So schützt OneDrive Ihre Daten in der Cloud

Sie kontrollieren Ihre Daten. Wenn Sie Ihre Daten im OneDrive-Cloudspeicher ablegen, bleiben Sie der Besitzer der Daten. Weitere Informationen zum Besitz Ihrer Daten finden Sie unter Office 365 Privacy by Design.For more information about the ownership of your data, see Office 365 Privacy by Design.

Schauen Sie sich diesen Schulungskurs an, um mehr über die OneDrive-Features zu erfahren, mit denen Sie Ihre Dateien, Fotos und Daten schützen können: Sichern, Schützen und Wiederherstellen von OneDrive

So können Sie Ihre Daten zuverlässig schützen

Es gibt einige Möglichkeiten zum Schutz Ihrer Dateien in OneDrive:

• Erstellen Sie ein sicheres Kennwort.Überprüfen Sie die Stärke Ihres Kennworts.
• Fügen Sie Sicherheitsinformationen zu Ihrem Microsoft-Konto hinzu. Sie können Informationen wie Ihre Telefonnummer, eine alternative E-Mail-Adresse und eine Sicherheitsfrage mit Antwort hinzufügen. Auf diese Weise können wir, wenn Sie Ihr Kennwort vergessen haben oder Ihr Konto gehackt wurde, anhand Ihrer Sicherheitsinformationen Ihre Identität überprüfen und Ihnen helfen, wieder Zugang zu Ihrem Konto zu erhalten. Wechseln Sie zur Seite Sicherheitsinformationen.
• Verwenden Sie die zweistufige Überprüfung. Dies verstärkt den Schutz Ihres Kontos, weil bei jedem Anmeldeversuch von einem nicht vertrauenswürdigen Gerät ein zusätzlicher Sicherheitscode eingegeben werden muss. Der zweite Schritt kann über einen Telefonanruf, eine SMS oder eine App erfolgen. Weitere Informationen zur zweistufigen Überprüfung finden Sie unter Verwenden der zweistufigen Überprüfung mit Ihrem Microsoft-Konto.
• Aktivieren Sie Verschlüsselung auf Ihren mobilen Geräten. Wenn Sie über die mobile OneDrive-App verfügen, empfiehlt es sich, die Verschlüsselung auf Ihren iOS- oder Android-Geräten zu aktivieren. Dadurch können Sie Ihre OneDrive-Dateien schützen, wenn Ihr mobiles Gerät verloren geht, gestohlen wird oder jemand sich Zugriff darauf verschafft.
• Abonnieren Sie Microsoft 365. Ein Microsoft 365-Abonnement bietet Ihnen erweiterten Schutz vor Viren und Cyberkriminalität und Möglichkeiten, Ihre Dateien vor böswilligen Angriffen wiederherzustellen.

So schützt OneDrive Ihre Daten

Microsoft-Techniker verwalten OneDrive über eine Windows PowerShell-Konsole, die eine zweistufige Authentifizierung erfordert. Wir führen tägliche Aufgaben in Form von Workflows durch, um schnell auf neue Situationen reagieren zu können. Kein Techniker hat ständige Zugriff auf den Dienst. Wenn Techniker Zugriff benötigen, müssen sie ihn anfordern. Ihre Berechtigung wird überprüft, und wenn der Zugriff des Technikers genehmigt wurde, erfolgt dies nur für einen begrenzten Zeitraum.

Darüber hinaus investieren OneDrive und Office 365 stark in Systeme, Prozesse und Personal, um die Wahrscheinlichkeit von Verletzungen des Schutzes personenbezogener Daten zu verringern und die Folgen eines Verstoßes schnell zu erkennen und abzumildern, falls dieser doch eintritt. Einige unserer Investitionen in diesen Bereich umfassen Folgendes:

Zugriffssteuerungssysteme: OneDrive und Office 365 verwalten eine „Zero-Standing Access“-Richtlinie, was bedeutet, dass die Techniker keinen Zugriff auf den Dienst haben, es sei denn, er wird in Folge eines bestimmten Vorfalls, der eine Erhöhung des Zugriffs erfordert, explizit gewährt. Immer wenn Zugriff gewährt wird, erfolgt dies unter dem Prinzip der geringsten Rechte: Die für eine bestimmte Anforderung erteilte Berechtigung erlaubt nur eine minimale Gruppe von Aktionen, die erforderlich sind, um die jeweilige Anforderung zu unterstützen. Zu diesem Ziel behalten OneDrive und Office 365 die strenge Trennung zwischen den „Rollenerweiterungen“ bei, wobei jede Rolle nur bestimmte vordefinierte Aktionen erlaubt. Die Rolle „Zugriff auf Kundendaten“ kann sich von anderen Rollen unterscheiden, die häufiger für die Verwaltung des Diensts verwendet werden, und wird vor der Genehmigung genauestens überprüft. Zusammengenommen verringern diese Investitionen in die Zugriffskontrolle erheblich die Wahrscheinlichkeit, dass ein Techniker in OneDrive oder Office 365 unberechtigterweise auf Kundendaten zugreift.

Sicherheitsüberwachungssysteme und Automatisierung: OneDrive und Office 365 sorgen für stabile Echtzeit-Sicherheitsüberwachungssysteme. Diese Systeme lösen u. a. Warnungen bei Versuchen aus, unerlaubterweise auf Kundendaten zuzugreifen, oder bei Versuchen, unerlaubterweise Daten aus unserem Dienst an andere Ziele zu übertragen. Im Zusammenhang mit den oben erwähnten Punkten zur Zugriffskontrolle führen unsere Sicherheitsüberwachungssysteme detaillierte Aufzeichnungen über die gestellten Erhöhungsanforderungen und die für eine bestimmte Erhöhungsanforderung durchgeführten Aktionen. OneDrive und Office 365 tätigen zudem Investitionen in die automatische Lösung, die automatisch auf erkannte Probleme reagieren, um Bedrohungen zu entschärfen, sowie in dedizierte Teams für die Reaktion auf Warnungen, die nicht automatisch gelöst werden können. Sicherheitsüberwachungssysteme führen OneDrive und Office 365 regelmäßig Red-Team-Übungen durch, bei denen ein internes Penetrationstestteam das Verhalten von Angreifern in der Liveumgebung simuliert. Diese Übungen führen zu regelmäßigen Verbesserungen unserer Funktionen zur Überwachung der Sicherheit und Reaktion auf Vorfälle.

Personal und Prozesse: Zusätzlich zur oben beschriebenen Automatisierung verwalten OneDrive und Office 365 Prozesse und Teams, die sowohl für die Schulung der breiteren organization über Datenschutz- und Incidentverwaltungsprozesse als auch für die Ausführung dieser Prozesse während einer Sicherheitsverletzung verantwortlich sind. So wird zum Beispiel eine detaillierte Standardarbeitsanweisung (SOP) für Datenschutzverletzungen gepflegt und mit den Teams im gesamten Unternehmen geteilt. Diese SOP beschreibt detailliert die Rollen und Verantwortlichkeiten sowohl der einzelnen Teams innerhalb von OneDrive und Office 365 als auch der zentralen Security Incident Response-Teams. Diese umfassen sowohl die Maßnahmen, die Teams ergreifen müssen, um ihre eigene Sicherheitslage zu verbessern (Durchführung von Sicherheitsüberprüfungen, Integration mit zentralen Sicherheitsüberwachungssystemen und andere bewährte Methoden), als auch die Maßnahmen, die Teams im Falle einer tatsächlichen Sicherheitsverletzung ergreifen müssen (schnelle Eskalation an das System für Reaktionen auf Vorfälle, Pflege und Bereitstellung spezifischer Datenquellen, die zur Beschleunigung des Reaktionsprozesses verwendet werden). Die Teams werden außerdem regelmäßig in der Datenklassifizierung und der korrekten Handhabung und Speicherung von personenbezogenen Daten geschult.

Die wichtigste Erkenntnis ist, dass OneDrive und Office 365, sowohl für Endkunden- als auch für Geschäftskundenpläne, stark in die Verringerung der Wahrscheinlichkeit und der Folgen von Verletzungen des Schutzes personenbezogener Daten investieren, die unsere Kunden betreffen. Sollte es zu einer Verletzung des Schutzes personenbezogener Daten kommen, verpflichten wir uns, unsere Kunden unverzüglich zu benachrichtigen, sobald die Verletzung bestätigt ist. 

Schutz während der Datenübertragung und von ruhenden Daten

Schutz während der Datenübertragung

Bei der Übertragung von Daten von den Clients in den Dienst und zwischen den Rechenzentren werden sie mit TLS-Verschlüsselung (Transport Layer Security) geschützt. Wir erlauben nur sicheren Zugriff. Wir lassen keine authentifizierten Verbindungen über HTTP zu, sondern leiten stattdessen auf HTTPS um.

Schutz von ruhenden Daten

Physischer Schutz: Nur eine begrenzte Anzahl wichtiger Mitarbeiter hat Zugang zu den Rechenzentren. Ihre Identitäten werden anhand mehrerer Authentifizierungsfaktoren verifiziert, darunter Smartcards und biometrische Daten. Es gibt Sicherheitsbeauftragte vor Ort, Bewegungsmelder und Videoüberwachung. Warnungen bei Angriffserkennung überwachen anomale Aktivitäten.

Netzwerkschutz: Die Netzwerke und Identitäten sind vom Microsoft-Unternehmensnetzwerk isoliert. Firewalls schränken in die Umgebung eingehenden Datenverkehr von nicht autorisierten Standorten ein.

Anwendungssicherheits: Techniker, die Features erstellen, befolgen den Security Development Lifecycle. Automatisierte und manuelle Analysen helfen, mögliche Sicherheitsrisiken zu erkennen. Das Microsoft Security Response Center hilft dabei, eingehende Sicherheitsrisikoberichte zu selektieren und Entschärfungen auszuwerten. Durch die Microsoft Cloud Bug Bounty-Bedingungen können Menschen auf der ganzen Welt Geld verdienen, indem sie Sicherheitsrisiken melden.

Inhaltsschutz: Jede gespeicherte Datei wird mit einem eindeutigen AES256-Schlüssel verschlüsselt. Diese eindeutigen Schlüssel werden mit einer Reihe von in Azure Key Vault gespeicherten Hauptschlüsseln verschlüsselt.

Hohe Verfügbarkeit, immer wiederherstellbar

Unsere Rechenzentren sind innerhalb der Region geografisch verteilt und fehlertolerant. Die Daten werden in mindestens zwei verschiedene Azure-Regionen gespiegelt, die mindestens mehrere hundert Meilen voneinander entfernt sind. So können wir die Auswirkungen einer Naturkatastrophe oder eines Verlustes innerhalb einer Region abmildern.

Fortlaufende Überprüfung

Wir überwachen unsere Rechenzentren ständig, um deren Integrität und Sicherheit zu gewährleisten. Dies beginnt mit dem Inventar. Ein Inventar-Agent erfasst den Zustand jedes Computers.

Nachdem wir über ein Inventar verfügen, können wir die Integrität von Computern überwachen und korrigieren. Die fortlaufende Bereitstellung gewährleistet, dass jeder Computer Patches und aktualisierte Antivirensignaturen erhält und dass für jeden Computer eine bekannt gute Konfiguration gespeichert wird. Mit der Bereitstellungslogik wird sichergestellt, dass immer nur ein bestimmter Prozentsatz der Computer gleichzeitig gepatcht oder rotiert wird.

Das Microsoft 365 "Red Team" innerhalb von Microsoft besteht aus Angriffsspezialisten. Sie suchen nach jeder Möglichkeit, sich unberechtigten Zugang zu verschaffen. Das „Blue Team“ besteht aus Defense-Technikern, die sich auf Prävention, Erkennung und Wiederherstellung konzentrieren. Sie erstellen Technologien zum Erkennen von und Reagieren auf Angriffe. Informationen zu den Erkenntnissen der Sicherheitsteams bei Microsoft finden Sie unter Security Office 365 (Blog).

Weitere OneDrive-Sicherheitsfeatures

Als Cloudspeicherdienst verfügt OneDrive über viele weitere Sicherheitsfeatures. Dazu zählen:

• Virenprüfung nach bekannten Bedrohungen beim Download – Das Windows Defender-Antischadsoftware-Modul scannt Dokumente zum Zeitpunkt des Downloads nach Inhalten, die mit einer (stündlich aktualisierten) AV-Signatur übereinstimmen.
• Überwachung auf verdächtige Aktivitäten – Um nicht autorisierten Zugriff auf Ihr Konto zu verhindern, überwacht OneDrive auf verdächtige Anmeldeversuche und blockiert diese. Darüber hinaus erhalten Sie eine E-Mail-Benachrichtigung, wenn ungewöhnliche Aktivitäten entdeckt werden, z. B. ein Anmeldeversuch von einem neuen Gerät oder Standort aus.
• Erkennung und Wiederherstellung von Ransomware : Als Microsoft 365-Abonnent werden Sie benachrichtigt, wenn OneDrive eine Ransomware oder einen böswilligen Angriff erkennt. Sie können Ihre Dateien problemlos zu einem Zeitpunkt wiederherstellen, bevor sie betroffen waren, bis zu 30 Tage nach dem Angriff. Außerdem können Sie bis zu 30 Tage nach einem böswilligen Angriff oder anderen Arten von Datenverlust, z. B. Dateibeschädigung oder versehentliches Löschen und Bearbeiten, Ihr gesamtes OneDrive wiederherstellen.
• Versionsverlauf für alle Dateitypen – Bei ungewollten Bearbeitungen oder versehentlichem Löschen können Sie gelöschte Dateien aus dem OneDrive-Papierkorb wiederherstellen oder eine vorherige Version einer Datei in OneDrive wiederherstellen.
• Kennwortgeschützte & ablaufende Freigabelinks : Als Microsoft 365-Abonnent können Sie Ihre freigegebenen Dateien sicherer halten, indem Sie ein Kennwort für den Zugriff auf sie benötigen oder ein Ablaufdatum auf dem Freigabelink festlegen.
• Benachrichtigung und Wiederherstellung von massenhaftem Löschen von Dateien : Wenn Sie versehentlich oder absichtlich eine große Anzahl von Dateien in Ihrer OneDrive-Cloudsicherung löschen, werden Sie benachrichtigt und ihnen Schritte zum Wiederherstellen dieser Dateien zur Verfügung gestellt.

Persönlicher Tresor

OneDrive Personal Vault ist ein geschützter Bereich in OneDrive, auf den Sie nur mit einer starken Authentifizierungsmethode oder einem zweiten Schritt der Identitätsüberprüfung zugreifen können, z. B. mit Ihrem Fingerabdruck, Gesicht, PIN oder einem Code, der Ihnen per E-Mail oder SMS gesendet wird. ¹ Ihre gesperrten Dateien im persönlichen Tresor verfügen über eine zusätzliche Sicherheitsebene, um sie besser zu schützen, falls jemand Zugriff auf Ihr Konto oder Ihr Gerät erhält. Der persönliche Tresor ist auf Ihrem PC, auf OneDrive.com und in der mobilen OneDrive-App verfügbar und bietet außerdem die folgenden Features:

• Direktes Scannen in den persönlichen Tresor : Sie können die mobile OneDrive-App verwenden, um Bilder oder Videos direkt in Ihrem persönlichen Tresor aufzunehmen, um sie von weniger sicheren Bereichen Ihres Geräts zu fernzuhalten, z. B. ihre Kamerarolle. ² Sie können auch wichtige Reise-, Identifikations-, Fahrzeug-, Haus- und Versicherungsdokumente direkt in Ihren persönlichen Tresor einscannen. Und Sie können von überall aus über all Ihre Geräte auf diese Fotos und Dokumente zugreifen.
• BitLocker-Verschlüsselung – Auf Windows 10-PCs synchronisiert OneDrive die Dateien in Ihrem persönlichen Tresor mit einem mit BitLocker verschlüsselten Bereich Ihrer lokalen Festplatte.
• Automatisches Sperren – Der persönliche Tresor wird auf Ihrem PC, Gerät oder online nach einer kurzen Zeit der Inaktivität automatisch wieder gesperrt. Nach der Sperrung werden alle dateien, die Sie verwendet haben, ebenfalls gesperrt und erfordern eine erneute Authentifizierung für den Zugriff. ³

Zusammen tragen diese Maßnahmen dazu bei, dass Ihre gesperrten Dateien im persönlichen Tresor auch dann geschützt sind, wenn Ihr Windows 10-PC oder Ihr mobiles Gerät verloren geht, gestohlen wird oder jemand Zugriff darauf erhält.

¹ Die Gesichts- und Fingerabdrucküberprüfung erfordert spezielle Hardware, einschließlich eines Windows Hello fähigen Geräts, eines Fingerabdrucklesers, eines beleuchteten IR-Sensors oder anderer biometrischer Sensoren und fähiger Geräte.
² Die OneDrive-App auf Android und iOS erfordert Android 6.0 oder höher bzw. iOS 12.0 und höher.
³ Das automatische Sperrintervall variiert je nach Gerät und kann vom Benutzer festgelegt werden.