Trust Center: Informationen zur Sicherheit, zum Datenschutz und zur Einhaltung von Vorschriften für Office 365 und Microsoft Dynamics CRM Online

Administrativer Zugriff

Wir helfen Ihnen herauszufinden, ob jemand auf Ihre Daten zugegriffen hat. Uns ist bewusst, dass Datenzugriff in der Cloud zu den wichtigsten Aspekten zählt. Er bedeutet die Gewissheit, im Bedarfsfall immer auf die eigenen Daten zugreifen zu können, und auch zu wissen, wenn eine andere Person auf Ihre Daten zugegriffen hat.

Wie sieht die Position von Office 365 und Microsoft Dynamics CRM Online zum Datenzugriff aus?

Wir vertreten beim Thema Datenzugriff folgende Position:

§  Wir gewähren Ihnen jederzeit Zugriff auf Ihre Kundendaten.

§  Der Zugriff auf Kundendaten wird streng kontrolliert und protokolliert. Darüber hinaus werden sowohl von Microsoft als auch von Dritten stichprobenartige Kontrollen durchgeführt, um sicherzugehen, dass der Zugriff nur zu angemessenen geschäftlichen Zwecken erfolgt.

§  Wir sind uns der überaus großen Wichtigkeit der Inhalte unserer Kunden bewusst, 1 zum Beispiel Exchange Online-E-Mail-Texte und Inhalte von Teamwebsites in SharePoint Online. Wenn jemand – ob Mitarbeiter von Microsoft, Partner2 oder Ihre eigenen Administratoren – auf die Inhalte des Diensts zugreift, können wir Sie auf Wunsch in einem Bericht darüber informieren. So wissen Sie immer Bescheid, wann auf Ihre Inhalte zugegriffen wurde.

Wie kann ich den administrativen Zugriff auf Daten anzeigen?

 

Dienst

Nachverfolgte Aktivitäten

Anweisungen

Office 365 und Dynamics CRM Online

Erstellen von Benutzern und Zurücksetzen von Kennwörtern über das Portal

Den technischen Support von Office 365 oder Microsoft Dynamics CRM Online kontaktieren

Exchange Online

Zugriff auf Exchange-Postfächer3

Rufen Sie die Exchange-Systemsteuerung auf. (Den entsprechenden Link finden Sie auf der Seite Übersicht des Office 365 Online-Portals [Anmeldung erforderlich]).

SharePoint Online

Zugriff auf SharePoint-Website und -Speicher

Den technischen Support von Office 365 kontaktieren

Microsoft Dynamics CRM Online

Zugriff auf CRM-Inhalte

Den technischen Support von Microsoft Dynamics CRM Online kontaktieren

1Inhalte sind Kundendaten, bei denen Kunden eine gesteigerte Erwartung an die Vertraulichkeit stellen und die bei normaler Nutzung des Diensts verschlüsselt über das Internet übertragen werden. Dies umfasst insbesondere: Exchange Online-E-Mail-Texte und -Anlagen, Inhalte von Websites in SharePoint Online, Dateiinhalte, Instant Messaging- oder VoIP-Unterhaltungen sowie CRM-Geschäftsdaten über die Interaktionen Ihrer Endkunden.

2Der administrative Zugriff Ihrer Partner auf im Dienst gespeicherte Inhalte wird in Berichten aufgezeichnet. Hierbei werden nicht alle Partnerszenarien einbezogen. So sind Berichte zu Händlern (falls die Dienste über einen Händler erworben und von diesem in Rechnung gestellt werden), ACS VOIP-Partnern (Advanced Communications Services) und verbundenen Diensten wie Research in Motion (für Hosted BlackBerry®-Dienst) aufgrund der Art und Weise des Datenzugriffs dieser Partner bei der gewöhnlichen Nutzung der Dienste nicht verfügbar.

3Für Unternehmenskunden, die die Exchange Online Protection-Verwaltungskonsole aktiviert haben, sind keine Berichte zum Administratorzugriff auf E-Mails in der Warteschlange der Verwaltungskonsole verfügbar.

Wer verfügt über Administratorrechte für Office 365 und Microsoft Dynamics CRM Online?

 

Microsoft-Datenbankadministratoren haben, wie der Name schon sagt, Zugriff auf sämtliche Ressourcen in einer Datenbank, einschließlich Kundendaten.

Wir verwenden Kundendaten nur für die Bereitstellung der Dienste, daher verbietet Microsoft strikt den Zugriff auf Kundendaten für andere Zwecke. Im Rahmen der Dienstbereitstellung können Datenbankadministratoren auf Kundendaten zugreifen, um Aktionen wie Leistungsoptimierung von Datenbanken oder Migration von Kunden von einer Datenbank in eine andere durchzuführen.

In der folgenden Tabelle sind verschiedene Zugriffsebenen für unterschiedliche Administratoren und Datentypen aufgeführt:

Administrator

Kundendaten (außer Inhalten)

Inhalt

Operations Response-Team (nur Schlüsselpersonal)

Ja, in erforderlichem Umfang.

Ja, in Ausnahmefällen.

Supportunternehmen

Ja, soweit für die Beantwortung einer Supportanfrage erforderlich.

Nein.

Techniker

Kein direkter Zugriff. Kann im Rahmen der Problembehandlung übertragen werden.

Nein.

Partner

Mit Zustimmung des Kunden. Kontaktieren Sie Ihren Partner, um weitere Informationen zu erhalten.

Mit Zustimmung des Kunden. Kontaktieren Sie Ihren Partner, um weitere Informationen zu erhalten.

Andere Microsoft-Mitarbeiter

Nein.1

Nein.


 1Andere Microsoft-Mitarbeiter verwenden die Adressbuchdaten von Microsoft Dynamics CRM Online- und Office 365 Small Business-Kunden für Marketingzwecke.

 

Welche Anstrengungen unternimmt Microsoft, damit Kunden ihre Datenzugriffsrechte wahrnehmen können? Können die Kunden jederzeit auf ihre Daten zugreifen?

 

Kunden können über die in der Dienstbeschreibung festgelegten Standardprotokolle und Zugriffsmechanismen auf ihre Daten zugreifen und diese kontrollieren.

Nach Ablauf eines Abonnements oder der Dienstnutzung können die Kunden ihre Daten immer exportieren. Vollständige Einzelheiten finden Sie in den Nutzungsrechten für Onlinedienste, der maßgeblichen Quelle zu diesem Thema (Enterprise Agreement-Kunden sollten die Produktbenutzungsrechte konsultieren). Um Ihnen einen Überblick zu geben, sind im Folgenden die Bedingungen der Nutzungsrechte für Onlinedienste der aktuellen Version von Office 365 aufgeführt:

Ablauf oder Kündigung des Onlinediensts. Nach Ablauf oder Kündigung Ihres Abonnements für den Onlinedienst müssen Sie sich mit Microsoft in Verbindung setzen und uns mitteilen, ob:

§  (1) Ihr Konto deaktiviert und die Kundendaten gelöscht werden sollen, oder

§  (2) Ihre Kundendaten für einen Zeitraum von mindestens 90 Tagen nach Ablauf oder Kündigung Ihres Abonnements (der "Aufbewahrungszeitraum") in einem Konto mit eingeschränkten Funktionen gespeichert werden sollen, damit Sie die Daten exportieren können.

§  Wenn Sie sich für (1) entscheiden, können Sie die Kundendaten nicht aus Ihrem Konto exportieren. Wenn Sie sich weder für (1) noch für (2) entscheiden, bewahren wir die Kundendaten gemäß (2) auf.

§  Nach Ablauf der Aufbewahrungsdauer deaktivieren wir Ihr Konto und löschen Ihre Kundendaten. Im Zwischenspeicher befindliche oder gesicherte Kopien werden innerhalb von 30 Tagen nach Ablauf des Aufbewahrungszeitraums gelöscht.

Microsoft erinnert den Kunden vor dem Löschen von Kundendaten mehrmals an die bevorstehende Löschung, sollte dieser nicht innerhalb der festgelegten Frist aktiv werden.

Für den Fall, dass der Kunde bei der Erfüllung gesetzlich festgelegter Datenschutzanforderungen Hilfe benötigt, kann im Rahmen vieler Verträge der Kundensupport von Microsoft beim Zugriff, Ändern, Löschen oder Sperren von Kundendaten behilflich sein. Für Anfragen, die nicht anhand von Standardtools und -prozessen bearbeitet werden können, wird möglicherweise eine zusätzliche Gebühr fällig.

 

Wie kann ich sicher sein, dass nur autorisierte Benutzer im Rahmen der Erfüllung ihrer Aufgaben Administratorzugriff erhalten?

 

Alle Office 365- und Microsoft Dynamics CRM Online-Mitarbeiter sind für ihren Umgang mit Kundendaten rechenschaftspflichtig. Das bedeutet, dass der Zugriff auf Office 365- und Microsoft Dynamics CRM Online-Daten zu einem einzelnen Benutzer zurückverfolgt werden kann.

Mit anderen Worten: Diese Rechenschaftspflicht wird anhand einer Reihe von Systemsteuerelementen wie eindeutigen Benutzernamen, Datenzugriffskontrollen und Überwachungsmechanismen durchgesetzt. Statt allgemeiner Benutzernamen wie "Gast" oder "Administrator" werden eindeutige Benutzernamen zugewiesen, um die Rechenschaftspflicht durchzusetzen und die Benutzeraktionen einer bestimmten Person zuordnen zu können (auch als "Bindung" bezeichnet). Zur weiteren Stärkung dieser Bindung wird zudem von einer zweistufigen Autorisierung Gebrauch gemacht (z. B. eine Anmeldung per Smartcard unter Verwendung von digitalen Zertifikaten oder RSA-Token).

Microsoft legt strenge Maßstäbe im Hinblick darauf an, welche Mitarbeiterrollen und Mitarbeiter Zugriff auf Kundendaten erhalten. Der Mitarbeiterzugriff auf die IT-Systeme, auf denen Kundendaten gespeichert sind, wird streng mithilfe von rollenbasierten Zugriffsberechtigungen (Role-based Access Control, RBAC) und Lockbox-Prozessen [Englisch] kontrolliert. Die Zugriffssteuerung ist ein automatisierter Prozess, der dem Prinzip der Trennung von Zuständigkeiten und dem Prinzip der Gewährung der niedrigsten Zugriffsebene folgt. Mit diesem Prozess wird sichergestellt, dass der Techniker, der den Zugriff auf diese IT-Systeme anfordert, die Berechtigungsanforderungen erfüllt, wozu Sicherheitsüberprüfung, Fingerabdrücke, ein geeignetes Sicherheitstraining und Zugriffsgenehmigungen gehören. Darüber hinaus werden die Zugriffsebenen regelmäßig überprüft, um sicherzustellen, dass nur Benutzer mit entsprechender geschäftlicher Begründung Zugriff auf die Systeme erhalten.

Der Benutzerzugriff auf Daten wird zudem von der Benutzerrolle eingeschränkt. So erhalten Systemadministratoren beispielsweise keinen administrativen Datenbankzugriff.

Mit welchen Kontrollmechanismen wird der physische Zugriff auf meine Daten beschränkt?

 

Alle Office 365 and Microsoft Dynamics CRM Online-Rechenzentren haben biometrische Zugangskontrollen. Die Mehrheit der Rechenzentren, die für die Bereitstellung von Office 365 and Microsoft Dynamics CRM Online genutzt werden, sind nur durch einen Handabdruck zugänglich.

 

Der physische Zugang zu Office 365 and Microsoft Dynamics CRM Online-Rechenzentren ist durch eine zweistufige Authentifizierung gesichert, darunter Kartenlesegeräte (Ausweis erforderlich) und biometrische Lesegeräte zum Scannen der Handflächen.

Der Microsoft-Sicherheitsbeauftragte sendet vierteljährlich Berichte an alle Mitarbeiter, die den Zugang zu Rechenzentren autorisieren können. Diese Berichte enthalten eine Liste mit Personen, die zurzeit Zugang zu den Rechenzentren haben. Die autorisierten Mitarbeiter prüfen, ob alle Personen auf der Liste noch Zugang benötigen und über die niedrigste Zugriffsebene verfügen, die für die Wahrnehmung ihrer Aufgaben erforderlich ist.

Weitere Informationen zum Ansatz, den Office 365 und/oder Microsoft Dynamics CRM Online beim Umgang mit Kundendaten verfolgen finden Sie in den Microsoft-Datenschutzrichtlinien zur Entwicklung von Produkten und Diensten, im Whitepaper zur Office 365-Sicherheit, im Handbuch zur Sicherheit und Dienstkontinuität von Microsoft Dynamics CRM Online und im Datenschutz-Whitepaper von Microsoft Online.

 

Welche Prüfungen schreibt Microsoft für Personen vor, denen Administratorrechte gewährt werden?

 

Bei allen Microsoft-Mitarbeitern in den USA durchleuchten wir im Rahmen des Einstellungsprozesses standardmäßig deren komplette Vorgeschichte.

 

Dazu gehören Informationen zur Ausbildung eines Kandidaten sowie zu seinem beruflichem Werdegang und seiner kriminellen Vergangenheit. Zusätzlich zu dieser standardmäßigen Prüfung, die bei allen neuen Microsoft-Mitarbeitern durchgeführt wird, werden sämtliche Mitarbeiter, die Zugriff auf Kundendaten haben oder wichtige physische und logische Zugriffssteuerelemente verwalten, mit Exportkontrolllisten abgeglichen (darunter die Office of Foreign Assets Control List (OFAC), die Bureau of Industry and Security List (BIS) sowie die Office of Defense Trade Controls Debarred Persons List (DDTC)).

Möglicherweise sind auch weitere Prüfungen der Daten und der Vorgeschichte, zum Beispiel eine Überprüfung der Staatsangehörigkeit oder der Fingerabdrücke, erforderlich, wenn es um den Zugang zu Daten von Kunden mit speziellen Anforderungen geht (z. B. die Regierung der USA).

Zum Schutz der Daten seiner Mitarbeiter gibt Microsoft die Ergebnisse solcher Prüfungen nicht an Kunden weiter.

Weitere Ressourcen

§  Handbuch zur Sicherheit und Dienstkontinuität von Microsoft Dynamics CRM Online [Englisch]

§  Office 365-Sicherheit (Whitepaper) [Englisch]