Mit BeyondCorp Threat and Data Protection den Schutz vor Datenverlust in Chrome einbinden

Mit BeyondCorp lässt sich DLP in Chrome einbinden

Die Funktionen von BeyondCorp Threat and Data Protection sind nur für Kunden verfügbar, die BeyondCorp Enterprise erworben haben.

Mit BeyondCorp Threat and Data Protection können Sie Funktionen zum Schutz vor Datenverlust (Data Loss Prevention, DLP) in Chrome einbinden, um die Erkennung sensibler Daten in hoch- und heruntergeladenen Dateien sowie (per Drag-and-drop) eingefügten Inhalten zu implementieren.

Über diese Einbindung können Sie festlegen, welche Daten Chrome-Nutzer teilen dürfen, z. B. Sozialversicherungs- oder Kreditkartennummern. Dies gilt nur für den Chrome-Browser unter Windows, Mac, Linux und dem Chrome-Betriebssystem. Andere Plattformen werden derzeit nicht unterstützt.

BeyondCorp und DLP

Die DLP-Einbindung in Chrome gehört zu den BeyondCorp-Funktionen, die zur Sicherheit der Google Cloud Platform beitragen. Zum Konfigurieren dieser Einbindung verwenden Sie Google Workspace-Funktionen.

BeyondCorp umfasst Folgendes:

  • Nutzung von Funktionen der Chrome-Verwaltung
  • Konfiguration von Chrome-Connectors
  • Konfiguration von DLP-Regeln im Google Workspace-Sicherheitscenter (wird in diesem Artikel beschrieben)
  • Benachrichtigungen und Überprüfung von Sicherheitshinweisen in Chrome (z. B. Erkennung von Malware oder sensiblen Daten, Phishing, Social Engineering oder Wiederverwendung von Passwörtern)

Weitere Informationen zur Implementierung von BeyondCorp finden Sie unter Chrome-Nutzer mit BeyondCorp Threat and Data Protection schützen.

DLP für BeyondCorp einrichten

Führen Sie die folgenden Schritte aus, um den gesamten BeyondCorp-DLP-Schutz zu implementieren und zu verwenden:

Nachdem Sie DLP-Regeln erstellt haben, können Ereignisse ausgelöst werden, wenn Nutzer Daten hochladen, herunterladen oder in den Browser kopieren. Sie haben folgende Möglichkeiten:

Beispiele für DLP-Regeln, die BeyondCorp-Einbindungen in Chrome unterstützen

DLP- und BeyondCorp-Einbindung – Regelbeispiele

Hier finden Sie Beispiele für das Blockieren von Dateidownloads, die Warnung bei Downloads mit mehreren Adressen und das Blockieren eines Gmail-Uploads mit mehreren Adressen. Dabei ist der Feldtyp URL relevant.

Beispiel 1: Dateidownloads von drive.google.com blockieren

In diesem Beispiel wird gezeigt, wie Sie Dateidownloads durch Regeleinstellungen blockieren. Der Download wird blockiert, wenn er von drive.google.com ausgeführt wird.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

  • Administrator für Organisationseinheit
  • Google Groups-Administrator
  • DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen.
  • Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter und dann Prüftool und dann Regel und dann Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Datenschutz.

    Möglicherweise müssen Sie unten auf Mehr Widgets klicken, damit "Sicherheit" angezeigt wird.

  3. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügen und dann Neue Regel
  4. Geben Sie den Namen und die Beschreibung der Regel an.
  5. Wählen Sie im Abschnitt „Umfang“ die Option Auf alle in <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus. Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

    Organisationseinheiten können Geräte, Nutzer oder eine Kombination aus Geräten und Nutzern umfassen. Das ist wichtig, da Regeln im Chrome-Browser nur für Geräte und in Chrome OS nur für Nutzer gelten. Beachten Sie dies beim Erstellen Ihrer DLP-Regeln für BeyondCorp.

  6. Klicken Sie auf „Weiter“. Wählen Sie unter „Trigger“ für Chrome Datei heruntergeladen aus.
  7. Klicken Sie im Abschnitt „Bedingungen“ auf „Bedingung hinzufügen“ und wählen Sie die folgenden Werte aus:
    1. Feld – URL
    2. Wert – Enthält
    3. Inhaltsabgleich – drive.google.com
  8. Klicken Sie auf Weiter. Wählen Sie im Abschnitt „Aktionen“ unter „Chrome“ die Option Inhalte blockieren aus.
  9. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  10. Klicken Sie auf Erstellen und wählen Sie Folgendes aus:
    1. Aktiv: Ihre Regel wird sofort ausgeführt.
    2. Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  11. Klicken Sie auf Abgeschlossen.
    Es kann bis zu 24 Stunden dauern, bis die Regel auf alle Nutzerkonten in den ausgewählten Organisationseinheiten und Gruppen angewendet wird.
Beispiel 2: Vor einem Chrome-Download mit mehr als 30 E-Mail-Adressen warnen

In diesem Beispiel wird gezeigt, wie Sie mit Regeleinstellungen unter bestimmten Bedingungen die Nutzer warnen können.  Die Nutzer werden gewarnt, wenn sie versuchen, mehr als 30 E-Mail-Adressen gleichzeitig herunterzuladen.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

  • Administrator für Organisationseinheit
  • Google Groups-Administrator
  • DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
  • Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter und dann Prüftool und dann Regel und dann Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Datenschutz.

    Möglicherweise müssen Sie unten auf Mehr Widgets klicken, damit "Sicherheit" angezeigt wird.

  3. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügen und dann Neue Regel
  4. Geben Sie den Namen und die Beschreibung der Regel an.
  5. Wählen Sie im Abschnitt „Umfang“ die Option Auf alle in <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus. Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

    Organisationseinheiten können Geräte, Nutzer oder eine Kombination aus Geräten und Nutzern umfassen. Das ist wichtig, da Regeln im Chrome-Browser nur für Geräte und in Chrome OS nur für Nutzer gelten. Beachten Sie dies beim Erstellen Ihrer DLP-Regeln für BeyondCorp.

  6. Klicken Sie auf „Weiter“. Wählen Sie unter „Trigger“ für Chrome Datei heruntergeladen aus.
  7. Klicken Sie im Abschnitt „Bedingungen“ auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    1. Feld – Alle Inhalte
    2. Wert – Übereinstimmung mit Standard-Detektor
    3. Standard-Detektor – Global – E-Mail-Adresse
    4. Schwellenwert für die Wahrscheinlichkeit – Möglich
    5. Mindestanzahl eindeutiger Übereinstimmungen – 1
    6. Mindestanzahl der Übereinstimmungen – 30
  8. Klicken Sie auf Weiter. Wählen Sie unter „Chrome“ im Abschnitt „Aktionen“ die Option Nutzer warnen aus. Der Nutzer wird gewarnt, kann aber mit der Aktion fortfahren, wenn die Regel verletzt wird. Wenn der Nutzer trotz der Warnung fortfährt, wird die Aktion im Audit-Log zu Regeln aufgezeichnet.
  9. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  10. Klicken Sie auf Erstellen und wählen Sie Folgendes aus:
    1. Aktiv: Ihre Regel wird sofort ausgeführt.
    2. Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  11. Klicken Sie auf Abgeschlossen.
    Es kann bis zu 24 Stunden dauern, bis die Regel auf alle Nutzerkonten in den ausgewählten Organisationseinheiten und Gruppen angewendet wird.
Beispiel 3: Chrome-Upload mit mehr als 30 E-Mail-Adressen blockieren

In diesem Beispiel wird gezeigt, wie Sie Dateiuploads durch Regeleinstellungen blockieren.  Der Upload wird blockiert, wenn die Nutzer versuchen, mehr als 30 E-Mail-Adressen gleichzeitig hochzuladen.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

  • Administrator für Organisationseinheit
  • Google Groups-Administrator
  • DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
  • Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter und dann Prüftool und dann Regel und dann Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Datenschutz.

    Möglicherweise müssen Sie unten auf Mehr Widgets klicken, damit "Sicherheit" angezeigt wird.

  3. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügen und dann Neue Regel
  4. Geben Sie den Namen und die Beschreibung der Regel an.
  5. Wählen Sie im Abschnitt „Umfang“ die Option Auf alle in <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus. Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

    Organisationseinheiten können Geräte, Nutzer oder eine Kombination aus Geräten und Nutzern umfassen. Das ist wichtig, da Regeln im Chrome-Browser nur für Geräte und im Chrome-Betriebssystem nur für Nutzer gelten. Beachten Sie dies beim Erstellen Ihrer DLP-Regeln für BeyondCorp.

  6. Klicken Sie auf „Weiter“. Wählen Sie unter „Trigger“ für Chrome Datei hochgeladen und Inhalt hochgeladen aus.

    Bei den Triggern Datei hochgeladen und Inhalt hochgeladen hängt die Blockierung von der Einstellung unter Datei-Upload verzögern ab, wie im Hilfeartikel Chrome Enterprise Connectors-Richtlinien für Google BeyondCorp Enterprise festlegen beschrieben. Wenn für Datei-Upload verzögern die Option Sofortigen Upload erlauben festgelegt ist, wird die Datei beim Scan hochgeladen. Damit Nutzer Dateien oder Inhalte nicht während eines Scans hochladen können, sollten Sie für Datei-Upload verzögern die Einstellung Upload verzögern, bis die Analyse abgeschlossen ist festlegen.

  7. Klicken Sie im Abschnitt „Bedingungen“ auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    1. Feld – Alle Inhalte
    2. Wert – Übereinstimmung mit Standard-Detektor
    3. Standard-Detektor – Global – E-Mail-Adresse
    4. Schwellenwert für die Wahrscheinlichkeit – Möglich
    5. Mindestanzahl eindeutiger Übereinstimmungen – 1
    6. Mindestanzahl der Übereinstimmungen – 30
    7. Klicken Sie auf Bedingung hinzufügen.
    8. Feld – URL
    9. Wert – Enthält
    10. Inhaltsabgleich – mail.google.com
  8. Klicken Sie auf Weiter. Wählen Sie im Abschnitt „Aktionen“ unter „Chrome“ die Option Inhalte blockieren aus.
  9. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  10. Klicken Sie auf Erstellen und wählen Sie Folgendes aus:
    1. Aktiv: Ihre Regel wird sofort ausgeführt.
    2. Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  11. Klicken Sie auf Abgeschlossen.
    Es kann bis zu 24 Stunden dauern, bis die Regel auf alle Nutzerkonten in den ausgewählten Organisationseinheiten und Gruppen angewendet wird.

Weitere Informationen

War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben