Defense Federal Acquisition Regulation Supplement (DFARS)

Übersicht über DFARS

Am 21. Oktober 2016 hat das Verteidigungsministerium (Department of Defense, DoD) seine endgültige Regel zur Änderung des DFARS -Ergänzungssatzes (Defense Federal Acquisition Regulation) erlassen und Meldepflichten für Schutz- und Cybervorfälle für Verteidigungsunternehmen auferlegt, deren Informationssysteme abgedeckte Verteidigungsinformationen verarbeiten, speichern oder übertragen.

Die endgültige DFARS-Klausel 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) enthält Sicherheitsvorkehrungen, die Anforderungen an die Meldung von Cybervorfällen und zusätzliche Überlegungen für Clouddienstanbieter umfassen. Gemäß DFARS 252.204-7012 sind alle Auftragnehmer des Verteidigungsministeriums und die Verteidigungsindustriebasis verpflichtet, die DFARS-Anforderungen für eine angemessene Sicherheit zu erfüllen, "sobald dies praktisch ist, aber spätestens am 31. Dezember 2017".

Microsoft und DFARS

Microsoft Government Cloud Services helfen den Kunden der USA Industriebasis und der Verteidigungsunternehmen, die DFARS-Anforderungen zu erfüllen, die in den DFARS-Klauseln von 252.204-7012 aufgeführt sind, die für Clouddienstanbieter gelten. Wenn Verteidigungsunternehmen die DFARS-Klausel 252.204-7012 in Verträgen einhalten müssen, kann Microsoft die Anforderungen unterstützen, die für Clouddienstanbieter für Azure Government und Office 365 US Government Defense-Dienste gelten. Beide Dienste zeigen Unterstützung für die Funktionen, die für Kunden erforderlich sind, um die DFARS 7012-Klauseln durch ihre L5-Akkreditierung für das Department of Defense Security Requirements Guide einzuhalten.

Zu Microsoft gehörende Cloudplattformen und -dienste

Abgedeckte Dienste für DoD Impact Level 5

  • Azure und Azure Government
  • Office 365 US Government and Office 365 US Government Defense

Azure, Dynamics 365 und DFARS

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure DFARS-Angebot.

Office 365 und DFARS

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
GCC Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High Microsoft Entra-ID, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra-ID, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Audits, -Berichte und -Zertifikate

Häufig gestellte Fragen

Welche DFARS-Anforderungen werden von Office 365 US Government Defense unterstützt?

Office 365 US Government Defense ermöglicht es unseren Kunden, die DFARS-Anforderungen zu erfüllen, die in den DFARS-Klauseln von 252.204-7012 aufgeführt sind, die für Clouddienstanbieter gelten.

Hat ein unabhängiger Gutachter überprüft, dass Office 365 US Government Defense DFARS-Anforderungen unterstützt?

Ja, eine Bewertung eines Drittanbieters organization bestätigt hat, dass das Office 365 Clouddienstangebot von US Government Defense die geltenden Anforderungen der DFARS-Klausel 252.204-7012 (Safeguarding Unclassified Controlled Technical Information) erfüllt.

Welche Beziehung besteht zwischen kontrollierten nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) und abgedeckten Verteidigungsinformationen (CDI)?

CUI sind Informationen, die eine Sicherung oder Verbreitung von Kontrollen gemäß Gesetz, Regulierung oder regierungsweiten Richtlinien erfordern. Die CUI-Registrierung identifiziert genehmigte CUI-Kategorien und Unterkategorien.

CDI sind kontrollierte technische Informationen oder andere Informationen (wie im CUI-Register beschrieben), die schutz- oder Verbreitungskontrollen erfordern und entweder:

  • Gekennzeichnet oder anderweitig im Vertrag, Auftragsauftrag oder Lieferauftrag gekennzeichnet und dem Auftragnehmer von oder im Namen von DoD im Zusammenhang mit der Vertragserfüllung zur Verfügung gestellt wird oder
  • Gesammelt, entwickelt, empfangen, übertragen, genutzt oder im Auftrag des Auftragnehmers zur Unterstützung der Vertragserfüllung gespeichert

Erfüllen alle Microsoft Office 365 Dienste die "angemessenen Sicherheitsanforderungen", die für "abgedeckte Verteidigungsinformationen" gemäß der DFARS-Verordnung gelten?

Im Oktober 2016 verkündete das Verteidigungsministerium eine endgültige Regel zur Umsetzung von DFARS-Klauseln (Defense Federal Acquisition Regulation), die für alle Auftragnehmer des Verteidigungsministeriums gelten, die "abgedeckte Verteidigungsinformationen" über ihre Informationssysteme verarbeiten, speichern oder übertragen. Die Regel besagt, dass solche Systeme die Sicherheitsanforderungen erfüllen müssen, die in NIST SP 800-171, Schutz kontrollierter unklassifizierter Informationen in nichtfederalen Informationssystemen und Organisationen oder einer "alternativen, aber ebenso wirksamen Sicherheitsmaßnahme" festgelegt sind, die vom Vertragsbeauftragten des DoD genehmigt wird. Und wenn ein Auftragnehmer des Verteidigungsministeriums einen externen Clouddienstanbieter verwendet, um abgedeckte Verteidigungsinformationen zu verarbeiten, zu speichern oder zu übertragen, muss dieser Anbieter Sicherheitsanforderungen erfüllen, die der FedRAMP Moderate-Baseline entsprechen.

Die folgenden Microsoft Office 365 Clouddienste haben eine fedRAMP moderate-Autorisierung erhalten und sind für DFARS geeignet: Office 365 US-Regierung und Office 365 US Government Defense.

Darüber hinaus werden Microsoft-Angebote außerhalb der FedRAMP-zertifizierten Grenze, die möglicherweise von DoD-Auftragnehmern zum Verarbeiten, Speichern oder Übertragen von "abgedeckten Verteidigungsinformationen" verwendet werden können, einer Überprüfung unterzogen, um einen Compliance-Stichtag vom 31. Dezember 2017 einzuhalten. Microsoft arbeitet daran, zu dokumentieren, wie diese internen und kundenorientierten Dienste NIST SP 800-171 oder ein akzeptables Sicherheitsäquivalent einhalten, um die DFARS-relevanten Klauseln zu erfüllen.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen