii)(B) and (C)) – Office 365 workloads each contain capabilities for automatically verifying the quality and accuracy of the process for recording data on storage media. Darüber hinaus werden die Daten unter Verwendung von Metadaten und Zeitstempeln gespeichert, um eine ausreichende Indizierung zu gewährleisten, die eine effektive Suche und das Wiederauffinden von Daten ermöglicht.In addition, data is stored by utilizing metadata and timestamps to ensure sufficient indexing to allow for effective searching and retrieval of data.

  • Separater Speicher für Duplikate (Regel 17a-4(f) (3) (iii)) – Der Cloud-Dienst von Office 365 speichert Duplikate von Daten als Kernaspekt der hohen Verfügbarkeit.Separate storage for duplicate copies (Rule 17a-4(f)(3(iii)) – The Office 365 cloud service stores duplicate copies of data as a core aspect of its high availability. Dies wird durch die Implementierung von Redundanz auf allen Ebenen des Dienstes erreicht, einschließlich der physischen Ebene auf allen Servern, auf der Serverebene innerhalb des Rechenzentrums und auf der Dienstebene für geografisch verteilte Rechenzentren.This is accomplished by implementing redundancy at all levels of the service, including at the physical level on all servers, at the server level within the data center, and at the service level for geographically dispersed data centers.

  • Herunterladbare und barrierefreie Daten (Regel 17a-4(f)(2)(ii)(D)) – Office 365 ermöglicht im Allgemeinen, dass Daten, die zur Aufbewahrung gekennzeichnet sind, an Ort und Stelle gesucht, abgerufen und heruntergeladen werden können.Downloadable and accessible data (Rule 17a-4(f)(2)(ii)(D)) – Office 365 generally permits data that's been labeled for retention to be searched for, accessed, and downloaded in place. Außerdem können Daten in Exchange Online-Archiven mithilfe von integrierten eDiscovery-Funktionen durchsucht werden.And it allows data in Exchange Online Archives to be searchable by using built-in eDiscovery features. Die Daten können dann bei Bedarf in Standardformaten, einschließlich EDRML und PST, heruntergeladen werden.Data can then be downloaded as needed in standard formats, including EDRML and PST.

  • Überwachungsanforderungen (Regel 17a-4(f)(3)(v)) – Office 365 bietet Überwachungsprotokollierung für jede Verwaltungs- und Benutzeraktion, die Datenobjekte ändert, Aufbewahrungsrichtlinien konfiguriert oder modifiziert, eDiscovery-Suchen durchführt oder Zugriffsberechtigungen ändert.Audit requirements (Rule 17a-4(f)(3)(v)) – Office 365 provides audit logging for every administrative and user action that modifies data objects, configures or modifies retention policies, performs eDiscovery searches, or modifies access permissions. Office 365 verwaltet einen umfassenden Prüfpfad, einschließlich Daten darüber, wer eine Aktion durchgeführt hat, wann sie ausgeführt wurde, sowie Einzelheiten über die Aktion und die ausgeführten Befehle.Office 365 maintains a comprehensive audit trail, including data about who performed an action, when it was performed, details about the action, and the commands that were performed. Das Überwachungsprotokoll kann dann ausgegeben und bei Bedarf als Teil der formellen Überprüfungsprozesse einbezogen werden.The audit log can then be output and included as part of formal audit processes as required.

Schließlich schreibt Regel 17a-4 vor, dass Organisationen Datensätze für viele Arten von Transaktionen aufbewahren müssen, damit sie sofort zwei Jahre lang zugänglich sind.Finally, Rule 17a-4 requires organizations to retain records for many types of transactions so that they're immediately accessible for two years. Die Datensätze müssen weiterhin drei bis sechs Jahre lang mit nicht sofortigem Zugriff aufbewahrt werden.Records must be further retained for three to six years with non-immediate access. Doppelte Datensätze müssen für den gleichen Zeitraum auch an einem externen Standort aufbewahrt werden.Duplicate records must also be kept for the same period at an off-site location. Mit den Archivierungsfunktionen von Office 365 können Unterlagen so aufbewahrt werden, dass sie nicht geändert oder gelöscht werden können, aber für einen Zeitraum, der vom Archivverwalter kontrolliert wird, leicht zugänglich sind.Office 365 records-management capabilities enable records to be retained such that they can't be modified or deleted but can be easily accessed for a time period that's controlled by the record manager. Diese Zeiträume können Tage, Monate oder Jahre umfassen, je nach den Verpflichtungen der Organisation zur Einhaltung von Vorschriften.These periods can span days, months, or years, depending on the organization's regulatory-compliance obligations.

Auf Anfrage wird Microsoft ein Bescheinigungsschreiben über die Einhaltung von SEC 17a-4 vorlegen, falls dies von einer Organisation verlangt wird.Upon request, Microsoft will provide an attestation letter of compliance with SEC 17a-4 if required by an organization.

Darüber hinaus helfen diese Funktionen Microsoft 365 auch dabei, die Speicheranforderungen der CFTC-Regel 1.31(c)-(d) der U.S. Commodity Futures Trading Commission (CFTC) und der FINRA-Regelreihe 4510 der Financial Industry Regulatory Authority zu erfüllen. In addition, these capabilities also help Microsoft 365 meet storage requirements for CFTC Rule 1.31(c)-(d) from the U.S. Commodity Futures Trading Commission and FINRA Rule Series 4510 from the Financial Industry Regulatory Authority. Insgesamt stellen diese Regeln die weltweit verbindlichsten Richtlinien für die Aufbewahrung von Unterlagen durch Finanzinstitute dar.Collectively, these rules represent the most-prescriptive guidance globally for financial institutions to retain records.

Weitere Einzelheiten darüber, wie Microsoft 365 die SEC-Regel 17a-4 und andere Vorschriften erfüllt, finden Sie unter Bewertung von Office 365 Exchange Online SEC 17a-4(f) / CFTC 1.31(c)-(d) von Cohasset Associates.Additional details about how Microsoft 365 complies with SEC rule 17a-4 and other regulations is available at Assessment of Office 365 Exchange Online SEC 17a-4(f) / CFTC 1.31(c)-(d) by Cohasset Associates.

Ethische „Absperrungen“ mit Informationsbarrieren errichtenEstablish ethical walls with information barriers

Finanzinstitutionen können Vorschriften unterliegen, die Mitarbeiter in bestimmten Funktionen daran hindern, Informationen auszutauschen oder mit anderen Funktionen zusammenzuarbeiten.Financial institutions can be subject to regulations that prevent employees in certain roles from exchanging information or collaborating with other roles. Beispielsweise hat die FINRA die Regeln 2241(b)(2)(G), 2242(b)(2)(2)(D), (b)(2)(H)(ii) und (b)(2)(H)(iii) veröffentlicht, die die Mitglieder dazu verpflichten:For example, FINRA has published rules 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) and (b)(2)(H)(iii) that require members to:

„(G) Informationsbarrieren oder andere institutionelle Schutzmaßnahmen einrichten, die vernünftigerweise sicherstellen sollen, dass Analysten von der Überprüfung, dem Druck oder der Aufsicht durch Personen, die mit Investment-Banking-Dienstleistungen befasst sind, oder andere Personen, einschließlich Verkaufs- und Handelspersonal, die in ihrem Urteil oder ihrer Aufsicht voreingenommen sein könnten, abgeschirmt werden;“ und „(H) Informationsbarrieren oder andere institutionelle Schutzmaßnahmen einrichten, die vernünftigerweise sicherstellen sollen, dass Analysten von Schuldforschungsunternehmen von der Überprüfung, dem Druck oder der Aufsicht durch Personen, die mit diesen Tätigkeiten befasst sind, abgeschirmt werden: (i) Investment-Bankdienstleistungen; (ii) Haupthandels- oder Verkaufs- und Handelsaktivitäten; und (iii) anderen Personen, die in ihrem Urteil oder ihrer Aufsicht voreingenommen sein könnten;“"(G) establish information barriers or other institutional safeguards reasonably designed to ensure that research analysts are insulated from the review, pressure, or oversight by persons engaged in investment banking services activities or other persons, including sales and trading personnel, who might be biased in their judgment or supervision;" and "(H) establish information barriers or other institutional safeguards reasonably designed to ensure that debt research analysts are insulated from the review, pressure, or oversight by persons engaged in: (i) investment banking services; (ii) principal trading or sales and trading activities; and (iii) other persons who might be biased in their judgment or supervision;"

Letztendlich erfordern diese Regeln, dass Organisationen Richtlinien festlegen und Informationsbarrieren zwischen den Rollen, die mit Bankdienstleistungen, Verkauf oder Handel zu tun haben, durch den Austausch von Informationen und die Kommunikation mit Analysten implementieren.Ultimately, these rules require organizations to establish policies and implement information barriers between roles involved in banking services, sales, or trading from exchanging information and communications with analysts.

Informationsbarrieren bietet die Möglichkeit, ethische Grenzen innerhalb Ihrer Office 365-Umgebung zu errichten, so dass Compliance-Administratoren oder andere autorisierte Administratoren Richtlinien definieren können, die die Kommunikation zwischen Benutzergruppen in Teams ermöglichen oder verhindern.Information barriers provides the ability to establish ethical walls within your Office 365 environment, allowing compliance administrators or other authorized administrators to define policies that allow or prevent communications between groups of users in Teams. Informationsbarrieren führen Überprüfungen bestimmter Aktionen durch, um unbefugte Kommunikation zu verhindern.Information barriers perform checks on specific actions to prevent unauthorized communication. Informationsbarrieren können die Kommunikation auch in Szenarien einschränken, in denen interne Teams an Fusionen/Akquisitionen oder vertraulichen Geschäften arbeiten oder mit sensiblen internen Informationen arbeiten, die stark eingeschränkt werden müssen.Information barriers can also restrict communication in scenarios where internal teams are working on mergers/acquisitions or sensitive deals, or working with sensitive internal information that must be heavily restricted.

Informationsbarrieren in Microsoft 365 unterstützen Unterhaltungen und Dateien in Teams.Information barriers in Microsoft 365 support conversations and files in Teams. Sie können die folgenden Arten von kommunikationsbezogenen Maßnahmen verhindern, um die Einhaltung der FINRA-Bestimmungen zu unterstützen:They can prevent the following types of communications-related actions to help comply with FINRA regulations:

  • Suchen eines BenutzersSearch for a user
  • Ein Mitglied zu einem Team hinzufügen oder weiterhin mit einem anderen Mitglied in einem Team teilnehmenAdd a member to a team, or continue to participate with another member in a team
  • Starten oder Fortsetzen einer ChatsitzungStart or continue a chat session
  • Starten oder Fortsetzen eines GruppenchatsStart or continue a group chat
  • Einladen einer Person zur Teilnahme an einer BesprechungInvite someone to join a meeting
  • Teilen eines BildschirmsShare a screen
  • Tätigen eines AnrufsPlace a call

Implementierung der AufsichtskontrolleImplement supervisory control

Finanzinstitutionen sind in der Regel verpflichtet, eine Aufsichtsfunktion innerhalb ihrer Organisation einzurichten und aufrechtzuerhalten, um die Aktivitäten der Mitarbeiter zu überwachen und ihr zu helfen, die Einhaltung der geltenden Wertpapiergesetze zu erreichen. Die FINRA hat insbesondere diese Aufsichtsanforderungen festgelegt:Financial institutions are typically required to establish and maintain a supervisory function within their organizations to monitor the activities of employees and to help it achieve compliance with applicable securities laws. Specifically, FINRA has established these supervision requirements:

  • FINRA-Regel 3110 (Aufsicht) schreibt vor, dass Unternehmen über schriftliche Aufsichtsverfahren (Written Supervisory Procedures, WSPs) verfügen müssen, um die Tätigkeiten ihrer Mitarbeiter und die Arten von Unternehmen, in denen sie tätig sind, zu beaufsichtigen.FINRA Rule 3110 (Supervision) requires firms to have written supervisory procedures (WSPs) to supervise activities of its employees and the types of businesses in which it engages. Zusätzlich zu den anderen Anforderungen müssen die Verfahren Folgendes beinhalten:In addition to other requirements, procedures must include:

    • Aufsicht über das AufsichtspersonalSupervision of supervisory personnel
    • Überprüfung des Investmentbankings, des Wertpapiergeschäfts, der internen Kommunikation und der internen Untersuchungen eines UnternehmensReview of a firm's investment banking, securities business, internal communications, and internal investigations
    • Überprüfung von Transaktionen für Insidergeschäfte Review of transactions for insider trading
    • Überprüfen von Korrespondenz und BeschwerdenReview of correspondence and complaints

    Die Verfahren müssen die für die Überprüfungen verantwortlichen Personen, die von jeder Person durchzuführende Aufsichtstätigkeit, die Häufigkeit der Überprüfungen und die Art der zu prüfenden Unterlagen oder Mitteilungen beschreiben.Procedures must describe the individuals responsible for reviews, supervisory activity each person will perform, review frequency, and the types of documentation or communications under review.

  • FINRA-Regel 3120 (Aufsichtskontrollsystem) schreibt vor, dass Firmen über ein System von Richtlinien und Verfahren der Aufsichtskontrolle (Supervisory Control Policies, SCP) verfügen müssen, das ihre schriftlichen Aufsichtsverfahren gemäß der Definition in Regel 3110 validiert.FINRA Rule 3120 (Supervisory Control System) requires firms to have a system of supervisory control policies and procedures (SCPs) that validates their written supervisory procedures as defined by Rule 3110. Die Unternehmen müssen nicht nur über WSPs verfügen, sondern auch über Richtlinien, die diese Verfahren jährlich testen, um ihre Fähigkeit zur Gewährleistung der Einhaltung der geltenden. Wertpapiergesetze und -vorschriften zu validieren.Firms are required not only to have WSPs but also to have policies that test these procedures annually to validate their ability to ensure compliance with applicable securities laws and regulations. Zur Definition des Testumfangs können risikobasierte Methoden und Stichproben verwendet werden.Risk-based methodologies and sampling may be used to define the scope of testing. Neben anderen Anforderungen verlangt diese Regel, dass Unternehmen der Geschäftsleitung einen Jahresbericht vorlegen, der eine Zusammenfassung der Testergebnisse und alle wesentlichen Ausnahmen oder geänderten Verfahren als Reaktion auf die Testergebnisse enthält.Among other requirements, this rule requires firms to provide an annual report to senior management that includes a summary of test results and any significant exceptions or amended procedures in response to test results.

Ein Büroangestellter sieht ein Diagramm und Tabellen auf einem Bildschirm, während andere sich im Hintergrund treffen.

KommunikationscomplianceCommunication compliance

Die Kommunikationscompliance in Microsoft 365 ermöglicht Unternehmen die Vorkonfiguration von Richtlinien zur Erfassung der Mitarbeiterkommunikation zur Überwachung und Überprüfung durch autorisierte Vorgesetzte.Communication compliance in Microsoft 365 enables organizations to pre-configure policies to capture employee communications for monitoring and review by authorized supervisors. Richtlinien der Kommunikationscompliance können interne/externe E-Mails und Anhänge, Teams-Chat und Kanal-Kommunikation sowie Skype for Business Online-Chat-Kommunikation und Anhänge erfassen.Policies in communication compliance can capture internal/external email and attachments, Teams chat and channel communications, and Skype for Business Online chat communications and attachments. Darüber hinaus kann die Kommunikationscompliance Kommunikation und Daten von Diensten Dritter (wie Bloomberg, Thomson Reuters, LinkedIn, Twitter, Facebook, Box und Dropbox) aufnehmen.In addition, communication compliance can ingest communications and data from third-party services (such as Bloomberg, Thomson Reuters, LinkedIn, Twitter, Facebook, Box, and Dropbox). Die umfassende Art der Kommunikation, die innerhalb einer Organisation erfasst und überprüft werden kann, und die umfangreichen Bedingungen, unter denen Richtlinien konfiguriert werden können, ermöglichen es, dass die Richtlinien zur Einhaltung der Kommunikationsvorschriften den Finanzinstituten helfen, die FINRA-Regel 3110 zu erfüllen.The comprehensive nature of communications that can be captured and reviewed within an organization, and the extensive conditions with which policies may be configured, allow communication compliance policies to help financial institutions comply with FINRA Rule 3110. Die Richtlinien können so konfiguriert werden, dass Kommunikationen für Einzelpersonen oder Gruppen überprüft werden.Policies may be configured to review communications for individuals or groups. Designierte Aufsichtspersonen können auf Einzel- oder Gruppenebene zugewiesen werden.Designated supervisors can be assigned at an individual or group level. Umfassende Bedingungen können konfiguriert werden, um Kommunikationen basierend auf eingehenden oder ausgehenden Nachrichten, Domänen, Aufbewahrungskennzeichnungen, Schlüsselwörtern oder -phrasen, Schlüsselwort-Wörterbüchern, sensiblen Datentypen, Anhängen, Nachrichten- oder Anhangsgröße zu erfassen.Comprehensive conditions can be configured to capture communications based on inbound or outbound messages, domains, retention labels, keywords or phrases, keyword dictionaries, sensitive data types, attachments, message size, or attachment size. Die Prüfer erhalten ein Dashboard, in dem sie markierte Mitteilungen überprüfen, auf Mitteilungen reagieren können, die möglicherweise gegen die Richtlinien verstoßen, und markierte Punkte als gelöst markieren können.Reviewers get a dashboard in which they can review flagged communications, act on communications that potentially violate policies, and mark flagged items as resolved. Sie können auch die Ergebnisse von Überprüfungen und zuvor beschlossene Punkte überprüfen.They can also review the results of reviews and items that were previously resolved.

Die Kommunikationscompliance stellt Berichte zur Verfügung, die es ermöglichen, die Aktivitäten zur Überprüfung der Richtlinie auf der Grundlage der Richtlinie und des Gutachters zu prüfen.Communication compliance provides reports that enable policy review activities to be audited based on the policy and the reviewer. Es stehen Berichte zur Verfügung, um zu bestätigen, dass die Richtlinien gemäß den schriftlichen Aufsichtsrichtlinien einer Organisation funktionieren.Reports are available to validate that policies are working as defined by an organization's written supervision policies. Sie können auch verwendet werden, um Mitteilungen zu identifizieren, die überprüft werden müssen und solche, die nicht mit den Unternehmensrichtlinien übereinstimmen.They can also be used to identify communications that require review and those that are not compliant with corporate policy. Schließlich werden alle Aktivitäten im Zusammenhang mit der Konfiguration von Richtlinien und der Überprüfung der Kommunikation im einheitlichen Überwachungsprotokoll von Office 365 geprüft.Finally, all activities related to configuring policies and reviewing communications are audited in the Office 365 unified audit log. Infolgedessen hilft die Einhaltung der Kommunikation in Microsoft 365 auch den Finanzinstituten, die FINRA-Regel 3120 zu erfüllen.As a result, communication compliance in Microsoft 365 also helps financial institutions to comply with FINRA Rule 3120.

Zusätzlich zur Einhaltung der FINRA-Regeln ermöglicht die Kommunikationscompliance Organisationen, die Kommunikation auf die Einhaltung anderer gesetzlicher Bestimmungen, Unternehmensrichtlinien und ethischer Standards zu überwachen.In addition to complying with FINRA rules, communication compliance allows organizations to monitor communications for compliance with other legal requirements, corporate policies, and ethical standards. Die Kommunikationscompliance bietet integrierte Klassifizierer für Bedrohungen, Belästigungen und Schimpfwörter, die dazu beitragen, falsch-positive Ergebnisse bei der Überprüfung der Kommunikation zu reduzieren, wodurch die Prüfer während des Untersuchungs- und Abhilfeverfahrens Zeit sparen.Communication compliance provides built-in threat, harassment, and profanity classifiers that help reduce false positives when reviewing communications, saving reviewers time during the investigation and remediation process. Sie ermöglicht es Organisationen auch, Risiken zu reduzieren, indem sie die Kommunikation bei sensiblen Veränderungen, wie Fusionen und Übernahmen oder Führungswechsel, überwachen.It also allows organizations to reduce risk by monitoring communications when they undergo sensitive changes, such as mergers and acquisitions or leadership changes.

Ein Informationsmitarbeiter konzentriert sich auf einen Bildschirm.

Schutz vor Datenexfiltration und Insider-RisikenProtect against data exfiltration and insider risk

Eine häufige Bedrohung für Unternehmen ist die Datenexfiltration oder der Akt des Extrahierens von Daten aus einer Organisation.A common threat to enterprises is data exfiltration, or the act of extracting data from an organization. Dieses Risiko kann für Finanzinstitute aufgrund der vertraulichen Natur der Informationen, auf die täglich zugegriffen werden kann, ein erhebliches Problem darstellen.This risk can be a significant concern for financial institutions due to the sensitive nature of the information that can be accessed day to day. Mit der zunehmenden Anzahl verfügbarer Kommunikationskanäle und der Verbreitung von Tools für die Datenübertragung sind in der Regel erweiterte Fähigkeiten erforderlich, um die Risiken von Datenlecks, Richtlinienverstößen und Insiderrisiken zu mindern.With the increasing number of communications channels available and the proliferation of tools for moving data, advanced capabilities are typically required to mitigate the risks of data leaks, policy violations, and insider risk.

Insider-RisikomanagementInsider risk management

Die Ermöglichung von Mitarbeitern mit Online-Tools für die Zusammenarbeit, auf die von überall her zugegriffen werden kann, birgt Risiken für die Organisation.Enabling employees with online collaboration tools that can be accessed anywhere inherently brings risk to the organization. Mitarbeiter können versehentlich oder in bösartiger Absicht Daten an Angreifer oder Konkurrenten durchsickern lassen.Employees may inadvertently or maliciously leak data to attackers or competitors. Alternativ können sie Daten für den persönlichen Gebrauch exfiltrieren oder Daten an einen zukünftigen Arbeitgeber mitnehmen.Alternatively, they may exfiltrate data for personal use or take data with them to a future employer. Diese Szenarien stellen sowohl unter Sicherheits- als auch unter Compliance-Gesichtspunkten ernsthafte Risiken für Finanzdienstleistungsinstitute dar.These scenarios present serious risks to financial services institutions from both security and compliance standpoints. Um diese Risiken zu erkennen, wenn sie auftreten, und sie schnell zu entschärfen, sind sowohl intelligente Tools für die Datensammlung als auch die abteilungsübergreifende Zusammenarbeit in Bereichen wie Recht, Personalwesen und Informationssicherheit erforderlich.Identifying these risks when they occur and quickly mitigating them requires both intelligent tools for data collection and collaboration across departments such as legal, human resources, and information security.

Microsoft 365 hat vor kurzem eine Insider-Risikomanagementlösung eingeführt, die Signale in allen Diensten von Microsoft 365 korreliert und Machine Learning-Modelle verwendet, um das Benutzerverhalten auf versteckte Muster und Anzeichen von Insider-Risiken zu analysieren.Microsoft 365 recently launched an insider risk management solution that correlates signals across Microsoft 365 services and uses machine-learning models to analyze user behavior for hidden patterns and signs of insider risk. Dieses Tool ermöglicht die Zusammenarbeit zwischen Sicherheitsbehörden, internen Ermittlern und der Personalabteilung, so dass diese die Fälle auf der Grundlage vorgegebener Arbeitsabläufe leicht beheben können.This tool enables collaboration between security operations, internal investigators, and HR so that they can easily remediate cases based on predetermined workflows.

Beispielsweise kann das Insider-Risikomanagement in Microsoft 365 Signale vom Windows 10-Desktop eines Benutzers, wie das Kopieren von Dateien auf ein USB-Laufwerk oder das Versenden von E-Mails an ein persönliches E-Mail-Konto, mit Aktivitäten von Online-Diensten wie Office 365 E-Mail, SharePoint Online, Microsoft Teams oder OneDrive for Business korrelieren, um Datenexfiltrationsmuster zu erkennen.For example, insider risk management in Microsoft 365 can correlate signals from a user's Windows 10 desktop, such as copying files to a USB drive or emailing a personal email account, with activities from online services such as Office 365 email, SharePoint Online, Microsoft Teams, or OneDrive for Business, to identify data exfiltration patterns. Es kann diese Aktivitäten auch mit Mitarbeitern korrelieren, die eine Organisation verlassen, was ein übliches Datenexfiltrationsmuster ist.It can also correlate these activities with employees leaving an organization, which is a common data exfiltration pattern. Es kann mehrere Aktivitäten und Verhaltensweisen im Laufe der Zeit überwachen.It can monitor multiple activities and behavior over time. Wenn sich gemeinsame Muster herauskristallisieren, kann es Warnungen auslösen und den Ermittlern helfen, sich auf die wichtigsten Aktivitäten zu konzentrieren, um einen Richtlinienverstoß mit einem hohen Maß an Vertrauen zu überprüfen.When common patterns emerge, it can raise alerts and help investigators focus on key activities to verify a policy violation with a high degree of confidence. Das Insider-Risikomanagement kann Daten von Ermittlern pseudo-anonymisieren, um die Einhaltung von Datenschutzbestimmungen zu unterstützen, und gleichzeitig Schlüsselaktivitäten aufdecken, die ihnen helfen, Untersuchungen effizient durchzuführen.Insider risk management can pseudo-anonymize data from investigators to help meet data privacy regulations, while still surfacing key activities that help them perform investigations efficiently. Es ermöglicht den Ermittlern, wichtige Aktivitätsdaten zu verpacken und sicher an die Personal- und Rechtsabteilung zu senden, und zwar nach gemeinsamen Eskalations-Workflows, um Fälle für Abhilfemaßnahmen aufzuzeigen.It allows investigators to package and securely send key activity data to the HR and legal departments, following common escalation workflows for raising cases for remediation action.

Das Insider-Risikomanagement in Microsoft 365 erhöht die Möglichkeiten von Organisationen zur Überwachung und Untersuchung von Insider-Risiken erheblich, während Organisationen gleichzeitig die Möglichkeit haben, die Datenschutzbestimmungen einzuhalten und etablierten Eskalationspfaden zu folgen, wenn Fälle ein Handeln auf höherer Ebene erfordern.Insider risk management in Microsoft 365 significantly increases capabilities of organizations to monitor and investigate insider risks while allowing organizations to still meet data privacy regulations and follow established escalation paths when cases require higher-level action. Weitere Informationen über das Insider-Risikomanagement in Microsoft 365 finden Sie unter Moderne Risikoproblembereiche und Workflow im Insider-Risikomanagement in Microsoft 365.For more information about insider risk management in Microsoft 365, see Modern risk pain points and Workflow in Insider risk management in Microsoft 365.

Ein Callcenter-Mitarbeiter, der in einer Kabine arbeitet, tippt, während er einen Bildschirm betrachtet.

Einschränkungen für MandantenTenant restrictions

Organisationen, die mit vertraulichen Daten umgehen und einen strikten Schwerpunkt auf Sicherheit legen, wollen in der Regel die Online-Ressourcen kontrollieren, auf die Benutzer zugreifen können.Organizations that deal with sensitive data and put a strict emphasis on security typically want to control the online resources that users can access. Gleichzeitig wollen sie eine sichere Zusammenarbeit durch Online-Dienste wie Office 365 ermöglichen.At the same time, they want to enable secure collaboration through online services such as Office 365. Folglich wird die Kontrolle der Office 365-Umgebungen, auf die Benutzer zugreifen können, zu einer Herausforderung, da nicht unternehmensinterne Office 365-Umgebungen dazu verwendet werden können, Daten von Unternehmensgeräten entweder böswillig oder versehentlich zu exfiltrieren.As a result, controlling the Office 365 environments that users can access becomes a challenge because noncorporate Office 365 environments can be used to exfiltrate data from corporate devices either maliciously or inadvertently. In der Regel schränken Organisationen die Domänen oder IP-Adressen ein, auf die Benutzer von Unternehmensgeräten aus zugreifen können.Traditionally, organizations restrict the domains or IP addresses that users can access from corporate devices. Aber das funktioniert nicht in einer Cloud-First-World, in der die Nutzer legitimerweise auf die Dienste von Office 365 zugreifen müssen.But this doesn't work in a cloud-first world, where users need to legitimately access Office 365 services.

Microsoft 365 bietet dem Mandanten Einschränkungen die Möglichkeit, diese Herausforderung zu bewältigen.Microsoft 365 provides the tenant restrictions the capability to address this challenge. Einschränkungen der Mandanten können so konfiguriert werden, dass der Zugang von Mitarbeitern zu externen Office 365 Enterprise-Mandanten unter Verwendung von Rogue-Identitäten (Identitäten, die nicht Teil Ihres Unternehmensverzeichnisses sind) eingeschränkt wird.Tenant restrictions can be configured to restrict employee access to external Office 365 enterprise tenants using rogue identities (identities that aren't part of your corporate directory). Heute gelten mandantenübergreifende Einschränkungen, die nur denjenigen Mandanten den Zugriff ermöglichen, die auf der von Ihnen konfigurierten Liste erscheinen.Today, tenant restrictions apply across the tenant, allowing access to only those tenants that appear on the list that you configure. Microsoft arbeitet weiter an der Entwicklung dieser Lösung, um die Genauigkeit der Kontrolle zu erhöhen und den Schutz, den sie bietet, zu verbessern.Microsoft is continuing to develop this solution to increase granularity of control and enhance the protections it provides.

GRAFIK

SchlussbemerkungConclusion

Microsoft 365 und Teams bieten eine integrierte und umfassende Lösung für Finanzdienstleistungsunternehmen, die einfache, aber leistungsstarke cloudbasierte Zusammenarbeit und Kommunikationsfunktionen im gesamten Unternehmen ermöglicht.Microsoft 365 and Teams provide an integrated and comprehensive solution for financial services companies, enabling simple yet powerful cloud-based collaboration and communications capabilities across the enterprise. Durch den Einsatz von Sicherheits- und Compliance-Technologien von Microsoft 365 können Institutionen sicherer und konformer arbeiten und über robuste Sicherheitskontrollen verfügen, um Daten, Identitäten, Geräte und Anwendungen vor verschiedenen Betriebsrisiken, einschließlich Cybersicherheit und Insiderrisiken, zu schützen.By using security and compliance technologies from Microsoft 365, institutions can operate in a more secure and compliant manner with robust security controls to protect data, identities, devices, and applications from various operational risks, including cybersecurity and insider risks. Microsoft 365 bietet eine grundlegend sichere Plattform, auf der Finanzdienstleistungsunternehmen mehr erreichen und gleichzeitig ihr Unternehmen, ihre Mitarbeiter und Kunden schützen können.Microsoft 365 provides a fundamentally secure platform on which financial services organizations can achieve more while protecting their company, employees, and customers.