Datensicherheit und Datenschutz in Defender for Cloud Apps

Hinweis

Dieser Artikel enthält Schritte zum Löschen von persönlichen Daten vom Gerät oder aus dem Dienst und kann zur Unterstützung Ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) verwendet werden. Allgemeine Informationen zur DSGVO finden Sie unter GDPR section of the Service Trust portal (DSGVO-Bereich des Service Trust Portals).

Microsoft Defender for Cloud Apps ist eine wichtige Komponente des Microsoft Cloud Security-Stapels. Es handelt sich um eine umfassende Lösung, mit der Ihre Organisation alle Vorteile von Cloudanwendungen nutzen kann. Mit Defender für Cloud Apps behalten Sie die Kontrolle durch umfassende Transparenz, Prüfung und detaillierte Kontrolle Ihrer vertraulichen Daten.

Defender für Cloud Apps verfügt über Tools, die dabei helfen, Schatten-IT aufzudecken und Risiken zu bewerten, während Sie gleichzeitig Richtlinien durchsetzen und Aktivitäten untersuchen können. Dieser Dienst hilft Ihnen dabei, den Zugriff in Echtzeit zu steuern und Bedrohungen abzuwehren, damit Ihr Unternehmen sicherer auf die Cloud umsteigen kann.

Defender for Cloud Apps Compliance

In einer Welt, in der Datenpannen und Angriffe an der Tagesordnung sind, ist es für Unternehmen unerlässlich, sich für einen Cloud Access Security Broker (CASB) zu entscheiden, der alle Anstrengungen unternimmt, um ihre Daten zu schützen. Microsoft Defender for Cloud Apps ist wie alle Cloudprodukte und -dienste von Microsoft darauf ausgelegt, die strengen Sicherheits- und Datenschutzanforderungen der Kunden zu erfüllen.

Damit Unternehmen nationale, regionale und branchenspezifische Anforderungen an die Erfassung und Verwendung personenbezogener Daten erfüllen könenn, bietet Microsoft Defender for Cloud Apps eine umfassende Palette an Complianceangeboten. Diese Angebote umfassen Zertifizierungen und Nachweise.

Konformitätsframework und -angebote

Microsoft Defender for Cloud Apps erfüllt viele internationale und branchenspezifische Konformitätsstandards u. a.:

Organisation Titel Beschreibung
logo csa attestation. CSA STAR-Nachweis Azure und Intune haben auf Grundlage einer unabhängigen Prüfung den STAR-Nachweis der Cloud Security Alliance erhalten.
logo csa certification. CSA STAR-Zertifizierung Azure, Intune und Power BI wurden mit der STAR-Zertifizierung der Cloud Security Alliance auf der Stufe Gold ausgezeichnet.
logo EU model clauses. EU-Modellklauseln Microsoft bietet EU-Standardvertragsklauseln und Garantien bei der Übermittlung personenbezogener Daten.
logo HIPAA. HIPAA/HITECH Microsoft bietet Verträge für Geschäftspartner gemäß Health Insurance Portability & Accountability Act.
logo iso 9001. ISO 9001 Microsoft ist für die Umsetzung dieser Qualitätsmanagementstandards zertifiziert.
logo iso 27001. ISO/IEC 27001 Microsoft ist für die Umsetzung dieser Managementstandards für Informationssicherheit zertifiziert.
logo iso 27018. ISO/IEC 27018 Microsoft war der erste Cloudanbieter, der diese Verhaltensregeln für Datenschutz in der Cloud eingehalten hat.
logo PCI. PCI-DSS Azure erfüllt die Anforderungen von Payment Card Industry Data Security Standards Level 1, Version 3.1.
logo SOC. SOC 1- und SOC 2 Type 2-Berichte Microsoft-Clouddienste entsprechen den SOC-Standards (Service Organization Controls) für betriebliche Sicherheit.
logo SOC. SOC 3 Microsoft-Clouddienste entsprechen den SOC-Standards (Service Organization Controls) für betriebliche Sicherheit.
logo g-cloud. G-Cloud (UK) Der Crown Commercial Service erneuerte die Klassifizierung von Microsoft-Clouddiensten für Government Cloud v6.

Klicken Sie unter Microsoft Compliance Offerings auf „Defender for Cloud Apps“ für weitere Informationen.

Datenschutz

Ihre Daten gehören Ihnen

  • In Microsoft Defender for Cloud Apps können Ihre Administratoren die im Dienst gespeicherten identifizierbaren persönlichen Daten mithilfe der Suchleiste im Portal anzeigen.

  • Administratoren können nach Metadaten oder Aktivitätsdaten für einen bestimmten Benutzer suchen. Wenn Sie eine Entität auswählen, wird die Seite Benutzer geöffnet. Auf der Seite Benutzer werden umfangreiche Informationen zur Entität bereitgestellt, die aus den verbundenen Cloudanwendungen abgerufen werden. Darüber hinaus werden der Aktivitätsverlauf für den Benutzer und Sicherheitswarnungen in Bezug auf den Benutzer angezeigt.

  • Sie sind Besitzer Ihrer Daten und können jederzeit Abonnements kündigen und die Löschung Ihrer Daten beantragen. Wenn Sie Ihr Abonnement nicht verlängern, werden Ihre Daten innerhalb der in den Nutzungsbedingungen für Onlinedienste festgelegten Frist gelöscht.

  • Wenn Sie sich entscheiden sollten, den Dienst zu beendigen, können Sie Ihre Daten mitnehmen.

Defender for Cloud Apps ist der Auftragsverarbeiter Ihrer Daten.

  • Defender for Cloud Apps verwendet Ihre Daten nur für Zwecke, die mit der Bereitstellung der von Ihnen abonnierten Dienste vereinbar sind.

  • Wenn sich eine staatliche Stelle an Microsoft wendet, um Zugang zu Ihren Daten zu erhalten, leitet Microsoft die Anfrage nach Möglichkeit an Sie, den Kunden, weiter. Microsoft hat unzulässige Rechtsforderungen angefochten, wodurch die Offenlegung von Kundendaten nach einer Anfrage durch eine Behörde verhindert wurde. Erfahren Sie mehr darüber, wer und unter welchen Bedingungen auf Ihre Daten zugreifen kann.

Kontrollmechanismen für den Datenschutz

  • Mithilfe von Datenschutzkontrollen können Sie konfigurieren, wer in Ihrem Unternehmen Zugriff auf den Dienst hat und auf was zugegriffen werden kann.

Aktualisieren von personenbezogenen Daten

Persönliche Daten über Benutzer werden aus dem Objekt des Benutzers in den SaaS-Anwendungen verwendet. Aus diesem Grund spiegelt sich jede Änderung am Benutzerprofil in diesen Anwendungen in Microsoft Defender for Cloud Apps wider.

Datenspeicherort

Defender for Cloud Apps arbeitet derzeit in Rechenzentren in der Europäischen Union, im Vereinigten Königreich und im USA (jeweils „Geo").

Defender for Cloud Apps verwendet Azure Data Centers auf der ganzen Welt, um durch Geolocation eine optimierte Leistung zu bieten. Dies bedeutet, dass die Sitzung eines Benutzers je nach Datenverkehrsmustern und seinem Standort außerhalb einer bestimmten Region gehostet werden kann. Um Ihre Privatsphäre zu schützen, werden jedoch keine Sitzungsdaten in diesen Rechenzentren gespeichert.

Weitere Informationen dazu, finden Sie unter Microsoft Trust Center.

Speicherorte für Defender for Cloud Apps-Datenspeicherung

Kundendaten, die vom Dienst erfasst werden, werden wie folgt gespeichert:

Standort der Kundenbereitstellung Datenspeicherort
Kunden, deren Mandanten in der Europäischen Union oder im Vereinigten Königreich bereitgestellt werden Entweder die Europäische Union oder das Vereinigte Königreich
Alle anderen Kunden Der Geografische Bereich, der dem Standort am nächsten ist, an dem der Microsoft Entra-Mandant des Kunden bereitgestellt wurde

Wenn Defender für Cloud Apps einen anderen Microsoft-Onlinedienst verwendet, z. B. Microsoft Entra ID oder Azure CDN, um solche Daten zu verarbeiten, wird der geografische Datenspeicherort durch die Datenspeicherregeln dieses anderen Onlinediensts definiert.

Speicherorte für App-Governance-Datenspeicherung

Kundendaten, die vom Dienst erfasst werden, werden wie folgt gespeichert:

Standort der Kundenbereitstellung Datenspeicherort
Kunden, deren Mandanten in den USA bereitgestellt werden USA
Kunden, deren Mandanten in der Europäischen Union oder im Vereinigten Königreich bereitgestellt werden Entweder die Europäische Union oder das Vereinigte Königreich
Kunden, deren Mandanten im asiatisch-pazifischen Raum bereitgestellt werden Entweder Asien-Pazifik oder die USA
Kunden, deren Mandanten in Kanada bereitgestellt werden Kanada oder die USA
Kunden, deren Mandanten in Indien bereitgestellt werden Entweder Indien oder die USA
Kunden, deren Mandanten in einer anderen Region bereitgestellt werden Die USA oder ein Rechenzentrum im Geo, das dem Standort, an dem der Microsoft Entra-Mandant des Kunden bereitgestellt wurde, am nächsten liegt

Wenn App-Governance einen anderen Microsoft-Onlinedienst verwendet, z. B. Microsoft Entra-ID oder Azure CDN, um solche Daten zu verarbeiten, wird der geografische Datenspeicherort durch die Datenspeicherregeln dieses anderen Onlinediensts definiert.

App-Governance ist jetzt Bestandteil von Microsoft Defender for Cloud Apps. Für bestehende Kunden werden wir bis Juni 2024 Ihre Daten so verschieben, dass sie mit der Datenresidenz von Microsoft Defender for Cloud Apps übereinstimmen. Es sind keine Arbeiten auf Ihrer Seite erforderlich, und es kommt zu keinen Unterbrechungen des Dienstes. Weitere Informationen finden Sie unter Speicherorte von Defender forr Cloud Apps-Datenspeicherung.

Transparency

Microsoft bietet Transparenz:

  • Sie erhalten Informationen darüber, wo Ihre Daten gespeichert werden.
  • Sie erhalten eine Bestätigung, dass Ihre Daten nur für die mit Ihnen vereinbarten Dienste verwendet werden.
  • Sie erhalten Informationen dazu, wie Microsoft-Entwickler und zugelassene Vertragspartner diese Daten nutzen, um Ihnen die betreffenden Dienste zur Verfügung stellen zu können.

Microsoft wendet strenge Kontrollen an, um den Zugriff auf Kundendaten zu regeln, gewährt die niedrigste Zugriffsstufe, die für die Erledigung wichtiger Aufgaben erforderlich ist, und widerruft den Zugriff, sobald er nicht mehr benötigt wird.

Datenschutz

Defender für Cloud Apps erzwingt den Datenschutz während der Inhaltsüberprüfung. Dateiinhalte werden nicht im Rechenzentrum von Defender for Cloud Apps gespeichert. Nur die Metadaten der Dateidatensätze und die Übereinstimmungen, die identifiziert wurden, werden gespeichert.

Datenaufbewahrung

Defender für Cloud Apps speichert Daten wie folgt:

  • Aktivitätsprotokoll: 180 Tage
  • Ermittlungsdaten: 90 Tage
  • Warnungen: 180 Tage
  • Governanceprotokoll: 120 Tage

Weitere Informationen zum Umgang mit Daten durch Microsoft finden Sie in den Nutzungsbedingungen für Onlinedienste.

Weitere Informationen zur Transparenz

Datenfreigabe

Defender für Cloud Apps teilt Daten, einschließlich Kundendaten, unter den folgenden Microsoft-Produkten, die auch vom Kunden lizenziert werden:

  • Microsoft Defender für Cloud

  • Microsoft Sentinel

  • Microsoft Defender für den Endpunkt

  • Microsoft Defender Exposure Management (öffentliche Vorschau)

  • Microsoft Purview

  • Microsoft Purview

Löschen personenbezogener Daten

Sobald ein Benutzerkonto aus einer verbundenen Cloudanwendung gelöscht worden ist, löscht Microsoft Defender for Cloud Apps automatisch die Kopie der Daten innerhalb von 2 Jahren.

Exportieren personenbezogener Daten

Mit Microsoft Defender for Cloud Apps können Sie alle Benutzeraktivitäten und Sicherheitswarnungsinformationen in CSV-Dateien exportieren.

Datenfluss

Defender for Cloud Apps bietet Ihnen den Komfort beim Arbeiten mit einigen Daten, z. B. Warnungen und Aktivitäten, ohne Ihren üblichen Sicherheitsworkflow zu unterbrechen. SecOps kann z. B. die Anzeige von Warnungen in ihrem bevorzugten SIEM-Produkt wie Microsoft Sentinel bevorzugen. Um solche Workflows zu ermöglichen, macht Defender for Cloud Apps bei der Integration mit Microsoft- oder Drittanbieterprodukten einige Daten über sie verfügbar.

Die folgende Tabelle zeigt, welche Daten für jede Produktintegration angezeigt werden:

Microsoft-Produkte

Produkt Data Exposed Konfiguration
Microsoft Defender XDR Warnungen und Benutzeraktivitäten Beim Onboarding automatisch auf Microsoft Defender XDR aktiviert
Microsoft Sentinel Warnungen und Ermittlungsdaten In Defender for Cloud Apps aktiviert und in Microsoft Sentinel konfiguriert
Grundlegendes zum Microsoft Purview-Complianceportal Benachrichtigungen für Microsoft 365 Automatisch an Microsoft Purview-Complianceportal gestreamt
Microsoft Defender für Cloud Warnungen für Azure In Defender for Cloud Apps standardmäßig aktiviert; kann in Microsoft Defender für Cloud deaktiviert werden
Microsoft Graph-Sicherheits-API Alerts Via Microsoft Graph Security API verfügbar
Microsoft Power Automate Warnungen, die gesendet werden, um einen automatisierten Fluss auszulösen Konfiguriert in Defender for Cloud Apps
Microsoft Defender Experten für Bedrohungssuche Alerts Automatisch an Microsoft-Bedrohungsexperten gestreamt
Microsoft Entra ID Protection Alerts Automatisch an Microsoft Entra ID Protection gestreamt
Microsoft Entra ID Protection Teilmenge der Warnungen für das Identitätsrisikomodell Beim Onboarding automatisch auf Microsoft Entra ID Protection aktiviert

Drittanbieterprodukte

Integrationstyp Data Exposed Konfiguration
Verwenden eines SIEM-Agents Warnungen und Ereignisse Aktiviert und konfiguriert in Defender for Cloud Apps
Unter Verwendung der Defender for Cloud Apps-REST-API Warnungen und Ereignisse Aktiviert und konfiguriert in Defender for Cloud Apps
ICAP Connector Datei für DLP-Scan Aktiviert und konfiguriert in Defender for Cloud Apps

Hinweis

Andere Produkte erzwingen möglicherweise keine rollenbasierten Sicherheitsberechtigungen für Defender for Cloud Apps, um zu steuern, wer Zugriff auf welche Daten hat. Stellen Sie daher vor der Integration mit anderen Produkten sicher, welche Daten an das Produkt gesendet werden, das Sie verwenden möchten und wer darauf zugreifen kann.

Sicherheit

Verschlüsselung

Microsoft nutzt Verschlüsselungstechnologie, um Ihre Daten zu schützen, während sie in einer Microsoft-Datenbank ruhen und wenn sie zwischen Endgeräten und Defender for Cloud Apps-Rechenzentren ausgetauscht werden. Die gesamte Kommunikation zwischen Defender for Cloud Apps und verbundenen Apps wird außerdem mit HTTPS verschlüsselt.

Hinweis

Defender for Cloud Apps nutzt die Transport Layer Security (TLS)-Protokolle 1.2+, um eine erstklassige Verschlüsselung zu gewährleisten. Systemeigene Clientanwendungen und Browser, die TLS 1.2+ nicht unterstützen, sind nicht zugänglich, wenn sie mit sitzungssteuerung konfiguriert sind. SaaS-Apps, die TLS 1.1 oder niedriger verwenden, werden jedoch im Browser als TLS 1.2+ angezeigt, wenn sie mit Defender for Cloud Apps konfiguriert sind.

Identitäts- und Zugriffsverwaltung

Defender for Cloud Apps ermöglicht es Ihnen, den Zugriff von Administratoren auf das Portal basierend auf der Geolocation mithilfe der Microsoft Entra-ID zu beschränken. Es ist möglich, mithilfe der Microsoft Entra ID eine mehrstufige Authentifizierung für den Zugriff auf das Defender for Cloud Apps-Portal vorzuschreiben.

Berechtigungen

Defender for Cloud Apps unterstützt die rollenbasierte Zugriffssteuerung. Microsoft 365- und Microsoft Entra-Administrator- und Sicherheitsadministratorrollen haben Vollzugriff auf Defender for Cloud Apps, und Sicherheitsleser haben Lesezugriff. Weitere Informationen.

Steuerelemente von Kunden für Unternehmenskonformität

Bereichsbezogene Bereitstellung

Mit Defender for Cloud Apps können Sie ihre Bereitstellung einschränken. Dies ermöglicht es Ihnen, nur bestimmte Gruppen mit Defender for Cloud Apps zu verwalten oder bestimmte Gruppen von der Defender for Cloud Apps-Governance auszuschließen. Weitere Informationen finden Sie unter Bereichsbezogene Bereitstellung.

Anonymisierung

Sie können Cloud Discovery-Berichte wahlweise anonym halten. Nachdem Ihre Protokolldateien in Microsoft Defender for Cloud Apps hochgeladen wurden, werden alle Informationen zum Benutzernamen durch verschlüsselte Benutzernamen ersetzt. Für spezielle Sicherheitsuntersuchungen kann der echte Benutzername aufgelöst werden. Private Daten werden mithilfe von AES-128 mit einem dedizierten Schlüssel pro Mandant verschlüsselt. Weitere Informationen.

Sicherheit und Datenschutz für Defender for Cloud Apps US Government GCC High-Kunden

Informationen zu den Compliancestandards für Defender for Cloud Apps und zum Speicherort von Daten für US Government GCC High-Kunden finden Sie in der Dienstbeschreibung enterprise Mobility + Security für US Government.

Nächste Schritte

Holen Sie sich eine kostenlose Testversion von Defender for Cloud Apps, und erfahren Sie, wie Defender for Cloud Apps Ihre geschäftlichen Herausforderungen meistert.