Übersicht über die Verhinderung von Datenverlust in SharePoint Server 2016

Wichtig :  Dieser Artikel wurde maschinell übersetzt. Bitte beachten Sie den Haftungsausschluss. Die englische Version des Artikels ist als Referenz hier verfügbar: hier.

Damit geschäftliche Standards und Branchenbestimmungen eingehalten werden, müssen Organisationen vertrauliche Informationen schützen und deren versehentliche Veröffentlichung verhindern. Vertrauliche Informationen, deren Veröffentlichung außerhalb Ihrer Organisation zu verhindern ist, sind z. B. Finanzdaten oder personenbezogene Informationen (Personally Identifiable Information, PII) wie Kreditkartennummern, Sozialversicherungsnummern oder National-ID-Nummern. Mithilfe einer Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) in SharePoint Server 2016 können Sie vertrauliche Informationen in Ihren Websitesammlungen identifizieren, überwachen und automatisch schützen.

DLP bietet Ihnen folgende Möglichkeiten:

  • Erstellen einer DLP-Abfrage, um zu ermitteln, welche vertraulichen Informationen derzeit in Ihren Websitesammlungen vorhanden sind. Bevor Sie DLP-Richtlinien erstellen, ist es oft hilfreich festzustellen, mit welchen Typen vertraulicher Informationen Personen in Ihrer Organisation arbeiten und welche Websitesammlungen diese vertraulichen Informationen enthalten. Mithilfe einer DLP-Abfrage können Sie nach vertraulichen Informationen suchen, die allgemeinen branchenspezifischen Vorschriften unterliegen, die Risiken besser einschätzen und bestimmen, welche vertraulichen Informationen an welchen Stellen mithilfe der DLP-Richtlinien geschützt werden müssen.

  • Erstellen einer DLP-Richtlinie, um vertrauliche Informationen in Ihren Websitesammlungen zu überwachen und automatisch zu schützen. Sie können beispielsweise eine Richtlinie festlegen, durch die Benutzern ein Richtlinientipp angezeigt wird, sobald sie Dokumente speichern, die personenbezogene Informationen enthalten. Außerdem kann durch die Richtlinie der Zugriff auf diese Dokumente für alle Benutzer außer dem Websitebesitzer, Inhaltsbesitzer oder demjenigen, der das Dokument zuletzt geändert hat, automatisch blockiert werden. Da Sie aber nicht möchten, dass die DLP-Richtlinien Benutzer vom Erledigen ihrer Arbeit abhalten, bietet der Richtlinientipp die Möglichkeit, die Blockierungsaktion außer Kraft zu setzen, damit Benutzer die Arbeit mit Dokumenten fortsetzen können, wenn sie über eine geschäftliche Begründung verfügen.

DLP-Vorlagen

Beim Erstellen einer DLP-Abfrage oder einer DLP-Richtlinie können Sie aus einer Liste von DLP-Vorlagen auswählen, die allgemeinen gesetzlichen Vorschriften entsprechen. Jede DLP-Vorlage erkennt bestimmte Typen vertraulicher Informationen. So erkennt beispielsweise die Vorlage USA – Daten mit persönlich identifizierbaren Informationen (PII) Inhalt, der US- und UK-Reisepassnummern, US-Steuernummern (ITIN) oder US-Sozialversicherungsnummern (SSN) enthält.

DLP-Richtlinienvorlagen

Typen vertraulicher Informationen

Mithilfe einer DLP-Richtlinie können vertrauliche Informationen geschützt werden, die als Typ vertraulicher Informationen definiert sind. SharePoint Server 2016 enthält Definitionen für viele gängige Typen vertraulicher Informationen, die Sie direkt verwenden können, z. B. Kreditkartennummer, Bankkontonummer, National-ID-Nummer und Reisepassnummer.

Wenn eine DLP-Richtlinie nach einem Typ vertraulicher Informationen wie der Kreditkartennummer sucht, wird nicht nur nach einer 16-stellen Nummer gesucht. Jeder Typ vertraulicher Informationen ist durch eine Kombination folgender Elemente definiert und wird entsprechend ermittelt:

  • Schlüsselwörter

  • Interne Funktionen zur Überprüfung von Prüfsummen oder der Zusammensetzung

  • Auswertung regulärer Ausdrücke zum Auffinden übereinstimmender Muster

  • Prüfung sonstiger Inhalte

So kann bei der DLP-Erkennung eine höhere Genauigkeit erzielt und gleichzeitig die Anzahl von falsch positiven Ergebnissen verringert werden, durch die Arbeitsunterbrechungen verursacht werden können.

Jede DLP-Vorlage sucht nach einem oder mehreren Typen vertraulicher Informationen. Weitere Informationen zur Funktionsweise der einzelnen Typen vertraulicher Informationen finden Sie unter Wonach die Typen vertraulicher Informationen in SharePoint Server 2016 suchen.

DLP-Vorlage

Gesuchte Typen vertraulicher Informationen

USA – Daten mit persönlich identifizierbaren Informationen (PII)

USA/Vereinigtes Königreich – Reisepassnummer

USA – Steuernummer (Individual Taxpayer Identification Number, ITIN)

USA – Sozialversicherungsnummer (SSN)

USA – Gramm-Leach-Bliley Act (GLBA)

Kreditkartennummer

USA – Bankkontonummer

USA – Steuernummer (Individual Taxpayer Identification Number, ITIN)

USA – Sozialversicherungsnummer (SSN)

PCI Data Security Standard (PCI-DSS)

Kreditkartennummer

Vereinigtes Königreich – Finanzdaten

Kreditkartennummer

EU-Debitkartennummer

SWIFT-Code

USA – Finanzdaten

US-Bankleitzahl (ABA Routing Number)

Kreditkartennummer

USA – Bankkontonummer

Vereinigtes Königreich – Daten mit persönlich identifizierbaren Informationen (PII)

Vereinigtes Königreich – Sozialversicherungsnummer (National Insurance Number, NINO)

USA/Vereinigtes Königreich – Reisepassnummer

Vereinigtes Königreich – Data Protection Act

SWIFT-Code

Vereinigtes Königreich – Sozialversicherungsnummer (National Insurance Number, NINO)

USA/Vereinigtes Königreich – Reisepassnummer

Vereinigtes Königreich – Privacy and Electronic Communications Regulations

SWIFT-Code

USA – Social Security Number Confidentiality-Gesetze der Bundesstaaten

USA – Sozialversicherungsnummer (SSN)

USA – Breach Notification-Gesetze der Bundesstaaten

Kreditkartennummer

USA – Bankkontonummer

USA – Führerscheinnummer

USA – Sozialversicherungsnummer (SSN)

DLP-Abfragen

Bevor Sie DLP-Richtlinien erstellen, empfiehlt es sich festzustellen, welche vertraulichen Informationen bereits in Ihren Websitesammlungen vorhanden sind. Zu diesem Zweck erstellen Sie DLP-Abfragen im eDiscovery Center und führen diese aus.

Schaltfläche "DLP-Abfrage erstellen"

Eine DLP-Abfrage funktioniert genauso wie eine eDiscovery-Abfrage. Basierend auf der ausgewählten DLP-Vorlage ist die DLP-Abfrage so konfiguriert, dass nach bestimmten Typen vertraulicher Informationen gesucht wird. Wählen Sie zuerst die Speicherorte aus, die durchsucht werden sollen. Anschließend können Sie die Abfrage optimieren, da sie Keyword Query Language (KQL) unterstützt. Außerdem können Sie die Abfrage einschränken, indem Sie einen Datumsbereich, bestimmte Autoren, SharePoint-Eigenschaftswerte oder Speicherorte auswählen. Wie bei einer eDiscovery-Abfrage können Sie eine Vorschau der Abfrageergebnisse anzeigen, diese exportieren und herunterladen.

DLP-Abfrage mit Typen vertraulicher Informationen

DLP-Richtlinien

Mithilfe einer DLP-Richtlinie können Sie vertrauliche Informationen, die allgemeinen branchenspezifischen Vorschriften unterliegen, identifizieren, überwachen und automatisch schützen. Sie wählen aus, welche Typen vertraulicher Informationen geschützt werden sollen, und welche Aktionen auszuführen sind, wenn Inhalt mit solchen vertraulichen Informationen erkannt wird. Eine DLP-Richtlinie kann den Compliance Officer durch Senden eines Schadensberichts benachrichtigen, den Benutzer durch einen Richtlinientipp auf der Website benachrichtigen und optional den Zugriff auf das Dokument für alle Benutzer blockieren, außer dem Websitebesitzer, Inhaltsbesitzer oder demjenigen, der das Dokument zuletzt geändert hat. Der Richtlinientipp bietet außerdem die Möglichkeit, die Blockierungsaktion außer Kraft zu setzen, sodass die Benutzer mit Dokumenten weiterarbeiten können, wenn es einen geschäftlichen Grund gibt oder sie ein falsch positives Ergebnis melden müssen.

Sie erstellen und verwalten DLP-Richtlinien im Compliancerichtliniencenter. Das Erstellen einer DLP-Richtlinie erfolgt in zwei Schritten: Zuerst erstellen Sie die DLP-Richtlinie, und dann weisen Sie die Richtlinie einer Websitesammlung zu.

Compliancerichtliniencenter

Schritt 1: Erstellen einer DLP-Richtlinie

Beim Erstellen einer DLP-Richtlinie wählen Sie eine DLP-Vorlage aus, mit der nach den Typen vertraulicher Informationen gesucht wird, die Sie identifizieren, überwachen und automatisch schützen müssen.

Seite "Neue DLP-Richtlinie"

Wenn eine DLP-Richtlinie Inhalt findet, der die Mindestanzahl von Vorkommen eines bestimmten von Ihnen ausgewählten Typs vertraulicher Informationen aufweist (z. B. fünf Kreditkartennummern oder eine einzelne Sozialversicherungsnummer), kann die DLP-Richtlinie die vertraulichen Informationen mithilfe folgender Aktionen automatisch schützen:

  • Senden eines Schadensberichts mit Details zum Ereignis an ausgewählte Personen (z. B. den Compliance Officer ). Dieser Bericht enthält Details zum erkannten Inhalt, wie z. B. Titel, Dokumentbesitzer und Art der erkannten vertraulichen Informationen. Zum Senden von Schadensberichten müssen Sie in der Zentraladministration Einstellungen für ausgehende E-Mail konfigurieren.

  • Benachrichtigen des Benutzers mit einem Richtlinientipp, wenn Dokumente, die vertrauliche Informationen enthalten, gespeichert oder bearbeitet werden. Der Richtlinientipp erläutert, warum dieses Dokument in Konflikt mit einer DLP-Richtlinie steht. Benutzer können anschließend Abhilfemaßnahmen ergreifen, indem z. B. die vertraulichen Informationen aus dem Dokument entfernt werden. Sobald das Dokument richtlinienkonform ist, wird der Richtlinientipp ausgeblendet.

  • Sperren des Zugriffs auf die Inhalte für alle Personen mit Ausnahme des Websitebesitzers, Dokumentbesitzers und der Person, die zuletzt Änderungen am Dokument vorgenommen hat. Diese Personen können die vertraulichen Informationen aus dem Dokument entfernen oder andere Abhilfemaßnahmen ergreifen. Wenn das Dokument die Richtlinie erfüllt, werden die ursprünglichen Berechtigungen automatisch wiederhergestellt. Wichtig ist der Hinweis, dass der Richtlinientipp Benutzern die Möglichkeit bietet, die Blockierungsaktion außer Kraft zu setzen. Mithilfe von Richtlinientipps können Sie Benutzer über Ihre DLP-Richtlinien unterrichten und diese erzwingen, ohne dass die Benutzer ihre Arbeit unterbrechen müssen.

    Richtlinientipp, der einen gesperrten Zugriff auf das Dokument anzeigt

Schritt 2: Zuweisen einer DLP-Richtlinie

Nach der Erstellung einer DLP-Richtlinie müssen Sie diese einer oder mehreren Websitesammlungen zuweisen, damit vertrauliche Informationen an diesen Speicherorten geschützt werden können. Eine einzelne Richtlinie kann vielen Websitesammlungen zugewiesen werden, doch müssen die Zuweisungen jeweils einzeln erstellt werden.

Richtlinienzuweisungen für Websitesammlungen

Richtlinientipps

Sie möchten sicherstellen, dass Ihre DLP-Richtlinien von den Benutzern in Ihrer Organisation, die mit vertraulichen Informationen arbeiten, eingehalten werden, aber Sie möchten es den Mitarbeitern nicht unnötig erschweren, ihre Arbeit zu erledigen. Hierbei können Richtlinientipps helfen.

Ein Richtlinientipp ist eine Benachrichtigung oder Warnung, die angezeigt wird, wenn ein Benutzer mit Inhalten arbeitet, die mit einer DLP-Richtlinie in Konflikt stehen, z. B. eine Excel-Arbeitsmappe mit personenbezogenen Informationen (Personally Identifiable Information, PII), die auf einer Website gespeichert wird.

Sie können mithilfe von Richtlinientipps das Bewusstsein für Datenschutz steigern und Benutzer über die Richtlinien Ihrer Organisation informieren. Außerdem geben Richtlinientipps Benutzern die Möglichkeit, die Richtlinie außer Kraft zu setzen, damit sie nicht blockiert werden, wenn ein berechtigtes Geschäftsinteresse besteht oder wenn durch die Richtlinie fälschlicherweise ein vermeintlicher Verstoß erkannt wird.

Anzeigen oder Außerkraftsetzen eines Richtlinientipps

Um für ein Dokument eine Aktion auszuführen, z. B. die DLP-Richtlinie außer Kraft zu setzen oder ein falsch positives Ergebnis zu melden, wählen Sie im Menü Öffnen ... für das Element den Befehl Richtlinientipp anzeigen aus.

Im Richtlinientipp werden die Probleme mit dem Inhalt aufgelistet, und Sie können Auflösen auswählen und den Richtlinientipp dann außer Kraft setzen oder ein falsch positives Ergebnis melden.

Richtlinientipp für ein Dokument Außerkraftsetzen eines Richtlinientipps

Details zur Funktionsweise von Richtlinientipps

Beachten Sie, dass für Inhalte mehrere DLP-Richtlinien zutreffen können, aber nur der Richtlinientipp der restriktivsten Richtlinie mit der höchsten Priorität angezeigt wird. So wird beispielsweise der Richtlinientipp einer DLP-Richtlinie angezeigt, die den Zugriff auf Inhalte blockiert, und nicht der Richtlinientipp einer Regel, bei der einfach nur der Benutzer benachrichtigt wird. Dadurch wird verhindert, dass Benutzern eine umfangreiche Liste von Richtlinientipps angezeigt wird. Wenn die Richtlinientipps der restriktivsten Richtlinie Benutzern erlauben, die Richtlinie außer Kraft zu setzen, werden dadurch auch alle anderen Richtlinien überschrieben, die für den Inhalt gelten.

DLP-Richtlinien werden mit Websites synchronisiert, und Inhalte werden regelmäßig und asynchron gegen die Richtlinien ausgewertet (siehe nächster Abschnitt), daher kann es zu einer kurzen Verzögerung zwischen dem Zeitpunkt der Erstellung der DLP-Richtlinie und der Anzeige von Richtlinientipps kommen.

Funktionsweise von DLP-Richtlinien

DLP erkennt vertrauliche Information durch die Tiefenanalyse von Inhalt (nicht nur durch eine einfache Textüberprüfung). Bei dieser Art der Analyse werden Schlüsselwortübereinstimmungen, die Auswertung regulärer Ausdrücke, interne Funktionen und andere Methoden verwendet, um Inhalt zu ermitteln, der mit Ihren DLP-Richtlinien übereinstimmt. Möglicherweise wird nur ein kleiner Teil Ihrer Daten als vertraulich erachtet. Eine DLP-Richtlinie kann nur diese Daten identifizieren, überwachen und automatisch schützen, ohne dass die Personen, die mit den übrigen Inhalten arbeiten, eingeschränkt werden.

Nachdem Sie eine DLP-Richtlinie im Compliancerichtliniencenter erstellt haben, wird sie als Richtliniendefinition auf dieser Website gespeichert. Wenn Sie dann die Richtlinie verschiedenen Websitesammlungen zuweisen, wird die Richtlinie mit diesen Speicherorten synchronisiert und beginnt dort mit der Auswertung von Inhalten und dem Erzwingen von Aktionen, z. B. dem Senden von Schadensberichten, Anzeigen von Richtlinientipps und Sperren des Zugriffs.

Richtlinienauswertung auf Websites

Die Dokumente in all Ihren Websitesammlungen ändern sich ständig – laufend werden neue Dokumente erstellt, vorhandene Dokumente bearbeitet oder Dokumente freigegeben. Dies hat zur Folge, dass Dokumente jederzeit mit einer DLP-Richtlinie in Konflikt geraten oder richtlinienkonform werden können. So kann beispielsweise eine Person ein Dokument, das keine vertraulichen Informationen enthält, auf die Teamwebsite hochladen und eine andere Person zu einem späteren Zeitpunkt das Dokument bearbeiten und diesem vertrauliche Informationen hinzufügen.

Aus diesem Grund überprüfen DLP-Richtlinien Dokumente im Hintergrund regelmäßig auf Richtlinienübereinstimmungen. Sie können sich diesen Vorgang als asynchrone Richtlinienauswertung vorstellen.

Und so funktioniert es: Während Dokumente auf Websites hinzugefügt oder geändert werden, wird der Inhalt vom Suchmodul überprüft, wodurch eine spätere Suche danach ermöglicht wird. Währenddessen wird der Inhalt auch auf vertrauliche Informationen überprüft. Alle gefundenen vertraulichen Informationen werden sicher im Suchindex gespeichert, sodass nur das Complianceteam und nicht der normale Benutzer darauf zugreifen kann. Jede aktivierte DLP-Richtlinie wird im Hintergrund (asynchron) ausgeführt. Dabei wird die Suche regelmäßig auf Inhalt überprüft, der mit einer Richtlinie übereinstimmt, und es werden Aktionen angewendet, um den Inhalt vor einer versehentlichen Veröffentlichung zu schützen.

Diagramm, in dem dargestellt ist, wie eine DLP-Richtlinie Inhalt asynchron auswertet

Dokumente können in Konflikt mit einer DLP-Richtlinie stehen, aber sie können auch DLP-richtlinienkonform werden. Beispiel: Wenn eine Person einem Dokument Kreditkartennummern hinzufügt, kann dies u. U. dazu führen, dass eine DLP-Richtlinie den Zugriff auf das Dokument automatisch sperrt. Wenn die Person später die vertraulichen Informationen entfernt, wird die Aktion (in diesem Fall das Sperren) automatisch rückgängig gemacht, sobald die nächste Auswertung des Dokuments stattfindet.

DLP wertet alle Inhalte aus, die indiziert werden können. Weitere Informationen zu den Dateitypen, die standardmäßig durchforstet werden, finden Sie unter Standardmäßig durchforstete Dateinamenerweiterungen und analysierte Dateitypen.

Anzeigen von DLP-Ereignissen in den Verwendungsprotokollen

Sie können DLP-Richtlinienaktivitäten in den Verwendungsprotokollen auf dem Server mit SharePoint Server 2016 anzeigen. Beispielsweise können Sie den Text sehen, der von Benutzern beim Außerkraftsetzen eines Richtlinientipps oder beim Melden eines falsch positiven Ergebnisses eingegeben wurde.

Zuerst müssen Sie die Option in der Zentraladministration aktivieren (Überwachung > Verwendungs- und Integritätsdatensammlung konfigurieren > Einfaches Protokollereignis - Verwendungsdaten_SPUnifiedAuditEntry). Weitere Informationen zur Verwendungsprotokollierung finden Sie unter Konfigurieren der Verwendungs- und Integritätsdatensammlung.

Option zum Aktivieren von DLP-Verwendungsprotokollen

Nachdem Sie dieses Feature aktiviert haben, können Sie die Verwendungsberichte auf dem Server öffnen und die von Benutzern angegebenen Begründungen für das Außerkraftsetzen eines DLP-Richtlinientipps zusammen mit anderen DLP-Ereignissen anzeigen.

Grund für Außerkraftsetzung durch Benutzer im Verwendungsprotokoll

Vor den ersten Schritten mit DLP

In diesem Thema werden einige der Features genannt, von denen DLP abhängig ist. Dazu gehört Folgendes:

  • Zum Erkennen und Klassifizieren vertraulicher Informationen in Ihren Websitesammlungen starten Sie den Suchdienst, und definieren Sie einen Durchforstungszeitplan für den Inhalt.

  • Aktivieren Sie ausgehende E-Mail.

  • Zum Anzeigen von Außerkraftsetzungen durch Benutzer und anderer DLP-Ereignisse aktivieren Sie den Verwendungsbericht.

  • Erstellen Sie die Websitesammlungen:

    • Für DLP-Abfragen erstellen Sie die Websitesammlung "eDiscovery Center".

    • Für DLP-Richtlinien erstellen Sie die Websitesammlung "Compliancerichtliniencenter".

  • Erstellen Sie eine Sicherheitsgruppe für Ihr Compianceteam, und fügen Sie dann die Sicherheitsgruppe der Gruppe "Besitzer" im eDiscovery-Center oder Compliancerichtliniencenter hinzu.

  • Zum Ausführen von DLP-Abfragen sind Anzeigeberechtigungen für alle Inhalte erforderlich, die von der Abfrage durchsucht werden. Weitere Informationen finden Sie unter Erstellen einer DLP-Abfrage in SharePoint Server 2016.

Weitere Informationen

Hinweis : Haftungsausschluss für maschinelle Übersetzungen: Dieser Artikel wurde mithilfe eines Computersystems und ohne jegliche Bearbeitung durch Personen übersetzt. Microsoft bietet solche maschinellen Übersetzungen als Hilfestellung für Benutzer ohne Englischkenntnisse an, damit Sie von den Informationen zu Produkten, Diensten und Technologien von Microsoft profitieren können. Da es sich bei diesem Artikel um eine maschinelle Übersetzung handelt, enthält er möglicherweise Fehler in Bezug auf (Fach-)Terminologie, Syntax und/oder Grammatik.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×