Erstellen einer DLP-Richtlinie anhand einer Vorlage

Wichtig :  Dieser Artikel wurde maschinell übersetzt. Bitte beachten Sie den Haftungsausschluss. Die englische Version des Artikels ist als Referenz hier verfügbar: hier.

Die einfachste und gängigste Methode zum Einstieg in DLP-Richtlinien (Data Loss Prevention, Schutz vor Datenverlust) ist die Verwendung einer der in Office 365 enthaltenen Vorlagen. Sie können eine der folgenden Vorlagen unverändert einsetzen oder die Regeln an bestimmte Complianceanforderungen Ihrer Organisation anpassen.

Office 365 bietet mehr als 40 sofort einsatzbereite Vorlagen, mit deren Hilfe Sie eine große Vielzahl allgemeiner behördlicher und geschäftlicher Richtlinienanforderungen erfüllen können. Es gibt z. B. DLP-Richtlinienvorlagen für Folgendes:

  • Gramm-Leach-Bliley Act (GLBA)

  • Payment Card Industry Data Security Standard (PCI-DSS)

  • USA – Daten mit persönlich identifizierbaren Informationen (PII)

  • USA: Health Insurance Act (HIPAA)

Sie können eine Vorlage optimieren, indem Sie vorhandene Regeln ändern oder neue hinzufügen. Sie können z. B. einer Regel neue Typen vertraulicher Informationen hinzufügen, den Schwellenwert für die Auslösung der Regel erhöhen oder verringern, das Außerkraftsetzen der Aktionen in einer Regel bei Angabe einer geschäftlichen Begründung zulassen oder die Empfänger von Benachrichtigungen und Schadensberichten ändern. Eine DLP-Richtlinienvorlage ist ein flexibler Ausgangspunkt für viele gängige Complianceszenarien.

Sie können auch die Vorlage "Benutzerdefiniert" wählen, die keine Standardregeln bietet, und Ihre DLP-Richtlinie von Grund auf so konfigurieren, dass Sie die spezifischen Complianceanforderungen Ihrer Organisation erfüllt.

Beispiel: Bestimmen vertraulicher Informationen auf allen OneDrive for Business-Websites und Einschränken des Zugriffs für Personen außerhalb Ihrer Organisation

OneDrive for Business-Konten erleichtern Mitarbeitern in Ihrer Organisation die Zusammenarbeit und das Freigeben von Dokumenten. Doch häufig haben Compliance Officer Bedenken, dass in OneDrive for Business-Konten gespeicherte vertrauliche Informationen versehentlich für Personen außerhalb Ihrer Organisation freigegeben werden. Mithilfe einer DLP-Richtlinie kann dieses Risiko entschärft werden.

In diesem Beispiel erstellen Sie eine DLP-Richtlinie, die (US-amerikanische) personenbezogene Informationen identifiziert, wozu US-Steuernummern (Individual Taxpayer Identification Number, ITIN), US-Sozialversicherungsnummern und US-Reisepassnummern gehören. Sie wählen zunächst eine Vorlage aus, die Sie anschließend an die Complianceanforderungen Ihrer Organisation anpassen. Sie führen insbesondere die folgenden Schritte aus:

  • Fügen Sie mehrere Typen vertraulicher Informationen (US-Bankkontonummern und US-Führerscheinnummern) hinzu, damit die DLP-Richtlinie Ihre vertraulichen Daten stärker schützt.

  • Erhöhen Sie den Vertraulichkeitsgrad der Richtlinie, damit ein einzelnes Vorkommen einer vertraulichen Information ausreicht, um den Zugriff für externe Benutzer einzuschränken.

  • Ermöglichen Sie Benutzern das Außerkraftsetzen der Aktionen, indem Sie eine geschäftliche Begründung angeben oder ein falsch positives Ergebnis melden. Auf diese Weise hindert Ihre DLP-Richtlinie die Benutzer in Ihrer Organisation nicht am Erledigen ihrer Aufgaben, vorausgesetzt, sie haben einen gültigen geschäftlichen Grund für die Freigabe der vertraulichen Informationen.

Erstellen einer DLP-Richtlinie anhand einer Vorlage

  1. Wechseln Sie zu https://protection.office.com.

  2. Melden Sie sich bei Office 365 mit Ihrem Geschäfts-, Schul- oder Unikonto an. Sie befinden sich jetzt im Office 365 Security & Compliance Center.

  3. Wählen Sie in Security & Compliance Center im linken Navigationsbereich Verhinderung von Datenverlust > Richtlinie > Richtlinie erstellen aus.

    Schaltfläche "Richtlinie erstellen"

  4. Wählen Sie die DLP-Richtlinienvorlage aus, die die gewünschten Arten vertraulicher Informationen schützt, und klicken Sie auf Weiter.

    In diesem Beispiel wählen Sie Datenschutz > USA – Daten mit persönlich identifizierbaren Informationen (PII), da diese Vorlage bereits die meisten Typen vertraulicher Informationen abdeckt, die Sie schützen möchten. Später fügen Sie noch weitere hinzu.

    Wenn Sie eine Vorlage auswählen, erfahren Sie in der Beschreibung auf der rechten Seite, welche Arten vertraulicher Informationen von der Vorlage geschützt werden.

    Seite zum Auswählen einer DLP-Richtlinienvorlage

  5. Benennen Sie die Richtlinie, und klicken Sie auf Weiter.

  6. Zum Auswählen der Speicherorte, die die DLP-Richtlinie schützen soll, führen Sie einen der folgenden Schritte aus:

    • Wählen Sie Alle Speicherorte in Office 365 > Weiter.

    • Wählen Sie Lassen Sie mich bestimmte Speicherorte wählen > Weiter. Wählen Sie dies für dieses Beispiel aus.

      Um einen gesamten Speicherort, wie z. B. alle Exchange-E-Mail- oder alle OneDrive-Konten, ein- oder auszuschließen, schalten Sie den Status dieses Speicherorts ein oder aus.

      Um nur bestimmte SharePoint-Websites oder OneDrive for Business-Konten einzuschließen, ändern Sie den Status in "Ein". Klicken Sie dann auf die Links unter Einschließen, um bestimmte Websites oder Konten zu wählen. Wenn Sie eine Richtlinie auf eine Website anwenden, werden die in dieser Richtlinie konfigurierten Regeln automatisch auf alle Unterwebsites dieser Website angewendet.

      Optionen für Speicherorte, auf die eine DLP-Richtlinie angewendet werden kann

      Um bei diesem Beispiel vertrauliche Informationen zu schützen, die in allen OneDrive for Business-Konten gespeichert sind, deaktivieren Sie Status für Exchange-E-Mail und -Websites, und lassen Sie Status für OneDrive-Konten aktiviert.

  7. Wählen Sie Erweiterte Einstellungen verwenden >Weiter aus.

  8. Eine DLP-Richtlinienvorlage enthält vordefinierte Regeln mit Bedingungen und Aktionen, die bestimmte Typen von vertraulichen Informationen erkennen und entsprechend agieren. Sie können die vorhandenen Regeln bearbeiten und löschen, die vorhandenen Regeln deaktivieren oder neue Regeln hinzufügen. Wenn Sie fertig sind, klicken Sie auf Weiter.

    In der Richtlinienvorlage "USA: PII" erweiterte Regeln

    In diesem Beispiel enthält die Vorlage "USA – PII" zwei vordefinierte Regeln:

    • USA – PII: Geringe Menge von Inhalten erkannt Diese Regel sucht nach Dateien mit 1 bis 10 Vorkommen jedes der drei Typen vertraulicher Informationen (ITIN, SSN und US-Reisepassnummer), wenn die Dateien für Personen außerhalb der Organisation freigegeben sind. Falls gefunden, sendet die Regel eine Benachrichtigung per E-Mail an den primären Websitesammlungsadministrator, Besitzer des Dokuments oder die Person, die das Dokument zuletzt geändert hat.

    • USA PII: Große Menge von Inhalten erkannt Diese Regel sucht nach Dateien mit mehr als 10 Vorkommen jedes der drei Typen vertraulicher Informationen, wenn die Dateien für Personen außerhalb der Organisation freigegeben sind. Falls gefunden, sendet diese Aktion auch eine Benachrichtigung per E-Mail und schränkt ferner den Zugriff auf die Datei ein. Für Inhalt in einem OneDrive for Business-Konto bedeutet dies, dass Berechtigungen für ein Dokument für alle Personen mit Ausnahme des primären Websitesammlungsadministrators, des Dokumentbesitzers und der Person, die zuletzt Änderungen am Dokument vorgenommen hat, eingeschränkt sind.

    Um bestimmte Anforderungen Ihrer Organisation zu erfüllen, können Sie den Schwellenwert für die Auslösung der Regeln verringern, damit ein einzelnes Vorkommen einer vertraulichen Information ausreicht, um den Zugriff für externe Benutzer zu blockieren. Nach Betrachten dieser Regeln verstehen Sie, dass Sie keine Regeln für niedrige und hohe Anzahl, sondern nur eine einzige Regel brauchen, die den Zugriff blockiert, wenn ein beliebiges Vorkommen einer vertraulichen Information gefunden wird.

    Deshalb erweitern Sie die Regel namens USA – PII: Geringe Menge von Inhalten erkannt und wählen Regel löschen aus.

    Schaltfläche "Regel löschen"

  9. Bei diesem Beispiel müssen Sie zwei Typen vertraulicher Informationen hinzufügen (US-Kontonummern und US-Führerscheinnummern), Benutzern das Außerkraftsetzen einer Regel erlauben und die Anzahl der Vorkommen ändern. Dies erreichen Sie alles durch Bearbeiten einer Regel. Wählen Sie deshalb USA PII: Große Menge von Inhalten erkannt > Regel bearbeiten aus.

    Schaltfläche "Regel bearbeiten"

  10. Klicken Sie zum Hinzufügen eines vertraulichen Informationstyps im Abschnitt Bedingungen auf Typen hinzufügen oder ändern. Wählen Sie dann unter Typen hinzufügen oder ändern den Befehl Hinzufügen. Wählen Sie US-Bankkontonummer und US-Führerscheinnummer aus. Klicken Sie auf Hinzufügen und danach auf Fertig.

    Option "Typen hinzufügen oder ändern"

    Bereich "Typen hinzufügen oder ändern"

  11. Zum Ändern der Anzahl (d. h. der erforderlichen Anzahl der Vorkommen vertraulicher Informationen, um die Regel auszulösen) wählen Sie unter Anzahl von Instanzen den Wert Min. aus und geben 1 ein. Die Mindestanzahl darf nicht leer sein. Die maximale Anzahl darf leer sein, denn ein leerer Max-Wert bedeutet Alle.

    Wenn Sie fertig sind, sollte für die Mindestanzahl für alle Typen vertraulicher Informationen 1 und für die maximale Anzahl Alle angegeben sein. Das heißt, dass alle Vorkommen dieses Typs vertraulicher Informationen diese Bedingung erfüllen.

    Zähler der Vorkommen vertraulicher Informationstypen

  12. Zweck der letzten Anpassung ist, dass Ihre DLP-Richtlinien Mitarbeiter nicht am Erledigen ihrer Aufgaben hindern sollen, wenn sie eine gültige geschäftliche Begründung haben oder ein falsch positives Ergebnis erhalten. Deshalb sollte die Benachrichtigung der Benutzer Optionen zum Außerkraftsetzen der Blockieraktion enthalten.

    Im Abschnitt Benutzerbenachrichtigungen sehen Sie, dass E-Mail-Benachrichtigungen und Richtlinientipps für diese Regel in der Vorlage standardmäßig aktiviert sind.

    Im Abschnitt Außerkraftsetzungen können Sie sehen, dass Außerkraftsetzungen für eine geschäftliche Rechtfertigung aktiviert sind, Außerkraftsetzungen zum Melden falsch positiver Ergebnisse dagegen nicht. Wählen Sie Regel automatisch überschreiben, wenn ein falsch positives Ergebnis gemeldet wird.

    Abschnitt "Benutzerbenachrichtigungen" und Abschnitt "Benutzeraußerkraftsetzungen"

  13. Ändern Sie oben im Regel-Editor den Namen dieser Regel von der Standardeinstellung USA PII: Große Menge von Inhalten erkannt in USA PII: Beliebige Inhalte erkannt , da die Regel nun bei jedem beliebigen Vorkommen eines ihrer vertraulichen Informationstypen ausgelöst wird.

  14. Klicken Sie unten im Regel-Editor auf Speichern.

  15. Überprüfen Sie die Bedingungen und Aktionen für diese Regel, und klicken Sie auf Weiter.

    Beachten Sie rechts den Schalter Status für die Regel. Wenn Sie eine gesamte Richtlinie deaktivieren, werden auch alle in der Richtlinie enthaltenen Regeln deaktiviert. Sie können jedoch eine spezifische Regel deaktivieren, ohne die gesamte Richtlinie zu deaktivieren. Dies kann hilfreich sein, wenn Sie eine Regel untersuchen müssen, die eine große Anzahl falsch positiver Ergebnisse generiert.

  16. Machen Sie sich auf der nächsten Seite mit den Informationen vertraut, und wählen Sie dann, ob Sie die Regel aktivieren oder zuerst testen möchten. Klicken Sie auf Weiter.

    Beim Erstellen von DLP-Richtlinien sollten Sie eine schrittweise Einführung in Erwägung ziehen, um ihre Auswirkungen zu bewerten und ihre Wirksamkeit zu testen, bevor Sie sie in umfassendem Maß erzwingen. So möchten Sie beispielsweise sicher vermeiden, dass eine neue DLP-Richtlinie unbeabsichtigt den Zugriff auf Tausende von Dokumenten sperrt, die Benutzer benötigen, um ihre Arbeit zu erledigen.

    Wenn Sie DLP-Richtlinien mit potenziell weitreichenden Auswirkungen erstellen, empfiehlt sich die Einhaltung der folgenden Reihenfolge:

    1. Starten Sie im Testmodus ohne Richtlinientipps, und bewerten Sie dann die Auswirkungen mithilfe der DLP-Berichte. Sie können DLP-Berichte verwenden, um Anzahl, Ort, Typ und Schwere von Richtlinienübereinstimmungen anzuzeigen. Basierend auf den Ergebnissen können Sie die Regeln bei Bedarf anpassen. Im Testmodus haben DLP-Richtlinien keine Auswirkungen auf die Produktivität Ihrer Mitarbeiter.

    2. Wechseln Sie zum Testmodus mit Benachrichtigungen und Richtlinientipps, sodass Sie beginnen können, die Benutzer über die Compliancerichtlinien zu unterrichten und auf die Verwendung der Regeln vorzubereiten, die angewendet werden sollen. Zu diesem Zeitpunkt können Sie die Benutzer auch bitten, falsch positive Ergebnisse zu melden, um die Regeln weiter zu verfeinern.

    3. Aktivieren Sie die Richtlinien, damit die Regeln erzwungen und die Inhalte geschützt werden. Überwachen Sie die DLP-Berichte und Schadensberichte bzw. Benachrichtigungen weiterhin, um sicherzustellen, dass die Ergebnisse Ihren Erwartungen entsprechen.

    Optionen zum Verwenden des Testmodus und zum Aktivieren einer Richtlinie

  17. Überprüfen Sie Ihre Einstellungen für diese Richtlinie, und klicken Sie dann auf Erstellen.

Nachdem Sie eine DLP-Richtlinie erstellt und aktiviert haben, wird sie allen enthaltenen Inhaltsquellen zugeordnet, z. B. SharePoint Online-Websites oder OneDrive for Business-Konten. Die Richtlinie beginnt automatisch mit dem Erzwingen ihrer Regeln für diese Inhalte.

Anzeigen des Status einer DLP-Richtlinie

Sie können den Status Ihrer DLP-Richtlinien jederzeit im Security & Compliance Center im Abschnitt Verhinderung von Datenverlust auf der Seite Richtlinie anzeigen. Dort finden Sie wichtige Informationen, beispielsweise ob eine Richtlinie erfolgreich aktiviert oder deaktiviert wurde und ob sich die Richtlinie im Testmodus befindet.

Nachfolgend werden die verschiedenen Status und deren Bedeutung aufgeführt.

Status

Erläuterung

Wird aktiviert...

Die Richtlinie wird für die in der Richtlinie enthaltenen Inhaltsquellen bereitgestellt. Die Richtlinie wurde noch nicht für alle Quellen erzwungen.

Test (mit Benachrichtigungen)

Die Richtlinie ist im Testmodus. Die Aktionen in einer Regel werden nicht angewendet, aber Übereinstimmungen mit der Richtlinie werden gesammelt und können in den DLP-Berichten untersucht werden. Benachrichtigungen zu Übereinstimmungen mit der Richtlinie werden an die vorgesehenen Empfänger gesendet.

Test (ohne Benachrichtigungen)

Die Richtlinie ist im Testmodus. Die Aktionen in einer Regel werden nicht angewendet, aber Übereinstimmungen mit der Richtlinie werden gesammelt und können in den DLP-Berichten untersucht werden. Benachrichtigungen zu Übereinstimmungen mit der Richtlinie werden nicht an die vorgesehenen Empfänger gesendet.

Ein

Die Richtlinie ist aktiv und wird erzwungen. Die Richtlinie wurde erfolgreich für alle zugehörigen Inhaltsquellen bereitgestellt.

Wird deaktiviert...

Die Richtlinie wird aus den darin enthaltenen Inhaltsquellen entfernt. Die Richtlinie ist möglicherweise immer noch aktiv und wird für einige Quellen erzwungen. Die Deaktivierung einer Richtlinie kann bis zu 45 Minuten dauern.

Aus

Die Richtlinie ist nicht aktiv und wird nicht erzwungen. Die Einstellungen für die Richtlinie (Quellen, Stichwörter, Dauer, usw.) sind gespeichert.

Wird gelöscht...

Die Richtlinie wird gerade gelöscht. Die Richtlinie ist nicht aktiv und wird nicht erzwungen.

Deaktivieren einer DLP-Richtlinie

Sie können eine DLP-Richtlinie jederzeit bearbeiten und deaktivieren, wodurch alle Regeln in der Richtlinie deaktiviert werden.

Um eine DLP-Richtlinie zu bearbeiten oder zu deaktivieren, wählen Sie die Richtlinie auf der Seite Richtlinie aus und klicken dann auf Richtlinie bearbeiten.

Schaltfläche "Richtlinie bearbeiten"

Darüber hinaus können Sie jede Regel einzeln deaktivieren, indem Sie die Richtlinie bearbeiten und dann die Einstellung Status dieser Regel (wie zuvor beschrieben) umschalten.

Weitere Informationen

Hinweis : Haftungsausschluss für maschinelle Übersetzungen: Dieser Artikel wurde mithilfe eines Computersystems und ohne jegliche Bearbeitung durch Personen übersetzt. Microsoft bietet solche maschinellen Übersetzungen als Hilfestellung für Benutzer ohne Englischkenntnisse an, damit Sie von den Informationen zu Produkten, Diensten und Technologien von Microsoft profitieren können. Da es sich bei diesem Artikel um eine maschinelle Übersetzung handelt, enthält er möglicherweise Fehler in Bezug auf (Fach-)Terminologie, Syntax und/oder Grammatik.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×