So schützen SharePoint und OneDrive Ihre Daten in der Cloud

Sie kontrollieren Ihre Daten. Wenn Sie Ihre Daten in SharePoint und OneDrive für Microsoft 365 ablegen, bleiben Sie der Eigentümer der Daten. Weitere Informationen zum Besitzstatus an Ihren Daten finden Sie unter Microsoft 365 – Datenschutz als Konzept.

So behandeln wir Ihre Daten

Microsoft-Techniker verwalten SharePoint und OneDrive mithilfe einer PowerShell-Konsole, die eine Zwei-Faktor-Authentifizierung erfordert. Wir führen tägliche Aufgaben in Form von Workflows durch, um schnell auf neue Situationen reagieren zu können. Eincheckvorgänge für den Dienst erfordern eine Codeüberprüfung und eine Genehmigung durch das Management.

Kein Techniker hat ständige Zugriff auf den Dienst. Wenn Techniker Zugriff benötigen, müssen sie ihn anfordern. Ihre Berechtigung wird überprüft, und wenn der Zugriff des Technikers genehmigt wurde, erfolgt dies nur für einen begrenzten Zeitraum. In seltenen Fällen, in denen Microsoft-Techniker Zugriff auf Inhalte benötigen (z. B. wenn Sie ein Support-Ticket einreichen, weil ein Benutzer nicht auf eine wichtige Datei zugreifen kann, von der wir glauben, dass sie beschädigt ist), müssen die Techniker einen bestimmten Workflow einchecken, der eine geschäftliche Begründung erfordert und Genehmigung durch den Manager. Ein Überwachungsereignis wird generiert, das Sie im Microsoft 365 Admin Center anzeigen können. Sie können auch ein Feature namens Kunden-Lockbox aktivieren, sodass Sie die Anforderung genehmigen müssen. Der Techniker erhält nur Zugriff auf die betreffende Datei. Informationen zum Aktivieren oder Deaktivieren der Kunden-Lockbox sowie zum Genehmigen und Ablehnen von Anforderungen finden Sie unter Microsoft 365-Kunden-Lockbox-Anforderungen.

So können Sie Ihre Daten zuverlässig schützen

Eines der wichtigsten Dinge, die Sie zum Schutz Ihrer Daten tun können, besteht darin, eine zweistufige Authentifizierung für Ihre Identitäten in Microsoft 365 anzufordern. Dadurch wird verhindert, dass Anmeldeinformationen ohne einen zweiten Faktor verwendet werden, und die Auswirkungen kompromittierter Kennwörter werden gemildert. Der zweite Schritt kann über einen Telefonanruf, eine SMS oder eine App erfolgen. Beginnen Sie bei der Einführung der zweistufigen Authentifizierung mit Ihren globalen Administratoren und dann mit anderen Administratoren und Websitesammlungsadministratoren. Informationen dazu finden Sie unter Einrichten der mehrstufigen Authentifizierung für Microsoft 365-Benutzer.

Weitere Dinge, die wir empfehlen, um die Sicherheit zu erhöhen:

Schutz während der Datenübertragung und von ruhenden Daten

Schutz während der Datenübertragung

Wenn Daten von Clients und zwischen Rechenzentren in den Dienst übertragen werden, werden sie durch erstklassige Verschlüsselung geschützt. Informationen finden Sie unter Datenverschlüsselung in OneDrive und SharePoint. Wir erlauben nur sicheren Zugriff. Wir werden keine authentifizierten Verbindungen über HTTP herstellen, sondern stattdessen auf HTTPS umleiten.

Schutz von ruhenden Daten

Physischer Schutz: Nur eine begrenzte Anzahl wichtiger Mitarbeiter hat Zugang zu den Rechenzentren. Ihre Identitäten werden anhand mehrerer Authentifizierungsfaktoren verifiziert, darunter Smartcards und biometrische Daten. Es gibt Sicherheitsbeauftragte vor Ort, Bewegungsmelder und Videoüberwachung. Warnungen bei Angriffserkennung überwachen anomale Aktivitäten.

Netzwerkschutz: Die Netzwerke und Identitäten sind vom Microsoft-Unternehmensnetzwerk isoliert. Wir verwalten den Dienst mit dedizierten Active Directory-Domänen, wir haben separate Domänen für Test und Produktion, und die Produktionsdomäne ist aus Gründen der Zuverlässigkeit und Sicherheit in mehrere isolierte Domänen unterteilt. Weitere Informationen zur integrierten physischen und logischen Sicherheit von Microsoft 365 finden Sie unter integrierte Sicherheit aus Microsoft 365.

Anwendungssicherheits: Techniker, die Features erstellen, befolgen den Security Development Lifecycle. Automatisierte und manuelle Analysen helfen, mögliche Sicherheitsrisiken zu erkennen. Das Microsoft Security Response Center (Microsoft Security Response Center) hilft bei der Einstufung eingehender Sicherheitsrisikoberichte und der Bewertung von Risikominderungen. Über die Microsoft Cloud Bug Bounty können Personen auf der ganzen Welt Geld verdienen, indem sie Sicherheitsrisiken melden. Weitere Informationen hierzu finden Sie unter Microsoft Cloud Bug Bounty-Bedingungen.

Inhaltsschutz: Ihre Daten werden auf Datenträgerebene mit BitLocker-Verschlüsselung und auf Dateiebene mit Schlüsseln verschlüsselt. Informationen finden Sie unter Datenverschlüsselung in OneDrive und SharePoint. Informationen zur Verwendung des Kundenschlüssels zum Bereitstellen und Steuern der Schlüssel, die zum Verschlüsseln Ihrer ruhenden Daten in Microsoft 365 verwendet werden, finden Sie unter Dienstverschlüsselung mit Kundenschlüssel für Microsoft 365 FAQ.

Das Microsoft 365 Antimalware-Modul scannt Dokumente zum Zeitpunkt des Uploads nach Inhalten, die einer AV-Signatur entsprechen (stündlich aktualisiert). Weitere Informationen finden Sie unter Virenerkennung in SharePoint. Verwenden Sie für einen erweiterten Schutz Microsoft 365 Advanced Threat Protection (ATP). ATP analysiert gemeinsam genutzte Inhalte und wendet Threat Intelligence und Bedrohungsanalysen an, um ausgeklügelte Bedrohungen zu erkennen. Weitere Informationen finden Sie unter Microsoft 365 Advanced Threat Protection.

So begrenzen Sie das Risiko, dass Inhalte auf nicht vertrauenswürdige Geräte heruntergeladen werden:

So verwalten Sie ruhende Inhalte:

Hohe Verfügbarkeit, immer wiederherstellbar

Unsere Rechenzentren sind innerhalb der Region geografisch verteilt und fehlertolerant. Daten werden in mindestens zwei Rechenzentren gespiegelt, um die Auswirkungen einer Naturkatastrophe oder eines Dienstausfalls zu minimieren. Weitere Informationen finden Sie unter Wo sind meine Daten?.

Metadaten-Backups werden 14 Tage lang aufbewahrt und können innerhalb von fünf Minuten zu einem beliebigen Zeitpunkt wiederhergestellt werden.

Im Falle eines Ransomware-Angriffs können Sie mit dem Versionsverlauf (Versionsverwaltung für eine Liste oder Bibliothek aktivieren und konfigurieren) ein Rollback durchführen und den Papierkorb oder den Papierkorb der Websitesammlung wiederherstellen (Gelöschte Elemente aus dem Papierkorb der Websitesammlung wiederherstellen). Wenn ein Element aus dem Papierkorb der Websitesammlung entfernt wird, können Sie den Support innerhalb von 14 Tagen anrufen, um auf eine Datensicherung zuzugreifen. Informationen zum neuen Feature zum Wiederherstellen von Dateien, mit der Benutzer ein gesamtes OneDrive zu einem beliebigen Zeitpunkt innerhalb der letzten 30 Tage wiederherstellen können, finden Sie unter Wiederherstellen Ihres OneDrive.

Fortlaufende Überprüfung

Wir überwachen unsere Rechenzentren kontinuierlich, um ihre Integrität und Sicherheit zu gewährleisten. Dies beginnt mit dem Inventar. Ein Inventaragent scannt jedes Subnetz auf der Suche nach Nachbarn. Für jeden Computer führen wir eine Zustandserfassung durch.

Nachdem wir über ein Inventar verfügen, können wir die Integrität von Computern überwachen und korrigieren. Der Sicherheitspatch-Train wendet Patches an, aktualisiert Antivirensignaturen und stellt sicher, dass wir eine als funktionierend bekannte Konfiguration gespeichert haben. Wir verfügen über eine rollenspezifische Logik, die sicherstellt, dass wir nur einen bestimmten Prozentsatz der Maschinen gleichzeitig patchen oder rotieren.

Wir haben einen automatisierten Workflow, um Maschinen zu identifizieren, die nicht den Richtlinien entsprechen, und sie zum Austausch in die Warteschlange zu stellen.

Das Microsoft 365 „Red Team“ innerhalb von Microsoft besteht aus Angriffsexperten. Sie suchen nach jeder Möglichkeit, sich unberechtigten Zugang zu verschaffen. Das „Blue Team“ besteht aus Defense-Technikern, die sich auf Prävention, Erkennung und Wiederherstellung konzentrieren. Sie erstellen Technologien zum Erkennen von und Reagieren auf Angriffe. Weitere Informationen zu den Erkenntnissen der Sicherheitsteams bei Microsoft finden Sie im Sicherheit, Datenschutz und Compliance-Blog

So überwachen und beobachten Sie Aktivitäten in Ihrem Microsoft 365-Abonnement:

  • Wenn Sie über ein lokales Security Operations Center oder SIEM verfügen, können Sie die Aktivität mit der Verwaltungsaktivitäts-API überwachen. Weitere Informationen finden Sie unter Microsoft 365 Verwaltungs-APIs – Übersicht. Hier werden Ihnen Aktivitäten aus SharePoint, Exchange, Azure Active Directory, DLP und mehr angezeigt. Wenn Sie kein lokales Security Operations Center oder SIEM haben, können Sie Cloud App Security verwenden. Cloud App Security verwendet die Verwaltungsaktivitäts-API. Weitere Informationen finden Sie unter Übersicht über die Sicherheit von Microsoft 365 Cloud-Apps. Über Cloud App Security können Sie Aktivitäten melden, suchen und benachrichtigen.

  • Verwenden Sie den Azure Active Directory-Identitätsschutz. Dabei wird maschinelles Lernen angewendet, um verdächtiges Kontoverhalten zu erkennen, beispielsweise gleichzeitige Anmeldungen desselben Benutzers in verschiedenen Teilen der Welt. Sie können den Identitätsschutz konfigurieren, um Aktionen zum Blockieren dieser Anmeldungen anzuwenden. Weitere Informationen finden Sie unter Azure Active Directory Identity Protection.

  • Verwenden Sie die Sicherheitsbewertung, um das Sicherheitsprofil Ihres Abonnements anhand einer positiv bekannten Basis zu bewerten und Möglichkeiten zur Erhöhung des Schutzes zu identifizieren. Weitere Informationen finden Sie unter Microsoft-Sicherheitsbewertung.

Geprüft und kompatibel

Die Einhaltung gesetzlicher Vorschriften ist für Microsoft 365 von grundlegender Bedeutung. Wir stellen sicher, dass der Dienst den behördlichen und Compliance-Standards entspricht. Wir helfen Ihnen auch, Ihren Überwachungs- und Compliance-Verpflichtungen nachzukommen. Das Service Trust Portal ist eine zentrale Anlaufstelle für Compliance- und Vertrauensinformationen für Microsoft-Unternehmensdienste. Das Portal enthält Berichte, Whitepaper, Verletzlichkeitsbewertungen und Compliance-Leitfäden. Das Portal enthält auch den Compliance Manager, der die Konfiguration Ihres Abonnements anhand einer Reihe von Compliance-Kriterien bewertet. Weitere Informationen zum Service Trust Portal finden Sie unter Erste Schritte mit dem Microsoft Service Trust Portal.

Um Ihre behördlichen Anforderungen zu erfüllen: