Verschlüsselung

Schützen Sie ruhende Daten und Daten während der Übertragung

Daten stellen in einer Organisation die wertvollste und unersetzbarste Ressource dar. Die Verschlüsselung bildet die letzte und stärkste Verteidigungsebene einer mehrschichtigen Sicherheitsstrategie. Die Cloud Services und Produkte von Microsoft schützen die Kundendaten durch eine Verschlüsselung und sorgen so dafür, dass Sie die Kontrolle über Ihre Daten behalten. Durch die Verschlüsselung können die Daten auch dann nicht von nicht autorisierten Personen gelesen werden, wenn diese Ihre Firewall überwinden, sich innerhalb Ihres Netzwerkes befinden, physischen Zugriff auf Ihr Gerät haben oder die Berechtigungen auf Ihrem lokalen Computer umgehen konnten. Die Verschlüsselung wandelt die Daten so um, dass Sie nur von Personen mit einem passenden Entschlüsselungsschlüssel gelesen werden können.

Wenn unsere Produkte und Dienste Daten übertragen – zwischen Benutzergeräten und Microsoft-Rechenzentren sowie zwischen Rechenzentren selbst –, nutzen sie sichere branchenübliche Transportprotokolle. Zum Schutz von ruhenden Daten bietet Microsoft eine Palette integrierter Verschlüsselungsfunktionen.

Sichere Identitäten

Identitäten (von Benutzern und/oder Computern) spielen bei vielen Verschlüsselungstechnologien eine zentrale Rolle. Bei einer (asymmetrischen) Kryptografie mit öffentlichem Schlüssel wird beispielsweise für jeden Benutzer ein Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel erstellt. Da nur der Besitzer des Schlüsselpaares auf den privaten Schlüssel zugreifen kann, kann sich der entsprechende Benutzer über die Verwendung des privaten Schlüssels im Rahmen des Verschlüsselungsprozesses identifizieren. Die Public Key-Infrastruktur von Microsoft basiert auf Zertifikaten. Diese verifizieren die Identität von Benutzern und Computern.

Sichere Infrastruktur

Microsoft arbeitet in seinen Produkten und Diensten mit verschiedenen Verschlüsselungsmethoden, -protokollen und -algorithmen. So wird während der Übertragung der Daten in der Infrastruktur ein sicherer Pfad geschaffen, der die Vertraulichkeit der darin gespeicherten Daten wahrt. Zur Verhinderung eines nicht autorisierten Zugriffs auf Ihre Daten nutzt Microsoft Verschlüsselungsprotokolle, die in der Branche als stärkste und sicherste Lösung betrachtet werden. Die adäquate Schlüsselverwaltung ist ein grundlegendes Element der Verschlüsselung. Daher sorgt Microsoft dafür, dass Schlüssel korrekt gesichert sind.

Zu den eingesetzten Technologien und Protokollen zählen:

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL): Diese Protokolle arbeiten mit einer symmetrischen Kryptografie, die auf einem gemeinsamen Schlüssel zur Verschlüsselung der Kommunikation während der Übertragung über das Netzwerk basiert.
  • Internet Protocol Security (IPsec): IPsec steht für eine Gruppe von Standardprotokollen, die für die Authentifizierung, Integritätsprüfung und Vertraulichkeit der Daten auf IP-Ebene verantwortlich ist.
  • Advanced Encryption Standard (AES)-256: Hierbei handelt es sich um eine Spezifikation vom National Institute of Standards and Technology (NIST) zur Datenverschlüsselung über symmetrische Schlüssel, die von der US-Regierung übernommen wurde und den Data Encryption Standard (DES) sowie die RSA 2048 Public-Key-Verschlüsselungstechnologie ersetzt.
  • BitLocker-Verschlüsselung: Die BitLocker-Verschlüsselung nutzt AES zur Verschlüsselung von Volumen auf Windows Server- und -Clientcomputern. BitLocker kann mit einem virtuellen TPM (Trusted Platform Module) zur Verschlüsselung von Hyper-V-VMs (virtuelle Maschinen) eingesetzt werden. BitLocker verschlüsselt außerdem abgeschirmte VMS unter Windows Server 2016. So ist sichergestellt, dass die Administratoren der Virtualisierungsumgebung nicht auf die Informationen innerhalb der VM zugreifen können. Die abgeschirmten VMs arbeiten mit dem neuen Hostüberwachungsdienst. Dieser wird für den Hostnachweis und zur Veröffentlichung der Verschlüsselungschlüssel genutzt.
  • Microsoft Azure Storage Service Encryption: Microsoft Azure Storage Service Encryption verschlüsselt ruhende Daten, die in Azure Blob Storage gespeichert sind. Azure Disk Encryption verschlüsselt IaaS-VM-Laufwerke für Windows und Linux und nutzt dabei die BitLocker-Funktion von Windows und die DM-Crypt-Funktion von Linux, um eine Volumenverschlüsselung für das Betriebssystem- und die Datenlaufwerke bereitzustellen.
  • Transparent Data Encryption (TDE): TDE verschlüsselt die ruhenden Daten während der Speicherung in einer Azure SQL-Datenbank.
  • Azure Key Vault: Azure Key Vault ermöglicht über ein cloudbasiertes Hardwaresicherheitsmodul (Hardware Security Module, HSM) die bequeme und kostengünstige Schlüsselverwaltung sowie die Kontrolle über die von Cloud-Apps und -diensten zur Datenverschlüsselung verwendeten Schlüssel.

Sichere Anwendungen und Daten

Erfahren Sie mehr darüber, wie die Verschlüsselung Ihre Daten in Produkten und Diensten von Microsoft schützt.

Azure

Sie können Ihre Daten mithilfe von technischen Schutzmaßnahmen in Azure schützen, beispielsweise durch eine verschlüsselte Kommunikation und entsprechende Betriebsabläufe. Zudem haben Sie die Möglichkeit der zusätzlichen Verschlüsselung und der Verwaltung Ihrer eigenen Schlüssel.

Azure verwendet für die Daten während der Übertragung branchenübliche sichere Transportprotokolle wie TLS/SSL zur Übertragung zwischen den Benutzergeräten und den Microsoft-Rechenzentren. Sie können die Verschlüsselung des Datenverkehrs zwischen Ihren virtuellen Maschinen (VMs) und Ihren Benutzern aktivieren. Mit Azure Virtual Networks ermöglichen Sie die Verschlüsselung von Datenverkehr zwischen dem VPN-Gateway Ihres Unternehmens und Azure sowie zwischen den VMs in Ihrem virtuellen Netzwerk über das branchenübliche IPsec-Protokoll.

Ruhende Daten: Azure bietet eine Reihe von Verschlüsselungsoptionen für ruhende Daten wie AES-256. So können Sie das Datenspeicherszenario wählen, das optimal zu Ihren Anforderungen passt.

Microsoft Commercial Support

Technische Schutzmaßnahmen wie die Verschlüsselung sorgen für einen besseren Schutz der Kundendaten. Commercial Support verwendet für die Datenübertragung zwischen den Benutzergeräten und Microsoft-Rechenzentren sowie intern in den Rechenzentren branchenübliche verschlüsselte Transportprotokolle.

Microsoft Dynamics 365

Daten während der Übertragung: Microsoft verschlüsselt zwischen den Kunden und den Rechenzentren eingerichtete Verbindungen über die branchenüblichen AES- und TLS-Protokolle. Die TLS-Verschlüsselung ermöglicht eine sichere Verbindung zwischen Browser und Server und trägt so dazu bei, dass Datenvertraulichkeit und -integrität zwischen Desktops und Rechenzentren gewährleistet sind.

Ruhende Daten: Dynamics 365 schützt ruhende Daten durch eine Verschlüsselung der Datenbank mit FIPS 140-2-konformen TDE-Protokollen.

Microsoft Intune

Mit Intune können Sie App-Daten über die AES-128-Bit-Verschlüsselung verschlüsseln. Ruhende Daten von Apps, denen eine Intune-Verwaltungsrichtlinie zugewiesen ist, werden auf Geräteebene verschlüsselt. Wenn eine PIN erforderlich ist, werden die Daten gemäß der Richtlinieneinstellungen verschlüsselt.

iOS-Module sind FIPS-140-2-zertifiziert. Android-Apps, denen eine Intune-Richtlinie für die mobile Anwendungsverwaltung zugewiesen ist, werden von Microsoft verschlüsselt. Verwaltete Apps unter Android arbeiten mit AES-128 (nicht FIPS 140-2-zertifiziert). Inhalte im Gerätespeicher werden immer verschlüsselt.

Microsoft Office 365

Die Office 365-Dienste erfüllen kryptografische Branchenstandards wie TLS/SSL und AES und tragen so zum Schutz der Vertraulichkeit und Integrität der Kundendaten bei.

Daten während der Übertragung: Alle kundenseitigen Server handeln mithilfe von SSL/TLS eine sichere Sitzung mit Clientcomputern aus. Dies gilt für Anwendungen (z. B. Skype for Business Online, Outlook und Outlook im Web) auf beliebigen Geräten.

Ruhende Daten: Auf Servern, die Nachrichtendaten wie E-Mails und IM-Unterhaltungen oder in SharePoint Online und OneDrive for Business gespeicherte Inhalte vorhalten, arbeitet Office 365 mit BitLocker mit AES-256-Bit-Verschlüsselung. Die BitLocker-Laufwerkverschlüsselung dient zur Abwehr von Bedrohungen durch Diebstahl und Offenlegung von Daten auf verloren gegangenen, gestohlenen oder unsachgemäß außer Betrieb genommenen Computern und Festplatten.

In einigen Fällen setzen wir eine Verschlüsselung auf Dateiebene ein.. Wenn beispielsweise Dateien und Präsentationen durch Teilnehmer einer Besprechung hochgeladen werden, verschlüsseln wir diese Inhalte mit AES. OneDrive for Business und SharePoint Online arbeiten bei ruhenden Daten ebenfalls mit einer Verschlüsselung auf Dateiebene. Office 365 nutzt mehr als nur einen einzigen Schlüssel pro Laufwerk. Jede in SharePoint Online gespeicherte Datei (inkl. der in OneDrive for Business-Ordnern gespeicherten Dateien) ist mit ihrem eigenen Schlüssel verschlüsselt. Die Dateien Ihres Unternehmens werden nicht in einer einzelnen Datenbank gespeichert, sondern über mehrere Azure Storage-Container verteilt. Dabei nutzen sie jeweils eigene Anmeldeinformationen. Durch die Verteilung der verschlüsselten Dateien über verschiedene Speicherorte, die zusätzliche Verschlüsselung der Zuordnungstabellen für die jeweiligen Dateispeicherorte und die physische Trennung der Masterschlüssel von den Inhalten und der Dateizuordnung sind OneDrive for Business und SharePoint Online hochgradig sichere Umgebungen.

Microsoft Power BI

Daten während der Übertragung: Alle Datenanfragen von Power BI werden bei der Übertragung verschlüsselt. Die Verbindung zwischen der Datenquelle und dem Power BI-Dienst ist durch HTTPS geschützt. Vor der Übertragung von Daten über das Netzwerk wird eine sichere Verbindung mit dem Datenanbieter etabliert.

Ruhende Daten: Power BI verschlüsselt wichtige ruhende Daten, darunter Datasets direkter Abfragen sowie Power BI Desktop-Daten und Excel-Berichte. Andere Daten, beispielsweise zu ETL-Prozessen (Extract, Transform, Load), werden im Allgemeinen nicht verschlüsselt.

Visual Studio Team Services

Daten während der Übertragung: Visual Studio Team Services (Team Services) verschlüsselt die Daten bei der Übertragung zwischen Benutzer und Dienst mit HTTPS/SSL. Alle Verbindungen mit Azure Storage und SQL-Datenbanken werden ebenfalls verschlüsselt.

Ruhende Daten: Team Services nutzt Azure Storage als primäres Repository für die Dienst-Metadaten und die Kundendaten. Je nach Datentyp und den Storage- und Abfrageanforderungen nutzt Microsoft für Projektmetadaten Azure SQL-Datenspeicher, einschließlich der Dateistruktur, den Änderungsdetails und der Arbeitselementfelder. Microsoft nutzt Azure Blob (Binary Large Objects) Storage zur Speicherung unstrukturierter Daten wie Anhänge von Arbeitselementen und Dateiinhalte. Team Services nutzt die TDE-Unterstützung (Transparent Data Encryption) von SQL, um Sie über eine Echtzeitverschlüsselung, Sicherungen und Transaktionsprotokolle für ruhende Daten vor Bedrohungen durch schädliche Aktivitäten zu schützen.

Windows Server 2016

Windows Server 2016 umfasst vertraute Verschlüsselungstechnologien zum Schutz von ruhenden Daten – beispielsweise BitLocker zur kompletten Laufwerksverschlüsselung und das verschlüsselnde Dateisystem (Encrypting File System, EFS) auf Dateiebene. Während der Übertragung sind die Daten über gängige VPN-Protokolle und mit TLS/SSL verschlüsselte Sitzungen geschützt.

Moderne Rechenzentren arbeiten mit virtuellen Maschinen. Daher zielen Cyberangriffe heute oft auf die Virtualisierungsumgebung ab. Windows Server 2016 Hyper-V bietet die Möglichkeit, ein virtuelles TPM (Trusted Platform Module) zu konfigurieren. So können Sie Ihre virtuellen Maschinen mit BitLocker verschlüsseln. Windows Server 2016 unterstützt außerdem einen Modus mit „Verschlüsselungsunterstützung” und einen "abgeschirmten" Modus zum Schutz von virtuellen Maschinen über TPM, die Laufwerksverschlüsselung und die Verschlüsselung des Netzwerkverkehrs bei Live-Migrationen. Die Verschlüsselung ist nur eine der vielen Sicherheitsmaßnahmen (einschließlich geschützter Fabric), die für den Schutz von abgeschirmten VMs sorgen.

Kontaktieren des Trust Center

Benötigen Sie Unterstützung beim Testen unserer Produkte? Können Sie die benötigten Informationen nicht finden?

Benötigen Sie allgemeine technische Unterstützung?

Microsoft-Support kontaktieren