Sicherheit von Design und Betrieb

Microsoft schützt Ihre Daten durch eine vertrauenswürdige Technologie als Grundlage

Die Microsoft Cloud Services und -Software basieren auf der gleichen vertrauenswürdige Technologie als Grundlage, die für alle Produkte und Dienste gilt. Microsoft entwirft seine Dienste und Produkte mit Blick auf die Sicherheit. So ist sichergestellt, dass die Cloudinfrastruktur vor Angriffen geschützt ist.

Bei unserer Sicherheitsstrategie verfolgen wir einen Ansatz, bei dem von einer Sicherheitsverletzung ausgegangen wird („Assume Breach”-Strategie). Unser globales Incident-Response-Team arbeitet daher permanent daran, die Auswirkungen von Angriffen auf die Microsoft Cloud Services zu minimieren. Zur Unterstützung dieser Vorgehensweise setzen wir Sicherheitskompetenzzentren ein, die digitale Verbrechen bekämpfen, auf Sicherheitsvorfälle und -risiken in unserer Software reagieren und Schadsoftware bekämpfen.

Sichere Identitäten

Microsoft arbeitet mit einer strikten Identitätsverwaltung und Zugriffssteuerung, um den Daten- und Systemzugriff auf Personen mit einem tatsächlichen geschäftlichen Bedarf zu beschränken. Der Zugriff wird im geringstmöglichen Umfang gewährt. Die Kontokennwortsteuerung setzt Komplexitätsrichtlinien für die Kennwörter und den regelmäßigen Kennwortwechsel durch. Um zu verhindern, dass Personen mit einem autorisierten Zugriff Kundendaten für eigene Zwecke und außerhalb des Rahmens ihrer entsprechenden Rolle nutzen, haben wir ein entsprechendes Systemdesign und passende Richtlinien implementiert. Sicherheitsrichtlinien legen Standards fest und definieren Verfahren für den Schutz von Daten.

Microsoft hat in Systeme investiert, die den größten Teil des Office 365-Betriebs automatisieren. Dies schränkt den Zugriff auf die Kundeninhalte durch Microsoft-Mitarbeiter bewusst ein. Der Dienst wird durch Mitarbeiter kontrolliert und durch Software betrieben. So ist Microsoft in der Lage, Office 365 im großen Rahmen zu betreiben und mit den Risiken durch interne Bedrohungen für Kundeninhalte (z. B. böswillige Akteure oder Spear-Phishing-Angriffe auf Microsoft-Techniker) umzugehen.

Standardmäßig verfügen die Microsoft-Techniker beispielsweise über keine permanenten administrativen Berechtigungen und keinen beständigen Zugriff auf die Kundeninhalte. Ein Microsoft-Techniker kann aber für einen begrenzten Zeitraum einen eingeschränkten, überwachten und gesicherten Zugriff auf Kundeninhalte erhalten. Dies geschieht jedoch nur, wenn der Zugriff für den Betrieb des Diensts erforderlich ist und durch ein Mitglied der Geschäftsführung von Microsoft genehmigt wurde. Bei Kunden mit einer Lizenz für die Customer Lockbox-Funktionen ist die Genehmigung des Kunden erforderlich.

Zulieferer von Microsoft müssen sich an dieselben Sicherheitsstandards wie die Microsoft-Mitarbeiter halten. Zulieferer, die in Einrichtungen oder mit Arbeitsgeräten arbeiten, die von Microsoft kontrolliert werden, sind vertraglich zur Einhaltung unserer Microsoft Datenschutzstandards verpflichtet. Alle anderen Zulieferer müssen Datenschutzstandards einhalten, die unseren Standards entsprechen. Die Vereinbarungen von Microsoft mit den Zulieferern sind so gestaltet, dass die Kundeninformationen geschützt sind. Zudem werden unsere Zulieferer regelmäßig überwacht.

Sichere Infrastruktur

Operational Security Assurance (OSA) macht die Microsoft Cloud Services resistenter gegen Angriffe, da echte und potenzielle Sicherheitsbedrohungen über das Internet schneller verhindert, erkannt und behoben werden können. Der Prozess stellt sicher, dass bei Betriebstätigkeiten strenge Sicherheitsrichtlinien eingehalten werden, und überprüft dies entsprechend. Wenn Probleme auftreten, wird mithilfe einer Feedbackschleife sichergestellt, dass sie im Rahmen von künftigen Revisionen der OSA-Schutzmaßnahmen behoben werden.

Dank einer Strategie, die von einem Einbruch ausgeht („Assume Breach”), kann Microsoft seine Cloud Services stärken und neuen Bedrohungen immer einen Schritt voraus sein. Dabei gehen die Design-, Betriebs- und Technikteams davon aus, dass Angreifer bereits Sicherheitslücken ausgenutzt oder privilegierten Zugriff erlangt haben. Ein spezielles Team von Sicherheitsexperten simuliert realistische Angriffe auf Netzwerk-, Plattform- und Anwendungsebenen und stellt die Fähigkeit von Microsoft Azure und Microsoft Office 365 auf die Probe, Sicherheitsverletzungen zu erkennen, sie abzuwehren und eine Wiederherstellung durchzuführen.

Microsoft hat das National Institute of Standards & Technology’s (NIST) Cybersecurity Framework (Framework für Cybersicherheit des National Institute of Standards) in das unternehmensweite Programm für Risikomanagement übernommen, um den Sicherheitsverfahren des Unternehmens eine weitere Grundlage zu geben und sie damit zu erweitern. Die Teams im Unternehmen nutzen das NIST Cybersecurity Framework, um die Sicherheitsstufen unserer Produkte zu bewerten, und erhalten damit einen besseren Überblick über unsere Sicherheitsfunktionen. Das Framework erleichtert die Kommunikation über den Reifegrad der unternehmensweiten Sicherheit und hilft uns, konsistente Sicherheitsmethoden und -terminologie zu strukturieren und zu pflegen. Das NIST Cybersecurity Framework ist zudem eine wichtige Komponente bei der Überwachung unserer Sicherheitsabdeckung und der Kommunikation über den Reifegrad unserer Sicherheit.

Sichere Anwendungen und Daten

Der Security Development Lifecycle (SDL) ist ein unternehmensweiter und verbindlicher Prozess, der die Anzahl und den Schweregrad von Sicherheitsrisiken in Microsoft-Software verringern soll. Bei dem 2004 eingeführten SDL sind Sicherheitsanforderungen in den gesamten Softwareentwicklungslebenszyklus eingebunden. Genau wie die Technologie und die Angreifer entwickelt sich auch der SDL weiter. So konnten die Anzahl und der Schweregrad von Sicherheitslücken in Microsoft-Software in den vergangenen zehn Jahren erheblich gesenkt werden.

Sicherheitstools

Microsoft stellt Tools bereit, mit denen Entwickler sichere Apps erstellen und pflegen, Daten vor Bedrohungen schützen und Sicherheits- und Complianceanforderungen umsetzen können. Gleichzeitig reduzieren diese Tools die Entwicklungskosten.

  • Attack Surface Analyzer 1.0 stellt vor der Bereitstellung neuer Apps Informationen zur Angriffsfläche bereit.
  • Microsoft Threat Modeling Tool 2016 unterstützt Ingenieure bei der Suche nach Sicherheitsprobleme.
  • Das MiniFuzz File Fuzzer-Tool vereinfacht die Umsetzung von Zufallstests. Dabei werden große Mengen zufälliger und fehlerhafter Daten eingegeben, die einen Absturz verursachen und Sicherheitslücken aufdecken sollen.
  • Das Regular Expression File-Fuzzing-Tool spürt mögliche DoS-Schwachstellen (Denial-of-Service) auf.

Sicherheitskompetenzzentren

Microsoft hat spezialisierte Gruppen und Teams zusammengestellt, die sich intensiv um bestimmte Sicherheitsrisiken kümmern.

  • Die Microsoft Digital Crimes Unit ist ein Expertenteam, dessen Aufgabe darin besteht, Bedrohungen durch Cyberkriminalität wie Botnetz-gestützte Internetangriffe und die sexuelle Ausbeutung von Kindern im Internet zu bekämpfen.
  • Das Microsoft Security Response Center wird von erfahrenen Sicherheitsexperten geleitet. Es sorgt für weltweite Sicherheitsmaßnahmen, arbeitet zur Verbesserung der Kundensicherheit mit der Sicherheitscommunity zusammen, fördert Innovationen in der Sicherheitslandschaft und stellt maßgebliche Sicherheitsleitlinien bereit, z. B. in Form des halbjährlichen Security Intelligence Report.
  • Das Microsoft Malware Protection Center kümmert sich um die Erforschung von Antimalware und sorgt so für einen Schutz der Computersysteme vor böswilligen Softwareangriffen. Das Center überwacht durchgängig Millionen von Computern weltweit und erfasst und analysiert Bedrohungsdaten. Mithilfe von Forschern auf der ganzen Welt werden neue Bedrohungen erkannt und innerhalb weniger Stunden nach ihrer Entdeckung eingedämmt.

Kontaktieren des Trust Center

Benötigen Sie Unterstützung beim Testen unserer Produkte? Können Sie die benötigten Informationen nicht finden?

Benötigen Sie allgemeine technische Unterstützung?

Microsoft-Support kontaktieren