Trust Center: Sicherheits-, Datenschutz- und Konformitätsinformationen für Office 365 und Microsoft Dynamics CRM Online

Sicherheit, Überwachungen und Zertifizierungen

Wir lassen unsere Systeme von Drittanbietern prüfen und zertifizieren, damit Sie darauf vertrauen können, dass unsere Dienste mit strengen Schutzvorrichtungen entwickelt und ausgeführt werden.

Unser Ziel ist einfach: bei der Bereitstellung unserer Dienste das Maß an Sicherheit und Datenschutz zu bieten, das Sie von Microsoft erwarten, und Ihnen unsere Sicherheits- und Datenschutzpraktiken präzise zusichern zu können. Wir haben geeignete technische und organisatorische Maßnahmen, interne Kontrollen und Informationssicherheitsroutinen eingeführt und halten diese aufrecht, um Kundendaten vor unbeabsichtigtem Verlust, Zerstörung oder Änderung, nicht autorisierter Weitergabe oder unberechtigtem Zugriff sowie gesetzeswidriger Zerstörung zu schützen. Jedes Jahr unterziehen wir uns Überwachungen durch Dritte, die von international anerkannten Überwachungsinstitutionen ausgeführt werden und bei denen von unabhängiger Seite überprüft wird, ob wir die Einhaltung unserer Richtlinien und Verfahren für Sicherheit, Datenschutz, Kontinuität und Konformität gewährleisten.

Microsoft Online-Suche – Zertifizierungen und Konformität

Office 365

§  ISO 27001

§  Safe Harbor

§  SSAE16 SOC1, Typ II

§  FISMA

Microsoft Dynamics CRM Online

§  ISO 27001

§  Safe Harbor

§  SSAE16 SOC1, Typ II

Office 365 und Microsoft Dynamics CRM Online: Rechenzentren und physische Infrastruktur (bereitgestellt durch Microsoft Global Foundation Services)

§  Safe Harbor

§  ISO 27001

§  SSAE16 SOC2 FISMA

Weitere Details

Zertifizierungen/Akkreditierungen

Diese Informationen dienen ausschließlich zu allgemeinen Informationszwecken. Die vorliegenden Informationen können jederzeit geändert werden und sollten nicht als vertragliche Verpflichtung bzw. Garantie seitens Microsoft interpretiert werden.

SSAE 16/ISAE 3402

SSAE 16 (Statement on Standards for Attestation Engagements No. 16), der Nachfolger von SAS 70, und ISAE 3402 (International Standards for Attestation Engagement No. 3402) sind Überwachungsnormen, die vom American Institute of Certified Public Accountants (AICPA) und dem International Auditing and Assurance Standards Board of the International Federation of Accountants verabschiedet wurden und auf Dienstorganisationen ausgerichtet sind. Bei Dienstorganisationen handelt es sich normalerweise um Entitäten, die Outsourcingdienste im Zusammenhang mit den Kontrollumgebungen ihrer Kunden anbieten. Dienstorganisationen sind beispielsweise Unternehmen, die sich um die Verarbeitung von Versicherungs- und Krankenversicherungsansprüchen kümmern, gehostete Rechenzentren, Anwendungsanbieter (Application Service Providers, ASPs) und Managed Security-Provider. Prüfungen gemäß SSAE 16 und ISAE 3402 stellen ein unabhängige Überwachung der Einhaltung von Sicherheitskontrollen und der Effektivität dieser Sicherheitskontrollen dar.

Als Ergebnis der Untersuchung durch einen Prüfer, den SSAE 16/ISAE 3402 Service Auditor ("SSAE 16-Prüfung"), gibt dieser seine Meinung zu folgenden Punkten ab:

1.     Wurde die Beschreibung der Kontrollen durch die Dienstorganisation sachgemäß dargestellt?

2.     Wurden die Kontrollen der Dienstorganisation effektiv entworfen?

3.     Wurden die Kontrollen der Dienstorganisation zu einem angegebenen Datum in Betrieb genommen?

4.     Werden die Kontrollen der Dienstorganisation effektiv über einen bestimmten Zeitraum eingesetzt? (nur SSAE 16 (SOC 1), Typ II).

Die SSAE 16/ISAE 3402-Prüfungen bei Microsoft werden einmal im Jahr von einem externen Drittanbieter (aus der Riege der "Big Four", also der vier großen Wirtschaftsprüfungsgesellschaften) vorgenommen.

Der dabei erstellte Prüfbericht enthält eine Beurteilung der Kontrollen, die von dem externen Drittanbieter angewendet werden. Sowohl Office 365 als auch Dynamics CRM Online wurden Prüfungen gemäß SSAE 16 (SOC1) Type II unterzogen. Weitere Informationen zu den Überwachungsnormen und den verschiedenen Überwachungstypen erhalten Sie unter www.aicpa.org.

Microsoft Global Foundation Services (GFS) bietet Infrastrukturdienste (Rechenzentren und Netzwerke) für Microsoft selbst (einschließlich Office 365/Microsoft Dynamics CRM Online-Dienste) und die Microsoft-Kunden an. GFS wird derzeit gemäß SAS 70 Type II zertifiziert und wird bei der nächsten planmäßigen Prüfung gemäß SSAE 16 geprüft. Die SSAE 16-Berichte für Office 365 und Dynamics CRM Online stellen die Kontrollen auf Anwendungsebene für diese Dienste dar. Zusammen mit dem GFS-Bericht, der sich auf die Infrastrukturebene bezieht, bieten diese Überwachungsberichte eine numfassende Übersicht über die vorhandenen Kontrollen.

ISO/IEC 27001

ISO/IEC 27001 ist eine Norm für Managementsysteme für Informationssicherheit (Information Security Management Systems, ISMS) und Teil der Familie der ISO/IEC 27000-Normen. Sie deckt die Aspekte Datenschutz, Vertraulichkeit und technische Sicherheit ab und hat Richtlinien und allgemeine Prinzipien für die Initiierung, Implementierung, Beibehaltung und Verbesserung des Sicherheitsmanagements innerhalb einer Organisation eingerichtet ("established guidelines and general principles for initiating, implementing, maintaining, and improving information security management within an organization"). Speziell ISO/IEC 27001 ist eine der anerkanntesten Zertifizierungen für einen Cloud-Dienst und wird daher von unseren Kunden sehr geschätzt. ISO 27001 definiert, wie das ISMS implementiert, überwacht, gewartet und kontinuierlich verbessert wird. Eine Organisation kann eine ISO 27001-Zertifizierung für ein ISMS erhalten, das normalerweise auf den Informationssicherheitsstandards gemäß ISO 27002 basiert. Die Microsoft Online Services-Informationssicherheitsrichtlinie entspricht ISO 27002 und ist noch durch speziell auf Onlinedienste ausgerichtete Anforderungen erweitert. ISO war die Grundlage des Sicherheitsansatzes für Office 365/Microsoft Dynamics CRM Online und die zugrunde liegende Infrastruktur seit 2009, und Office 365/Microsoft Dynamics CRM Online wurden von einem unabhängigen Prüfer, der BSI (British Standards Institution) zertifiziert. Es empfiehlt sich für Kunden, den öffentlich verfügbaren ISO- Standardund die Microsoft ISO-Zertifikate zu lesen, die hier verfügbar sind: BSI-Website.

Neben der Tatsache, dass die BSI aufgefordert haben, die Konformität von Office 365 und Microsoft Dynamics CRM Online mit ISO/IEC 27001 zu bestätigen, haben wir die BSI auch gebeten, mehr als 20 zusätzliche Datenschutzkontrollen zu überprüfen, die wir in unsere Dienste integriert haben, um den umfänglichen europäischen Datenschutzbestimmungen besser zu entsprechen. Mit diesem einzigartigen Ansatz wollen wir unseren europäischen Kunden helfen, die von uns installierten Schutzmechanismen zu verstehen, um die speziellen Erwartungen der europäischen Bürger und der europäischen Kontrollbehörden zu erfüllen. Viele Kunden halten die Datenschutzgesetze der Europäischen Union für die strengsten der Welt, daher sind unsere Anstrengungen, unsere Kontrollen an die EU-Datenschutzgesetze anzupassen, für alle Kunden wichtig, für die Datenschutz ein wichtiger Aspekt ist.

Our ISO 27001-Zertifizierungen und -Überwachungen durch das BSI ermöglichen damit allen unsere Kunden zu bewerten, in welcher Weise Microsoft die Standards und die Implementierungsrichtlinie einhält oder übertrifft, anhand derer wir zertifiziert wurden.Die vollständigen Ergebnisse der Erkenntnisse der BSI finden Sie in den ISO/IEC 27001-Überwachungsberichten zu Office 365 und Microsoft Dynamics CRM Online. Die Zusammenfassungen hierzu können von Office 365- und Dynamics CRM Online-Kunden jederzeit angefordert werden.

U.S.-EU Safe Harbor

In der Europäischen Union gelten aufgrund der EU-Datenschutzrichtlinie strengere Datenschutzregeln als in den Vereinigten Staaten und den meisten anderen Ländern. Damit diese Regeln durchgesetzt werden, untersagt die EU grundsätzlich, dass personenbezogene Daten in andere Länder übertragen werden, sofern diese Übermittlung nicht durch einen anerkannten Mechanismus, beispielsweise die im Folgenden beschriebene "Safe Harbor"-Zertifizierung (sicherer Hafen), legitimiert ist.

Damit der für internationale Geschäftstätigkeiten erforderlichen ununterbrochenen Informationsfluss gewährleistet wird, hat die Europäische Kommission eine Vereinbarung mit dem US-Handelsministerium getroffen, gemäß der US-Organisationen zertifizieren, dass sie den Safe Harbor-Grundsätze entsprechen, die in etwa den Anforderungen der Direktive entsprechen.

Damit ein Unternehmen auf legale Weise Daten aus der EU in die USA übertragen kann, muss das Unternehmen bzw. die Organisation öffentlich zertifizieren, dass es die Safe Harbor-Grundsätze einhält, die wiederum den Datenschutzbestimmungen der EU entsprechen. Office 365 und Microsoft Dynamics CRM Online dürfen Daten zu Verarbeitungszwecken aus der EU in die USA übertragen, da Microsoft eine Safe Harbor-Zertifizierung aufweist.

Wir empfehlen unseren Kunden, die der Zertifizierung zugrunde liegenden Grundsätze und die Zertifizierung von Microsoft unter den folgenden Links auf der Website des US-Handelsministerium einzusehen: Safe Harbor Framework und Zertifizierung.

Microsoft wurde erstmalig im Jahr 2001 im Rahmen des Safe Harbor-Programms zertifiziert, und die Zertifizierung der Einhaltung der Safe Harbor-Grundsätze wird alle zwölf Monate erneuert.

Neben den EU-Mitgliedsstaaten erkennen auch die Staaten des Europäischen Wirtschaftsraums (Island, Liechtenstein und Norwegen) Organisationen mit einer Zertifizierung für das Safe Harbor-Programm als Organisationen an, die einen angemessenen Datenschutz bieten, um grenzüberschreitende Datenübertragungen aus ihren Ländern zu rechtfertigen, da auch die Schweiz ein nahezu identisches Abkommen mit dem US-Handelsministerium getroffen hat ("U.S-Swiss Safe Harbor"), durch das Übertragungen von der Schweiz in die USA legitimiert werden und für das Microsoft ebenfalls zertifiziert ist.

Einige andere Länder, beispielsweise Kanada und Argentinien, haben entsprechende Datenschutzgesetze erlassen, sodass die EU auch derartige Datenübertragungen aus der EU in diese Länder zulässt.

Häufig gestellte Fragen (FAQ)

Was ist die wichtigste Maßnahme, die ich treffen muss, um die Sicherheit meiner Daten zu gewährleisten?

Bewerten Sie unsere Sicherheitsverfahren anhand Ihrer Bedürfnisse.

Die Sicherheit von Office 365 und Microsoft Dynamics CRM Online lässt nichts zu wünschen übrig. Es liegt dennoch in Ihrer Verantwortung, zu bestimmen, ob unsere Sicherheit den Anforderungen Ihrer Organisation genügt. Es liegt bei Ihnen zu bewerten, ob Sie besonders sensible Daten haben oder Daten, für die eine bestimmte Sicherheitsstufe eingehalten werden muss, die für Ihre Branche gilt. Möglicherweise benötigen Sie für diese Daten bestimmte Sicherheitsanforderungen, die wir nicht anbieten.

So sind in Ihrer Branche möglicherweise zehn Zeichen lange Kennwörter üblich, der Microsoft-Standard ist jedoch ein acht Zeichen umfassendes Kennwort.

 

Wenn Sie wissen möchten, ob Office 365 oder Microsoft Dynamics CRM Online einen bestimmten Sicherheitsstandard bzw. eine Sicherheitsanforderung erfüllen und diese Frage hier nicht behandelt wird, ziehen Sie den Abschnitt "Ressourcen" zurate, oder wenden Sie sich an den Support, der Ihnen gerne weiterhilft.

Entsprechen Office 365 und Microsoft Dynamics CRM Online den Sicherheitsrichtlinie meines Unternehmens?

Als mehrinstanzenfähige Dienste sind Office 365 und Microsoft Dynamics CRM Online nicht in der Lage, den Sicherheitsrichtlinien eines bestimmten Unternehmens zu entsprechen. Dennoch sind unsere Kunden aus einer breiten Palette von Branchen und länderübergreifend zu der Erkenntnis gelangt, dass unsere Dienste ihren Sicherheitsanforderungen entsprechen. Tatsächlich basieren Office 365/Microsoft Dynamics CRM Online jedoch auf den ISO 27001-Rahmenbedingungen, sodass die Sicherheit unseres Dienstangebots laufend bewertet und verbessert wird.

Die Microsoft Online Services-Informationssicherheitsrichtlinie schließt zudem noch weitere Anforderungen ein, die von branchenweit besten Sicherheitspraktiken abgeleitet und auf geltende regionale, nationale und internationale Anforderungen abgestimmt werden.

Eine Organisation kann eine ISO 27001-Zertifizierung für ein Managementsystem für Informationssicherheit (Information Security Management Systems, ISMS) erhalten, das normalerweise auf dem Informationssicherheitsstandard gemäß ISO 27002 basiert. Die Zertifizierung kann einigen anerkannten Agenturen erteilt werden. Microsoft hat seine Zertifizierung von der British Standards Institution (BSI) erhalten. ISO 27001-Prüfungen gewährleisten die Sicherheit im Bereich der Managementsysteme für Informationssicherheit. Microsoft ist der Ansicht, dass den Kunden durch eine hohe Transparenz eine Bewertung unserer Dienste im Hinblick auf ihre eigenen Anforderungen ermöglicht wird, auf Grundlage derer sie fundierte Entscheidungen treffen können.

Die folgenden Office 365-Dienste sind ISO-zertifiziert: SharePoint Online, Lync Online und Exchange Online. Auch der Microsoft Dynamics CRM Online-Dienst ist ISO-zertifiziert. Global Foundation Services, und die Infrastrukturebene der Dienste (Netzwerk und Rechenzentren) ist ebenfalls ISO 27001-zertifiziert. Wir empfehlen den Kunden von Office 365 und Microsoft Dynamics CRM Online, die Informationen zur ISO-Norm (öffentlich verfügbar) zu lesen, um festzustellen, ob ihre Sicherheitsanforderungen erfüllt werden.

Welche anderen Ressourcen bieten Office 365 und Microsoft Dynamics CRM Online, damit ich mich ausreichend über die Sicherheits- und Datenschutzpraktiken des Produkts informieren kann und damit ich feststellen kann, ob die Richtlinien von Office 365/Microsoft Dynamics CRM Online meine Anforderungen erfüllen?

Office 365 und Microsoft Dynamics CRM Online bieten eine Vielzahl an Ressourcen, die unseren Kunden bei der Entscheidungsfindung helfen und mit deren Hilfe sich unsere Kunden ausführlich über die Richtlinien von Microsoft informieren können. Siehe folgende Dokumente:

§  Dienstbeschreibungen: Office 365

§  Dienstbeschreibungen: Microsoft Dynamics CRM Online

§  ISO-Zertifizierungen

§  Datenschutzbestimmungen: Office 365

§  Datenschutzbestimmungen: Microsoft Dynamics CRM

§  Aktuelle Kunden können hier klicken, um weitere Supportdokumente zu erhalten [in englischer Sprache]

In welcher Weise unterscheidet sich SSAE 16 von ISO 27001?

SSAE 16 ist der Nachfolger von SAS 70, einer Norm, die vorwiegend in den USA verwendet wurde, um Standards für Überwachungen des Entwurfs und der Effektivität von Kontrollmechanismen bereitzustellen.

ISO 27001 ist ein internationaler Standard, der auf die Sicherheitsverfahren von Organisationen ausgerichtet ist. ISO 27001 ist in Europa, Japan und einigen anderen asiatischen Länder üblich, gewinnt aber auch in den USA immer mehr an Popularität. ISO 27001 setzt eine Reihe von Sicherheitskontrollen und Zertifikaten für diese Sicherheitskontrollen voraus. Diese Norm ist reicht wesentlich weiter als SSAE 16. ISO 27001 bezieht sich auf alle drei Sicherheitsaspekte, die in der Regel als CIA bezeichnet werden: Vertraulichkeit, Integrität und Verfügbarkeit. Organisationen können ihre SO 27001-Zertifizierung von einer Reihe von anerkannten Registrierungsstellen weltweit erhalten.

Ich hätte gerne eine nicht-englischsprachige Version des SSAE 16-Prüfungsberichts für Microsoft. Kann Microsoft eine solche zur Verfügung stellen?

Je nach Sprache ist Microsoft in der Lage, Ihnen gegen Gebühr eine Übersetzung des Berichts bereitzustellen, da die SSAE 16-Überwachungsberichte für Office 365 und Microsoft Dynamics CRM Online nur in Englisch ausgegeben werden.

Das Unternehmen, das die SSAE 16-Prüfung für Office 365 und Microsoft Dynamics CRM Online durchführt, hat jedoch die Möglichkeit, die Prüfungsberichte auf Anfrage in nahezu alle Sprachen zu übersetzen. Die Kosten sind von der angeforderten Sprache abhängig und müssen von dem Kunden übernommen werden, der den Auftrag erteilt. Es ist nicht jede Sprache verfügbar. Wenn Sie einen übersetzten Bericht benötigen, wenden Sie sich bitte an den Office 365- und Microsoft Dynamics CRM Online-Kundensupport.

Wer verfügt über Administratorrechte für Office 365 und Microsoft Dynamics CRM Online? Handelt es sich hierbei um Vollzeitmitarbeiter oder Vertragsnehmer? Wie verhindert Microsoft, dass Administratoren auf Kundendaten zugreifen?

Antwort: Lesen Sie den Abschnitt Verwaltungszugriff im Trust Center, um sich zu informieren, wie Microsoft den Zugriff auf Daten beschränkt.

Erlaubt Microsoft seinen Kunden die Überwachung der Steuerelemente oder der Infrastruktur von Office 365 oder Microsoft Dynamics CRM Online?

In Office 365 und Microsoft Dynamics CRM Online finden unsere Kunden aktuelle Zusammenfassungen von unabhängigen Überwachungsberichten und Zertifizierungen.

Diese Zertifizierungen und Bescheinigungen spiegeln exakt wider, wie wir unsere Sicherheits- und Konformitätsziele einhalten, und dienen als praktischer Mechanismus zur Bestätigung unserer Zusicherungen für alle Kunden. Wenn wir zuließen, dass Tausende von Kunden unsere Dienste überprüfen, wäre das in der Praxis nicht durchführbar und würde möglicherweise die Sicherheit gefährden.

Die interne Überwachung von Office 365 und Microsoft Dynamics CRM Online schließt eine automatische Konformitätsüberwachung der Infrastruktur ein (z. B. Das für Office 365 und Dynamics CRM Online vorgesehene Validierungsprogramm durch Drittanbieter beinhaltet unabhängige Überwachungen, die jährlich durchgeführt werden, um die Sicherheitsaufstellung von Office 365 und Microsoft Dynamics CRM Online zu verifizieren. Das für Office 365 und Dynamics CRM Online vorgesehene Validierungsprogramm durch Drittanbieter beinhaltet unabhängige Überwachungen, die jährlich ausgeführt werden, um die Sicherheitsaufstellung von Office 365 und Microsoft Dynamics CRM Online zu verifizieren.

Kann Microsoft seine Überwachung für mich anpassen?

Nein. Microsoft kann keine benutzerdefinierten Überwachungspflichten für einzelne Kunden genehmigen. Aufgrund der Kosten und potenziellen Konflikte zwischen unterschiedlichen Auflagen sind benutzerdefinierte Überwachungen nicht durchführbar.

Werde ich bei einer Verletzung der Datensicherheit von Microsoft benachrichtigt?

Informationen dazu, wie Microsoft auf Verletzungen der Datensicherheit reagiert, finden Sie in Ihrem Servicevertrag.

Weitere Ressourcen

§  Informationen zum Security Development Lifecycle

§  Handbuch zur Sicherheit und Dienstkontinuität von Microsoft Dynamics CRM Online

§  Planungshandbuch Sicherheit und Konformität

§  CRM-Kundencenter

§  CRM-Entwicklercenter

§  CRM IT Pro-Center