Übersicht über die Verwaltung von Sicherheitsvorfällen

Was ist ein Sicherheitsvorfall?

Microsoft definiert einen Sicherheitsvorfall in seinen Onlinediensten als eine bestätigte Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unberechtigten Offenlegung von oder zum unberechtigten Zugriff auf Kundendaten oder personenbezogene Daten während der Verarbeitung durch Microsoft führt. Beispielsweise würde ein nicht autorisierter Zugriff auf die Microsoft Onlinedienste-Infrastruktur und die Exfiltration von Kundendaten einen Sicherheitsvorfall darstellen, während Complianceereignisse, die sich nicht auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Diensten oder Kundendaten auswirken, nicht als Sicherheitsvorfälle betrachtet werden.

Wie reagiert Microsoft auf Sicherheitsvorfälle?

Bei jedem Sicherheitsvorfall ist Microsoft bestrebt, schnell und effektiv zu reagieren, um Microsoft-Dienste und Kundendaten zu schützen. Microsoft verwendet eine Strategie zur Reaktion auf Vorfälle, die entwickelt wurde, um Sicherheitsbedrohungen schnell und effizient zu untersuchen, einzudämten und zu entfernen.

Microsoft-Clouddienste werden kontinuierlich auf Anzeichen einer Kompromittierung überwacht. Zusätzlich zur automatisierten Sicherheitsüberwachung und -warnung erhalten alle Mitarbeiter jährliche Schulungen, um Anzeichen potenzieller Sicherheitsvorfälle zu erkennen und zu melden. Verdächtige Aktivitäten, die von Mitarbeitern, Kunden oder Sicherheitsüberwachungstools erkannt werden, werden zur Untersuchung an dienstspezifische Sicherheitsreaktionsteams eskaliert. Alle Dienstbetriebsteams, einschließlich dienstspezifischer Security Response-Teams, verwalten eine umfassende Rotation im Bereitschaftsdienst, um sicherzustellen, dass Ressourcen für die Reaktion auf Vorfälle 24x7x365 verfügbar sind. Mit unseren Rotationen im Bereitschaftsdienst kann Microsoft jederzeit eine effektive Reaktion auf Vorfälle bereitstellen, einschließlich weit verbreiteter oder gleichzeitiger Ereignisse.

Wenn verdächtige Aktivitäten erkannt und eskaliert werden, initiieren dienstspezifische Security Response-Teams einen Prozess der Analyse, Eindämmung, Tilgung und Wiederherstellung. Diese Teams koordinieren die Analyse des potenziellen Incidents, um dessen Umfang zu bestimmen, einschließlich der Auswirkungen auf Kunden oder Kundendaten. Basierend auf dieser Analyse arbeiten dienstspezifische Security Response-Teams mit betroffenen Serviceteams zusammen, um einen Plan zu entwickeln, um die Bedrohung einzudämmen und die Auswirkungen des Incidents zu minimieren, die Bedrohung aus der Umgebung zu beseitigen und vollständig in einen bekannten sicheren Zustand wiederherzustellen. Relevante Serviceteams implementieren den Plan mit Unterstützung durch dienstspezifische Sicherheitsreaktionsteams, um sicherzustellen, dass die Bedrohung erfolgreich beseitigt wird und betroffene Dienste einer vollständigen Wiederherstellung unterzogen werden.

Nachdem ein Incident behoben wurde, implementieren Serviceteams alle aus dem Vorfall gewonnenen Erkenntnisse, um ähnliche Vorfälle in Zukunft besser zu verhindern, zu erkennen und darauf zu reagieren. Wählen Sie Sicherheitsvorfälle aus, insbesondere solche Vorfälle, die kundenbeeinflussend sind oder zu einer Datenverletzung führen, werden post mortem einem vollständigen Incident unterzogen. Die nachträgliche Analyse dient zur Ermittlung von technischen Fehlern, Verfahrensfehlern, manuellen Fehlern und anderen Prozessmängeln, die möglicherweise zu dem Vorfall beigetragen haben oder während der Vorfallreaktion erkannt wurden. Verbesserungen, die während der Post-Mortem-Phase identifiziert wurden, werden mit der Koordination von dienstspezifischen Security Response-Teams implementiert, um zukünftige Vorfälle zu verhindern und die Erkennungs- und Reaktionsfunktionen zu verbessern.

Wie und wann werden Kunden über Sicherheits- oder Datenschutzvorfälle benachrichtigt?

Wenn Microsoft kenntnis von einer Sicherheitsverletzung mit unbefugtem Verlust, Offenlegung oder Änderung von Kundendaten wird, benachrichtigt Microsoft die betroffenen Kunden innerhalb von 72 Stunden, wie im Datenschutz-Nachtrag (DPA) beschrieben. Die Verpflichtung zur Benachrichtigung auf der Zeitachse beginnt mit dem Eintreten der offiziellen Deklaration des Sicherheitsvorfalls. Wenn ein Sicherheitsvorfall gemeldet wird, erfolgt die Benachrichtigung so schnell wie möglich und ohne unangemessene Verzögerung.

Benachrichtigungen enthalten eine Beschreibung der Art der Sicherheitsverletzung, ungefähre Auswirkungen von Benutzern und Schritte zur Entschärfung (falls zutreffend). Wenn die Untersuchung von Microsoft zum Zeitpunkt der ersten Benachrichtigung nicht abgeschlossen ist, werden in der Benachrichtigung auch die nächsten Schritte und Zeitpläne für die nachfolgende Kommunikation angegeben.

Wenn ein Kunde auf einen Vorfall aufmerksam wird, der Auswirkungen auf Microsoft haben könnte, einschließlich, aber nicht beschränkt auf eine Datenverletzung, ist der Kunde dafür verantwortlich, Microsoft unverzüglich über den Vorfall gemäß der DPA zu benachrichtigen.

Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. In der folgenden Tabelle finden Sie Informationen zur Überprüfung von Kontrollen im Zusammenhang mit der Incidentverwaltung.

Azure und Dynamics 365

Externe Überwachungen Section Datum des letzten Berichts
ISO 27001

Erklärung der Anwendbarkeit
Zertifikat
A.16.1: Management von Informationssicherheitsvorfällen und -verbesserungen 8. April 2024
ISO 27017

Erklärung der Anwendbarkeit
Zertifikat
A.16.1: Management von Informationssicherheitsvorfällen und -verbesserungen 8. April 2024
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat
A.9.1: Benachrichtigung über eine Datenschutzverletzung mit personenbezogenen Informationen 8. April 2024
SOC 1 IM-1: Framework für die Verwaltung von Vorfällen
IM-2: Erkennungsmechanismen und Warnungen
IM-3: Ausführung der Reaktion auf Vorfälle
IM-4: Incident postmortems
IM-6: Tests zur Reaktion auf Vorfälle
OA-7: Zugriff auf Bereitschaftstechniker
Dienstag, 16. August 2024
SOC 2
SOC 3
CCM-9: Forensische Verfahren
CUEC: Melden von Vorfällen
IM-1: Framework für die Verwaltung von Vorfällen
IM-2: Erkennungsmechanismen und Warnungen
IM-3: Ausführung der Reaktion auf Vorfälle
IM-4: Incident postmortems
IM-6: Tests zur Reaktion auf Vorfälle
OA-7: Zugriff auf Bereitschaftstechniker
SOC2-6: Kundensupport-Website
SOC2-9: Dienstdashboards
20. Mai 2024

Microsoft 365

Externe Überwachungen Section Datum des letzten Berichts
FedRAMP IR-4: Behandlung von Incidents
IR-6: Vorfallberichterstattung
IR-8: Plan zur Reaktion auf Vorfälle
Dienstag, 21. August 2024
ISO 27001/27017

Erklärung der Anwendbarkeit
Zertifizierung (27001)
Zertifizierung (27017)
A.16.1: Management von Informationssicherheitsvorfällen und -verbesserungen März 2024
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat
A.10.1: Benachrichtigung über eine Datenschutzverletzung mit personenbezogenen Daten März 2024
SOC 1 CA-26: Berichterstellung für Sicherheitsvorfälle
CA-47: Reaktion auf Vorfälle
Dienstag, 1. August 2024
SOC 2 CA-12: Vereinbarungen zum Servicelevel (SLAs)
CA-13: Leitfäden zur Reaktion auf Vorfälle
CA-15: Dienststatus Benachrichtigungen

CA-26: Berichterstellung für Sicherheitsvorfälle
CA-29: Bereitschaftstechniker
CA-47: Reaktion auf Vorfälle
23. Januar 2024
SOC 3 CUEC-08: Melden von Vorfällen 23. Januar 2024

Ressourcen