Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet eine Übersicht über die Microsoft 365-Verschlüsselungsfunktionen, die für australische Behörden relevant sind. Sein Zweck ist es, Regierungsorganisationen dabei zu unterstützen, ihre Datensicherheitsreife zu erhöhen und gleichzeitig die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Verschlüsselung ist ein wichtiger Bestandteil Ihrer Information Protection-Strategie und muss verstanden werden, um sicherzustellen, dass die Daten angemessen geschützt werden. Microsoft 365 verwendet mehrere Verschlüsselungsebenen. Einige davon sind angeboren, z. B. bitLocker-Verschlüsselung in Microsoft-Rechenzentren und SSL/TLS-Verschlüsselung für die Kommunikation zwischen Client und Servern. Andere Verschlüsselungsfunktionen können von Administratoren aktiviert werden, um den Schutz weiter zu erweitern.
Verschlüsselungsanforderungen der australischen Regierung
PSPF enthält Anforderungen für die Verschlüsselung von Informationen während der Übertragung. Diese Anforderungen finden Sie in Abschnitt 9.3 des Schutzsicherheitsrichtlinien-Frameworks (PSPF). Eine Teilmenge dieser Anforderungen sind:
| Klassifizierung | Anforderungen |
|---|---|
| GESCHÜTZT | Verwenden Sie EIN GESCHÜTZTEs Netzwerk (oder höher), andernfalls ist eine Verschlüsselung erforderlich. |
| OFFICIAL: Vertraulich | Verwenden Sie OFFICIAL: Sensibles Netzwerk (oder höher). Verschlüsseln Sie, wenn sie über eine öffentliche Netzwerkinfrastruktur oder über ungesicherte Räume übertragen wird. |
| AMTLICH | Verschlüsselung empfohlen, insbesondere für Informationen, die über eine öffentliche Netzwerkinfrastruktur übermittelt werden. |
Microsoft 365-Dienste bieten standardmäßig Verschlüsselung für ruhende Daten auf Microsoft 365-Plattformen und während der Übertragung zwischen Microsoft 365 und Endpunkten. Diese Standardkonfigurationen verwenden Advanced Encryption Standard (AES) mit 256-Bit-Schlüssellänge im Verschlüsselungsblockverkettungsmodus (AES256-CBC). Diese Funktionen entsprechen der folgenden ISM-Anforderung:
| Anforderung | Detail |
|---|---|
| ISM-Sicherheitskontrolle: ISM-1769 (ISM März 2025) | Bei Verwendung von AES für die Verschlüsselung wird AES-128, AES-192 oder AES-256 verwendet, vorzugsweise AES-256. |
Weitere Informationen zur von Microsoft 365 verwendeten Kryptografie finden Sie unter Verschlüsselung.
Erweitern der Verschlüsselungsfunktionen
Zu den optionalen Methoden, die organisationen der australischen Regierung verwenden können, um die Standardverschlüsselungsfunktionen von Microsoft 365 zu erweitern, gehören:
- Erzwingen von Transport Layer Security (TLS) für sicherheitsklassifizierende E-Mails
- Anwenden der Azure Rights Management-Verschlüsselung auf Dateien und E-Mails
- Verschlüsseln von E-Mails mit Microsoft Purview-Nachrichtenverschlüsselung
In der folgenden Tabelle werden die optionalen Methoden zum Erweitern der angeborenen Verschlüsselungsfunktionen von Microsoft 365 sowie Links zu relevanten Abschnitten dieses Leitfadens beschrieben:
| Anforderungskategorie | Methode des Erreichens |
|---|---|
| Verschlüsselung während der Übertragung | Die TLS-Verschlüsselung wird auf Dateien und E-Mails in Microsoft 365 während der Übertragung sowie bei Interaktionen zwischen Clientgeräten und Microsoft 365-Diensten angewendet. Für die E-Mail-Übertragung ist TLS jedoch opportunistisch und nicht erzwungen. Wenn sowohl Absender- als auch Empfänger-E-Mail-Plattformen TLS unterstützen, werden E-Mails sicher übertragen. Wenn ein Empfänger-E-Mail-Dienst TLS nicht unterstützt, werden E-Mails möglicherweise unverschlüsselt gesendet, was zu einem höheren Risiko des Abfangens von Inhalten führt. Durch Das Erzwingen der TLS-Verschlüsselung für sicherheitsgeschlüsselte E-Mails können wir Exchange konfigurieren, um sicherzustellen, dass sicherheitsrelevante Elemente in Situationen, in denen empfangende Server die TLS-Verschlüsselung nicht unterstützen, nicht gesendet werden. - Die Verschlüsselung von Vertraulichkeitsbezeichnungen kann so konfiguriert werden, dass sie sowohl für Dateien als auch für E-Mails gilt. Nachdem Elemente verschlüsselt wurden, erfolgt die Verschlüsselung während der Übertragung, um sicherzustellen, dass die Anforderungen an die Übertragungsverschlüsselung erfüllt sind. - Microsoft Purview-Nachrichtenverschlüsselung (PME) ermöglicht die Erstellung von Regeln zum Anwenden von Verschlüsselung auf E-Mails und Anlagen während der Übertragung. Diese Verschlüsselung ist für E-Mails zwischen Microsoft 365-Umgebungen nahtlos und ermöglicht es uns, den Schutz auf Nicht-Microsoft-E-Mail-Plattformen zu erweitern, indem empfänger an ein Portal mit benutzerdefinierter Markenverschlüsselung weitergeleitet werden. |
| Sicherstellen, dass Sie wissen müssen |
Die Verschlüsselung von Vertraulichkeitsbezeichnungen ermöglicht die Konfiguration von Benutzern oder Gruppen, die auf verschlüsselte Informationen zugreifen können. Dies ermöglicht es uns, die notwendigkeitsbezogenen Informationen besser zu steuern, indem nicht autorisierter Benutzerzugriff blockiert wird. Die Bezeichnungsverschlüsselung ermöglicht auch die Anwendung von Berechtigungen für Elemente, einschließlich der Möglichkeit, das Drucken einzuschränken, wodurch die Möglichkeit zum Einschränken des Zugriffs auf Informationen unterstützt wird. - Microsoft Purview-Nachrichtenverschlüsselung stellt sicher, dass nur bestimmte Empfänger verschlüsselte E-Mails und ihre Anlagen öffnen können. |
| Sicherstellen der Sicherheitsfreigabe | Die Verschlüsselung von Vertraulichkeitsbezeichnungen ermöglicht es uns, sicherheitsgruppen den Zugriff auf verschlüsselte Elemente zuzuordnen. Diese Gruppen können entweder manuell oder dynamisch so konfiguriert werden, dass sie nur Benutzer mit entsprechenden Sicherheitsfreigaben enthalten. Dieser Ansatz kann auch auf Gastbenutzer ausgeweitet werden, da Gäste, deren Freigaben bewertet wurden, in eine Gruppe autorisierter Benutzer aufgenommen werden können. |
In den verbleibenden Artikeln in diesem Abschnitt werden die TLS-Verschlüsselung und die Verschlüsselung von Vertraulichkeitsbezeichnungen die Implementierung dieser Funktionen näher untersucht.