Übersicht über die Richtlinien zur Verhinderung von Datenverlust

Damit geschäftliche Standards und Branchenbestimmungen eingehalten werden, müssen Organisationen vertrauliche Informationen schützen und deren versehentliche Veröffentlichung verhindern. Vertrauliche Informationen, deren Veröffentlichung außerhalb Ihrer Organisation zu verhindern ist, sind z. B. Finanzdaten oder personenbezogene Informationen (Personally Identifiable Information, PII) wie Kreditkartennummern, Sozialversicherungsnummern und Gesundheitsdatensätze. Mithilfe einer Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) im Office 365 Security & Compliance Center können Sie vertrauliche Informationen in Office 365 identifizieren, überwachen und automatisch schützen.

Eine DLP-Richtlinie bietet Ihnen folgende Möglichkeiten:

  • Identifizieren vertraulicher Informationen über verschiedene Standorten hinweg, z. B. Exchange Online, SharePoint Online und OneDrive for Business.

    So können Sie beispielsweise auf einer OneDrive for Business-Website abgelegte Dokumente, die eine Kreditkartennummer enthalten, identifizieren oder nur die OneDrive-Websites bestimmter Personen überwachen.

  • Verhindern der versehentlichen Freigabe von vertraulichen Informationen

    Sie können z. B. alle Dokumente oder E-Mails identifizieren, die einen Gesundheitsdatensatz enthalten, und für Personen außerhalb Ihrer Organisation freigegeben werden, und den Zugriff auf diese Dokumente bzw. das Senden dieser E-Mails dann automatisch blockieren.

  • Überwachen und Schützen vertraulicher Informationen in den Desktopversionen von Excel 2016, PowerPoint 2016 und Word 2016.

    In diesen Office 2016-Desktopprogrammen sind dieselben Funktionen zum Identifizieren vertraulicher Informationen und zum Anwenden von DLP-Richtlinien wie in Exchange Online, SharePoint Online und OneDrive for Business enthalten. DLP ermöglicht eine kontinuierliche Überwachung, wenn in diesen Office 2016-Programmen Inhalt freigegeben wird.

  • Gewährleisten der Compliance durch die Benutzer ohne Unterbrechung ihres Arbeitsflusses

    Sie können Ihre Benutzer in Bezug auf DLP-Richtlinien schulen und sie dabei unterstützen, Bestimmungen kontinuierlich einzuhalten, ohne sie von ihrer Arbeit abzuhalten. Wenn Benutzer beispielsweise versuchen, ein Dokument mit vertraulichen Informationen freizugeben, kann ihnen über eine DLP-Richtlinie eine E-Mailbenachrichtigung gesendet und ein Richtlinientipp im Kontext der Dokumentbibliothek angezeigt werden, die es ihnen ermöglichen, die Richtlinie außer Kraft zu setzen, wenn sie dies geschäftlich begründen können. Die gleichen Richtlinientipps werden auch in Outlook im Web, Outlook 2013 und höher, Excel 2016, PowerPoint 2016 sowie Word 2016 angezeigt.

  • Anzeigen von DLP-Berichten mit Inhalt, der mit den DLP-Richtlinien Ihrer Organisation übereinstimmt

    Um die Einhaltung einer DLP-Richtlinie durch Ihre Organisation zu bewerten, können Sie anzeigen, wie viele Übereinstimmungen jede Richtlinie und Regel über einen bestimmten Zeitraum erzielt. Wenn eine DLP-Richtlinie es Benutzern ermöglicht, einen Richtlinientipp außer Kraft zu setzen und als falsch positives Ergebnis zu melden, können Sie auch anzeigen, welche Benutzer diese Meldung vorgenommen haben.

DLP-Richtlinien können Sie auf der Seite "Verhinderung von Datenverlust" im Office 365 Security & Compliance Center erstellen und verwalten.

Seite "Verhinderung von Datenverlust" im Office 365 Security & Compliance Center

Inhalt

Bestandteile einer DLP-Richtlinie

Eine DLP-Richtlinie enthält einige grundlegende Angaben:

  • Wo Inhalte zu schützen sind, d. h. Speicherorte wie z. B. Exchange Online-, SharePoint Online- und OneDrive for Business-Websites.

  • Wann und wie Inhalte durch das Erzwingen von Regeln zu schützen sind, wobei Regeln aus folgenden Elementen bestehen:

    • Bedingungen, mit denen Inhalte übereinstimmen müssen, bevor die Regel erzwungen wird, z. B. nur nach Inhalten mit Sozialversicherungsnummern zu suchen, die für Personen außerhalb Ihrer Organisation freigegeben wurden.

    • Aktionen, die von der Regel automatisch ausgeführt werden sollen, wenn Inhalte gefunden werden, die mit den Bedingungen übereinstimmen, z. B. den Zugriff auf das Dokument zu sperren und eine E-Mail-Benachrichtigung an den Benutzer und den Compliance Officer zu senden.

Sie können eine Regel verwenden, um eine bestimmte Schutzanforderung zu erfüllen, und dann mithilfe einer DLP-Richtlinie allgemeine Schutzanforderungen in einer Gruppe zusammenfassen, z. B. alle Regeln, die erforderlich sind, um eine spezielle Bestimmung einzuhalten.

Möglicherweise verfügen Sie ja über eine DLP-Richtlinie, mit der Informationen ermittelt werden, die unter den Health Insurance Portability and Accountability Act (HIPAA) fallen. Mithilfe dieser DLP-Richtlinie können HIPAA-Daten (Was) auf allen SharePoint Online- und OneDrive for Business-Websites (Wo) geschützt werden, denn diese sucht nach allen Dokumenten mit diesen vertraulichen Informationen, die für Personen außerhalb Ihrer Organisation (Bedingungen) freigeben sind, sperrt dann den Zugriff auf die Dokumente und sendet eine Benachrichtigung (Aktionen). Diese Anforderungen sind als einzelne Regeln gespeichert und in einer DLP-Richtlinie zusammengefasst, um die Verwaltung und die Berichterstellung zu vereinfachen.

Diagramm mit einer DLP-Richtlinie, die Speicherorte und Regeln enthält

Speicherorte

Eine DLP-Richtlinie kann vertrauliche Informationen in Office 365 suchen und schützen, ganz gleich, ob sich die Informationen in Exchange Online, SharePoint Online oder OneDrive for Business befinden. Sie können ganz einfach auswählen, ob Sie alle SharePoint-Websites oder OneDrive-Konten, nur bestimmte Websites oder Konten oder alle Postfächer schützen möchten. Beachten Sie, dass es noch nicht möglich ist, nur die Postfächer bestimmter Benutzer auszuwählen.

Optionen für Speicherorte, auf die eine DLP-Richtlinie angewendet werden kann

Regeln

Mithilfe von Regeln werden Ihre geschäftlichen Anforderungen in Bezug auf die Inhalte Ihrer Organisation erzwungen. Eine Richtlinie enthält mindestens eine Regel, die aus Bedingungen und Aktionen besteht. Die Aktionen einer Regel werden bei Erfüllung der Bedingungen automatisch ausgeführt. Die Regeln in einer Richtlinie ausgeführt, beginnend mit der Regel mit der höchsten Priorität.

Eine Regel bietet auch Optionen, mit denen Benutzer (mit Richtlinientipps und E-Mail-Benachrichtigungen) und Administratoren (mit E-Mail-Schadensberichten) darüber informiert werden, dass Inhalte der Regel entsprechen.

Nachfolgend eine Liste der Komponenten einer Regel mit entsprechenden Erläuterungen.

Abschnitte des DLP-Regel-Editors

Bedingungen

Mithilfe von Bedingungen werden die Typen von Informationen, nach denen Sie suchen, und der Zeitpunkt der Ausführung einer Aktion bestimmt. Deswegen sind sie so wichtig. So können Sie etwa festlegen, dass Inhalt mit Reisepassnummern ignoriert wird, es sei denn, der Inhalt umfasst mehr als zehn Reisepassnummern und ist für Personen außerhalb Ihrer Organisation freigegeben.

Bedingungen konzentrieren sich auf den Inhalt, z. B. die Typen vertraulicher Informationen, nach denen Sie suchen, und auch auf den Kontext, z. B. für wen das Dokument freigegeben ist. Sie können Bedingungen verwenden, um unterschiedlichen Risikostufen unterschiedliche Aktionen zuzuweisen. So können beispielsweise intern freigegebene vertrauliche Inhalte einer niedrigeren Risikostufe angehören und somit weniger Aktionen erfordern als vertrauliche Inhalte, die für Personen außerhalb Ihrer Organisation freigegeben sind.

Liste mit verfügbaren DLP-Bedingungen

Mithilfe der nun verfügbaren Bedingungen kann nun festgestellt werden, ob:

Typen vertraulicher Informationen

Mithilfe einer DLP-Richtlinie können vertrauliche Informationen geschützt werden, die als Typ vertraulicher Informationen definiert sind. Office 365 enthält Definitionen für viele gängige Typen vertraulicher Informationen aus den verschiedensten Bereichen, die Sie direkt verwenden können, z. B. Kreditkartennummer, Bankkontonummer, National-ID-Nummer und Reisepassnummer.

Liste der verfügbaren vertraulichen Informationstypen

Wenn eine DLP-Richtlinie nach einem Typ vertraulicher Informationen wie der Kreditkartennummer sucht, wird nicht nur nach einer 16-stellen Nummer gesucht. Jeder Typ vertraulicher Informationen ist durch eine Kombination folgender Elemente definiert und wird entsprechend ermittelt:

  • Stichwörter

  • Interne Funktionen zur Überprüfung von Prüfsummen oder der Zusammensetzung

  • Auswertung regulärer Ausdrücke zum Auffinden übereinstimmender Muster

  • Prüfung sonstiger Inhalte

So kann bei der DLP-Erkennung eine höhere Genauigkeit erzielt und gleichzeitig die Anzahl von falsch positiven Ergebnissen verringert werden, durch die Arbeitsunterbrechungen verursacht werden können.

Aktionen

Wenn Inhalt mit einer Bedingung in einer Regel übereinstimmt, können Sie Aktionen anwenden, um das den Inhalt automatisch zu schützen.

Liste der verfügbaren DLP-Aktionen

Mit den nun verfügbaren Aktionen können Sie:

  • Zugriff auf Inhalt einschränken Für Websiteinhalt bedeutet dies, dass Berechtigungen für das Dokument für alle Personen mit Ausnahme des primären Websitesammlungsadministrators, des Dokumentbesitzers und der Person, die zuletzt Änderungen am Dokument vorgenommen hat, beschränkt ist. Diese Personen können die vertraulichen Informationen aus dem Dokument entfernen oder eine andere Gegenmaßnahme ergreifen. Wenn das Dokument die Richtlinie erfüllt, werden die ursprünglichen Berechtigungen automatisch wiederhergestellt. Wenn der Zugriff auf ein Dokument gesperrt ist, wird das Dokument in der Bibliothek auf der Website mit einem speziellen Richtlinientipp-Symbol angezeigt.

    Richtlinientipp, der anzeigt, dass der Zugriff auf das Dokument gesperrt ist

    Für E-Mail-Inhalte blockiert diese Aktion das Senden der Nachricht. Abhängig von der Konfiguration der DLP-Regel erhält der Absender einen Unzustellbarkeitsbericht (wenn die Regel eine Benachrichtigung verwendet), oder es wird ein Richtlinientipp angezeigt bzw. eine E-Mail-Benachrichtigung gesendet.

    Warnung, dass nicht autorisierte Empfänger aus der Nachricht entfernt werden müssen

Benutzerbenachrichtigungen und Benutzeraußerkraftsetzungen

Mit Benutzerbenachrichtigungen und Benutzeraußerkraftsetzungen können Sie Ihre Benutzer in Bezug auf DLP-Richtlinien schulen und sie dabei unterstützen, Bestimmungen kontinuierlich einzuhalten, ohne sie von ihrer Arbeit abzuhalten. Wenn Benutzer beispielsweise versuchen, ein Dokument mit vertraulichen Informationen freizugeben, kann ihnen über eine DLP-Richtlinie eine E-Mailbenachrichtigung gesendet und ein Richtlinientipp im Kontext der Dokumentbibliothek angezeigt werden, die es ihnen ermöglichen, die Richtlinie außer Kraft zu setzen, wenn sie dies geschäftlich begründen können.

DLP-Regel-Editor-Abschnitte der Benutzerbenachrichtigungen und Benutzeraußerkraftsetzungen

Die E-Mail kann die Person, die den Inhalt gesendet, freigegeben oder zuletzt geändert hat, bzw. für Websiteinhalt den primären Websitesammlungsadministrator und Dokumentbesitzer benachrichtigen. Darüber hinaus können Sie beliebige weitere Empfänger zur Benachrichtigungs-E-Mail hinzufügen oder entfernen.

Zusätzlich zum Senden einer E-Mail-Benachrichtigung wird eine Benutzerbenachrichtigung mit einem Richtlinientipp angezeigt:

  • In Outlook 2013 und höher sowie Outlook im Web.

  • Für das Dokument auf einer SharePoint Online- oder OneDrive for Business-Website.

  • In Excel 2016, PowerPoint 2016 und Word 2016, wenn das Dokument auf einer Website gespeichert ist, die in einer DLP-Richtlinie enthalten ist.

In der E-Mail-Benachrichtigung und dem Richtlinientipp wird erläutert, warum Inhalt in Konflikt zu einer DLP-Richtlinie steht. Bei entsprechender Auswahl können Benutzer über die E-Mail-Benachrichtigung und den Richtlinientipp eine Regel außer Kraft setzen, indem sie ein falsch positives Ergebnis melden oder eine geschäftliche Begründung angeben. Auf diese Weise können Sie Ihre Benutzer über Ihre DLP-Richtlinien unterrichten und diese erzwingen, ohne dass die Benutzer ihre Arbeit unterbrechen müssen. Informationen über Außerkraftsetzungen und falsch positive Ergebnisse werden für die Berichtserstellung auch protokolliert (siehe nachfolgenden Abschnitt zu DLP-Berichten) und in die Schadensberichte (nächster Abschnitt) aufgenommen, sodass der Compliance Officer diese Informationen regelmäßig einsehen kann.

So sieht ein Richtlinientipp in einem OneDrive for Business-Konto aus.

Richtlinientipp für ein Dokument in einem OneDrive-Konto

Schadensberichte

Bei einer Übereinstimmung mit einer Regel können Sie einen Schadensbericht mit Details zum Ereignis an Ihren Compliance Officer (oder eine beliebige andere Person) senden. Dieser Bericht enthält Informationen zum Element, für das eine Übereinstimmung gefunden wurde, zum Inhalt, der mit der Regel übereinstimmte, und zum Namen der Person, die den Inhalt zuletzt geändert hat. Bei E-Mail-Nachrichten wird dem Bericht außerdem die ursprüngliche Nachricht, die einer DLP-Richtlinien entspricht, als Anlage beigefügt.

Seite zum Konfigurieren von Schadensberichten

Gruppieren und logische Operatoren

Häufig enthält Ihre DLP-Richtlinie eine recht klare Anforderung, z. B. alle Inhalte zu identifizieren, die eine deutsche Sozialversicherungsnummer enthalten. Möglicherweise muss Ihre DLP-Richtlinie in anderen Szenarien jedoch weniger exakt definierte Daten identifizieren.

Wenn beispielsweise Inhalte identifiziert werden sollen, die dem Health Insurance Act (HIPAA) der USA unterliegen, muss nach folgenden Inhalten gesucht werden:

  • Inhalte, die bestimmte Arten von vertraulichen Informationen enthalten, z. B. eine deutsche Sozialversicherungsnummer oder eine DEA-Nummer (Drug Enforcement Agency, Drogenvollzugsbehörde).

    UND

  • Inhalte, die schwieriger zu erkennen sind, z. B. Schriftstücke über die Pflege eines Patienten oder mit Beschreibungen der geleisteten medizinischen Dienste. Zum Identifizieren dieser Inhalte müssen passende Schlüsselwörter aus sehr umfangreichen Listen verwendet werden, z. B. Internationale Klassifikation von Krankheiten (ICD-9-CM oder ICD-10-CM).

Solche lose definierten Daten lassen sich leicht mithilfe von Gruppierung und logischen Operatoren (UND, ODER) identifizieren. Wenn Sie eine DLP-Richtlinie erstellen, können Sie:

  • Typen vertraulicher Informationen gruppieren

  • Den logischen Operator zwischen den Typen vertraulicher Informationen innerhalb einer Gruppe und zwischen den Gruppen auswählen.

Auswählen des Operators innerhalb einer Gruppe

Mit einem Operator innerhalb einer Gruppe wählen Sie aus, ob eine oder alle Bedingungen in dieser Gruppe erfüllt sein müssen, damit der Inhalt der Regel entspricht.

Gruppe, mit dem Operator innerhalb der Gruppe

Hinzufügen einer Gruppe

Sie können eine Gruppe, die eigene Bedingungen und einen eigenen Operator innerhalb dieser Gruppe aufweisen kann, schnell und einfach hinzufügen.

Schaltfläche "Gruppe hinzufügen"

Auswählen des Operators zwischen Gruppen

Mit einem Operator zwischen Gruppen wählen Sie aus, ob die Bedingungen in einer Gruppe oder die Bedingungen in allen Gruppen erfüllt sein müssen, damit der Inhalt der Regel entspricht.

Die integrierte U.S. HIPAA-Richtlinie enthält eine Regel mit einem UND-Operator zwischen den Gruppen, damit Inhalte identifiziert werden, die Folgendes enthalten:

  • aus der Gruppe PII-Bezeichner (mindestens eine Sozialversicherungsnummer ODER eine DEA-Nummer)

    UND

  • aus der Gruppe Medizinische Begriffe (mindestens ein ICD-9-CM-Schlüsselwort ODER ein ICD-10-CM-Schlüsselwort)

Gruppen, mit dem Operator zwischen Gruppen

Die Priorität, mit der Regeln verarbeitet werden

Wenn Sie in einer Richtlinie Regeln erstellen, wird jeder Regel eine Priorität in der Reihenfolge ihrer Erstellung zugewiesen, was bedeutet, dass die zuerst erstellte Regel oberste Priorität, die danach erstellte Regel die zweite Priorität usw. erhält. Nachdem Sie eine Regel erstellt haben, kann deren Priorität nicht geändert werden, es sei denn, sie wird gelöscht und neu erstellt.

Regeln nach Priorität

Wenn Inhalte anhand von Regeln ausgewertet werden, werden diese in der Reihenfolge ihrer Priorität verarbeitet. Wenn ein Inhalt mehreren Regeln entspricht, werden die Regeln in der Reihenfolge ihrer Priorität verarbeitet, und die restriktivste Aktion wird erzwungen. Wenn Inhalt beispielsweise allen folgenden Regeln entspricht, wird Regel 3 erzwungen, da sie die höchste Priorität hat und die restriktivste Regel ist:

  • Regel 1: Benutzer nur benachrichtigen

  • Regel 2: Benutzer benachrichtigen, Zugriff beschränken und Benutzeraußerkraftsetzung zulassen

  • Regel 3: Benutzer benachrichtigen, Zugriff beschränken und keine Benutzeraußerkraftsetzung zulassen

  • Regel 4: Benutzer nur benachrichtigen

  • Regel 5: Zugriff beschränken

  • Regel 6: Benutzer benachrichtigen, Zugriff beschränken und keine Benutzeraußerkraftsetzung zulassen

Beachten Sie, dass in diesem Beispiel Übereinstimmungen für alle Regeln in den Überwachungsprotokollen aufgezeichnet und in den DLP-Berichten angezeigt werden, obwohl nur die restriktivste Regel erzwungen wird.

Beachten Sie im Hinblick auf Richtlinientipps Folgendes:

  • Nur der Richtlinientipp der restriktivsten Regel mit der höchsten Priorität wird angezeigt. So wird beispielsweise der Richtlinientipp aus einer Regel angezeigt, die Zugriff auf Inhalte blockiert, und nicht der Richtlinientipp einer Regel, die einfach nur eine Benachrichtigung sendet. Dadurch wird verhindert, dass Benutzern eine umfangreiche Liste von Richtlinientipps angezeigt wird.

  • Wenn die Richtlinientipps in der restriktivsten Regel Benutzern erlauben, die Regel außer Kraft zu setzen, werden dadurch auch alle anderen Regeln überschrieben, die für den Inhalt gelten.

Optimieren von Regeln, um Übereinstimmungen zu vereinfachen oder zu erschweren

Nachdem Personen ihre DLP-Richtlinien erstellt und aktiviert haben, ergeben sich manchmal die folgenden Probleme:

  • Zu viele Inhalte, bei denen es sich nicht um vertrauliche Informationen handelt, entsprechen der Regel, anders ausgedrückt, es gibt zu viele falsch positive Ergebnisse.

  • Zu wenig Inhalte, die vertrauliche Informationen sind, entsprechen den Regeln, anders ausgedrückt, die Schutzaktionen werden bei vertraulichen Informationen nicht erzwungen.

Um diese Probleme zu beheben, können Sie Ihre Regeln optimieren, indem Sie die Anzahl Instanzen und die Übereinstimmungsgenauigkeit anpassen, um die Übereinstimmung von Inhalten mit den Regeln zu erschweren oder zu vereinfachen. Jeder Typ vertraulicher Informationen, der in einer Regel verwendet wird, verfügt sowohl über eine Instanzenanzahl als auch über eine Übereinstimmungsgenauigkeit.

Instanzenanzahl

Die Instanzenanzahl gibt einfach nur an, wie viele Vorkommen eines bestimmten Typs vertraulicher Informationen vorhanden sein müssen, damit der Inhalt der Regel entspricht. Der Inhalt entspricht beispielsweise der unten gezeigten Regel, wenn zwischen einer und neun verschiedene US-amerikanische oder britische Reisepassnummern erkannt werden.

Beachten Sie, das bei der Anzahl der Instanzen nur verschiedene Übereinstimmungen für vertrauliche Informationstypen und Stichwörter gezählt werden. Wenn in einer E-Mail-Nachricht beispielsweise 10 mal die gleiche Kreditkartennummer vorkommt, zählen diese 10 Vorkommen als eine einzige Kreditkartennummerinstanz.

Die Verwendung der Instanzenanzahl zum Optimieren von Regeln ist einfach:

  • Damit für die Regel einfacher Übereinstimmungen gefunden werden können, verringern Sie die Werte für min Anzahl und/oder erhöhen die max Anzahl. Sie können max auch auf beliebig festlegen, indem Sie den numerischen Wert löschen.

  • Um die Übereinstimmung mit der Regel zu erschweren, erhöhen Sie den Wert für min Anzahl.

Normalerweise verwenden Sie in einer Regel mit einer geringeren Instanzenanzahl (beispielsweise 1-9) weniger restriktive Aktionen wie das Senden von Benachrichtigungen an Benutzer. In einer Regel mit einer höheren Instanzenanzahl (beispielsweise 10-beliebig) verwenden Sie restriktivere Aktionen wie das Einschränken des Zugriffs auf Inhalte, ohne Benutzeraußerkraftsetzung zuzulassen.

Instanzzählungen im Regel-Editor

Übereinstimmungsgenauigkeit

Wie vorstehend beschrieben wird jeder Typ vertraulicher Informationen durch eine Kombination unterschiedlicher Arten von Beweisen definiert und ermittelt. Im Allgemeinen wird ein Typ vertraulicher Informationen durch mehrere solche Kombinationen, den so genannten Mustern, definiert. Ein Muster, das weniger Beweise erfordert, verfügt über eine geringere Übereinstimmungsgenauigkeit (oder Vertrauensstufe), während ein Muster, das mehr Beweise erfordert, über eine höhere Übereinstimmungsgenauigkeit (oder Vertrauensstufe) verfügt. Wenn Sie mehr über die tatsächlichen Muster und Vertrauensstufen, die von jedem Typ vertraulicher Informationen verwendet werden, wissen möchten, lesen Sie Wonach Typen vertraulicher Informationen suchen.

So wird der Typ vertraulicher Informationen mit Namen Kreditkartennummer durch zwei Muster definiert:

  • Ein Muster mit einer Vertrauensstufe von 65 %, das Folgendes voraussetzt:

    • Eine Nummer im Format einer Kreditkartennummer

    • Eine Nummer, die die Prüfsumme übergibt

  • Ein Muster mit einer Vertrauensstufe von 85 %, das Folgendes voraussetzt:

    • Eine Nummer im Format einer Kreditkartennummer

    • Eine Nummer, die die Prüfsumme übergibt

    • Ein Stichwort oder ein Ablaufdatum im korrekten Format

Sie können diese Vertrauensstufen (oder die Übereinstimmungsgenauigkeit) in Ihren Regeln verwenden. Normalerweise verwenden Sie in einer Regel mit einer geringeren Übereinstimmungsgenauigkeit weniger restriktive Aktionen wie das Senden von Benachrichtigungen an Benutzer. In einer Regel mit höherer Übereinstimmungsgenauigkeit verwenden Sie restriktivere Aktionen wie das Einschränken des Zugriffs auf Inhalte, ohne Benutzeraußerkraftsetzung zuzulassen.

Es ist wichtig zu verstehen, dass nur eine einzige Vertrauensstufe zurückgegeben wird, wenn im Inhalt ein bestimmter Typ vertraulicher Informationen wie eine Kreditkartennummer erkannt wird:

  • Wenn alle Übereinstimmungen einem einzigen Muster entsprechen, wird die Vertrauensstufe für dieses Muster zurückgegeben.

  • Wenn es Übereinstimmungen für mehr als ein Muster gibt (wenn es beispielsweise Übereinstimmungen mit zwei unterschiedlichen Vertrauensstufen gibt), wird eine Vertrauensstufe zurückgegeben, die höher als die eines einzigen Musters ist. Das ist der schwierige Teil. Wenn es bei einer Kreditkarte beispielsweise Übereinstimmungen für die 65 %igen und die 85 %igen Muster gibt, ist die Vertrauensstufe, die für diesen Typ vertraulicher Informationen höher als 90 %, da mehr Beweise mehr Vertrauen bedeuten.

Wenn Sie also zwei sich gegenseitig ausschließende Regeln für Kreditkarten erstellen möchten, eine für die 65 %ige Übereinstimmungsgenauigkeit und eine für die 85 %ige Übereinstimmungsgenauigkeit, sehen die Bereiche für die Übereinstimmungsgenauigkeit folgendermaßen aus: Mit der ersten Regel werden nur Übereinstimmungen mit dem 65 %igen Muster erfasst. Mit der zweiten Regel werden Übereinstimmungen mit mindestens einer 85 %igen Übereinstimmung erfasst, und sie kann potenziell auch anderen, niedrigere Vertrauensübereinstimmungen erfassen.

Zwei Regeln mit unterschiedlichen Bereichen zum Vergleichen der Genauigkeit

Aus diesen Gründen lautet die Anleitung zum Erstellen von Regeln mit unterschiedlichen Übereinstimmungsgenauigkeiten wie folgt:

  • Für die niedrigste Vertrauensstufe wird normalerweise derselbe Wert für min und max (und kein Bereich) verwendet.

  • Bei der höchsten Vertrauensstufe handelt es sich normalerweise um einen Bereich, der von direkt über der niedrigeren Vertrauensstufe bis 100 geht.

  • Alle dazwischen liegenden Vertrauensstufen rangieren normalerweise von direkt über der niedrigeren Vertrauensstufe bis direkt unterhalb der höheren Vertrauensstufe.

Verwenden einer Bezeichnung als Bedingung in einer DLP-Richtlinie

Sie können eine Bezeichnung erstellen und dann wie folgt damit vorgehen:

  • Veröffentlichen, damit Endbenutzer sie sehen und die Bezeichnung manuell auf Inhalte anwenden können.

  • Automatisch auf Inhalte anwenden, die den von Ihnen gewählten Bedingungen entsprechen.

Weitere Informationen über Bezeichnungen finden Sie unter Übersicht über Bezeichnungen.

Nachdem Sie eine Bezeichnung erstellt haben, können Sie diese Bezeichnung als Bedingung in Ihren DLP-Richtlinien verwenden. Dies kann beispielsweise in den folgenden Fällen wünschenswert sein:

  • Sie haben eine Bezeichnung namens Vertraulich veröffentlicht, damit Mitarbeiter in Ihrer Organisation die Bezeichnung vertraulichen E-Mails und Dokumenten manuell zuweisen können. Durch Verwenden dieser Bezeichnung als Bedingung in Ihrer DLP-Richtlinie können Sie verhindern, dass mit Vertraulich gekennzeichnete Inhalte für Personen außerhalb Ihrer Organisation freigegeben werden.

  • Sie haben die Bezeichnung Alpenhaus für ein Projekt dieses Namens erstellt und dann diese Bezeichnung automatisch auf Inhalte angewendet, die das Schlüsselwort "Alpenhaus" enthalten. Durch Verwenden dieser Bezeichnung als Bedingung in Ihrer DLP-Richtlinie können Sie Endbenutzern einen Richtlinientipp zeigen, wenn Sie diesen Inhalt für jemanden außerhalb Ihrer Organisation freigeben.

  • Sie haben die Bezeichnung Steuererklärung veröffentlicht, damit der Zuständige die Bezeichnung manuell Inhalten zuweisen kann, die entsprechend klassifiziert werden müssen. Durch Verwenden dieser Bezeichnung als Bedingung in Ihrer DLP-Richtlinie können Sie nach Inhalten mit dieser Bezeichnung zusammen mit anderen Typen vertraulicher Informationen wie US-Steuernummern für Privatpersonen (ITIN) und US-Sozialversicherungsnummern (SSN) suchen. Wenden Sie Schutzaktionen auf Inhalte mit der Bezeichnung Steuererklärung an, und rufen Sie detaillierte Aktivitätsberichte zur DLP-Richtlinie aus den DLP-Berichten und Überwachungsprotokolldaten ab.

  • Sie haben die Bezeichnung Geschäftsleitungsteam – Vertraulich in den Exchange-Postfächern und OneDrive-Konten einer Gruppe von Führungskräfte veröffentlicht. Durch Verwenden dieser Bezeichnung als Bedingung in Ihrer DLP-Richtlinie können Sie für dieselbe Teilmenge von Inhalten und Benutzern sowohl Aufbewahrungs- als auch Schutzaktionen erzwingen.

Durch Verwenden von Bezeichnungen als Bedingung in Ihren DLP-Regeln können Sie Schutzaktionen selektiv auf eine bestimmte Gruppe von Inhalten, Standorten oder Benutzern anwenden.

Bezeichnungen als Bedingung

Die Beziehung dieses Features zu anderen Features

Auf Inhalte mit vertraulichen Informationen können verschiedene Features angewendet werden:

  • Eine automatisch zugewiesene Bezeichnung und eine Aufbewahrungsrichtlinie können beide Aktionen zur Aufbewahrung dieser Inhalte erzwingen.

  • Mit einer DLP-Richtlinie können Aktionen zum Schutz dieser Inhalte erzwungen werden. Und bevor diese Aktionen erzwungen werden, kann eine DLP-Richtlinie andere Bedingungen anfordern, die zusätzlich zum Inhalt mit einer Bezeichnung erfüllt werden müssen.

Diagramm der Features, die Sie auf vertrauliche Informationen anwenden können

Beachten Sie, dass eine DLP-Richtlinie eine umfangreichere Erkennungsfunktionalität als eine Bezeichnung oder Aufbewahrungsrichtlinie aufweist, die vertraulichen Informationen zugewiesen ist. Eine DLP-Richtlinie kann Schutzaktionen für Inhalte mit vertraulichen Informationen erzwingen. Wenn die vertraulichen Informationen aus dem Inhalt entfernt werden, erfolgt nach der nächsten Untersuchung des Inhalts die Aufhebung dieser Schutzaktionen. Doch wenn eine Aufbewahrungsrichtlinie oder Bezeichnung Inhalt mit vertraulichen Informationen zugewiesen ist, handelt es sich um eine einmalige Aktion, die nicht rückgängig gemacht wird, wenn die vertraulichen Informationen entfernt werden.

Durch Verwenden einer Bezeichnung als Bedingung in Ihrer DLP-Richtlinie können Sie für Inhalte mit dieser Bezeichnung sowohl Aufbewahrungs- als auch Schutzaktionen erzwingen. Sie können sich Inhalte mit einer Bezeichnung exakt wie Inhalte mit vertraulichen Informationen vorstellen. Sowohl eine Bezeichnung als auch der Typ mit vertraulichen Informationen sind Eigenschaften zum Klassifizieren von Inhalten, damit Sie Aktionen für diese erzwingen können.

Diagramm der DLP-Richtlinie mit der Bezeichnung als Bedingung

Die einfachen Einstellungen im Vergleich zu den erweiterten Einstellungen

Beim Erstellen einer DLP-Richtlinie wählen Sie zwischen einfachen und erweiterten Einstellungen aus:

  • Einfache Einstellungen machen es leicht, die am häufigsten verwendeten Typen von DLP-Richtlinien zu erstellen, ohne Regeln mit dem Regel-Editor erstellen oder ändern zu müssen.

  • Erweiterte Einstellungen verwenden den Regel-Editor, um Ihnen die vollständige Kontrolle über jede Einstellung für Ihre DLP-Richtlinie zu geben.

Keine Sorge, hinter den Kulissen funktionieren die einfachen Einstellungen und die erweiterten Einstellungen genau gleich. Beide erzwingen aus Bedingungen und Aktionen bestehende Regeln, nur dass der Regel-Editor bei den einfachen Einstellungen nicht angezeigt wird. Dies ist eine schnelle Möglichkeit zum Erstellen einer DLP-Richtlinie.

Einfache Einstellungen

Das bei Weitem häufigste DLP-Szenario ist das Erstellen einer Richtlinie, mit der Sie Inhalte mit vertraulichen Informationen vor der Freigabe für Personen außerhalb Ihrer Organisation schützen und eine automatische Abhilfemaßnahme erstellen, indem Sie z. B. den Zugriff auf den Inhalt einschränken, Endbenutzern oder Administratoren Benachrichtigungen senden und das Ereignis für eine spätere Untersuchung überwachen. Personen verwenden DLP, um zu verhindern, dass vertrauliche Informationen versehentlich veröffentlicht werden.

Um dieses Ziel einfacher zu erreichen, können Sie beim Erstellen einer DLP-Richtlinie Einfache Einstellungen verwenden auswählen. Diese Einstellungen bieten alles, was Sie benötigen, um die am häufigsten verwendeten DLP-Richtlinien zu implementieren, ohne in den Regel-Editor wechseln zu müssen.

DLP-Optionen für einfache und erweiterte Einstellungen

Erweiterte Einstellungen

Wenn Sie speziellere DLP-Richtlinien erstellen müssen, können Sie Erweiterte Einstellungen verwenden auswählen.

Die erweiterten Einstellungen präsentieren Ihnen den Regel-Editor, mit dem Sie die vollständige Kontrolle über alle verfügbaren Optionen haben, einschließlich Anzahl der Instanzen und Übereinstimmungsgenauigkeit (Vertrauensstufe) für jede Regel.

Um schnell zu einem bestimmten Abschnitt zu springen, klicken Sie auf der oberen Navigationsleiste des Regel-Editors auf ein Element, um unten zum betreffenden Abschnitt zu wechseln.

Oberes Navigationsmenü des DLP-Regel-Editors

DLP-Richtlinienvorlagen

Der erste Schritt zum Erstellen einer DLP-Richtlinie ist das Auswählen der zu schützenden Informationen. Indem Sie mit einer DLP-Vorlage beginnen, müssen Sie nicht alle Regeln von Grund auf neu erstellen und sich überlegen, welche Typen von Informationen standardmäßig eingeschlossen werden sollen. Sie können diesen Anforderungen dann Elemente hinzufügen bzw. die Anforderungen ändern, um die Regel auf die speziellen Anforderungen Ihrer Organisation anzupassen.

Mithilfe einer vorkonfigurierten DLP-Richtlinie können bestimmte Typen vertraulicher Informationen erkannt werden, etwa HIPAA-Daten, PCI-DSS-Daten, Gramm-Leach-Bliley Act-Daten oder sogar gebietsschemaspezifische personenbezogene Informationen (Personally Identifiable Information, PII). Damit Sie allgemeine Typen vertraulicher Informationen schnell ausfindig machen und schützen können, weisen die in Office 365 enthaltenen Richtlinienvorlagen bereits die gängigsten Typen vertraulicher Informationen auf, sodass Sie schnell einen Einstieg finden.

Liste der Vorlagen für DLP-Richtlinien mit dem Fokus auf die Vorlage für das US-amerikanische Patriot Act

Ihre Organisation weist aber möglicherweise ihre ganz eigenen speziellen Anforderungen auf. In diesem Fall können Sie eine DLP-Richtlinie auch von Grund auf neu erstellen, indem Sie die Option Benutzerdefinierte Richtlinie auswählen. Eine benutzerdefinierte Richtlinie ist leer und enthält keine vordefinierten Regeln.

Schrittweise Einführung von DLP-Richtlinien mit Testmodus

Beim Erstellen von DLP-Richtlinien sollten Sie eine schrittweise Einführung in Erwägung ziehen, um ihre Auswirkungen zu bewerten und ihre Wirksamkeit zu testen, bevor Sie sie in umfassendem Maße erzwingen. So möchten Sie beispielsweise sicher vermeiden, dass eine neue DLP-Richtlinie unbeabsichtigt den Zugriff auf Tausende von Dokumenten sperrt, auf die Benutzer zugreifen müssen, um ihre Arbeit zu erledigen.

Wenn Sie DLP-Richtlinien mit potenziell weitreichenden Auswirkungen erstellen, empfiehlt sich die Einhaltung der folgenden Reihenfolge:

  1. Starten Sie im Testmodus ohne Richtlinientipps, und bewerten Sie dann die Auswirkungen mithilfe der DLP-Berichte und Schadensberichte. Sie können DLP-Berichte verwenden, um Anzahl, Ort, Typ und Schwere von Richtlinienübereinstimmungen anzuzeigen. Basierend auf den Ergebnissen können Sie die Regeln bei Bedarf anpassen. Im Testmodus haben DLP-Richtlinien keine Auswirkungen auf die Produktivität Ihrer Mitarbeiter.

  2. Wechseln Sie zum Testmodus mit Benachrichtigungen und Richtlinientipps, sodass Sie beginnen können, die Benutzer über die Compliancerichtlinien zu unterrichten und auf die Verwendung der Regeln vorzubereiten, die angewendet werden sollen. Zu diesem Zeitpunkt können Sie die Benutzer auch bitten, falsch positive Ergebnisse zu melden, um die Regeln weiter zu verfeinern.

  3. Beginnen Sie mit der vollständigen Erzwingung der Richtlinien, sodass die Aktionen in den Regeln angewendet und die Inhalte geschützt werden. Überwachen Sie die DLP-Berichte und Schadensberichte bzw. Benachrichtigungen weiterhin, um sicherzustellen, dass die Ergebnisse Ihren Erwartungen entsprechen.

Optionen zum Verwenden des Testmodus und zum Aktivieren einer Richtlinie

Sie können eine DLP-Richtlinie jederzeit deaktivieren. Dies wirkt sich auf alle Regeln in der Richtlinie aus. Jede Regel kann aber auch einzeln deaktiviert werden, indem Sie ihren Status im Regel-Editor wechseln.

Optionen zum Deaktivieren einer Regel in einer Richtlinie

DLP-Berichte

Nachdem Sie Ihre DLP-Richtlinien erstellt und aktiviert haben, möchten Sie natürlich sicherstellen, dass sie Ihren Erwartungen entsprechend funktionieren und Ihnen dabei helfen, Compliance zu gewährleisten. Den DLP-Berichten können Sie schnell die Anzahl der DLP-Richtlinien- und -Regelübereinstimmungen sowie die Anzahl von falsch positiven Ergebnissen und Außerkraftsetzungen entnehmen. Sie können die Übereinstimmungen in einem Bericht nach Speicherort und Zeitrahmen filtern und sogar auf eine bestimmte Richtlinie, Regel oder Aktion eingrenzen.

DLP-Berichte bieten Ihnen geschäftliche Einblicke und ermöglichen Ihnen Folgendes:

  • Konzentration auf bestimmte Zeiträume und Erkennen der Gründe für Spitzen und Trends.

  • Bestimmen von Geschäftsprozessen, die die Compliancerichtlinien der Organisation verletzen.

  • Erkennen der geschäftlichen Auswirkungen von DLP-Richtlinien.

Außerdem können Sie mit den DLP-Berichten Ihre DLP-Richtlinien während der Ausführung feinabstimmen.

Dashboard "Berichte" im Security & Compliance Center

Funktionsweise von DLP-Richtlinien

DLP erkennt vertrauliche Information durch die Tiefenanalyse von Inhalt (nicht nur durch eine einfache Textüberprüfung). Bei dieser Art der Analyse werden Schlüsselwörter- und Wörterbuchübereinstimmungen, die Auswertung regulärer Ausdrücke, interne Funktionen und andere Methoden verwendet, um Inhalt zu ermitteln, der mit Ihren DLP-Richtlinien übereinstimmt. Möglicherweise wird nur ein kleiner Teil Ihrer Daten als vertraulich erachtet. Eine DLP-Richtlinie kann nur diese Daten identifizieren, überwachen und automatisch schützen, ohne dass die Personen, die mit den übrigen Inhalten arbeiten, eingeschränkt werden.

Richtlinien werden synchronisiert

Wenn Sie eine DLP-Richtlinie im Security & Compliance Center erstellt haben, wird sie in einem zentralen Richtlinienspeicher abgelegt und dann mit den verschiedenen Inhaltsquellen synchronisiert, u. a. den folgenden:

  • Exchange Online und von dort aus mit Outlook im Web und Outlook 2013 und höher

  • OneDrive for Business-Websites

  • SharePoint Online-Websites

  • Office 2016-Desktopprogramme (Excel 2016, PowerPoint 2016 und Word 2016)

Wenn die Richtlinie mit den entsprechenden Speicherorten synchronisiert wurde, beginnt sie, Inhalte auszuwerten und Aktionen zu erzwingen.

Richtlinienauswertung auf OneDrive for Business- und SharePoint Online-Websites

Die Dokumente in all Ihren SharePoint Online- und OneDrive for Business-Websites ändern sich ständig – laufend werden neue Dokumente erstellt, vorhandene Dokumente bearbeitet oder Dokumente freigegeben. Dies hat zur Folge, dass Dokumente jederzeit mit einer DLP-Richtlinie in Konflikt geraten oder richtlinienkonform werden können. So kann beispielsweise eine Person ein Dokument, das keine vertraulichen Informationen enthält, auf die Teamwebsite hochladen und eine andere Person zu einem späteren Zeitpunkt das Dokument bearbeiten und diesem vertrauliche Informationen hinzufügen.

Aus diesem Grund überprüfen DLP-Richtlinien Dokumente im Hintergrund regelmäßig auf Richtlinienübereinstimmungen. Sie können sich diesen Vorgang als asynchrone Richtlinienauswertung vorstellen.

Und so funktioniert es: Während Dokumente auf Websites hinzugefügt oder geändert werden, wird der Inhalt vom Suchmodul überprüft, wodurch eine spätere Suche danach ermöglicht wird. Währenddessen wird der Inhalt auch auf vertrauliche Informationen und eine mögliche Freigabe überprüft. Alle gefundenen vertraulichen Informationen werden sicher im Suchindex gespeichert. Auf diesen kann nur das Complianceteam, nicht der normale Benutzer zugreifen. Jede aktivierte DLP-Richtlinie wird im Hintergrund (asynchron) ausgeführt. Dabei wird die Suche regelmäßig auf Inhalt überprüft, der mit einer Richtlinie übereinstimmt, und es werden Aktionen angewendet, um den Inhalt vor einer versehentlichen Veröffentlichung zu schützen.

Diagramm, in dem dargestellt ist, wie eine DLP-Richtlinie Inhalt asynchron auswertet

Dokumente können in Konflikt mit einer DLP-Richtlinie stehen, aber sie können auch DLP-richtlinienkonform werden. Beispiel: Wenn eine Person einem Dokument Kreditkartennummern hinzufügt, kann dies u. U. dazu führen, dass eine DLP-Richtlinie den Zugriff auf das Dokument automatisch sperrt. Wenn die Person später die vertraulichen Informationen entfernt, wird die Aktion (in diesem Fall das Sperren) automatisch rückgängig gemacht, sobald die nächste Auswertung des Dokuments stattfindet.

DLP wertet alle Inhalte aus, die indiziert werden können. Weitere Informationen zu den Dateitypen, die standardmäßig durchforstet werden, finden Sie unter Standardmäßig durchforstete Dateierweiterungen und analysierte Dateitypen in SharePoint Server 2013.

Richtlinienauswertung in Exchange Online, Outlook 2013 und höher sowie Outlook im Web

Beim Erstellen einer DLP-Richtlinie, die Exchange Online als einen Speicherort enthält, wird die Richtlinie von Office 365 Security & Compliance Center nach Exchange Online, und dann von Exchange Online nach Outlook im Web sowie Outlook 2013 und höher synchronisiert.

Beim Verfassen einer Nachricht in Outlook können Richtlinientipps für den Benutzer angezeigt werden, während die erstellten Inhalte anhand der DLP-Richtlinien ausgewertet werden. Und nach dem Senden einer Nachricht wird sie im Rahmen des normalen E-Mail-Flusses anhand der DLP-Richtlinien sowie der im Exchange Admin Center erstellten Exchange-Transportregeln und DLP-Richtlinien ausgewertet (weitere Informationen finden Sie im nächsten Abschnitt). DLP-Richtlinien scannen die Nachricht und alle Anlagen.

Richtlinienauswertung in den Office 2016-Desktopprogrammen

In Excel 2016, PowerPoint 2016 und Word 2016 sind dieselben Funktionen zum Identifizieren vertraulicher Informationen und zum Anwenden von DLP-Richtlinien wie in SharePoint Online und OneDrive for Business enthalten. Diese Office 2016-Programme synchronisieren ihre DLP-Richtlinien direkt vom zentralen Richtlinienspeicher aus und überprüfen den Inhalt dann laufend mithilfe der DLP-Richtlinien, wenn mit Dokumenten gearbeitet wird, die von einer Website geöffnet werden, die in einer DLP-Richtlinie enthalten ist.

Die DLP-Richtlinienauswertung in Office 2016 wirkt sich nicht auf die Leistung der Programme oder die Produktivität der Personen aus, die mit solchem Inhalt arbeiten. Wenn ein großes Dokument bearbeitet wird oder der Computer eines Benutzers ausgelastet ist, kann es möglicherweise einige Sekunden dauern, bis ein Richtlinientipp angezeigt wird.

Berechtigungen

Die Mitglieder Ihres Complianceteams, die DLP-Richtlinien erstellen sollen, benötigen Berechtigungen für das Security & Compliance Center. Standardmäßig verfügt der Mandantenadministrator über Zugriff auf diesen Ort und kann den Compliance Officers und anderen Personen den Zugriff auf das Security & Compliance Center gewähren, ohne ihnen die Berechtigungen eines Mandantenadministrators zuzuweisen. Es empfiehlt sich, in diesem Fall wie folgt vorzugehen:

  1. Erstellen Sie eine Gruppe in Office 365, und fügen Sie dieser Compliance Officers hinzu.

  2. Erstellen Sie auf der Seite Berechtigungen im Security & Compliance Center eine Rollengruppe.

  3. Fügen Sie die Office 365-Gruppe der Rollengruppe hinzu.

Weitere Informationen finden Sie unter Gewähren des Zugriffs auf das Office 365 Compliance Center.

Diese Berechtigungen sind nur erforderlich, um eine DLP-Richtlinie zu erstellen und anzuwenden. Für die Richtlinienerzwingung ist kein Zugriff auf den Inhalt erforderlich.

Finden der DLP-Cmdlets

Zur Verwendung der meisten Cmdlets für das Security & Compliance Center müssen Sie folgende Aktionen ausführen:

  1. Herstellen einer Verbindung zum Office 365 Security & Compliance Center mithilfe von Remote-PowerShell

  2. Verwenden eines der Office 365 Security & Compliance Center-Cmdlets

Allerdings müssen DLP-Berichte Daten überall aus Office 365 abrufen, einschließlich Exchange Online. Aus diesem Grund sind die Cmdlets für die DLP-Berichte in Exchange Online-Powershell und nicht in Security & Compliance Center-Powershell verfügbar. Zur Verwendung der Cmdlets für die DLP-Berichte müssen Sie daher folgende Aktionen ausführen:

  1. Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell

  2. Verwenden Sie die Cmdlets für die DLP-Berichte:

Weitere Informationen

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×