Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Welche Rolle spielt verschlüsselung beim Schutz von Kundeninhalten?
Die meisten Microsoft Business Cloud Services sind mehrinstanzenfähig, was bedeutet, dass Kundeninhalte auf derselben physischen Hardware wie andere Kunden gespeichert werden können. Um die Vertraulichkeit von Kundeninhalten zu schützen, Onlinedienste Microsoft alle ruhenden und übertragenen Daten mit einigen der stärksten und sichersten verfügbaren Verschlüsselungsprotokolle verschlüsseln.
Verschlüsselung ist kein Ersatz für starke Zugriffssteuerungen. Die Microsoft-Zugriffssteuerungsrichtlinie von Zero Standing Access (ZSA) schützt Kundeninhalte vor unbefugtem Zugriff durch Microsoft-Mitarbeiter. Verschlüsselung ergänzt die Zugriffssteuerung, indem sie die Vertraulichkeit von Kundeninhalten überall dort schützt, wo sie gespeichert sind, und indem verhindert wird, dass Inhalte während der Übertragung zwischen Microsoft Onlinedienste-Systemen oder zwischen Microsoft Onlinedienste und dem Kunden gelesen werden.
Wie verschlüsselt Microsoft Onlinedienste ruhende Daten?
Microsoft Onlinedienste alle Kundeninhalte mit einer oder mehreren Verschlüsselungsformen schützen. Microsoft-Server verwenden BitLocker, um die Datenträger mit Kundeninhalten auf Volumeebene zu verschlüsseln. Die von BitLocker bereitgestellte Verschlüsselung schützt Kundeninhalte, wenn bei anderen Prozessen oder Kontrollen (z. B. Zugriffssteuerung oder Wiederverwendung von Hardware) Fehler auftreten, die zu nicht autorisiertem physischen Zugriff auf Datenträger mit Kundeninhalten führen können.
Zusätzlich zur Verschlüsselung auf Volumeebene Onlinedienste Microsoft Verschlüsselung auf Anwendungsebene verwenden, um Kundeninhalte zu verschlüsseln. Die Dienstverschlüsselung bietet Zusätzlich zu starkem Verschlüsselungsschutz auch Rechteschutz- und Verwaltungsfunktionen. Es ermöglicht auch die Trennung zwischen Windows-Betriebssystemen und den Kundendaten, die von diesen Betriebssystemen gespeichert oder verarbeitet werden.
Wie verschlüsselt Microsoft Onlinedienste Daten während der Übertragung?
Microsoft Onlinedienste starke Transportprotokolle wie Transport Layer Security (TLS) verwenden, um zu verhindern, dass nicht autorisierte Parteien Kundendaten abhören, während sie über ein Netzwerk verschoben werden. Beispiele für Daten während der Übertragung sind E-Mail-Nachrichten, die gerade übermittelt werden, Unterhaltungen, die in einer Onlinebesprechung stattfinden, oder Dateien, die zwischen Rechenzentren repliziert werden.
Bei Microsoft Onlinedienste gelten Daten immer dann als "übertragen", wenn das Gerät eines Benutzers mit einem Microsoft-Server kommuniziert oder ein Microsoft-Server mit einem anderen Server kommuniziert.
Wie verwaltet Microsoft Onlinedienste die für die Verschlüsselung verwendeten Schlüssel?
Eine starke Verschlüsselung ist nur so sicher wie die Schlüssel, die zum Verschlüsseln von Daten verwendet werden. Microsoft verwendet eigene Sicherheitszertifikate und zugehörige Schlüssel, um TLS-Verbindungen für die Übertragung von Daten zu verschlüsseln. Für ruhende Daten werden bitLocker-geschützte Volumes mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der mit einem Volumeschlüssel master schlüssel verschlüsselt ist, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. BitLocker verwendet FIPS 140-2-konforme Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals im Klaren gespeichert oder über das Netzwerk gesendet werden.
Die Dienstverschlüsselung bietet eine weitere Verschlüsselungsebene für ruhende Kundendaten, sodass Kunden zwei Optionen für die Verwaltung von Verschlüsselungsschlüsseln haben: von Microsoft verwaltete Schlüssel oder Kundenschlüssel. Wenn Sie von Microsoft verwaltete Schlüssel verwenden, Onlinedienste Die für die Dienstverschlüsselung verwendeten Stammschlüssel automatisch generieren und sicher speichern.
Kunden mit Anforderungen zum Steuern ihrer eigenen Stammverschlüsselungsschlüssel können die Dienstverschlüsselung mit Dem Microsoft Purview-Kundenschlüssel verwenden. Mit Customer Key können Kunden ihre eigenen kryptografischen Schlüssel generieren, indem sie entweder ein lokales Hardwaredienstmodul (HSM) oder Azure Key Vault (AKV) verwenden. Kundenstammschlüssel werden in AKV gespeichert, wo sie als Stamm eines der Keychains verwendet werden können, der Kundenpostfachdaten oder -dateien verschlüsselt. Microsoft-Onlinedienstcode kann nur indirekt auf Kundenstammschlüssel für die Datenverschlüsselung zugreifen, und Microsoft-Mitarbeiter können nicht direkt auf diese zugreifen.
Verwandte externe Vorschriften und Zertifizierungen
Microsoft überprüft seine Onlinedienste regelmäßig auf Die Einhaltung externer Vorschriften und Zertifizierungen. Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit der Verschlüsselung und Schlüsselverwaltung finden Sie in der folgenden Tabelle.
Azure und Dynamics 365
| Externe Überwachungen | Abschnitt | Datum des letzten Berichts |
|---|---|---|
|
ISO 27001 Erklärung zur Anwendbarkeit Zertifikat |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
25. November 2025 |
|
ISO 27017 Erklärung zur Anwendbarkeit Zertifikat |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
25. November 2025 |
|
ISO 27018 Erklärung zur Anwendbarkeit Zertifikat |
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden | 25. November 2025 |
|
SOC 1 SOC 2 SOC 3 |
DS-1: Sichere Speicherung kryptografischer Zertifikate und Schlüssel DS-2: Kundendaten werden während der Übertragung verschlüsselt DS-3: Interne Kommunikation von Azure Während der Übertragung verschlüsselten Komponenten DS-4: Kryptografische Steuerelemente und Verfahren |
7. November 2025 |
Microsoft 365
| Externe Überwachungen | Abschnitt | Datum des letzten Berichts |
|---|---|---|
| FedRAMP | SC-8: Vertraulichkeit und Integrität der Übertragung SC-13: Verwendung von Kryptografie SC-28: Schutz ruhender Informationen |
Dienstag, 21. August 2024 |
|
ISO 27001/27017 Erklärung zur Anwendbarkeit Zertifizierung (27001) Zertifizierung (27017) |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
März 2022 |
|
ISO 27018 Erklärung zur Anwendbarkeit Zertifikat |
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden | März 2022 |
| SOC 2 | CA-44: Verschlüsselung von Daten während der Übertragung CA-54: Verschlüsselung ruhender Daten CA-62: Postfachverschlüsselung für Kundenschlüssel CA-63: Löschen von Kundenschlüsseldaten CA-64: Kundenschlüssel |
Dienstag, 26. Februar 2025 |
| SOC 3 | CUEC-16: Kundenverschlüsselungsschlüssel CUEC-17: Kundenschlüsseltresor CUEC-18: Kundenschlüsselrotation |
Dienstag, 26. Februar 2025 |