Beginnen Sie Ihre Reise in die allgemeine Data Protection Verordnung (GDPR) für Windows10

Dieser Artikel enthält Informationen zu den GDPR, einschließlich einer Beschreibung und der Produkte von Microsoft, um Ihnen den Einstieg in die Kompatibilität zu erleichtern.

Einführung

Am 25.Mai2018 tritt ein europäisches Datenschutzgesetze in Kraft, das ein neues globales Niveau für Datenschutz, Sicherheit und Compliance festlegt.

Die allgemeine Data Protection-Richtlinie, oder GDPR, ist im Grunde über Schutz und Aktivierung des Datenschutzrechts von Personen. Die GDPR stellt strikte globale Datenschutzanforderungen über die Verwaltung und den persönlichen Schutz von Daten bei gleichzeitiger Wahrung der Auswahl des Indviduums – unabhängig davon, wo die Daten gesendet, verarbeitet oder gespeichert werden.

Microsoft und unsere Kunden bemühen sich aktuell, die Ziele des Datenschutzes der GDPR zu erzielen. Wir von Microsoft sind der Meinung, Datenschutz ist ein grundlegendes Recht, und wir glauben, dass die GDPR ein wichtiger Schritt für den Schutz und die Aktivierung des Datenschutzrechts von Personen ist. Aber wir wissen auch, dass eine GDPR wichtige Änderungen bei Organisationen weltweit erfordert.

Wir haben unser Engagement für die GDPR beschrieben und wie wir unsere Kunden unterstützen. Diese finden Sie in dem Blogbeitrag Mit Microsoft-Cloud GDPR-kompatibel werden von unseren Chief Privacy Officer Brendon Lynch und dem Blogbeitrag Sichern Sie Ihre Vertrauensstellung mit vertraglichen Verpflichtungen für die allgemeine Data Protection Verordnung von Rich Sauer - Microsoft Corporate Vice President & Deputy General Counsel.

Auch wenn Ihrer Reise in die GDPR-Kompatibilität eine große Herausforderung zu sein scheint, wir sind hier, um Sie zu unterstützen. Spezifische Informationen über die GDPR, unsere Verpflichtungen und wie Sie Ihre Reise beginnen finden Sie im GDPR-Abschnitt im Microsoft Trust Center.

GDPR und seine Folgen

Der GDPR ist eine komplexe Verordnung, die möglicherweise wesentliche Änderungen in Bezug auf das Sammeln, Verwenden und Verwalten von persönlichen Daten erfordert. Microsoft hilft seit langem seinen Kunden komplexe Bestimmungen zu befolgen, und bei der Vorbereitung auf den GDPR sind wir Ihr Partner auf dem Weg.

GDPR erzwingt Regeln für Organisationen, die Waren anbieten und an Personen in der Europäischen Union (EU) verkaufen, oder die Daten für Mitglieder der EU sammeln und analysieren, unabhängig davon, wo sich diese Unternehmen befinden. Im Folgenden finden Sie die Schlüsselelemente der GDPR:

  • Erweiterte Datenschutzrechte. Ein stärkerer Datenschutz für Einwohner der EU, um sicherzustellen, dass sie die Zugriffsberechtigung für den Zugriff auf ihre persönlichen Daten erhalten, Ungenauigkeiten in diesen Daten korrigieren, diese löschen können, bei der Verarbeitung ihrer persönlichen Daten Einspruch erheben und diese verschieben können.

  • Erhöhte Verpflichtung zum Schutz persönlicher Daten. Verstärkte Verantwortlichkeit von Organisationen, die personenbezogene Daten verwalten, mehr Klarheit der Verantwortung bei der Einhaltung der Kompatibilität.

  • Persönliche Datenverstöße melden. Organisationen, die Kontrolle über persönliche Daten haben müssen ihren zuständigen Behörden unverzüglich persönliche Datenverstöße melden, die die Rechte und Grundfreiheiten von Personen gefährden, und wenn möglich innerhalb von 72 Stunden nachdem die Verletzung bekannt wird.

Wie erwartet hat die GDPR einen erheblichen Einfluss auf Ihr Unternehmen und erfordert eventuell die Datenschutzrichtlinien zu aktualisieren, Datenschutzkontrollen und -verstoßprozeduren zu implementieren und zu stärken, transparente Richtlinien bereitzustellen und in IT und Schulungen weite zu investieren. Mit Microsoft Windows10 können Sie effektiv und effizient einige der folgenden Anforderungen in den Griff bekommen.

Persönliche und vertrauliche Daten

Als Teil Ihres Aufwands zur Einhaltung der GDPR müssen Sie wissen, wie Verordnung persönliche und vertrauliche Daten definiert und wie diese Definitionen auf Daten Ihrer Organisation zutrifft.

Die GDPR betrachtet persönliche Daten als alle Informationen im Zusammenhang mit einer bestimmten oder bestimmbare natürlichen Person. Dies bedeutet eine direkte Identifizierung (z.B. Ihr vollständiger Name) und eine indirekte Identifizierung (z.B. bestimmte Informationen, die Sie als Datenverweis identifiziert). Die GDPR verdeutlich, dass das Konzept der persönlichen Daten Online-IDs (z.B. IP-Adressen, mobile Geräte-IDs) und Positionsdaten umfasst.

Die GDPR führt spezifische Definitionen für genetische Daten (z.B. eine Person Gene Sequenz) und biometrische Daten ein. Genetische Daten und biometrische Daten werden zusammen mit anderen untergeordneten Kategorien von persönlichen Daten (persönliche Daten, die die ethnische Herkunft, politische Stellungnahmen, religiöse oder philosophische Werte oder Mitgliedschaften in Gewerkschaften offenlegen: Daten bezüglich Ihrer Gesundheit; oder Daten über das Sexualleben oder die sexueller Orientierung einer Person) werden als vertrauliche persönliche Daten unter der GDPR behandelt. Vertrauliche persönliche Daten sind besonders geschützt und erfordern in der Regel die ausdrückliche Zustimmung einer Person, wo diese Daten verarbeitet werden sollen.

Beispiele für Informationen über eine bestimmte oder bestimmbare natürliche Person (Datenbetreff)

Diese Liste enthält Beispiele für verschiedene Arten von Informationen, die über GDPR geregelt werden. Diese Liste ist nicht vollständig.

  • Name

  • ID-Nummer (wie Sozialversicherungsnummer)

  • Wohnortdaten (z.B. die Privatadresse)

  • Online-ID (z.B. die E-Mail-Adresse, der Bildschirmname, die IP-Adresse, Geräte-IDs)

  • Pseudonyme Daten (z.B. einen Schlüssel zur Personenidentität verwenden)

  • Genetische Daten (z.B. biologische Stichproben einer Person)

  • Biometrische Daten (z.B. Fingerabdrücke, Gesichtserkennung)

Erste Schritte auf dem Weg in Richtung GDPR-Kompatibilität

Da der Schritt zur GDPR-Kompatibilität vieles umfasst, wird dringend empfohlen, mit den Vorbereitungen nicht bis zum Erzwingen der Richtlinien zu warten. Sie sollten Ihre Privatsphäre- und die Daten-Verwaltungsverfahren jetzt überprüfen. Es wird empfohlen, dass Sie Ihre Reise in die GDPR-Kompatibilität durch den Fokus auf vier wichtige Schritte beginnen:

  • Entdecken. Identifizieren Sie Ihre persönlichen Daten und wo sie sich befinden.

  • Verwalten. Steuern, wie auf persönliche Daten zugegriffen und wie sie verwendet werden.

  • Schützen. Richten Sie Sicherheitsmechanismen ein, um zu verhindern, erkennen und auf Sicherheitsrisiken und Datenschutzverletzungen zu reagieren.

  • Melden. Reagieren Sie auf Datenanforderungen, melden Sie Datenschutzverletzungen, und behalten Sie die erforderliche Dokumentation.

    Diagramm zur Funktionsweise der 4 Schritte für GDPR und wie sie zusammen funktionieren

Für die einzelnen Schritte haben wir Beispiel-Tools, Ressourcen und Funktionen in verschiedenen Microsoft-Lösungen beschrieben, die verwendet werden können, um die Anforderungen des Schritts einzuhalten. Obwohl dieser Artikel keine umfassende Vorgehensweise angibt, haben wir Links zu weiteren Informationen eingefügt. Weitere Informationen finden Sie im „GDPR”-Abschnitt im Microsoft Trust Center.

Windows 10: Sicherheit und Datenschutz

Wie Sie die GDPR-Anforderungen erfüllen möchten, ist das Verstehen der Rolle Ihres Desktop- und Laptop-Clientcomputer beim Erstellen, Zugreifen, Verarbeiten, Speichern und Verwalten von Daten, die als persönliche und potenziell vertrauliche Daten in der GDPR qualifizieren können, besonders wichtig. Windows10 enthält Funktionen, mit denen Sie die GDPR-Anforderungen einhalten, um geeignete technische und organisatorische Maßnahmen zum Schutz von persönlicher Daten zu implementieren.

Mit Windows10 wird die Möglichkeit sich gegen die Arten von Angriffen zu schützen, sie zu erkennen und sich zu verteidigen, die zu Datenschutzverletzungen führen können, erheblich verbessert. Angesichts der strengen Anforderungen hinsichtlich der Verletzung der Benachrichtigung innerhalb der GDPR, und um sicherzustellen, dass Ihre Desktop- und Laptop-Systeme auch gegen Risiken gesichert sind, verringern Sie das Risiko kostspieliger Verletzungsanalysen und Benachrichtigungen.

In diesem Abschnitt werden die Windows10 Funktionen erörtert, die in den Teil Schützen auf Ihrer Reise gehören, einschließlich dieser 4 Szenarien:

  • Gefahrenschutz: Gefahrenschutz vorab. Unterbrechen Sie Malware und Hacker durch Verschieben der Spielfläche zu einem Feld, auf dem sie die Angriffsvektoren verlieren, von denen sie abhängen.

  • Gefahrenschutz: Erkennungs- und Abhilfemaßnahmen der Gefahren vorab. Erkennen, untersuchen und reagieren Sie auf Bedrohungen und Verstößen gegen den Datenschutz in Netzwerken.

  • Schutz der Identität. Technologie der nächsten Generation helfen, die Identitäten Ihrer Benutzer vor Missbrauch zu schützen.

  • Schutz von Informationen. Umfassender Datenschutz bei der Einhaltung von Compliance-Anforderungen und der Produktivität der Endbenutzer.

Diese Funktionen sind unten ausführlicher ausgeführt mit Verweisen auf die GDPR-Anforderungen und basieren auf erweitertem Geräteschutz, der die Integrität und Sicherheit des Betriebssystems und seiner Daten verwaltet.

Ein Schlüsselfunktion innerhalb von GDPR ist der beabsichtigte und standardmäßige Datenschutz. Funktionen in Windows10 helfen Ihnen dabei, diese Bestimmung zu erfüllen wie beispielsweise die Trusted Platform Module (TPM)-Technologie, die Hardware-basierte, sicherheitsbezogene Funktionen bereitstellt. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der für die Ausführung kryptografischer Vorgänge ausgelegt ist.

Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die Sicherheitsfunktionen des TPMs zu manipulieren. Die wichtigsten Vorteile der TPM-Technologie bestehen in ihren Möglichkeiten. Sie können:

  • Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.

  • TPM-Technologie für die Plattformgeräteauthentifizierung nutzen. Sie verwenden dazu den eindeutigen RSA-Schlüssel des TPMs, der in sich selbst geschrieben ist.

  • Plattformintegrität gewährleisten, indem Sicherheitsmessungen vorgenommen und gespeichert werden.

Zusätzliche erweiterte Schutzmaßnahmen für Ihr Betriebssystem ohne Datenschutzverletzungen umfassen „Windows Trusted Boot”, das die Integrität des Systems gewährleistet, indem es sicherstellt, das die Schadsoftware nicht vor den Verteidigungseinrichtungen des Systems gestartet werden kann.

Gefahrenschutz: Gefahrenschutz vorab

GDPR erfordert, dass Sie geeignete technische und organisatorische Maßnahmen zum Schutz von persönlicher Daten implementieren.

Um diese Anforderung zu erfüllen und geeignete technische Maßnahmen zu implementiert, sollte die Bedrohungen wiederspiegeln, die Ihnen in einer zunehmend feindlichen heutigen IT-Umgebung entgegen stehen. Sicherheitsbedrohungen sind heute extrem aggressiv und hartnäckig. In früheren Jahren konzentrierten sich böswillige Angreifer hauptsächlich auf die Anerkennung in der Community für ihre Angriffe oder die Begeisterung, ein System vorübergehend offline geschaltet zu haben. Seitdem haben sich die Motive der Angreifer in Richtung Geldgier geändert, und sie behalten die Gewalt über Geräte und Daten, bis die Besitzer das geforderte Lösegeld bezahlen.

Aktuelle Angriffe konzentrieren sich zunehmend auf den Diebstahl geistigen Eigentums im großen Umfang, die zielgerichtete Systemzersetzung, die zu finanziellen Verlusten führen kann, und jetzt sogar Cyber-Terrorismus, durch den die Sicherheit von Personen und Unternehmen sowie nationale Interessen auf der ganzen Welt bedroht sind. Diese Angreifer sind üblicherweise hochqualifizierte Einzelpersonen und Sicherheitsexperten, von denen einige in Nationalstaaten beschäftigt sind, die über große Budgets und scheinbar unbegrenzte menschliche Ressourcen verfügen. Bedrohungen wie diese erfordern einen Ansatz, der dieser Herausforderung gerecht wird.

Diese Bedrohungen sind nicht nur ein Risiko für Ihre Fähigkeit, die Kontrolle über persönliche oder vertrauliche Daten zu behalten, sondern sie sind ein wesentliches Risiko für Ihr gesamten Unternehmen. Berücksichtigen Sie aktuelle Daten vom Ponemon Institute, Verizon und Microsoft:

  • Die durchschnittliche Kosten für den Typ der Datenverstöße, den die GDPR erwartet, beträgt 3,5Milliarden USD. (Ponemon Institute).

  • 63% dieser Verstößen sind schwache oder gestohlene Kennwörter, mit denen Sie handeln müssen und die die GDPR erwartet. (2016 Data Breach Investigations Report, Verizon Enterprise).

  • Über 300.000 neue Schadsoftware-Beispiele werden jeden Tag erstellt und verbreitet und machen Ihre Aufgabe des Schutzes von Daten noch schwieriger. (Microsoft Malware Protection Center, Microsoft).

Wie bei den letzten Ransomware-Angriffen, die als "schwarzen Pest" des Internets bezeichnet werden, suchen Angreifer nach größeren Zielflächen, die es sich leisten können, mit potenziell schwerwiegenden Folgen. Desktops und Laptops, die persönliche und vertrauliche Daten enthalten, werden häufig als Ziel verwendet, wobei die Kontrolle der Daten verloren gehen kann.

Als Reaktion auf diese Bedrohungen und als Teil Ihrer Mechanismen, diesen Angriffsarten Widerstand zu leisten, damit Sie in Übereinstimmung mit der GDPR bleiben, bietet Windows10 eine integrierte Technologie, die hier unten detailliert aufgeführt wird und Folgendes umfasst:

  • Windows Defender Antivirus, um auf neue Bedrohungen für Daten zu reagieren.

  • Microsoft Edge, um Phishing, Schadsoftware und Hacking-Angriffe systematisch zu unterbrechen.

  • Windows Defender Device Guard, um alle unerwünschten Anwendungen auf Clientcomputern zu blockieren.

Behandlung von neuen Daten-Bedrohungen

Windows Defender Antivirus ist eine integrierte Lösung zur Bekämpfung von Schadsoftware, die Funktionen für die Verwaltung der Sicherheit sowie die Bekämpfung von Schadsoftware auf Desktops, tragbaren Computern und Servern bereitstellt. Windows10 verwendet einen differenzierten Ansatz zur Verbesserung der Antischadsoftware:

  • Durch die Cloud bereitgestellter Schutz. Erkennt und blockiert neue Schadsoftware innerhalb von Sekunden, auch wenn die Schadsoftware bisher noch nie vorgekommen ist.

  • Großer lokaler Kontext. Verbessert die Identifizierung von Schadsoftware. Windows 10 informiert Windows Defender Antivirus nicht nur über Inhalte wie Dateien und Prozesse, sondern auch darüber, woher der Inhalt stammt, wo er gespeichert wurde und vieles mehr.

  • Umfangreiche globale Sensoren. Tragen dazu bei, Windows Defender Antivirus auf dem aktuellen Stand – auch im Hinblick auf die neueste Schadsoftware – zu halten. Dies erfolgt auf zwei Arten: durch Sammeln der Daten des umfassenden lokalen Kontexts von Endpunkten und das zentrale Analysieren dieser Daten.

  • Nachweis von Manipulation. Schützt Windows Defender Antivirus selbst vor Angriffen durch Schadsoftware. Windows Defender Antivirus verwendet beispielsweise geschützte Prozesse, die nicht vertrauenswürdige Prozesse daran hindern, Windows Defender Antivirus-Komponenten, seine Registrierungsschlüssel usw. zu manipulieren.

  • Features auf Unternehmensebene. Stellt IT-Spezialisten Tools und Konfigurationsoptionen bereit, die Windows Defender Antivirus zu einer Antischadsoftware-Lösung auf Unternehmensebene werden lassen.

Phishing, Schadsoftware und Hacking-Angriffe werden systematisch unterbrochen

In der heutigen bedrohten Umgebung sollte die Möglichkeit, diese Mechanismen anzubieten auf bestimmte Daten ausgerichtet werden, um Angriffe durch Phishing, Schadsoftware und Hacking aufgrund von Browser-Angriffen zu konfrontieren.

Als Teil von Windows10 bringt Microsoft Ihnen Microsoft Edge, unseren sichersten Browser bis dato. In den letzten zwei Jahren haben wir kontinuierlich Innovationen angeboten, und wir freuen uns über den Fortschritt, den wir gemacht haben. Die Qualität unseres Engineerings spiegelt sich in der Verringerung der allgemeinen Sicherheitsrisiken und Sicherheitslücken (CVE) wieder, im Vergleichen von Microsoft Edge mit Internet Explorer im vergangenen Jahr. Browser-Angriffe auf persönliche und sensible Daten, die Sie benötigen, um von GDPR geschützt zu sein, bedeutet, dass diese Neuerung in Windows10 wichtig ist.

Während kein moderner Browser – oder eine komplexe Anwendung – frei von Sicherheitslücken ist, wurden viele Sicherheitsrisiken für Microsoft Edge von Sicherheitsexperten gemeldet, die mit dem Microsoft Security Response Center (MSRC) und dem Microsoft Edge-Team arbeiten, um sicherzustellen, dass Kunden vor jedem Angreifer geschützt sind, bevor diese Sicherheitslücken auftreten. Es gibt keine Anzeichen dafür, dass Sicherheitslücken als Zero-Day-Angriffe ausgenutzt werden.

Diagramm der allgemeine Sicherheitsrisiken und Sicherheitslücken (CVE) in der National Vulnerability-Datenbank

Allerdings sind viele Unternehmen weltweit immer stärker für gezielte Angriffe gefährdet, in denen Angreifer spezielle Angriffe auf bestimmte Unternehmen ausüben, um die Kontrolle über Unternehmensnetzwerke und -Daten zu erhalten.

Blockieren aller nicht benötigter Apps

Anwendungssteuerung ist der beste Schutz in einer Welt mit mehr als 300.000 neuen Schadsoftware-Beispiele pro Tag. Als Teil von Windows 10 handelt es sich beim Windows Defender Device Guard um eine Kombination aus unternehmensbezogenen Hardware- und Softwaresicherheitsfeatures, mit denen ein Gerät bei der gemeinsamen Konfiguration gesperrt wird, damit darauf nur vertrauenswürdige Anwendungen ausgeführt werden können, die Sie in Ihren Codeintegritätsrichtlinien angeben. Wenn die App nicht vertrauenswürdig ist, kann sie nicht ausgeführt werden.

Bei Hardware, die die grundlegenden Anforderungen erfüllt, bedeutet das außerdem, dass Angreifer auch nach dem Übernehmen der Kontrolle über den Windows-Kernel deutlich weniger Möglichkeiten haben, nach dem Neustart des Computers schädlichen ausführbaren Code auszuführen. Mit der entsprechenden Hardware wird für Windows Defender Device Guard die neue auf Virtualisierung basierende Sicherheit in Windows 10 genutzt, bei der der Codeintegritätsdienst vom eigentlichen Microsoft Windows-Kernel isoliert wird. In diesem Fall wird der Codeintegritätsdienst parallel zum Kernel in einem per Windows-Hypervisor geschützten Container ausgeführt.

Windows Defender Device Guard schützt vor Bedrohungen, bei persönliche oder vertrauliche Daten für den Angriff verfügbar machen können, einschließlich:

  • Neue Schadsoftware, deren „Signatur“ noch nicht bekannt ist

  • Nicht signierter Code (Der Großteil der Schadsoftware ist nicht signiert.)

  • Schadsoftware, die Zugriff auf den Kernel erhält, und dann im Kernel vertrauliche Informationen erfasst oder das System beschädigt.

  • DMA-basierte Angriff, beispielsweise Angriffe, die von einem schädlichen Gerät gestartet werden, das geheime Schlüssel aus dem Speicher liest und das Unternehmen dadurch anfälliger für Angriffe macht. Und:

  • Boot Kits oder physisch anwesende Angreifer zur Startzeit.

Gefahrenschutz: Erkennungs- und Abhilfemaßnahmen der Gefahren vorab

Die GDPR enthält explizite Anforderungen für eine Gefährdungsnachricht, wobei ein Datenverstoß "eine Verletzung der Sicherheit die zu zufälliger oder unrechtmäßiger Zerstörung, Verlust, Änderung, nicht autorisierter Offenlegung von, oder den Zugriff auf, persönliche Daten führt, die gespeichert oder anderweitig verarbeitet wurden."

Wie in den Angaben im Windows-Sicherheitscenter-Whitepaper aufgeführt Nach dem Verstoß: Umgang mit erweiterten Bedrohungen, "Im Gegensatz zur der Zeit vor dem Verstoß, nimmt man nach dem Verstoß an, dass der Verstoß bereits aufgetreten ist – es fungiert wie ein „Flight Recorder” und prüft den Tatort (CSI). Nach dem Verstoß gibt das Sicherheitsteam Informationen und Toolsets, die erforderlich zum Identifizieren, Untersuchen und für Angriffe sind, die andernfalls nicht erkannt werden und unter dem Radar bleiben."

Aufschlussreiche Sicherheitsdiagnosedaten

Fast zwei Jahrzehnte lang hat Microsoft Bedrohungen in hilfreiche Intelligenz umfunktioniert, die dabei hilft, unsere Plattform zu verstärken und unsere Kunden zu schützen. Dank der großen Computing-Vorteile von heute durch die Cloud, finden wir neue Verwendungsmöglichkeiten für unsere umfangreiche Analysemodule, die von der Bedrohungserkennung verursacht und zum Schutz unserer Kunden sind.

Durch das Anwenden einer Kombination von automatisierten und manuellen Prozessen, Machine Learning und menschlichen Experten, können wir ein intelligentes Security-Diagramm erstellen, das von sich selbst lernt und sich in Echtzeit weiter entwickelt, um neue Bedrohungen für unsere Produkte zu erkennen und darauf zu reagieren.

Diagramm des Microsoft Intelligence Security Graph

Der Umfang der Bedrohungserkennung von Microsoft umfasst Milliarden von Datenpunkten: 35 Milliarden Nachrichten werden monatlich überprüft, 1 Milliarde Kunden in Unternehmen und Kundensegmente haben Zugriff auf mehr als 200 Cloud-Dienste und 14 Milliarden Authentifizierungen täglich. Alle diese Daten werden in Ihrem Auftrag von Microsoft zusammengefasst, um das Microsoft Intelligence Security Graph zu erstellen, das Ihre Haustür dynamisch schützt, um sicher und produktiv zu bleiben und die Anforderungen von GDPR zu erfüllen.

Erkennen von Angriffen und forensische Untersuchung

Auch die besten Endpoint-Schutzmaßnahmen können irgendwann überwunden werden, da Cyberangriffe mehr ausgefeilt und zielgerichtet sind.

Windows Defender Advanced Threat Protection (ATP) hilft Ihnen, fortgeschrittene Angriffe zu erkennen und untersuchen und auf Datenschutzverletzungen im Netzwerk zu reagieren. GDPR erwartet, dass Sie sich vor Angriffen mithilfe technischer Sicherheitsmaßnahmen schützen und um sicherzustellen, dass die laufende Vertraulichkeit, Integrität und Verfügbarkeit von persönlichen Daten garantiert ist.

Einige Hauptvorteile von ATP sind:

  • Erkennen des nicht Erkennbaren – Sensoren, die tiefer in die Betriebssystem-Kernel eingebaut sind, Windows-Sicherheitsexperten und einzigartige Sichten aus mehr als 1 Milliarde Maschinen und Signalen in allen Microsoft Diensten.

  • Integriert, nicht aufgeschraubt – ohne Agenten mit hoher Leistung und geringer Auswirkung, cloudbasiert; einfach zu Verwalten ohne jegliche Bereitstellung.

  • Ein einzelner Bereich für die Windows-Sicherheit – sehen Sie 6Monate der Computerzeitachse, die die Sicherheitsereignisse von Windows Defender ATP und Windows Defender Antivirus vereinen.

  • Leistung des Microsoft Graph – nutzt den Microsoft Intelligence Security Graph für die Integration der Erkennung und Erforschung mit Office365 ATP-Abonnement, um Angriffe zu verfolgen und darauf zu reagieren.

Weitere Informationen finden Sie unter Neuigkeiten im Windows Defender ATP Creators Update – Vorschau.

Um Erkennungsmöglichkeiten zu bieten, verbessert Windows10 unsere OS Systemspeicher- und Kernelmodus-Sensoren zur Erkennung von Angreifern, die im Arbeitsspeicher und auf Kernel-Ebene Angriffe ausführen – und scheint ein Licht in zuvor dunkle Räume, in denen Angreifer sich vor herkömmlichen Erkennungstools versteckten. Wir haben diese neue Technologie bereits erfolgreich gegen Null-Tage-Angriffen auf Windows genutzt.

Windows Defender Security Center

Wir arbeiten weiter an unserer Erkennung von Ransomware und anderen Angriffen, und wenden die Verhaltens- und Machine Learning-Erkennungsbibliothek an, um sich ändernde Angriffstrends abzuwenden. Die Funktion zur historischen Ermittlung stellt sicher, dass neue Ermittlungsregeln auf Daten angewendet werden, die bis zu sechs Monate vorher gespeichert wurden– so können sogar frühere Angriffe erkannt werden, die bisher unbemerkt geblieben sind Kunden können auch angepasste Erkennungsregeln oder IOCs hinzufügen, die dem Erkennungs-Wörterbuch hinzugefügt werden.

Kunden haben uns nach einem zentralen Bereich für alle Ermittlungsfunktionen von Windows gefragt. Windows Defender Antivirus-Erkennungen und Windows Defender Device Guard-Blöcke tauchen zuerst im Windows Defender ATP-Portal auf und sind mit Windows Defender ATP-Erkennung verbunden. Die neue Benutzer-Entität fügt Identität als Pivotelement hinzu, was einen Einblick in die Aktionen, Beziehungen und Warnungen des Computers gibt, und erlauben es uns, Angreifer horizontal über das Netzwerk zu überwachen.

Die Seite „Warnung” enthält jetzt eine neue Prozessstruktur-Visualisierung, die mehrere Erkennungen aggregiert und verknüpfte Ereignisse in einer einzelnen Ansicht darstellt, das Sicherheitsteams dabei hilft, Fäll schnell zu beheben, indem die notwendigen Informationen geboten werden, um Vorfälle zu verstehen und zu beheben, ohne die Seite „Warnung” zu verlassen.

Sicherheitsvorgänge (SecOps) können nach Hinweisen auf Angriffen suchen, z.B. Dateinamen oder Hashes, IP-Adressen oder URLs, Verhalten, Computer oder Benutzer. Sie können dies sofort tun, indem Sie das Cloud-Inventar des Unternehmens auf allen Computern durchsuchen – bis zu 6Monaten – auch, wenn Computer offline sind, ein Reimaging durchgeführt wurde oder nicht mehr vorhanden sind.

Windows Defender Security Center – Anwenderbildschirm

Wenn einen Angriff erkannt wird, können Sicherheitsteams jetzt sofort Gegenmaßnahmen ergreifen: Computer isolieren, Dateien aus dem Netzwerk entfernen, ausgeführten Prozesse oder Dateien löschen oder unter Quarantäne stellen, ein Untersuchungspaket von einem Computer zum Bereitstellen von forensischen Beweisen abrufen – mit nur einem Klick. Das erweiterte Erkennen von Angriffen ist wichtig – die Stilllegung ist noch wichtiger.

Windows Defender Security Center – Computerbildschirm

Schutz der Identität

Identifizieren und Zugriffsverwaltung ist ein weiterer Bereich, auf den die GDPR durch Mechanismen zum Gewähren und Einschränken des Zugriffs auf Daten mit dem Betreff „persönliche Daten” besonders viel Gewicht legt (z.B. rollenbasierter Zugriff, Aufgabentrennung).

Mehrstufiger Schutz

Biometrische Authentifizierung – mit Ihrem Gesicht, Iriserkennung oder Fingerabdruck zum Entsperren Ihres Geräts – ist sehr viel sicherer als herkömmliche Kennwörter. Sie – und nur Sie – sowie Ihr Gerät sind die Schlüssel zu Ihren Apps, Daten und sogar Websites und Diensten – und keine zufällige Auswahl von Buchstaben und Zahlen, die leicht vergessen, gehackt oder notiert und an ein schwarzes Brett angeheftet werden können.

Ihre Fähigkeit, persönliche und vertrauliche Daten zu schützen, die über Desktops und Laptops gespeichert oder darauf zugegriffen werden erfolgt durch die Annahme erweiterter Authentifizierungsfunktionen wie Windows Hello for Business und Windows Hello-Begleitgeräte. Windows Hello for Business, Teil von Windows10, gibt Benutzern eine persönliche und sichere Erfahrung, wobei das Gerät je nach Präsenz authentifiziert wird. Benutzer können sich mit einem Blick oder einer Berührung anmelden, ohne Kennwort.

In Verbindung mit Windows Hello for Business verwendet die biometrische Authentifizierung Fingerabdrücke oder Gesichtserkennung und ist sicherer, noch persönlicher und einfacher. Wenn eine Anwendung Hello unterstützt, können Sie mit Windows10 Anwendungen, Unternehmensinhalte und auch bestimmte online Umgebungen ohne Kennwort auf Ihrem Gerät oder in einem Netzwerk authentifizieren. Windows Hello for Business funktioniert mit der Begleitgeräteframework zu Verbesserung der Benutzerauthentifizierung. Mit dem Windows Hello-Begleitgeräteframework kann ein Begleitgerät umfangreiche Funktionen für Windows Hello bereitstellen, auch wenn Biometrie nicht verfügbar ist (beispielsweise, wenn das Windows10-Desktopgerät über keine Kamera für die Gesichtsauthentifizierung oder kein Fingerabdrucklesegerät verfügt).

Das Windows Hello-Begleitgeräteframework kann auf unterschiedliche Weise verwendet werden, um eine erstklassige Windows-Entsperrung mit einem Begleitgerät zu erstellen. Anwender können beispielsweise:

  • Offline arbeiten (z.B. wenn Sie unterwegs sind oder im Flugzeug)

  • Benutzer können Ihr Begleitgerät per USB am PC anschließen, auf die Schaltfläche des Begleitgeräts tippen und den PC automatisch entsperren.

  • Benutzer können in ihrer Tasche ein Smartphone mit sich führen, das bereits über Bluetooth mit dem PC gekoppelt ist. Durch Drücken der LEERTASTE des PCs wird eine Benachrichtigung an ihr Smartphone gesendet. Diese muss zum Entsperren des PCs einfach nur bestätigt werden.

  • Benutzer können das Begleitgerät an ein NFC-Lesegerät halten und den PC so entsperren.

  • Benutzer können ein Fitness-Armband tragen, das den Träger bereits authentifiziert hat. Wenn sich der Benutzer dem PC nähert und eine spezielle Geste (beispielsweise Klatschen) ausführt, wird der PC entsperrt.

Schutz vor Angriffen durch das Isolieren von Benutzeranmeldeinformationen

Entsprechend den Angaben im Windows10 Credential Theft Mitigation Guide, "die Tools und Techniken, die Kriminelle verwenden, um den Diebstahl von Anmeldeinformationen auszuführen und erneute Angriffe werden verbessert. Böswillige Angreifer finden es einfacher, ihre Ziele zu erreichen. Der Diebstahl von Anmeldeinformationen nutzt häufig betriebliche Verfahren oder die Offenlegung von Benutzer-Anmeldeinformationen, sodass effektive Gegenmaßnahmen einen ganzheitlichen Ansatz erfordern, in puncto Adressen der Personen, Prozesse und Technologie. Darüber hinaus sind diese Angriffe abhängig vom Diebstahl von Anmeldeinformationen nach der Gefährdung des Systems oder dem Zugriff darauf, damit Organisationen schnell unterrichtet werden, müssen Strategien implementiert werden, die verhindern, dass Angreifer frei angreifen und in einem gefährdeten Netzwerk unentdeckt bleiben."

Eine wichtige Designüberlegung für Windows10 ist es, den Diebstahl von Anmeldeinformationen zu mindern – besonders abgeleitete Anmeldeinformationen. Windows Defender Credential Guard bietet deutlich verbesserte Sicherheit für den abgeleiteten Diebstahl und die Wiederverwendung durch die Implementierung einer erheblichen architektonischen Änderung in Windows, die dabei hilft, hardwarebasierte isolierte Angriffe zu verhindert, statt zu versuchen diese zu verteidigen.

Durch das Sichern von Domänenanmeldeinformationen für die Anmeldeinformationsverwaltung sowie von NTLM und Kerberos abgeleiteten Anmeldeinformationen mithilfe von virtualisierungsbasierter Sicherheit werden die Verfahren und Tools für den Diebstahl von Anmeldeinformationen blockiert, die bei vielen gezielten Angriffen eingesetzt werden. Im Betriebssystem ausgeführte Schadsoftware mit Administratorberechtigungen kann geheime Schlüssel, die durch die virtualisierungsbasierte Sicherheit geschützt sind, nicht extrahieren. Auch wenn Windows Defender Credential Guard eine leistungsstarke Lösung darstellt, werden für dauerhafte Bedrohungen neue Angriffstechniken eingesetzt werden, und Sie sollten daher auch Windows Defender Device Guard, wie oben aufgeführt, und andere Sicherheitsstrategien und -architekturen einbinden.

Informationsschutz

Die GDPR konzentriert sich auf den Schutz von Informationen in Bezug auf die Daten, die als persönliche oder vertrauliche Daten in Bezug auf eine natürliche Person oder ein Datensubjekt betrachtet werden. Schutz für Geräte, Schutz gegen Bedrohungen und Identitätsschutz sind alles wichtige Elemente einer Defense-in-Depth Strategie, die eine Ebene des Informationsschutzes auf Ihrem Laptop und Desktop-System festlegt.

Hinsichtlich des Schutzes von Daten, erkennt der GDPR, dass bei der Beurteilung des Sicherheitsrisikos für Daten die Risiken berücksichtigt werden sollten, wie z.B. Datenverluste, nicht autorisierte Offenlegung von oder Zugriff auf persönliche übertragene, gespeicherte oder auf andere Weise verarbeitete Daten. Außerdem wird empfohlen, dass Maßnahmen zum Verwalten eines geeigneten Maßes an Sicherheit die neuesten Methoden und die Kosten für die Implementierung in Bezug auf die Risiken und andere Faktoren berücksichtigen sollten.

Windows10 bietet integrierte Risikominderungsfunktionen für die heutigen Bedrohungslage. In diesem Abschnitt werden wir uns die Arten von Technologien für Ihrer Reise in Richtung GDPR-Kompatibilität ansehen und gleichzeitig den Datenschutz im Rahmen einer umfassenden Information Protection-Strategie bereitstellen.

Diagramm der umfassende Strategie für den Datenschutz von Microsoft

Verschlüsselung bei verlorenen oder gestohlenen Geräten

Die GDPR erfordert Mechanismen, die entsprechende technische Sicherheitsmaßnahmen implementieren, um die laufende Vertraulichkeit, Integrität und Verfügbarkeit von persönlichen Daten und Systemen zu bestätigen. BitLocker-Verschlüsselung wurde zunächst als Teil der Next-Generation Secure Computing Base-Architektur von Microsoft im Jahr 2004 eingeführt und mit Windows Vista zur Verfügung gestellt. Hierbei handelt es sich um eine integrierte Datenschutzfunktion mit Integration in das Betriebssystem, das die Bedrohungen durch Datendiebstahl oder von verlorenen, gestohlenen oder nicht ordnungsgemäß außer Betrieb gesetzten Daten anspricht.

BitLocker bietet den größten Schutz bei Verwendung mit einem Trusted Platform Module (TPM) 1.2 oder höher. Das TPM ist eine Hardwarekomponente, die von vielen Computerherstellern auf vielen neueren Computern installiert wird. Es dient In Kombination mit BitLocker zum Schutz der Benutzerdaten und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war.

Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe durch das Ausführen eines Softwareangriffstools oder die Übertragung der Festplatte des Computers auf einen anderen Computer. BitLocker verringert das Risiko durch nicht autorisierten Datenzugriff, indem der Datei- und Computerschutz verbessert wird. BitLocker hilft auch dabei, den Zugriff auf Daten zu verhindern, wenn mit BitLocker geschützte Computer außer Betrieb genommen oder wiederverwendet werden.

Im Zusammenhang mit BitLocker gibt es eine neue Klasse von Festplatten, die auf Hardware-Ebene selbst verschlüsseln und die Verschlüsselung des gesamten Datenträgers ermöglichen. Verschlüsselte Festplatten verwenden die schnelle Verschlüsselung, die von der BitLocker-Laufwerkverschlüsselung zur Verbesserung der Sicherheit und Verwaltung bereitgestellt wird.

Durch eine Übertragung der Kryptografievorgänge auf die Hardware wird die Leistung von BitLocker mit verschlüsselten Festplatten verbessert, und CPU-Last und Energieverbrauch werden gesenkt. Da Daten auf verschlüsselten Festplatten schnell verschlüsselt werden, können Geräte die BitLocker-Bereitstellung mit minimalen Auswirkungen auf die Produktivität erweitern.

Zu den Vorteilen der verschlüsselten Festplatten gehören:

  • Bessere Leistung. Die in den Laufwerkscontroller integrierte Verschlüsselungshardware ermöglicht dem Laufwerk den Betrieb bei voller Datenrate ohne Leistungseinbußen.

  • Hohe Sicherheit auf Hardwarebasis. Die Verschlüsselung ist stets aktiv, und die Kryptoschlüssel für die Verschlüsselung verlassen niemals die Festplatte. Die Benutzerauthentifizierung wird unabhängig vom Betriebssystem vom Laufwerk selbst durchgeführt, bevor es entsperrt wird.

  • Einfache Verwendung. Die Verschlüsselung ist für den Benutzer transparent, da sie standardmäßig aktiviert ist. Es ist kein Benutzereingriff erforderlich, um die Verschlüsselung zu aktivieren. Verschlüsselte Festplatten lassen sich über den integrierten Kryptoschlüssel leicht löschen, daher ist keine Neuverschlüsselung von Festplattendaten erforderlich.

  • Niedrige Gesamtbetriebskosten. Es besteht keine Notwendigkeit für neue Infrastruktur zur Verwaltung von Kryptoschlüsseln, da BitLocker die Infrastruktur der Active Directory Domain Services zum Speichern von Wiederherstellungsinformationen nutzt. Das Gerät arbeitet effizienter, da keine Prozessorzyklen für den Verschlüsselungsvorgang verwendet werden müssen.

Verhindern versehentlicher Datenlecks an nicht autorisierte Benutzer

Teil der Realität mit Mobilgeräten und in einer cloudzentrierten Welt ist das Konzept, dass einige Laptops mehrere Zwecke erfüllen – geschäftliche und persönliche. Die Daten, die als persönliche und vertrauliche Daten für EU Einwohner gelten und "betroffen sind", müssen gemäß den Anforderungen der GDPR geschützt werden.

Mit Windows Information Protection können Personen ihre Arbeits- und persönlichen Daten trennen und Daten verschlüsselt lassen, wo sie gespeichert sind. Ihre Mitarbeiter können problemlos sowohl geschäftliche als auch persönliche Daten auf dem gleichen Gerät verwenden, ohne dabei die Anwendungen zu wechseln. Mit Windows Information Protection können Endbenutzer versehentliche Datenlecks vermeiden, indem eine Warnung gesendet wird, wenn das Kopieren/Einfügen von Informationen in Nicht-Unternehmens-Apps geschieht – Benutzer können fortfahren, die Aktion wird jedoch zentral protokolliert.

Beispielsweise können Mitarbeiter keine geschützten Dateien aus einer persönlichen E-Mail-Konto anstelle ihres Geschäftskontos senden. Sie können auch nicht versehentlich persönliche oder vertrauliche Daten von einer Unternehmenswebsite in einem Tweet versenden. Windows Information Protection verhindert auch, dass sie persönliche oder vertrauliche Daten in einem öffentlichen Cloud-Speicherort speichern.

Funktionen, zur Klassifizieren, Zuweisen von Berechtigungen und Freigeben von Daten

Windows Information Protection arbeitet mit der Funktion zur Verhinderung von Datenverlusten (DLP) in Office365 ProPlus, Azure Information Protection und Azure Rights Management. Die erweiterte DLP verhindert z.B. den Ausdruck oder schützt geschäftliche Daten, die außerhalb Ihres Unternehmens per E-Mail gesendet werden.

Um Ihre Daten, unabhängig davon, wo sie gespeichert sind, mit wem sie gemeinsam genutzt werden, oder ob auf dem Gerät iOS, Android oder Windows ausgeführt wird, kontinuierlich zu schützen, müssen die Klassifizierung und der Schutz in die Datei selbst integriert werden, damit dieser Schutz mit den Daten überall hin mitgenommen werden kann. Microsoft Azure Informationen Protection (AIP) bietet diesen Schutz von Daten sowohl lokal als auch in der Cloud.

Die Klassifizierung von Daten ist ein wichtiger Bestandteil jedes Governance-Datenplans. Die Übernahme eines Klassifizierungsschemas, die in Ihrem Unternehmen gilt, kann hilfreich sein, insbesondere als Reaktion auf die von GDPR betroffenen Personen (z.B. EU-Mitarbeiter oder Kunden), da Unternehmen sie leichter identifizieren können und persönliche Datenanfragen verwalten können.

Azure Information Protection kann verwendet werden, damit Sie Ihre Daten zum Zeitpunkt der Erstellung oder Änderung klassifizieren und bezeichnen. Schutz in Form der Verschlüsselung, was nach Aussage der GDPR manchmal angemessen sein kann, oder die visuelle Kennzeichnung kann dann auf Daten angewendet werden, die Schutz benötigen.

Mit Azure Information Protection können Sie Daten mit einer Empfindlichkeitsmarkierung abrufen oder sensible Daten auf intelligente Weise identifizieren, wenn eine Datei oder eine E-Mail-erstellt oder geändert wird. Nach dem Identifizieren können Sie die Daten automatisch klassifizieren und bezeichnen – anhand der vom Unternehmen gewünschten Richtlinie.

Mit Azure Information Protection können Benutzer auch sensible Daten auf sichere Weise gemeinsam nutzen. Im folgenden Beispiel wurden Informationen über den vertraulichen Erwerb verschlüsselt und an eine Gruppe von Personen verteilt, die nur eine begrenzte Anzahl von Berechtigungen für die Informationen erhielten – sie können den Inhalt ändern, aber nicht kopieren oder drucken.

Azure Information Protection-Bildschirm mit Beschränkungen

Verwandter Inhalt für die zugehörigen Windows10-Lösungen

Haftungsausschluss

Dieser Artikel enthält einen Kommentar über die GDPR wie Microsoft ihn ab dem Datum der Veröffentlichung interpretiert. Wir haben sehr viel Zeit mit der GDPR verbracht und wir glauben, dass wir über ihre Absicht und Bedeutung im Klaren sind und diese so dargestellt haben. Die Anwendung der GDPR ist jedoch äußerst tatsachenspezifisch, und die Aspekte und Interpretationen der GDPR sind nicht definitiv beigelegt.

Daher dient dieser Artikel nur zu Informationszwecken und sollte nicht zuverlässig als rechtlicher Hinweise angesehen werden oder um zu bestimmen, wie die GDPR für Sie und Ihr Unternehmen angewendet wird. Wir empfehlen Ihnen, die mit einem gesetzlich qualifizierten Experten zusammen zu arbeiten, um die GDPR zu besprechen, wie sie speziell für Ihre Organisation angewendet wird und wie sie am besten funktioniert, um Kompatibilität zu gewährleisten.

MICROSOFT GIBT IN BEZUG AUF DIE INFORMATIONEN IN DIESEM ARTIKEL KEINERLEI GEWÄHRLEISTUNG, WEDER AUSDRÜCKLICH NOCH KONKLUDENT. Dieser Artikel wird auf "as-is"-Basis bereitgestellt. Die in diesem Artikel gegebenen Informationen und Ansichten, darunter URLs und andere Verweise auf Internetseiten, können ohne vorherige Ankündigung geändert werden.

Dieser Artikel stellt Ihnen keinerlei Rechte am geistigen Eigentum eines beliebigen Microsoft-Produkts zur Verfügung. Dieser Artikel darf nur für interne Zwecke kopiert und verwendet werden.

Veröffentlicht: September 2017
Version1.0
© 2017 Microsoft. Alle Rechte vorbehalten.