Erstellen einer DLP-Richtlinie anhand einer Vorlage

Wichtig :  Dieser Artikel wurde maschinell übersetzt. Bitte beachten Sie den Haftungsausschluss. Die englische Version des Artikels ist als Referenz hier verfügbar: hier.

Die einfachste und gängigste Methode zum Einstieg in DLP-Richtlinien (Data Loss Prevention, Schutz vor Datenverlust) ist die Verwendung einer der in Office 365 enthaltenen Vorlagen. Sie können eine der folgenden Vorlagen unverändert einsetzen oder die Regeln an bestimmte Complianceanforderungen Ihrer Organisation anpassen.

Office 365 bietet mehr als 40 sofort einsatzbereite Vorlagen, mit deren Hilfe Sie eine große Vielzahl allgemeiner behördlicher und geschäftlicher Richtlinienanforderungen erfüllen können. Es gibt z. B. DLP-Richtlinienvorlagen für Folgendes:

  • Gramm-Leach-Bliley Act (GLBA)

  • Payment Card Industry Data Security Standard (PCI-DSS)

  • USA – Daten mit persönlich identifizierbaren Informationen (PII)

  • USA: Health Insurance Act (HIPAA)

Sie können eine Vorlage optimieren, indem Sie vorhandene Regeln ändern oder neue hinzufügen. Sie können z. B. einer Regel neue Typen vertraulicher Informationen hinzufügen, den Schwellenwert für die Auslösung der Regel erhöhen oder verringern, das Außerkraftsetzen der Aktionen in einer Regel bei Angabe einer geschäftlichen Begründung zulassen oder die Empfänger von Benachrichtigungen und Schadensberichten ändern. Eine DLP-Richtlinienvorlage ist ein flexibler Ausgangspunkt für viele gängige Complianceszenarien.

Sie können auch die Vorlage "Benutzerdefiniert" wählen, die keine Standardregeln bietet, und Ihre DLP-Richtlinie von Grund auf so konfigurieren, dass Sie die spezifischen Complianceanforderungen Ihrer Organisation erfüllt.

Beispiel: Bestimmen vertraulicher Informationen auf allen OneDrive for Business-Websites und Sperren des Zugriffs für Personen außerhalb Ihrer Organisation

OneDrive for Business-Websites erleichtern Mitarbeitern in Ihrer Organisation die Zusammenarbeit und das Freigeben von Dokumenten. Doch häufig haben Compliance Officer Bedenken, dass auf OneDrive for Business-Websites gespeicherte vertrauliche Informationen versehentlich für Personen außerhalb Ihrer Organisation freigegeben werden. Mithilfe einer DLP-Richtlinie kann dieses Risiko entschärft werden.

In diesem Beispiel erstellen Sie eine DLP-Richtlinie, die (US-amerikanische) personenbezogene Informationen identifiziert, wozu US-Steuernummern (Individual Taxpayer Identification Number, ITIN), US-Sozialversicherungsnummern und US-Reisepassnummern gehören. Sie wählen zunächst eine Vorlage aus, die Sie anschließend an die Complianceanforderungen Ihrer Organisation anpassen. Sie führen insbesondere die folgenden Schritte aus:

  • Fügen Sie mehrere Typen vertraulicher Informationen (US-Bankkontonummern und US-Führerscheinnummern) hinzu, damit die DLP-Richtlinie Ihre vertraulichen Daten stärker schützt.

  • Erhöhen Sie den Vertraulichkeitsgrad der Richtlinie, damit ein einzelnes Vorkommen einer vertraulichen Information ausreicht, um den Zugriff für externe Benutzer zu blockieren.

  • Ermöglichen Sie Benutzern das Außerkraftsetzen der Aktionen, indem Sie eine geschäftliche Begründung angeben oder ein falsch positives Ergebnis melden. Auf diese Weise hindert Ihre DLP-Richtlinie die Benutzer in Ihrer Organisation nicht am Erledigen ihrer Aufgaben, vorausgesetzt, sie haben einen gültigen geschäftlichen Grund für die Freigabe der vertraulichen Informationen.

Erstellen einer DLP-Richtlinie anhand einer Vorlage

  1. Melden Sie sich beim Office 365 Admin Center an.

  2. Navigieren Sie zu Admin Center > Sicherheit und Compliance. Sie befinden sich jetzt im Office 365 Security & Compliance Center.

  3. Navigieren Sie zu Sicherheitsrichtlinien > Verhinderung von Datenverlust, und klicken Sie dann auf Neu (+).

    Schaltfläche "Neu" zum Erstellen einer Richtlinie zur Verhinderung von Datenverlust im Office 365 Security & Compliance Center
  4. Wählen Sie in der Liste der DLP-Richtlinienvorlagen die Vorlage aus, die die gewünschten Arten vertraulicher Informationen schützt, und klicken Sie auf Weiter.

    In diesem Beispiel wählen Sie Datenschutz > USA – Daten mit persönlich identifizierbaren Informationen (PII), da diese Vorlage bereits die meisten Typen vertraulicher Informationen abdeckt, die Sie schützen möchten. Später fügen Sie noch weitere hinzu.

    Wenn Sie eine Vorlage auswählen, erfahren Sie in der nachstehenden Beschreibung, welche Arten vertraulicher Informationen von der Vorlage geschützt werden.

    Dialogfeld "Neue DLP-Richtlinie" mit hervorgehobener Richtlinienvorlage "USA – Daten mit persönlich identifizierbaren Informationen (PII)"

  5. Zum Auswählen der Speicherorte, die die DLP-Richtlinie schützen soll, aktivieren oder deaktivieren Sie die Optionen. Um bei diesem Beispiel vertrauliche Daten zu schützen, die auf allen OneDrive for Business-Websites gespeichert sind, wählen Sie OneDrive for Business > Alle OneDrive for Business-Websites aus, und klicken Sie dann auf Weiter.

    Sie können auch nur bestimmte Websites schützen. Wählen Sie Bestimmte Websites auswählen > Hinzufügen (+) aus. Geben Sie anschließend in Websites wählen die URL der Website ein. Klicken Sie auf Hinzufügen > OK, wenn Sie mit dem Hinzufügen von Websites fertig sind, und klicken Sie dann auf Weiter.

    Optionen für Speicherorte, auf die eine DLP-Richtlinie angewendet werden kann

    Wenn Sie eine Richtlinie auf eine Website anwenden, werden die in dieser Richtlinie konfigurierten Regeln automatisch auf alle Unterwebsites dieser Website angewendet.

    Das Dialogfeld "Websites auswählen" zum Angeben der URL einer Website mit vertraulichen Informationen

  6. Eine DLP-Richtlinienvorlage enthält vordefinierte Regeln mit Bedingungen und Aktionen, die bestimmte Typen von vertraulichen Informationen erkennen und entsprechend agieren. Sie können die vorhandenen Regeln ändern oder löschen oder neue Regeln hinzufügen. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Hervorgehobene Standardregeln

    In diesem Beispiel enthält die Vorlage "USA – PII" zwei vordefinierte Regeln:

    • USA – PII: Außerhalb freigegebenen Inhalt prüfen - niedrige Anzahl Diese Regel sucht nach Dateien mit 1 bis 10 Vorkommen jeder der drei Typen vertraulicher Informationen (ITIN, SSN und US-Reisepassnummer), wenn die Dateien für Personen außerhalb der Organisation freigegeben sind. Falls gefunden, sendet die Regel eine Benachrichtigung an den primären Websitesammlungsadministrator, Besitzer des Dokuments oder die Person, die das Dokument zuletzt geändert hat. Außerdem wird ein Schadensbericht an den primären Websitesammlungsadministrator gesendet.

    • USA – PII: Außerhalb freigegebenen Inhalt prüfen - hohe Anzahl Diese Regel sucht nach Dateien mit mehr als 10 Vorkommen jeder der drei Typen vertraulicher Informationen, wenn die Dateien für Personen außerhalb der Organisation freigegeben sind. Falls gefunden, sendet diese Aktion auch eine Benachrichtigung und einen Schadensbericht und blockiert ferner den Zugriff auf die Datei.

    Um bestimmte Anforderungen Ihrer Organisation zu erfüllen, können Sie den Schwellenwert für die Auslösung der Regeln verringern, damit ein einzelnes Vorkommen einer vertraulichen Information ausreicht, um den Zugriff für externe Benutzer zu blockieren. Nach Betrachten dieser Regeln verstehen Sie, dass Sie keine Regeln für niedrige und hohe Anzahl, sondern nur eine einzige Regel brauchen, die den Zugriff blockiert, wenn ein beliebiges Vorkommen einer vertraulichen Information gefunden wird.

    Deshalb wählen Sie die Regel USA – PII: Außerhalb freigegebenen Inhalt prüfen - niedrige Anzahl > Löschen.

    Seite "Regeln anpassen" mit hervorgehobener Option "Löschen"

  7. Bei diesem Beispiel müssen Sie zwei Typen vertraulicher Informationen hinzufügen (US-Kontonummern und US-Führerscheinnummern), Benutzern das Außerkraftsetzen einer Regel erlauben und die Anzahl für Vorkommen ändern. Dies erreichen Sie alles durch Bearbeiten einer Regel. Wählen Sie deshalb USA – PII: Außerhalb freigegebenen Inhalt prüfen - hohe Anzahl > Bearbeiten aus.

    Seite "Regeln anpassen" mit hervorgehobener Option "Bearbeiten"

  8. Klicken Sie zum Hinzufügen eines vertraulichen Informationstyps in der Bedingung Enthält vertrauliche Informationen auf Hinzufügen +. Wählen Sie dann in Typen vertraulicher Informationen den Eintrag US-Bankkontonummer aus. Klicken Sie auf Hinzufügen, wählen Sie US-Führerscheinnummer aus , klicken Sie auf Hinzufügen und dann auf OK.

    Die Seite "Bedingungen" einer Richtlinie zur Verhinderung von Datenverlust zum Erstellen von Regeln, die sich auf personenbezogene Informationen ("USA – Daten mit persönlich identifizierbaren Informationen") beziehen

    Dialogfeld "Typen vertraulicher Informationen" mit ausgewählter US-Führerscheinnummer
  9. Um die Anzahl zu ändern, wählen Sie jeden Typ vertraulicher Informationen aus, und klicken Sie dann auf Bearbeiten. Passen Sie die Mindestanzahl an (sie darf nicht leer sein), und klicken Sie auf Speichern.

    Option "Minimale Anzahl"

    Wenn Sie fertig sind, sollte für die Anzahl für alle Typen vertraulicher Informationen Alle angegeben sein, was heißt, dass alle Vorkommen dieses Typs vertraulicher Informationen diese Bedingung erfüllen.

    Enthält eine Bedingung für vertrauliche Informationen mit einem hervorgehobenen Anzahlwert

  10. Zweck der letzten Anpassung ist, dass Ihre DLP-Richtlinien Mitarbeiter nicht am Erledigen ihrer Aufgaben hindern sollen, wenn sie eine gültige geschäftliche Begründung haben. Deshalb sollte die Benachrichtigung Optionen zum Außerkraftsetzen der Blockieraktion enthalten.

    Wählen Sie auf der linken Seite Aktionen aus. Aktivieren Sie unter Außerkraftsetzungsoptionen alle drei Kontrollkästchen, und klicken Sie dann auf OK.

    Hervorgehobene Optionen für die Außerkraftsetzung

  11. Nehmen Sie auf den restlichen Seiten des Regel-Editors benötigte Änderungen vor, und klicken Sie dann auf OK:

    • Schadensberichte Beachten Sie, dass der hier ausgewählte Schweregrad bestimmt, wie eine Übereinstimmung mit dieser Regel in den DLP-Berichten eingestuft wird.

    • Name Ändern Sie den Namen dieser Regel von der Standardeinstellung USA – PII: Außerhalb freigegebenen Inhalt prüfen – hohe Anzahl in USA – PII: Außerhalb freigegebenen Inhalt prüfen – Alle, da die Regel nun bei allen Vorkommen von Typen vertraulicher Informationen ausgelöst wird.

      Wenn Sie eine Richtlinie deaktivieren, werden auch alle in der Richtlinie enthaltenen Regeln deaktiviert. Sie können jedoch auch diese spezifische Regel deaktivieren, ohne die gesamte Richtlinie zu deaktivieren. Dies kann hilfreich sein, wenn Sie eine Regel untersuchen müssen, die eine große Anzahl falsch positiver Ergebnisse generiert.

  12. Klicken Sie nach dem Definieren der Regeln auf der Seite "Neue DLP-Richtlinie" auf Weiter.

  13. Beachten Sie Folgendes, ehe Sie auf der letzten Seite auf Erstellen klicken.

    Wichtig :  Beim Erstellen von DLP-Richtlinien sollten Sie eine schrittweise Einführung in Erwägung ziehen, um ihre Auswirkungen zu bewerten und ihre Wirksamkeit zu testen, bevor Sie sie in umfassendem Maß erzwingen. So möchten Sie beispielsweise sicher vermeiden, dass eine neue DLP-Richtlinie unbeabsichtigt den Zugriff auf Tausende von Dokumenten sperrt, die Benutzer benötigen, um ihre Arbeit zu erledigen.

    Wenn Sie DLP-Richtlinien mit potenziell weitreichenden Auswirkungen erstellen, empfiehlt sich die Einhaltung der folgenden Reihenfolge:

    1. Starten Sie im Testmodus ohne Richtlinientipps, und bewerten Sie dann die Auswirkungen mithilfe der DLP-Berichte. Sie können DLP-Berichte verwenden, um Anzahl, Ort, Typ und Schwere von Richtlinienübereinstimmungen anzuzeigen. Basierend auf den Ergebnissen können Sie die Regeln bei Bedarf anpassen. Im Testmodus haben DLP-Richtlinien keine Auswirkungen auf die Produktivität Ihrer Mitarbeiter.

    2. Wechseln Sie zum Testmodus mit Benachrichtigungen und Richtlinientipps, sodass Sie beginnen können, die Benutzer über die Compliancerichtlinien zu unterrichten und auf die Verwendung der Regeln vorzubereiten, die angewendet werden sollen. Zu diesem Zeitpunkt können Sie die Benutzer auch bitten, falsch positive Ergebnisse zu melden, um die Regeln weiter zu verfeinern.

    3. Aktivieren Sie die Richtlinien, damit die Regeln erzwungen und die Inhalte geschützt werden. Überwachen Sie die DLP-Berichte und Schadensberichte bzw. Benachrichtigungen weiterhin, um sicherzustellen, dass die Ergebnisse Ihren Erwartungen entsprechen.

  14. Wählen Sie Erstellen aus.

Nachdem Sie eine DLP-Richtlinie erstellt und aktiviert haben, wird sie allen enthaltenen Inhaltsquellen zugeordnet, z. B. SharePoint Online- oder OneDrive for Business-Websites. Die Richtlinie beginnt automatisch mit dem Erzwingen ihrer Regeln für diese Inhalte.

Anzeigen des Status einer DLP-Richtlinie

Sie können den Status Ihrer DLP-Richtlinien jederzeit im Security & Compliance Center auf der Seite Verhinderung von Datenverlust anzeigen. Dort finden Sie wichtige Informationen, beispielsweise ob eine Richtlinie erfolgreich aktiviert oder deaktiviert wurde und ob sich die Richtlinie im Testmodus befindet.

Nachfolgend werden die verschiedenen Status und deren Bedeutung aufgeführt.

Status

Erläuterung

Wird aktiviert...

Die Richtlinie wird für die in der Richtlinie enthaltenen Inhaltsquellen bereitgestellt. Die Richtlinie wurde noch nicht für alle Quellen erzwungen.

Test (mit Benachrichtigungen)

Die Richtlinie ist im Testmodus. Die Aktionen in einer Regel werden nicht angewendet, aber Übereinstimmungen mit der Richtlinie werden gesammelt und können in den DLP-Berichten untersucht werden. Benachrichtigungen zu Übereinstimmungen mit der Richtlinie werden an die vorgesehenen Empfänger gesendet.

Test (ohne Benachrichtigungen)

Die Richtlinie ist im Testmodus. Die Aktionen in einer Regel werden nicht angewendet, aber Übereinstimmungen mit der Richtlinie werden gesammelt und können in den DLP-Berichten untersucht werden. Benachrichtigungen zu Übereinstimmungen mit der Richtlinie werden nicht an die vorgesehenen Empfänger gesendet.

Ein

Die Richtlinie ist aktiv und wird erzwungen. Die Richtlinie wurde erfolgreich für alle zugehörigen Inhaltsquellen bereitgestellt.

Wird deaktiviert...

Die Richtlinie wird aus den darin enthaltenen Inhaltsquellen entfernt. Die Richtlinie ist möglicherweise immer noch aktiv und wird für einige Quellen erzwungen. Die Deaktivierung einer Richtlinie kann bis zu 45 Minuten dauern.

Aus

Die Richtlinie ist nicht aktiv und wird nicht erzwungen. Die Einstellungen für die Richtlinie (Quellen, Stichwörter, Dauer, usw.) sind gespeichert.

Wird gelöscht...

Die Richtlinie wird gerade gelöscht. Die Richtlinie ist nicht aktiv und wird nicht erzwungen.

Deaktivieren einer DLP-Richtlinie

Sie können eine DLP-Richtlinie jederzeit bearbeiten und deaktivieren, wodurch alle Regeln in der Richtlinie deaktiviert werden.

Hervorgehobene Option zum Deaktivieren einer Richtlinie

Darüber hinaus können Sie jede Regel einzeln deaktivieren, indem Sie die Richtlinie bearbeiten und dann die Einstellung auf der Seite Name dieser Regel (wie zuvor beschrieben) ändern.

Weitere Informationen

Hinweis : Haftungsausschluss für maschinelle Übersetzungen: Dieser Artikel wurde mithilfe eines Computersystems und ohne jegliche Bearbeitung durch Personen übersetzt. Microsoft bietet solche maschinellen Übersetzungen als Hilfestellung für Benutzer ohne Englischkenntnisse an, damit Sie von den Informationen zu Produkten, Diensten und Technologien von Microsoft profitieren können. Da es sich bei diesem Artikel um eine maschinelle Übersetzung handelt, enthält er möglicherweise Fehler in Bezug auf (Fach-)Terminologie, Syntax und/oder Grammatik.

Teilen Facebook Facebook Twitter Twitter E-Mail E-Mail

War diese Information hilfreich?

Sehr gut. Noch anderes Feedback?

Was können wir verbessern?

Vielen Dank für Ihr Feedback!

×