Fortlaufende Datenübertragungen, die für alle EU-Datenbegrenzungsdienste gelten
Es gibt Szenarien, in denen Microsoft weiterhin Daten aus der EU-Datengrenze überträgt, um die betrieblichen Anforderungen des Clouddiensts zu erfüllen, bei denen in der EU-Datengrenze gespeicherte Daten von Mitarbeitern außerhalb der EU-Datengrenze remote zugegriffen wird und bei denen die Nutzung von EU Data Boundary Services durch einen Kunden zu einer Datenübertragung aus der EU-Datengrenze führt, um die gewünschten Ergebnisse des Kunden zu erzielen. Microsoft stellt sicher, dass alle Datenübertragungen von Kundendaten und pseudonymisierten personenbezogenen Daten außerhalb der EU-Datengrenze durch Sicherheitsvorkehrungen geschützt werden, die in unseren Servicevereinbarungen und produktdokumentationen beschrieben sind.
Remotezugriff auf in der EU-Datengrenze gespeicherte und verarbeitete Daten
Microsoft-Clouddienste werden von Expertenteams aus der ganzen Welt erstellt, betrieben, geschützt und gewartet, um Kunden ein Höchstmaß an Servicequalität, Support, Sicherheit und Zuverlässigkeit zu bieten. Dieses Modell (als Microsoft DevOps-Modell bezeichnet) bringt Entwickler und Betriebsmitarbeiter zusammen, um die Dienste kontinuierlich zu erstellen, zu verwalten und bereitzustellen. In diesem Abschnitt wird beschrieben, wie Microsoft sowohl diesen Remotezugriff auf Kundendaten als auch pseudonymisierte personenbezogene Daten minimiert und diesen Zugriff bei Bedarf einschränkt.
Microsoft verwendet einen mehrschichtigen Ansatz, um Kundendaten und pseudonymisierte personenbezogene Daten vor unbefugtem Zugriff durch Microsoft-Mitarbeiter zu schützen, die sowohl aus Mitarbeitern von Microsoft und seinen Tochtergesellschaften als auch aus Vertragsmitarbeitern von Drittanbietern bestehen, die Microsoft-Mitarbeiter unterstützen. Um auf Kundendaten oder pseudonymisierte personenbezogene Daten zugreifen zu können, müssen Microsoft-Mitarbeiter über eine Hintergrundüberprüfung verfügen, die einwandfrei ist, zusätzlich zur Verwendung der mehrstufigen Authentifizierung als Teil der Standardsicherheitsanforderungen von Microsoft.
Wenn Microsoft-Mitarbeiter von außerhalb der Grenzen auf Kundendaten oder pseudonymisierte personenbezogene Daten zugreifen müssen, die auf Microsoft-Systemen innerhalb der EU-Datengrenze gespeichert sind (dies gilt als Übertragung von Daten nach dem europäischen Datenschutzrecht, obwohl die Daten innerhalb der Microsoft-Rechenzentrumsinfrastruktur in der EU-Datengrenze verbleiben), verlassen wir uns auf Technologien, mit denen sichergestellt wird, dass diese Art der Übertragung sicher ist, mit kontrolliertem Zugriff und ohne beständigen Speicher am Remotezugriffspunkt. Wenn eine solche Datenübertragung erforderlich ist, verwendet Microsoft modernste Verschlüsselung, um Kundendaten und pseudonymisierte personenbezogene Daten im Ruhezustand und während der Übertragung zu schützen. Weitere Informationen finden Sie unter Übersicht über Verschlüsselung und Schlüsselverwaltung.
Wie Microsoft Kundendaten schützt
Wir entwerfen unsere Dienste und Prozesse, um die Fähigkeit von DevOps-Mitarbeitern zu maximieren, die Dienste ohne Zugriff auf Kundendaten zu betreiben, und verwenden automatisierte Tools, um Probleme zu identifizieren und zu beheben. In seltenen Fällen, in denen ein Dienst ausgefallen ist oder eine Reparatur benötigt, die nicht mit automatisierten Tools ausgeführt werden kann, benötigen autorisierte Microsoft-Mitarbeiter möglicherweise Remotezugriff auf Daten, die innerhalb der EU-Datengrenze gespeichert sind, einschließlich Kundendaten. Es gibt keinen Standardzugriff auf Kundendaten. Der Zugriff wird für Microsoft-Mitarbeiter nur bereitgestellt, wenn eine Aufgabe dies erfordert. Der Zugriff auf Kundendaten muss für einen geeigneten Zweck erfolgen, muss auf die Menge und Art der Kundendaten beschränkt sein, die zur Erreichung des geeigneten Zwecks erforderlich sind, und wenn der Zweck nur durch diese Zugriffsebene erreicht werden kann. Microsoft verwendet JIT-Zugriffsgenehmigungen (Just-In-Time), die nur so lange erteilt werden, wie dies zur Erreichung dieses Zwecks erforderlich ist. Microsoft setzt auch auf die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), bei der der individuelle Zugriff strengen Anforderungen unterliegt, z. B. dem "Need-to-Know"-Prinzip, obligatorischen kontinuierlichen Schulungen und der Beaufsichtigung durch einen oder mehrere Manager.
Microsoft-Mitarbeiter, die Zugriff auf Kundendaten haben, arbeiten über sichere Administratorarbeitsstationen (SAWs). SAWs sind Computer mit eingeschränkter Funktion, die neben anderen Sicherheitsrisiken das Risiko der Kompromittierung durch Schadsoftware, Phishingangriffe, gefälschte Websites und Pass-the-Hash-Angriffe (PtH) verringern und mit Gegenmaßnahmen zur Erschwerten Datenexfiltration aktiviert sind. Microsoft-Mitarbeiter, die an SAWs arbeiten, haben beispielsweise den Zugriff auf das Internet auf solchen Geräten eingeschränkt und können nicht auf externe oder Wechselmedien zugreifen, da diese Funktionen in der SAW-Implementierung blockiert sind. Das Microsoft SAW-Programm und das Programm für risikoreiche Umgebungen wurden von csoonline.com in den Jahren 2022, 2020 und 2019 mit CSO50 ausgezeichnet.
Zusätzlich zu den zuvor beschriebenen Kontrollen können Kunden zusätzliche Zugriffssteuerungen für viele Microsoft-Clouddienste einrichten, indem sie die Kunden-Lockbox aktivieren. Die Implementierung des Kunden-Lockbox-Features variiert geringfügig je nach Dienst, aber Kunden-Lockbox stellt im Allgemeinen sicher, dass Microsoft-Mitarbeiter nicht auf Kundendaten zugreifen können, um Dienstvorgänge ohne die ausdrückliche Genehmigung des Kunden auszuführen. Beispiele für Kunden-Lockbox in aktion finden Sie unter Kunden-Lockbox in Office 365, Kunden-Lockbox für Microsoft Azure und Kunden-Lockbox in Power Platform und Dynamics 365.
Der Zugriff auf Kundendaten wird auch von Microsoft protokolliert und überwacht. Microsoft führt regelmäßige Audits durch, um zu überprüfen und zu bestätigen, dass Zugriffsverwaltungsmaßnahmen in Übereinstimmung mit den Richtlinienanforderungen funktionieren, einschließlich der vertraglichen Verpflichtungen von Microsoft.
Wie Microsoft pseudonymisierte personenbezogene Daten in vom System generierten Protokollen schützt
Derzeit können Microsoft-Mitarbeiter für den Zugriff auf pseudonymisierte personenbezogene Daten, die in der EU-Datengrenze gespeichert sind, entweder eine SAW oder eine virtuelle Desktopinfrastruktur (VDI) verwenden. Die im vorherigen Abschnitt beschriebenen SAW-spezifischen Sicherheitsmaßnahmen gelten auch, wenn eine SAW für den Zugriff auf pseudonymisierte personenbezogene Daten verwendet wird. Wenn Sie eine VDI für den Zugriff auf pseudonymisierte personenbezogene Daten in der EU-Datengrenze verwenden, erzwingt Microsoft Zugriffsbeschränkungen, um eine sichere Umgebung für den Datenzugriff bereitzustellen. Wie bei SAWs ist die Liste der Hilfsprogramme, die auf den VDIs zulässig sind, begrenzt und unterliegen strengen Sicherheitstests, bevor sie für die Ausführung auf den VDIs zertifiziert werden. Wenn eine VDI verwendet wird, wird auf pseudonymisierte personenbezogene Daten in der EU-Datengrenze über virtuelle Computer zugegriffen, die auf einem physischen Computer in der EU-Datengrenze gehostet werden, und keine Daten bleiben außerhalb der EU-Datengrenze erhalten.
Gemäß unseren Standardrichtlinien sind Massenübertragungen von Daten außerhalb der EU-Datengrenze verboten, und VDI-Benutzer können nur auf vorab genehmigte URL-Ziele zugreifen. Darüber hinaus haben Microsoft-Mitarbeiter, die die VDI-Umgebung verwenden, keinen Administratorzugriff auf die physischen Computer, die sich in der EU-Datengrenze befinden.
Weitere Informationen zu den Technologien zum Schutz von Kundendaten und pseudonymisierten personenbezogenen Daten finden Sie in den folgenden Ressourcen:
- Schützen von Umgebungen mit hohem Risiko mit sicheren Administratorarbeitsstationen
- Verwenden von abgeschirmten virtuellen Computern zum Schutz von Ressourcen mit hohem Wert
- Vier betriebsbezogene Methoden, die Microsoft zum Schützen der Azure-Plattform verwendet
- Zugriffssteuerung für Microsoft 365 Service Engineer
- Was ist virtual desktop infrastructure (VDI)?
Vom Kunden initiierte Datenübertragungen
Übertragungen, die Kunden als Teil der Dienstfunktionen initiieren
Die EU-Datengrenze ist nicht dazu gedacht, die von Kunden bei der Nutzung unserer Dienste beabsichtigten Serviceergebnisse zu beeinträchtigen oder einzuschränken. Wenn also ein Kundenadministrator oder Benutzer eine Aktion in den Diensten ausführt, die eine Datenübertragung außerhalb der EU-Datengrenze initiiert, schränkt Microsoft solche vom Kunden initiierten Übertragungen nicht ein. Dies würde den normalen Geschäftsbetrieb für Kunden stören. Benutzerinitiierte Datenübertragungen außerhalb der EU-Datengrenze können aus verschiedenen Gründen erfolgen, z. B.:
- Ein Benutzer greift auf Daten zu, die innerhalb der EU-Datengrenze gespeichert sind, oder interagiert mit einem Dienst außerhalb des EU-Datenbegrenzungsbereichs.
- Ein Benutzer entscheidet sich für die Kommunikation mit anderen Benutzern, die sich außerhalb der EU-Datengrenze befinden. Beispiele hierfür sind das Senden einer E-Mail oder SMS, das Initiieren eines Teams-Chats oder der Sprachkommunikation, z. B. ein PSTN-Anruf (Public Switched Telephone Network), Voicemail, geoübergreifende Besprechungen usw.
- Ein Benutzer konfiguriert einen Dienst so, dass Daten aus der EU-Datengrenze verschoben werden.
- Ein Benutzer entscheidet sich, EU Data Boundary Services mit anderen Microsoft- oder Drittanbieterangeboten oder verbundenen Erfahrungen zu kombinieren, die separaten Bedingungen unterliegen, die für die EU-Datenbegrenzungsdienste gelten (z. B. durch Nutzung einer optionalen Bing-gestützten Erfahrung, die über die Microsoft 365-Anwendungen verfügbar ist, oder durch Verwendung eines verfügbaren Connectors, um Daten aus einem EU-Datenbegrenzungsdienst mit einem Konto zu synchronisieren, das der Benutzer möglicherweise bei einem anderen Anbieter als Microsoft hat).
- Ein Kundenadministrator entscheidet sich für die Verbindung von EU Data Boundary Services mit anderen Diensten, die von Microsoft oder einem Drittanbieter angeboten werden, wobei diese anderen Dienste separaten Bedingungen unterliegen, die für die EU-Datenbegrenzungsdienste gelten (z. B. durch Konfigurieren eines EU-Datenbegrenzungsdiensts für das Senden von Abfragen an Bing oder durch Herstellen einer Verbindung zwischen einem EU-Datenbegrenzungsdienst und einem Dienst, der bei einem anderen Anbieter als Microsoft gehostet wird, mit die der Kunde auch über ein Konto verfügt).
- Ein Benutzer erwirbt und verwendet eine App aus einem App Store, der in einem EU-Datenbegrenzungsdienst (z. B. im Teams-Store) präsentiert wird, wobei die App von den für den EU-Datenbegrenzungsdienst geltenden Bedingungen unterliegt, z. B. dem Endbenutzer-Lizenzvertrag des App-Anbieters.
- Ein organization professionelle Sicherheitsdienste anfordert oder abonniert, bei denen Microsoft in einer Remote-Sicherheits-Operationscenter-Kapazität agiert oder forensische Analysen im Namen (und als Teil) der Sicherheitsgruppe des organization durchführt.
Erfüllung von Dsgvo-Anträgen betroffener Personen weltweit
Microsoft hat Systeme implementiert, die es unseren Kunden ermöglichen, auf Anträge betroffener Personen gemäß der Datenschutz-Grundverordnung (DSGVO) zu reagieren (z. B. um personenbezogene Daten als Reaktion auf eine Anfrage gemäß Artikel 17 der DSGVO zu löschen), wie kunden es für angemessen halten, und diese Systeme stehen Kunden weltweit zur Verfügung. Um unseren Kunden die Einhaltung der DSGVO zu ermöglichen, müssen Signale betroffener Personen, die Benutzer-IDs enthalten, global verarbeitet werden, um sicherzustellen, dass alle Daten, die sich auf eine betroffene Person beziehen, wie angefordert gelöscht oder exportiert werden. Wenn unser Kunde der Auffassung ist, dass die Löschung von Daten als Reaktion auf die Löschung ihrer personenbezogenen Daten durch eine betroffene Person angemessen ist, müssen alle personenbezogenen Daten, die sich auf diese betroffene Person beziehen, in allen Datenspeichern von Microsoft gefunden und gelöscht werden, sowohl innerhalb als auch außerhalb der EU-Datengrenze. Ebenso muss Microsoft, wenn eine Exportanforderung von einem Kundenadministrator übermittelt wird, alle personenbezogenen Daten zu dieser betroffenen Person an den vom Kundenadministrator angegebenen Speicherort exportieren, auch wenn außerhalb der EU-Datengrenze. Weitere Informationen finden Sie unter DSGVO: Anträge betroffener Personen (DSRs).
Professional Services-Daten
Wenn Kunden Microsoft Daten im Rahmen der Zusammenarbeit mit Microsoft für Support- oder kostenpflichtige Beratungsdienste zur Verfügung stellen, handelt es sich bei diesen Daten um Professional Services-Daten, wie im Datenschutz-Nachtrag zu Microsoft-Produkten und -Diensten (DPA) definiert. Professional Services-Daten werden derzeit in USA-basierten Microsoft-Rechenzentren gespeichert.
Der Zugriff auf Professional Services-Daten durch Microsoft-Mitarbeiter während eines Support-Engagements ist auf genehmigte Supportverwaltungssysteme beschränkt, die Sicherheits- und Authentifizierungskontrollen verwenden, einschließlich der zweistufigen Authentifizierung und virtualisierter Umgebungen. Andere Microsoft-Mitarbeiter können nur auf Professional Services-Daten zugreifen, die mit einem bestimmten Engagement verbunden sind, indem sie die erforderliche geschäftliche Begründung und die Genehmigung des Managers bereitstellen. Die Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt.
Professional Services Die während eines kostenpflichtigen Beratungsauftrags bereitgestellten, erhaltenen und verarbeiteten Professional Services-Daten werden vom Team abgerufen, das der Kunde beauftragt, um die erworbenen Dienstleistungen bereitzustellen. Derzeit wird daran gearbeitet, dass EU-Kunden angeben können, dass ihre Professional Services-Daten in der EU-Datengrenze gespeichert und verarbeitet werden sollen.
Schützen von Kunden
Zum Schutz vor globalen Cybersicherheitsbedrohungen muss Microsoft Sicherheitsvorgänge global ausführen. Zu diesem Ziel überträgt Microsoft (wie in Security Operations beschrieben) pseudonymisierte personenbezogene Daten außerhalb der EU-Datengrenze und in seltenen Fällen eingeschränkte Kundendaten. Böswillige Akteure sind global tätig, starten geografisch verteilte Angriffe, verwenden koordinierte Tarnung und umgehen die Erkennung. Die Analyse kontextbezogener Bedrohungsdaten über geografische Grenzen hinweg ermöglicht es Microsoft-Sicherheitsdiensten, Kunden zu schützen, indem sie hohe Qualität, automatisierte Sicherheitserkennungen, Schutzmaßnahmen und Reaktionen bereitstellen.
Die Ergebnisse dieser grenzüberschreitenden Analyse liefern mehrere Schutzszenarien, einschließlich der Warnung von Kunden vor schädlichen Aktivitäten, Angriffen oder versuchten Sicherheitsverletzungen.
Ein starker Sicherheitsschutz kommt unseren Kunden und dem Computing-Ökosystem zugute und unterstützt gesetzliche Verpflichtungen in der Sicherheit von Kundendaten, pseudonymisierten personenbezogenen Daten und kritischer Infrastruktur. In Übereinstimmung mit der DSGVO und der EU-Charta der Grundrechte bietet der Ansatz von Microsoft einen Mehrwert, indem er Datenschutz, Datenschutz und Sicherheit fördert.
Der Zugriff auf die eingeschränkten Kundendaten und pseudonymisierten personenbezogenen Daten, die für Sicherheitsvorgänge aus der EU übertragen werden, ist auf Microsoft-Sicherheitsmitarbeiter beschränkt, und die Nutzung ist auf Sicherheitszwecke beschränkt, einschließlich Erkennung, Untersuchung, Milderung und Reaktion auf Sicherheitsvorfälle. Übertragene Kundendaten und pseudonymisierte personenbezogene Daten sind durch Verschlüsselungs- und Zugriffseinschränkungen geschützt. Weitere Informationen zum Zugriff auf Daten, die in der EU-Datengrenze gespeichert und verarbeitet werden , finden Sie weiter oben in diesem Artikel.
Beispiele für kundenorientierte Funktionen, die von Microsoft durch die Verwendung der grenzübergreifenden Signale bereitgestellt werden:
- Um Schutz vor komplexen modernen Sicherheitsbedrohungen zu bieten, nutzt Microsoft seine erweiterten Analysefunktionen, einschließlich künstlicher Intelligenz, um aggregierte sicherheitsbezogene Daten zu analysieren, einschließlich Aktivitätsprotokollen, um diese Angriffe zu schützen, zu erkennen, zu untersuchen, darauf zu reagieren und zu beheben. Eingeschränkte Kundendaten und global konsolidierte pseudonymisierte personenbezogene Daten werden verwendet, um statistische Zusammenfassungen zu erstellen, um falsch positive Ergebnisse zu reduzieren, die Effektivität zu verbessern und einzigartige Machine Learning-Modelle für erweiterte Erkennungen von bekannten und unbekannten Bedrohungen nahezu in Echtzeit zu erstellen. Globale Modelle ermöglichen es uns, benutzerdefinierte Modelle für bestimmte Vorgänge zu optimieren und zu aktivieren. Ohne diese zentralisierte Analysefunktion für globale Daten würde die Effizienz dieser Dienste erheblich beeinträchtigt, und wir wären nicht in der Lage, unsere Kunden zu schützen und keine konsistente Benutzererfahrung zu bieten.
- Die Hyperscale-Cloud ermöglicht eine vielfältige, fortlaufende Analyse sicherheitsbezogener, vom System generierter Protokolle ohne vorherige Kenntnis eines bestimmten Angriffs. In vielen Fällen ermöglichen globale vom System generierte Protokolle Microsoft oder seine Kunden, bisher unbekannte Angriffe zu stoppen, während in anderen Fällen Microsoft und Kunden vom System generierte Protokolle verwenden können, um Bedrohungen zu identifizieren, die anfänglich nicht erkannt wurden, aber später basierend auf neuen Threat Intelligence gefunden werden können.
- Erkennen eines kompromittierten Unternehmensbenutzers durch Identifizieren von Anmeldungen bei einem einzelnen Konto aus mehreren geografischen Regionen innerhalb eines kurzen Zeitraums (als "unmögliche Reiseangriffe" bezeichnet). Um den Schutz vor diesen Szenarien zu ermöglichen, verarbeiten und speichern Microsoft-Sicherheitsprodukte (und ggf. Sicherheitsvorgänge und Threat Intelligence-Teams) Daten wie Microsoft Entra vom Authentifizierungssystem generierte Protokolle geografisch zentral.
- Erkennen der Datenexfiltration aus dem Unternehmen durch Aggregieren mehrerer Signale des böswilligen Zugriffs auf die Datenspeicherung von verschiedenen Standorten, eine Technik, die von böswilligen Akteuren verwendet wird, um unter dem Erkennungsradar zu fliegen (bekannt als "niedrige und langsame" Angriffe).
Um die Auswirkungen dieser Arbeit auf den Datenschutz zu minimieren, beschränken die Sicherheitsbedrohungs-Hunter-Teams von Microsoft laufende Übertragungen auf vom System generierte Protokolle und Dienstkonfigurationsinformationen, die erforderlich sind, um frühe Indikatoren für böswillige Aktivitäten oder Sicherheitsverletzungen zu erkennen und zu untersuchen. Diese pseudonymisierten Daten werden in erster Linie im USA gespeichert, können aber wie zuvor beschrieben auch andere Rechenzentrumsregionen weltweit für die Bedrohungserkennung umfassen. Pseudonymisierte personenbezogene Daten werden gemäß den Bestimmungen der DPA und den geltenden vertraglichen Verpflichtungen übertragen und geschützt. In den seltenen Fällen, in denen aufgrund einer Sicherheitsuntersuchung auf Kundendaten zugegriffen oder übertragen wird, erfolgt dies durch erhöhte Genehmigungen und Kontrollen, wie weiter oben in diesem Artikel im Abschnitt Schutz von Kundendaten durch Microsoft beschrieben.
Sicherheitsvorgänge
Microsoft-Sicherheitsvorgänge verwenden eine Sammlung interner Dienste, um Bedrohungen zu überwachen, zu untersuchen und darauf zu reagieren, mit denen die Plattformen konfrontiert sind, auf die Kunden bei ihren täglichen Vorgängen angewiesen sind. Die grenzübergreifenden pseudonymisierten personenbezogenen Daten oder die eingeschränkten Kundendaten, die für diese Vorgänge verarbeitet werden, helfen dabei, böswillige Versuche gegen die Cloudinfrastruktur und microsoft Onlinedienste zu blockieren.
Pseudonymisierte personenbezogene Daten, die zu Sicherheitszwecken verarbeitet werden, werden in eine beliebige Azure-Region weltweit übertragen. Dies ermöglicht es Den Sicherheitsvorgängen von Microsoft, wie dem Microsoft Security Response Center (MSRC), Sicherheitsdienste 24 Stunden am Tag und 365 Tage im Jahr auf effiziente und effektive Weise als Reaktion auf weltweite Bedrohungen bereitzustellen. Die Daten werden zur Überwachung, Untersuchung und Reaktion auf Sicherheitsvorfälle innerhalb der Plattform, Produkte und Dienste von Microsoft verwendet, um Kunden und Microsoft vor Bedrohungen für ihre Sicherheit und Privatsphäre zu schützen. Wenn beispielsweise festgestellt wird, dass eine IP-Adresse oder Telefonnummer in betrügerischen Aktivitäten verwendet wird, wird sie global veröffentlicht, um den Zugriff von allen Workloads zu blockieren, die sie verwenden.
- Sicherheitsanalysten greifen auf aggregierte Daten von Standorten auf der ganzen Welt zu, da MSRC über ein Follow-the-Sun-Betriebsmodell verfügt, mit verteiltem Fachwissen und Fähigkeiten, um kontinuierliche Überwachung und Reaktion auf Sicherheitsuntersuchungen bereitzustellen, einschließlich, aber nicht beschränkt auf die folgenden Szenarien: Der Kunde hat schädliche Aktivitäten in seinen Mandanten oder Abonnements identifiziert und den Microsoft-Support kontaktiert, um Hilfe bei der Behebung des Incidents zu erhalten.
- MSRC hat einen eindeutigen Hinweis auf eine Gefährdung in einem Kundenmandanten, Abonnement oder einer Ressource und benachrichtigt den Kunden, hilft bei der Untersuchung des Incidents und reagiert darauf, nachdem der Kunde die Genehmigung erteilt hat.
- Im Zuge der Untersuchung würde MSRC, wenn ein kundenrelevanter Datenschutzvorfall identifiziert wird, nach einem strengen Protokoll weitere Untersuchungen durchführen, um die Benachrichtigung und Reaktion auf den datenschutzrelevanten Vorfall zu unterstützen.
- Gemeinsame Nutzung von Threat Intelligence- und Untersuchungsdetails zwischen den internen Sicherheitsteams von Microsoft, um agile Reaktionen und Abhilfemaßnahmen zu ermöglichen.
Weitere Informationen zum Zugriff auf Daten, die in der EU-Datengrenze gespeichert und verarbeitet werden , finden Sie weiter oben in diesem Artikel.
Security Threat Intelligence
Microsoft Threat Intelligence-Dienste überwachen, untersuchen und reagieren auf Bedrohungen, mit denen Kundenumgebungen konfrontiert sind. Daten, die für Sicherheitsuntersuchungen gesammelt werden, können pseudonymisierte personenbezogene Daten in vom System generierten Protokollen und eingeschränkte Kundendaten umfassen. Diese Daten werden verwendet, um böswillige Versuche gegen die Cloudinfrastrukturen unserer Kunden zu blockieren und rechtzeitig Bedrohungsinformationen und Hinweise auf Gefährdungen für Organisationen bereitzustellen, sodass sie ihr Schutzniveau erhöhen können.
Bei Bedrohungsuntersuchungen, bei denen Beweise für eine Nation State Threat oder andere böswillige Aktionen durch komplexe Akteure erkannt werden, benachrichtigen die Microsoft-Teams, die Threat Intelligence wie das Microsoft Threat Intelligence Center (MSTIC) sammeln, Kunden über die notierte Aktivität. MSTIC kann böswillige Aktivitäten durch global konsolidierte, vom System generierte Protokolle und Diagnosedaten identifizieren, die von verschiedenen Microsoft-Produkten und -Diensten in Verbindung mit Expertenanalysen durch MSTIC-Mitarbeiter gesammelt werden.
Der Zugriff durch geografisch verteilte Analystenteams auf global konsolidierte, vom System generierte Protokolle ist aus Sicherheitsgründen von entscheidender Bedeutung, um einen Angriff oder eine Sicherheitsverletzung rechtzeitig zu identifizieren und eine nicht unterbrochene Untersuchung zu ermöglichen. MSTIC-Analysten verfügen über spezifische Kenntnisse und Fähigkeiten von Angreifern, die nicht einfach in anderen Regionen repliziert werden können, da sie möglicherweise über spezifische regionales Fachwissen verfügen. Daher überschreiten MSTIC-Analysevorgänge notwendigerweise geopolitische Grenzen, um kunden das höchste Maß an Fachwissen zu bieten. Weitere Informationen zu Zugriffssteuerungen finden Sie weiter oben in diesem Artikel unter Remotezugriff auf Daten, die in der EU-Datengrenze gespeichert und verarbeitet werden .
Um Kunden die beste Threat Intelligence bereitzustellen, muss MSTIC globale Signale für Szenarien wie die folgenden nutzen:
- Böswillige Aktivitäten des Nationalstaats, die verwendet werden, um nationale Intelligence-Ziele zu erreichen.
- Böswillige Nationalstaatsaktivitäten, die Standard-Schadsoftware und Taktiken in destruktiven, nicht behebbaren Angriffen verwenden oder verwendet werden, um die Identität des Angreifers zu maskieren (falsche Kennzeichnung) und eine plausible Verleugnbarkeit bereitzustellen. Böswillige kriminelle Aktivitäten, die in illegalen Finanzerpressungssystemen verwendet werden (z. B. Ransomware-Angriffe auf zivile kritische Ressourcen oder Infrastruktur).
Dienste in der Vorschau/Testversion
Nur kostenpflichtige Microsoft-Dienste, die allgemein verfügbar sind, sind in der EU-Datengrenze enthalten. Dienste, die sich in der Vorschau befinden oder als kostenlose Testversionen verfügbar gemacht werden, sind nicht enthalten.
Veraltete Dienste
Dienste, die Microsoft ab dem 31. Dezember 2022 als veraltet angekündigt hat, sind nicht in der EU-Datengrenze enthalten. Microsoft-Clouddienste folgen der Modern Lifecycle-Richtlinie, und in den meisten Fällen, in denen wir einen Dienst als veraltet angekündigt haben, haben wir auch ein alternatives oder Nachfolgeproduktangebot empfohlen, das für die EU-Datengrenze gilt. Beispielsweise ist Microsoft Stream (klassisch) ein Unternehmensvideodienst für Microsoft 365, der durch Stream (auf SharePoint) ersetzt wird. Während bestimmte Veraltetkeitstermine für Stream (klassisch) noch nicht angekündigt wurden, wurde den Kunden mitgeteilt, dass Stream (klassisch) im Jahr 2024 als veraltet markiert werden. Migrationsleitfäden und Tools für die öffentliche Vorschau stehen zur Verfügung, um Kunden bei der Migration zu Stream (auf SharePoint) zu unterstützen, das sich innerhalb der EU-Datengrenze befindet.
Lokale Software und Clientanwendungen
Daten, die in lokaler Software und Clientanwendungen gespeichert sind, sind nicht in der EU-Datengrenze enthalten, da Microsoft nicht steuert, was in den lokalen Umgebungen von Kunden geschieht. Diagnosedaten, die durch die Verwendung von lokaler Software und Clientanwendungen generiert werden, sind ebenfalls nicht in der EU-Datengrenze enthalten.
Verzeichnisdaten
Microsoft kann eingeschränkte Microsoft Entra Verzeichnisdaten aus Microsoft Entra (einschließlich Benutzername und E-Mail-Adresse) außerhalb der EU-Datengrenze replizieren, um den Dienst bereitzustellen.
Netzwerktransit
Um die Routinglatenz zu reduzieren und die Routingresilienz aufrechtzuerhalten, verwendet Microsoft variable Netzwerkpfade, die gelegentlich zum Routing von Kundendatenverkehr außerhalb der EU-Datengrenze führen können. Dies kann den Lastenausgleich durch Proxyserver umfassen.
Service- und Plattformqualität und -management
Microsoft-Mitarbeiter erfordern möglicherweise, dass einige pseudonymisierte personenbezogene Daten aus vom System generierten Protokollen global konsolidiert werden, um sicherzustellen, dass die Dienste effizient ausgeführt werden und globale Qualitätsmetriken in Echtzeit für die Dienste berechnet und überwacht werden können. Eine begrenzte Menge pseudonymisierter personenbezogener Daten, z. B. Objekt-IDs oder primäre eindeutige IDs (PUIDs), kann in diese Übertragungen einbezogen werden und wird verwendet, um verschiedene Probleme mit der Funktionsfähigkeit und Verwaltung von Diensten zu beheben. Beispiele hierfür sind die Berechnung der Anzahl von Benutzern, die von einem ereignisbeeinflussenden Ereignis betroffen sind, um dessen Verbreitung und Schweregrad zu bestimmen, oder die Berechnung der monatlich aktiven Benutzer (MAU) und der täglich aktiven Benutzer (DAU) der Dienste, um sicherzustellen, dass die Abrechnungsberechnungen, die auf diesen Daten basieren, vollständig und korrekt sind. Pseudonymisierte personenbezogene Daten, die für MAU- und DAU-Berechnungszwecke übertragen werden, werden außerhalb der EU-Datengrenze nur so lange aufbewahrt, wie für die Erstellung aggregierter Analysen erforderlich ist.