In Gmail freigegebene sensible Daten verwalten (Beta)

Unterstützte Versionen für diese Funktion: Frontline Standard; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus.  G Suite-Versionen vergleichen

DLP für Gmail ist auch für Nutzer der Cloud Identity Premiumversion verfügbar, die auch für Google Workspace-Versionen lizenziert sind , in denen Gmail enthalten ist.

Sie können in der Admin-Konsole Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) erstellen, um zu steuern, welche vertraulichen Inhalte Ihre Nutzer in Gmail freigeben. Die Regeln gelten für Nachrichten, die an Nutzer innerhalb und außerhalb Ihrer Organisation gesendet werden. Mithilfe von Regeln können Sie vertrauliche Daten kennzeichnen, damit diese Ihre Organisation nicht verlassen.

Auf dieser Seite

Funktionen von DLP für Gmail

Sie können:

  • Datenschutzregeln für Gmail oder mehrere Google Workspace-Apps mit DLP erstellen, z. B. für Gmail, Google Chat und Drive.
  • Verschiedene Maßnahmen für Regelverstöße implementieren. Beispielsweise können Sie die Zustellung von Gmail-Nachrichten blockieren und dem Nutzer eine Benachrichtigung senden (Nachricht blockieren), eine Nachricht zur Überprüfung durch einen Administrator unter Quarantäne stellen, bevor sie gesendet oder zurückgegeben wird, oder sie senden, aber das Ereignis für eine spätere Prüfung protokollieren, um die Auswirkungen neuer Regeln (nur Prüfung)zu bewerten.
  • Bedingungen mithilfe von Textzeichenfolgen und vordefinierten und benutzerdefinierten Detektoren wie Schlüsselwörter und reguläre Ausdrücke definieren.
  • Datenschutzregeln für eine bestimmte Organisationseinheit oder Gruppe oder für die gesamte Organisation erzwingen.
  • Administratoren in der Benachrichtigungszentrale über Regelverstöße benachrichtigen, damit sie das Problem untersuchen können.
  • Bildtext in allen Nachrichtenanhängen mithilfe der optischen Zeichenerkennung (Optical Character Recognition, OCR) scannen.

Wie funktioniert DLP für Gmail?

Wenn ein Nutzer eine Gmail-Nachricht sendet, wird die Nachricht mit DLP auf sensible Inhalte geprüft. Wenn eine Nachricht oder ein Anhang gegen eine Regel verstößt, wird die in der Regel definierte Aktion auf die Nachricht angewendet.

Zusammenfassung des Ablaufs:

  1. Sie erstellen DLP-Regeln, um Inhalte zu definieren, die vertraulich sind und geschützt werden sollen.
  2. Ein Nutzer sendet eine Gmail-Nachricht und der Inhalt wird mithilfe von DLP auf Regelverstöße geprüft. 
  3. Bei Verstößen gegen eine Regel führt DLP die in der Regel definierte Aktion aus.
  4. Alle Ereignisse werden zur Überprüfung in Regelprotokollereignissen protokolliert.

Empfehlungen zur Betakonfiguration

  • Asynchrones und synchrones Scannen: Beim Schutz vor Datenverlust für Gmail werden Datenschutzregeln asynchron gescannt. Das bedeutet, dass die Nachricht blockiert oder unter Quarantäne gestellt wird, nachdem sie das Postfach des Absenders verlassen hat und bevor sie an den Empfänger gesendet wird.
    Demnächst verfügbar: Datenschutzregeln werden synchron mit der Schaltfläche „Senden“ geprüft, um Nutzer über vertrauliche Inhalte in einer Nachricht zu informieren, bevor sie ihr Postfach verlässt.
  • Option „Nur Audit“ verwenden: Wir empfehlen, Nur Audit auszuwählen, wenn Sie in der Betaphase eine Regel einrichten. Mit dieser Option können Sie zulassen, dass Nachrichten, die die Bedingungen einer Regel erfüllen, nahtlos zugestellt werden, wobei die Erkennung protokolliert wird. Auf diese Weise können Sie neue Regeln testen und ihre Leistung überwachen oder die Umgebung passiv überwachen, ohne dass die E-Mail-Übermittlung an Ihre Nutzer unterbrochen wird.

Was wird gescannt?

Es werden nur ausgehende Nachrichten gescannt. Was gescannt wird, hängt davon ab, was Sie für die Regel auswählen:

  • Gesamter Inhalt: Header, Betreff, Text und Anhänge der Nachricht werden gescannt. 
  • Text: Der Text und die Anhänge werden gescannt. 
  • E-Mail-Header: Header und Betreff werden gescannt. 
  • Betreff: Das Motiv wird gescannt.

Anhänge sind u. a. Dateien und Bilder. Der Dateiname des Anhangs wird ebenfalls gescannt (bei unterstützten Dateitypen).

Unterstützte Dateitypen für Anhänge

Die folgenden Dateitypen für Anhänge werden gescannt:

  • Dokumentdateitypen: TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON, SH
  • Bilddateitypen (wenn OCR aktiviert ist): EPS, BMP, GIF, JPEG, PNG und Bilder in PDF-Dateien. 
  • Komprimierte Dateitypen: ZIP
  • Kundenspezifische Dateitypen: HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS

Wie funktioniert DLP für Gmail zusammen mit anderen Regeln?

Datenschutzregeln werden vor den Regeln für die Inhaltscompliance und den Weiterleitungsregeln ausgewertet. Wenn eine Nachricht nicht durch eine Datenschutzregel gekennzeichnet ist, werden zusätzliche Scans für alle Inhaltscompliance- und Routingregeln durchgeführt. Wird eine Nachricht durch eine Datenschutzregel abgelehnt, werden keine anderen Regeln gescannt. Wenn eine Inhaltscompliance- oder Routingregel zu einer neuen Instanz einer Nachricht führt (z. B. wenn ein neuer Empfänger hinzugefügt wird), durchlaufen die neuen Nachrichten den gesamten Scanzyklus. Weitere Informationen zu Regeln für die Inhaltscompliance finden Sie im Hilfeartikel Regeln für die erweiterte Filterung von E-Mail-Inhalten einrichten.

Bekannte Einschränkungen

Informationen zu den Limits für das Scannen von Nachrichten finden Sie im Hilfeartikel Inhaltsbeschränkungen für DLP für Gmail.

Datenschutzregel für Gmail erstellen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Regeln.
  3. Klicken Sie unter Sensible Inhalte klassifizieren und schützen auf Regel erstellen.
  4. Klicken Sie auf Name und geben Sie einen Namen für die Regel und optional eine Beschreibung ein.
  5. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Wenn Sie überprüfen möchten, ob die optische Zeichenerkennung (Optical Character Recognition, OCR) aktiviert ist, klicken Sie auf Prüfen und dann auf das Kästchen Gmail, um die optische Zeichenerkennung für Gmail zu aktivieren.
  8. Klicken Sie bei Gmail auf das Kästchen Gesendete Nachricht.
  9. Klicken Sie auf Weiter.
  10. Optional: So fügen Sie eine Bedingung hinzu:
    1. Klicken Sie auf Bedingung hinzufügen. Bei Gmail können Sie Folgendes scannen:
      • Alle Inhalte (Header, Betreff, Text und Anhänge)
      • Text (Text und Anhänge)
      • E-Mail-Header (Header und Betreff)
      • Betreff (Betreff)
      Wenn die Nachricht mit der clientseitigen Verschlüsselung von Google Workspace gesendet wird, kann nur der Inhalt der E‐Mail-Header einschließlich Betreff gescannt werden.
    2. Klicken Sie auf Wonach soll gesucht werden? und geben Sie die erforderlichen Attribute für den Scantyp an.
    Wenn Sie eine Regel ohne Bedingung erstellen, wird die angegebene Aktion auf alle Gmail-Nachrichten und alle Inhalte angewendet.
  1. Klicken Sie auf Continue (Weiter). 
  2. Klicken Sie auf Aktion und wählen Sie eine Option aus:
    • Wenn Nachrichten nicht zugestellt und der Absender benachrichtigt werden soll, wählen Sie Nachricht blockieren aus.
    • Um Nachrichten unter Quarantäne zu stellen, wählen Sie Nachricht unter Quarantäne stellen aus. Wählen Sie unter Quarantäne auswählen die Quarantänebedingung aus, die auf die Nachrichten angewendet werden soll.
    • Wenn Sie neue Regeln prüfen und Nachrichten senden, das Ereignis aber zur späteren Überprüfung protokollieren möchten, wählen Sie Nur Audit aus.
    Alle Aktionen werden in Regelprotokollereignissen protokolliert.
  1. Wählen Sie unter Auswählen, wann diese Aktion angewendet werden soll aus, ob die Aktion auf Nachrichten angewendet werden soll, die an externe oder interne Empfänger oder beide gesendet werden.
  1. Optional: Wenn Sie eine benutzerdefinierte Nachricht erstellen möchten, damit Nutzer nachvollziehen können, warum ihre Nachricht blockiert wurde, klicken Sie bei Nachricht blockieren das Kästchen Nachricht anpassen an und geben Sie eine Nachricht ein. Sie können Nachrichten mit einer Länge von bis zu 300 Zeichen (einschließlich der Länge der URL) erstellen und Links einfügen. Wenn Sie keine benutzerdefinierte Nachricht erstellen, wird dem Nutzer die Standardnachricht angezeigt.
  2. Optional: Wenn Sie in der Admin-Konsole eine Wichtigkeitsstufe für das Melden von Ereignissen angeben möchten, die durch diese Regel ausgelöst werden, wählen Sie unter Benachrichtigung die Option Niedrig und Mittel oder Hoch aus. Der Schweregrad wird in den Ereignissen im Regelprotokoll protokolliert und kann zur Untersuchung von Vorfällen verwendet werden.
  3. Optional: Wenn Sie festlegen möchten, ob ein durch diese Regel ausgelöstes Ereignis auch eine Benachrichtigung an die Benachrichtigungszentrale senden soll, klicken Sie das Kästchen An die Benachrichtigungszentrale senden an. Soll eine Benachrichtigung über die Benachrichtigung an alle Super Admins gesendet werden, klicken Sie auf das Kästchen neben das Feld Alle Super Admins. Sie können auch andere E-Mail-Empfänger für Benachrichtigungen eingeben.
  4. Klicken Sie auf Weiter und sehen Sie sich die Regeldetails an. 
  5. Wählen Sie einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. Somit haben Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Wenn Sie die Regel später aktivieren möchten, gehen Sie in der Admin-Konsole zu Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutzund dannRegeln verwalten, ändern Sie den Status zu Aktiv und klicken Sie auf Bestätigen
  6. Klicken Sie auf Erstellen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Verstöße gegen DLP-Regeln mit dem Sicherheits-Prüftool untersuchen

Nach Ereignissen im Regelprotokoll suchen

Im folgenden Beispiel wird eine Suche ausgeführt, um Gmail-Nachrichten zu untersuchen, die gegen eine DLP-Regel verstoßen. Sie können für die Suche andere oder gar keine Bedingungen verwenden.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannSicherheitscenterund dannPrüftool.
  2. Klicken Sie auf Datenquelle und wählen Sie Ereignisse im Regelprotokoll aus.
  3. Klicken Sie auf Bedingung hinzufügenund dannAttributund dannRegeltyp.
  4. Wählen Sie DLP aus.
  5. Klicken Sie auf Suchen.
    In den Suchergebnissen am Ende der Seite können Sie eine Liste der Ereignisse mit Details zu jedem Ereignis aufrufen.
  6. Scrollen Sie zur Spalte Ressourcen-ID und klicken Sie auf das Dreipunkt-Menü , um von Gmail-Protokollereignisse > zu Nachrichten-ID zu wechseln.
  7. Klicken Sie auf Suchen, um eine neue Suchseite zu öffnen, auf der die Datenquelle Gmail-Protokollereignisse ist.
  8. Wenn Sie die Daten aufschlüsseln und weitere Details aufrufen möchten, klicken Sie auf die Nachrichten-ID in einer beliebigen Zeile der Suchergebnisse. In der Seitenleiste können Sie zusätzliche Details zu Ihrer Prüfung einsehen.
  9. Wenn Sie dazu aufgefordert werden, geben Sie an, warum Sie die Gmail-Inhalte ansehen möchten, und klicken Sie auf Bestätigen.

Feedback geben

Klicken Sie in der Admin-Konsole auf einer beliebigen Datenschutzseite auf Feedback geben.

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü