Drive-Dateien mit DLP-Regeln scannen und schützen

Diese Funktion ist nur in G Suite Enterprise, Drive Enterprise und G Suite for Education verfügbar. G Suite-Versionen vergleichen

Als G Suite-Administrator können Sie verhindern, dass Nutzer vertrauliche Inhalte in Google Drive oder Teamablagen für Personen außerhalb Ihrer Organisation freigeben. Mit Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) werden Dateien auf vertrauliche Inhalte gescannt. Sie können z. B. veranlassen, dass Super Admins eine E-Mail erhalten, wenn ein Nutzer Dateien freigibt, die Konto- oder Steuernummern enthalten. Zusätzlich haben Sie die Möglichkeit, Nutzern in einem solchen Fall eine Warnung zukommen zu lassen oder dafür zu sorgen, dass niemand außerhalb Ihrer Organisation auf die Datei zugreifen kann. 

Tipp: Auf der englischsprachigen Seite Data Loss Prevention Demo finden Sie Beispiele für vertrauliche Inhalte und können eigene Inhalte testen.

Funktionsweise von DLP-Regeln

Sie können eine bereits ausgefüllte Vorlage nutzen oder Regeln von Grund auf neu erstellen. Regeln werden der gesamten Domain, einer Organisationseinheit oder einer Gruppe in Google Groups zugewiesen. Damit Regeln für Dateien aus Teamablagen gelten, müssen Sie sie auf alle Nutzer in Ihrer Organisation anwenden. Sie entscheiden, welche Aktion ausgeführt werden soll, wenn vertrauliche Inhalte erkannt werden. Weitere Informationen finden Sie unter Regeln definieren.

Regeln erstellen und bearbeiten

Um diese Aufgabe ausführen zu können, müssen Sie als Super Admin angemeldet sein.

Regeln mithilfe der Vorlagen erstellen
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Regeln.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Regeln" angezeigt wird. 

  3. Klicken Sie oben auf "Hinzufügen" Hinzufügen oder auf Vorlagen, um die entsprechende Liste zu öffnen.
  4. Wählen Sie unter "Schutz vor Datenverlust" eine der ausgefüllten Vorlagen aus.
  5. Optional: Bearbeiten Sie den Titel und die Beschreibung der Regel.
  6. Optional: Ändern Sie die Einstellungen in Trigger, Bedingungen und Aktionen oder fügen Sie neue hinzu. Klicken Sie dann auf Fertig. Weitere Informationen finden Sie unter Regeln definieren.
  7. Klicken Sie auf Erstellen und aktivieren
Regeln mithilfe leerer Vorlage erstellen
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Regeln.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Regeln" angezeigt wird. 

  3. Klicken Sie oben auf "Hinzufügen" Hinzufügen oder auf Vorlagen, um die entsprechende Liste zu öffnen.
  4. Klicken Sie unter "Schutz vor Datenverlust" auf Leere Vorlage.
  5. Geben Sie in das Titelfeld den Namen der Regel ein und fügen Sie darunter eine entsprechende Beschreibung hinzu.
  6. Fügen Sie Trigger, Bedingungen und Aktionen hinzu und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Regeln definieren.
  7. Klicken Sie auf Erstellen und aktivieren
Regeln bearbeiten
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Regeln.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Regeln" angezeigt wird. 

  3. Klicken Sie oben auf Verwalten, um die Liste der DLP-Regeln aufzurufen.
  4. Klicken Sie auf die Regel, die Sie bearbeiten möchten.
  5. Bearbeiten Sie die gewünschten Einstellungen in den Bereichen Trigger, Bedingungen und Aktionen und klicken Sie auf Fertig. Weitere Informationen finden Sie unter Regeln definieren.
  6. Klicken Sie auf Speichern und aktivieren.
Regeln definieren

Trigger

Die Anwendungsdateien, die mit einer Regel gescannt werden. Derzeit ist diese Funktion nur für Drive verfügbar (inklusive Teamablagen). 

Bedingungen

Sie haben die Möglichkeit, festzulegen, wie die Regel auf Nutzer und Inhalte angewendet wird. 

  • Nutzer: Sie können die Regel auf eine Organisationseinheit, eine Gruppe in Google Groups oder auf beide anwenden. Um Dateien in Teamablagen zu scannen, müssen Sie die Regel auf alle Nutzer in Ihrer obersten Organisation anwenden. Mit der Regel werden Dateien gescannt, die den Nutzern in den ausgewählten Organisationen oder Gruppen gehören. Sie können auch Gruppen ausnehmen. Sie haben die Möglichkeit, beliebig viele Gruppen und Organisationen hinzuzufügen. Wenn Sie keine Angabe machen, gilt die Regel für die Organisation auf oberster Ebene.
  • Inhalt: Sie können festlegen, dass die Regel ausgelöst werden soll, wenn die Inhalte einer Datei mit einer vordefinierten Liste von Inhaltsdetektoren übereinstimmen. Sie haben aber auch die Möglichkeit, anzugeben, dass die Regel ausgelöst werden soll, wenn eine Datei ein Wort aus einer benutzerdefinierten Wortliste enthält oder mit einem bestimmten regulären Ausdruck übereinstimmt. Sie können beliebig viele Inhaltstypen, Wortlisten und reguläre Ausdrücke hinzufügen. Weitere Informationen finden Sie im Hilfeartikel zu vordefinierten Inhaltsdetektoren und regulären Ausdrücken.

    Hinweis: Wenn Sie einer Bedingung mehrere Inhaltstypen hinzufügen, wird die Regel ausgelöst, sobald der Inhaltstyp übereinstimmt. 

    Wenn Dateien auf vertrauliche Inhalte gescannt werden sollen, müssen Sie den Konfidenzwert auswählen. Dieser gibt an, inwieweit der erkannte Inhalt Ihren Kriterien entspricht. Ein mittlerer Wert bedeutet, dass bei mehr Dateien eine Aktion ausgelöst wird. Ein hoher Wert kann dazu führen, dass weniger Dateien freigegeben werden, für die eine Aktion hätte ausgelöst werden sollen, andererseits ist es aber auch möglich, dass für mehr Dateien als nötig die Aktion ausgelöst wird.

Aktionen

Was passiert, wenn ein Problem vorliegt? Auch wenn Sie keine Aktion auswählen, werden übereinstimmende Dateien immer gekennzeichnet und in den Berichtsdaten aufgeführt. 

  • Externen Zugriff blockieren: So wird verhindert, dass Personen außerhalb Ihrer Domain auf Dateien mit vertraulichen Inhalten zugreifen können, auch wenn sie in Teamablagen aufgenommen wurden.  
  • Bei externer Freigabe warnen: Nutzer werden darauf aufmerksam gemacht, dass sie gerade eine Datei mit vertraulichen Inhalten freigeben.
  • E-Mail an Super Admins senden: Super Admins erhalten eine E-Mail, wenn ein Nutzer eine Datei mit vertraulichen Inhalten erstellt, bearbeitet oder hochlädt. Eine E-Mail wird immer dann gesendet, wenn sich die Art der vertraulichen Inhalte in der Datei ändert.Innerhalb von zwei Stunden werden maximal 25 E-Mails versendet.

Tipp: Wenn es zu vielen Fehlalarmen kommt, sollten Sie ein Regelpaar erstellen. Legen Sie für die erste Regel eine starke Aktion fest, z. B. "Externen Zugriff blockieren", und verwenden Sie einen hohen Konfidenzwert. Erstellen Sie eine zweite Regel mit einem mittleren Konfidenzwert. Fügen Sie für diese Regel die Aktion "Auf externe Freigabe hinweisen" hinzu.

Regeln überwachen und ändern

Über den DLP-Scan können Sie verfolgen, wenn Regeln hinzugefügt, bearbeitet und gelöscht werden. Wird ein Scan gestartet, finden Sie in der Admin-Konsole Details dazu und zu Änderungen an den Aufgaben. Weitere Informationen finden Sie im Hilfeartikel Status großer Aufgaben überprüfen.

  • Wird eine Regel hinzugefügt, bearbeitet oder gelöscht, wird ein neuer DLP-Scan (und eine Aufgabe) ausgelöst. 
  • Wenn Sie eine Regel ändern, während ein DLP-Scan ausgeführt wird, wird der Scan neu gestartet. Die damit verbundene Aufgabe wird um einen Hinweis auf die Änderung ergänzt.
  • Wenn ein anderer Administrator eine Regel ändert, während ein DLP-Scan läuft, wird der Scan neu gestartet und für den anderen Administrator wird eine neue Aufgabe erstellt. Der Scanvorgang ist nicht mehr in der ursprünglichen Aufgabe dokumentiert.

Prüfdaten und -vorlagen von Regeln verwenden

Um diese Aufgabe ausführen zu können, müssen Sie als Super Admin angemeldet sein.

Daten zu markierten Elementen ansehen oder exportieren
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Regeln.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Regeln" angezeigt wird. 

  3. Klicken Sie oben auf Prüfung, um die Berichtsdaten für die DLP-Regelprüfung aufzurufen.
  4. Optional: Wenn Sie die angezeigten Kriterien ändern möchten, klicken Sie auf "Spalten auswählen" Spalten auswählen. Die Änderungen werden gespeichert und sind bei Ihrer nächsten Anmeldung verfügbar.
  5. Damit in der Tabelle nur bestimmte Elemente angezeigt werden, geben Sie im Bereich Filter die Namen ein oder wählen Sie die Elemente in den folgenden Feldern aus:
    1. Regelname: Regel, gegen die das gekennzeichnete Element verstößt
    2. Name des gekennzeichneten Elements: Name der Datei, die durch die Regel gekennzeichnet wurde
    3. Bezeichner des gekennzeichneten Elements: Name des Bezeichners in der Datei, die durch die Regel gekennzeichnet wurde
    4. Eigentümer der Datei: E-Mail-Adresse des Dateieigentümers, die durch die Regel gekennzeichnet wurde
    5. Teamablage-ID: Nummer der Teamablage, auf der sich die mithilfe der Regel gekennzeichnete Datei befindet
    6. Detektoren für übereinstimmende Inhalte: Wählen Sie einen benutzerdefinierten oder einen vordefinierten Detektor für übereinstimmende Inhalte aus.
    7. Datums- und Uhrzeitbereich: Startdatum und -zeit sowie Enddatum und -zeit für die aufgeführten Ereignisse.
      Jeder Eintrag im Protokoll stellt ein einzelnes Ereignis dar.
  6. Um die Berichtsdaten in eine Google Tabellen-Datei in Google Drive zu exportieren oder als CSV-Datei herunterzuladen, klicken Sie auf "Herunterladen" Herunterladen. Die Datei kann maximal 200.000 Zellen enthalten. Die maximale Anzahl der Zeilen hängt von der Anzahl der ausgewählten Spalten ab.
DLP-Vorlagen ansehen oder filtern
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Regeln.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Regeln" angezeigt wird. 

  3. Klicken Sie oben auf Vorlagen.
  4. Optional: Wenn Sie die angezeigten Kriterien ändern möchten, klicken Sie auf "Spalten auswählen" Spalten auswählen. Die Änderungen werden gespeichert und sind bei Ihrer nächsten Anmeldung verfügbar.
  5. Optional: Damit in der Tabelle nur bestimmte Elemente angezeigt werden, geben Sie im Bereich Filter die Namen ein oder wählen Sie das Element in den folgenden Feldern aus:
    1. Name der Vorlage: Name der zuvor definierten Vorlage.
    2. Beschreibung der Vorlage: Beschreibung der zuvor definierten Vorlage.
    3. Kategorie: Derzeit wird nur der Kategorietyp "Schutz vor Datenverlust" unterstützt.
    4. App: Anwendungsdateien, die von der Regel gescannt werden. DLP-Regeln sind derzeit nur für Google Drive-Dateien verfügbar.

Häufig gestellte Fragen

Welche vordefinierten Inhaltsdetektoren werden unterstützt?

Die DLP-Funktion in Drive unterstützt eine Vielzahl vordefinierter Detektoren. Im Zuge der Weiterentwicklung der DLP-Plattform werden weitere Detektoren hinzukommen.

Werden Inhalte zu 100 % erkannt?

Nein, wir können nicht garantieren, dass alle vertraulichen Daten erkannt und markiert werden. Das DLP-Erkennungssystem übersetzt definierte Vorlagen in reguläre Ausdrücke und versucht mithilfe weiterer Inhaltsparameter, die Wahrscheinlichkeit einer Übereinstimmung zu ermitteln. Es kann falsch-positive und falsch-negative Meldungen geben, die durch viele Faktoren ausgelöst werden.

Erfahren Nutzer, warum sie eine Datei nicht freigeben konnten?

Nutzer erhalten eine entsprechende DLP-Meldung, in der erklärt wird, warum die Freigabe blockiert ist. Liegen mehrere Verstöße vor, wird in der Nachricht der erste übereinstimmende Detektor angezeigt.

Wenn Regeln geändert oder hinzugefügt werden, werden dann auch bereits vorhandene Dateien vom System gescannt?

Ja. Es werden immer alle Dateien gescannt, wenn eine Regel hinzugefügt oder geändert wird. Die Zeitspanne für das Scannen der Dateien ist von verschiedenen Faktoren abhängig, z. B. von der Zahl der Dateien in der Domain. Der Vorgang kann einige Stunden, einen Tag oder auch länger in Anspruch nehmen.

Kommt es auch vor, dass Dateien mehrmals gescannt werden?

Ja. Um sicherzustellen, dass vertrauliche Inhalte erkannt werden, erfolgt bei manchen Dokumenten mehr als ein Scan. Daher kann die Zahl der Dateien, die von einer Regeländerung betroffen sind, bei mehreren Scans unterschiedlich hoch sein.

War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?