Office 365-Sicherheit

Office 365-Sicherheit

Office 365 ist ein Cloud-basierter Service, der darauf ausgelegt ist, die Anforderungen Ihres Unternehmens in Bezug auf Sicherheit, Zuverlässigkeit und Nutzerproduktivität zu erfüllen. Ebenso unterstützt es Sie dabei, Zeit und Geld zu sparen und wertvolle Ressourcen freizugeben. Office 365 integriert die vertraute Microsoft Office-Desktop-Suite mit Cloud-basierten Versionen der Kommunikations- und Kooperationsdienste der nächsten Generation von Microsoft, sodass Nutzer mithilfe des Internets von praktisch überall aus produktiver arbeiten können.

Wenn Ihr Unternehmen auf Cloud-Services umsteigt, müssen Sie in der Lage sein, Ihrem Serviceanbieter Ihre wichtigsten, sensibelsten und vertraulichsten Daten anzuvertrauen. Da Sicherheit für den geschäftlichen Erfolg von größter Bedeutung ist, verfügt Microsoft über robuste Richtlinien, Kontrollen und Systeme, die in Office 365 integriert sind, um Ihre Informationen zu schützen. Office 365 basiert auf den Prinzipien des Security Development Lifecycle , einem vorgeschriebenen Microsoft Verfahren, das in jede Phase der Entwicklung Sicherheitsanforderungen einbettet.

Ihre Office 365-Daten gehören Ihnen. Das bedeutet, dass Sie die volle Kontrolle darüber haben. Wir bieten Ihnen umfassende Datenschutzkontrollen und Transparenz darüber, wo sich Ihre Daten befinden und wer darauf zugreifen kann, sowie Informationen zur Verfügbarkeit und Änderungen am Service. Wenn Sie Ihr Abonnement für den Service beenden, können Sie Ihre Daten mitnehmen. Von Microsoft gemanagte Sicherheitstechnologien und -richtlinien sind auf Serviceebene standardmäßig aktiviert. Vom Kunden gemanagte Kontrollen ermöglichen es Ihnen, Ihre Office 365-Umgebung an die Sicherheitsanforderungen Ihres Unternehmens anzupassen. Office 365 wird kontinuierlich aktualisiert, um die Sicherheit weiter zu erhöhen.

Sichere Identität

Office 365 verwendet Azure Active Directory (Azure AD), um Nutzer zu managen und Authentifizierung, Identitätsmanagement und Zugriffskontrolle bereitzustellen. Azure AD-Funktionen umfassen einen Cloud-basierten Speicher für Verzeichnisdaten und einen Kernsatz an Identitätsdiensten, wie z. B. Nutzeranmeldeprozesse, Authentifizierungsdienste und Verbunddienste. Diese Identitätsdienste lassen sich problemlos in Ihre lokalen Azure AD-Bereitstellungen integrieren und bieten vollständige Unterstützung für Identitäts-Drittanbieter. Sie können bei der Einrichtung und dem Management von Nutzerkonten in Office 365 zwischen drei Hauptidentitätsmodellen wählen:

• Cloud-Identität 
• Synchronisierte Identität 
• Föderierte Identität 

Office 365 verwendet Multi-Faktor-Authentifizierung, die über das Office 365 Admin Center gemanagt wird, um zusätzliche Sicherheit bereitzustellen. Im Rahmen des Abonnements bietet Office 365 folgende Funktionen der Azure Multi-Faktor-Authentifizierung:

• Möglichkeit zur Aktivierung und Durchsetzung der Multi-Faktor-Authentifizierung für Endnutzer
• Verwendung einer mobilen App (online und Einmalkennwort) als zweiter Authentifizierungsfaktor
• Verwendung eines Telefonanrufs als zweiter Authentifizierungsfaktor
• Verwendung einer SMS-Nachricht (Short Message Service) als zweiter Authentifizierungsfaktor
• Anwendungskennwörter für nicht-browserbasierte Clients (z. B. Skype for Business-Client-Software)
• Standardmäßige Microsoft Begrüßung während der Authentifizierungsanrufe

Sichere Infrastruktur

Office 365 verwendet Defense-in-Depth-Sicherheitsprinzipien, um vor internen und externen Risiken zu schützen. Die Größe und globale Präsenz von Microsoft ermöglichen es uns, Strategien und Techniken zur Abwehr von Netzwerkangriffen zu verwenden, mit denen nur wenige Anbieter oder Kundenunternehmen mithalten können. Der Eckpfeiler unserer Strategie besteht darin, unsere globale Präsenz zu nutzen, um mit Internetanbietern, Public und Private Peering-Anbietern sowie privaten Unternehmen auf der ganzen Welt zu interagieren, sodass wir über eine bedeutende Internetpräsenz verfügen. Auf diese Weise kann Microsoft auf breiter Ebene Angriffe erkennen und abwehren.

Bedrohungsmanagement

Zur Bedrohungsmanagementstrategie für Office 365 gehört, die Absicht, Fähigkeit und Wahrscheinlichkeit einer potenziellen Bedrohung, eine Sicherheitslücke erfolgreich auszunutzen, zu erkennen. Die Kontrollen, die zum Schutz vor solchen Angriffen verwendet werden, basieren auf den Sicherheitsstandards und Best Practices der Branche. Office 365 bietet mit Exchange Online Protection einen robusten E-Mail-Schutz vor Spam, Viren und Malware. Office 365 umfasst zudem Advanced Threat Protection (ATP), einen E-Mail-Filterdienst, der zusätzlichen Schutz vor bestimmten Arten von weiterentwickelten Bedrohungen bietet.

Mobilität

Office 365-Nutzer sind heutzutage viel unterwegs und benötigen Zugriff auf ihre Daten, von überall aus und mit einer Vielzahl von Geräten. Sie können das Microsoft Intune-Mobilgerätemanagement verwenden, um Geräte über Windows-, Apple iOS- und Android-Plattformen hinweg zu managen und zu schützen. Die Managementfunktionen für mobile Anwendungen ermöglichen es Ihnen, vertrauliche Informationen mithilfe von Kontrollen zur Vermeidung von Datenverlusten zu identifizieren, zu überwachen und zu schützen.

Reaktion auf Incidents

Das Office 365-Verfahren für das Managen eines Sicherheits-Incidents entspricht dem vom National Institute of Standards and Technology (NIST) vorgeschriebenen Ansatz. Microsoft verfügt über mehrere dedizierte Teams, die gemeinsam daran arbeiten, Sicherheits-Incidents zu verhindern, zu überwachen, zu erkennen und darauf zu reagieren. Die Office 365-Sicherheitsteams verfolgen bei Sicherheits-Incidents den gleichen Ansatz, zu dem auch die NIST 800-61-Reaktionsmanagementphasen gehören:

• Vorbereitung – die organisatorische Vorbereitung, die für die Reaktion auf einen Incident erforderlich ist, einschließlich Tools, Prozessen, Kompetenzen und Bereitschaft.
• Erkennung und Analyse – das Erkennen eines Sicherheits-Incidents in einer Produktionsumgebung und die Analyse aller Ereignisse zur Bestätigung der Echtheit des Sicherheits-Incidents.
• Eindämmung, Beseitigung und Korrektur – die erforderlichen und geeigneten Maßnahmen, um den Sicherheits-Incident auf Basis der in der vorherigen Phase durchgeführten Analysen einzudämmen. Für diese Phase können zusätzliche Analysen erforderlich sein, um den Sicherheits-Incident vollständig zu beheben.
• Aktivität nach dem Incident – die Analyse, die nach der Behebung eines Sicherheits-Incidents durchgeführt wird. Die während des Verfahrens durchgeführten operativen Maßnahmen werden überprüft, um festzustellen, ob Änderungen in der Vorbereitungs- oder Erkennungs- und Analysephase vorgenommen werden müssen.

Physische Sicherheit

Office 365-Kundendaten werden in Microsoft Rechenzentren gespeichert, die geografisch verteilt und durch Defense-in-Depth-Sicherheitsebenen geschützt sind. Microsoft Rechenzentren wurden von Grund auf konzipiert, um Dienste und Daten vor Schäden durch Naturkatastrophen, Umweltbedrohungen oder unbefugtem Zugriff zu schützen. Office 365 ist auf hohe Verfügbarkeit ausgelegt und wird in georedundanten Rechenzentren mit automatischer Failover-Funktion ausgeführt.

Der Zugang zu den Rechenzentren ist 24 Stunden am Tag nach Jobfunktion eingeschränkt und wird mithilfe von Bewegungssensoren, Videoüberwachung und Alarmen bei Sicherheitsverletzungen überwacht. Zu den physischen Zugangskontrollen gehören Umzäunungen, sichere Eingänge, Sicherheitsdienste vor Ort, kontinuierliche Videoüberwachung und Echtzeitkommunikationsnetzwerke. Mehrere Authentifizierungs- und Sicherheitsprozesse – einschließlich Badges und Smartcards, biometrische Scanner und Zwei-Faktor-Authentifizierung – schützen vor unbefugtem Zutritt. Automatisierte Brandschutz- und Löschsysteme sowie seismisch zertifizierte Racks bieten Schutz gegen Naturkatastrophen.

Datenverschlüsselung

Office 365 verwendet dienstseitige Technologien, um Kundendaten im Ruhezustand und während der Übertragung zu verschlüsseln. Für gespeicherte Kundendaten verwendet Office 365 Verschlüsselung auf Volume- und Dateiebene. Für Kundendaten, die übertragen werden, verwendet Office 365 mehrere Verschlüsselungstechnologien für die Kommunikation zwischen Rechenzentren sowie zwischen Clients und Servern, z. B. Transport Layer Security (TLS) und Internet Protocol Security (IPsec). Office 365 umfasst auch vom Kunden gemanagte Verschlüsselungsfunktionen. Kundendaten, die in Office 365 gespeichert sind, werden in allen Konfigurationen geschützt. Die Validierung und Durchsetzung der kryptografischen Richtlinie von Microsoft wird unabhängig durch mehrere Drittanbieter-Auditoren überprüft.

Aufrechterhaltung der Sicherheit in einer Architektur mit mehreren Mandanten

Die Mandantenfähigkeit ist ein Hauptvorteil des Cloud-Computing. Dabei handelt es sich um die Fähigkeit, eine gemeinsame Infrastruktur für zahlreiche Kunden gleichzeitig zu nutzen, wodurch Skaleneffekte ermöglicht werden. Microsoft arbeitet kontinuierlich daran, sicherzustellen, dass die mandantenfähige Architektur von Office 365 Sicherheits-, Vertraulichkeits-, Datenschutz-, Integritäts- und Verfügbarkeitsstandards der Enterprise-Klasse erfüllt. Basierend auf den umfangreichen Erfahrungen aus Trustworthy Computing und dem Security Development Lifecycle wurden die Microsoft Cloud-Services, einschließlich Office 365, unter der Prämisse entwickelt, dass alle Mandanten allen anderen Mandanten potenziell feindlich gegenüberstehen. Aus diesem Grund wurden in Office 365 verschiedene Formen des Schutzes implementiert, um zu verhindern, dass Kunden Office 365-Dienste oder -Anwendungen gefährden oder unbefugten Zugriff auf die Informationen anderer Mandanten oder des Office 365-Systems erhalten.

So greift Microsoft auf Ihre Daten zu

Microsoft automatisiert die meisten Office 365-Vorgänge und beschränkt dabei bewusst den eigenen Zugriff auf Kundeninhalte. Dies ermöglicht es uns, Office 365 bedarfsgerecht zu managen und den Risiken interner Bedrohungen für Kundeninhalte, z. B. durch Spear-Phishing eines Microsoft Technikers, zu begegnen. Standardmäßig verfügen Microsoft Techniker nicht über ständige Administratorrechte und haben keinen ständigen Zugriff auf Kundeninhalte in Office 365. Ein Microsoft Techniker hat möglicherweise für einen begrenzten Zeitraum eingeschränkten, geprüften und gesicherten Zugriff auf die Inhalte eines Kunden, jedoch nur, wenn dies für den Dienstbetrieb erforderlich ist und von einem Mitglied der Geschäftsführung von Microsoft genehmigt wurde (und für Kunden, die für die Kunden-Lockbox-Funktion lizenziert sind, durch den Kunden).

So greifen Sie auf Ihre Daten zu

Zusätzlich zu den von Microsoft implementierten Kontrollen können Sie mit Office 365 Ihre eigenen Daten auf die gleiche Weise managen wie in Ihrer lokalen Umgebung. Der globale Administrator hat über das Admin Center Zugriff auf alle Funktionen und kann Nutzer erstellen oder bearbeiten, Administrationsaufgaben ausführen und Administratorrollen an andere zuweisen. Sie können auch steuern, wie Nutzer auf Informationen von bestimmten Geräten oder bestimmten Standorten oder einer Kombination aus beiden zugreifen.