DLP-Regeln und benutzerdefinierte Inhaltsdetektoren für Google Drive erstellen

Unterstützte Versionen für diese Funktion: Frontline Standard; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus; Enterprise Essentials Plus.  G Suite-Versionen vergleichen

DLP in Google Drive und DLP in Google Chat sind für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz haben. Bei DLP in Drive muss die Lizenz die Drive-Protokollereignisse enthalten.

Die Bedingungen der DLP-Regel bestimmen, welche Art von vertraulichen Inhalten durch die Regel erkannt wird. Grundlegende Beispiele finden Sie unten im Abschnitt Beispiele für DLP-Regeln. Eine Regel benötigt möglicherweise nur eine einzige Bedingung oder sie kann mehrere Bedingungen mit den Operatoren AND, OR oder NOT kombinieren. Im Hilfeartikel Beispiele für verschachtelte Regelbedingungen mit Operatoren für DLP für Drive erhalten Sie weitere Informationen.

• Ihre Regel kann vordefinierte Inhaltsdetektoren verwenden, um standardmäßige personenbezogene Daten wie eine Führerscheinnummer oder eine Steuernummer zu erkennen. Eine vollständige Liste der verfügbaren Detektoren finden Sie im Hilfeartikel Vordefinierte Inhaltsdetektoren verwenden.
• In Regelbedingungen können Sie benutzerdefinierte Inhaltsdetektoren erstellen und nutzen, z. B. eine Liste von Wörtern oder einen regulären Ausdruck. Eine Anleitung dazu finden Sie in Schritt 2: Benutzerdefinierte Detektoren erstellen

Vorschläge zur Verbesserung von Regeltests, einschließlich der Einrichtung einer Regeltestumgebung, finden Sie im Hilfeartikel Best Practices für schnelleres Testen von Regeln.

Sie können eine reine Prüfregel erstellen, um Regeln zu testen, die Sie in DLP anlegen. So sehen Sie, welche Auswirkungen eine Regel in Google Drive hat. Wie alle Regeln werden auch diese ausgelöst. Es werden aber keine Aktionen ausgeführt, sondern nur die Ergebnisse in das Audit-Log der Regel sowie in das Prüftool geschrieben.

Vorschläge zur Verbesserung von Regeltests, einschließlich der Einrichtung einer Regeltestumgebung, finden Sie im Hilfeartikel Best Practices für schnelleres Testen von Regeln.

So erstellen und verwenden Sie eine reine Prüfregel:

1. Folgen Sie der Anleitung zur Regelerstellung in Schritt 3: Regeln erstellen.
2. Treffen Sie im Abschnitt „Aktion“ der Regelerstellung keine Auswahl. Die Aktionen sind optional. Die Regel wird auch ohne sie ausgelöst und alle Vorfälle werden im Audit-Log zu Regeln protokolliert. In diesem Fall wurde die Regel im Abschnitt „Aktion“ mit Nur Prüfung bezeichnet.
3. Fahren Sie fort und schließen Sie die Regelkonfiguration ab. Achten Sie darauf, dass die Regel aktiv ist.
4. Testen Sie, ob die Regel funktioniert, oder warten Sie, bis Nutzer in Ihrer Domain Daten freigeben, die möglicherweise von dieser Regel betroffen sind.
5. Rufen Sie das Audit-Log zu Regeln auf. Weitere Informationen finden Sie in den Hilfeartikeln zum Audit-Log zu Regeln oder zum Prüftool. Das Audit-Log enthält Regeln ohne ausgelöste Aktion, wenn Sie eine reine Prüfregel verwenden.

6. Wenn Sie sicher sind, dass die Regel genau wie gewünscht konfiguriert ist, ändern Sie sie so, dass eine Aktion folgt (siehe Schritt 3: Regeln erstellen).

Empfohlene Regeln sind DLP-Regeln, die Ihnen auf der Grundlage der Ergebnisse des Berichts „Statistiken zum Datenschutz“ vorgeschlagen werden. Wenn im Bericht beispielsweise Passnummern als freigegebener Datentyp in Ihrer Organisation aufgeführt werden, wird von DLP eine Regel empfohlen, um die Freigabe von Passnummern zu verhindern.

Empfehlungen erhalten Sie nur dann, wenn Sie den Bericht „Statistiken zum Datenschutz“ aktiviert haben. Weitere Informationen im Artikel Datenlecks mit empfohlenen Regeln für den Datenschutz vorbeugen

• Dynamische Gruppen: Bei diesem Gruppentyp werden Mitgliedschaften und die jeweils zugeordneten Attribute automatisch verwaltet, das heißt, sie werden aktualisiert, wenn Nutzer einer Organisationseinheit beitreten, sie wechseln oder verlassen. Mit dynamischen Gruppen, die in der Admin-Konsole oder mit der Cloud Identity API zur Verfügung stehen, brauchen Sie daher weniger Zeit für die manuelle Verwaltung von Gruppenmitgliedschaften. Wenn Sie eine dynamische Gruppe für eine DLP-Regel verwenden möchten, muss sie auch eine Sicherheitsgruppe mit dem Label Sicherheit sein. Weitere Informationen zu dynamischen Gruppen

• Sicherheitsgruppen: Sie können eine Standard- oder dynamische Gruppe in eine Sicherheitsgruppe umwandeln. So können Sie Berechtigungen und die Zugriffssteuerung für die Gruppe ganz einfach regulieren, prüfen und beobachten. Sie können Sicherheitsgruppen in der Admin-Konsole oder mit der Cloud Identity Groups API erstellen, indem Sie ihnen das Label Sicherheit hinzufügen. Weitere Informationen

• Migrierte Gruppen: Gruppen, die Sie in Microsoft Active Directory oder anderen Tools erstellt haben, lassen sich mithilfe von Google Cloud Directory Sync (GCDS) mit Google Workspace synchronisieren. Die synchronisierten Gruppen können Sie dann in DLP-Regeln verwenden. Weitere Informationen

Dies ist eine allgemeine Anleitung zum Erstellen eines benutzerdefinierten Detektors, falls Sie einen für Ihre Regelbedingungen brauchen.

DLP-Detektor zur Verwendung mit Regeln erstellen

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit 
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter Prüftool Regel Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleDatenschutz.
3. Klicken Sie auf Detektoren verwalten.
4. Klicken Sie auf Detektor hinzufügen. Geben Sie den Namen und die Beschreibung ein.

   Folgende Optionen sind verfügbar:

   • Regulärer Ausdruck: Ein regulärer Ausdruck, auch Regex genannt, ist eine Methode zum Abgleich von Textinhalten mit bestimmten Mustern. Klicken Sie auf Ausdruck testen, um den regulären Ausdruck zu prüfen. Siehe Beispiele regulärer Ausdrücke
   • Wortliste: Eine benutzerdefinierte Wortliste, die Sie erstellen. Dies ist eine durch Kommas getrennte Liste von Wörtern, die erkannt werden sollen. Großschreibung und Symbole werden ignoriert. Übereinstimmungen werden nur für ganze Wörter gefunden. Sie können eine Pop-up-Nachricht hinzufügen, die angezeigt wird, wenn Inhalte erkannt werden. Wörter in Wortlisten-Detektoren müssen mindestens zwei Buchstaben oder Ziffern enthalten. 
5. Klicken Sie auf Erstellen. Später können Sie den benutzerdefinierten Detektor verwenden, wenn Sie einer Regel Bedingungen hinzufügen.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit 
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter Prüftool Regel Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleDatenschutz.
3. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügen Neue Regel oder auf Regel hinzufügen Neue Regel aus Vorlage. Wählen Sie auf der gleichnamigen Seite eine Vorlage aus.
4. Geben Sie im Abschnitt Name die Bezeichnung und eine Beschreibung der Regel ein.
5. Wählen Sie im Abschnitt Umfang die Option Alle in <domain.name> aus oder wenden Sie diese Regel nur auf Nutzer in ausgewählten Organisationseinheiten oder Gruppen an. Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

   Hinweis: Wenn Sie die Regel auf eine dynamische Gruppe anwenden möchten, muss die Gruppe auch das Label Sicherheit haben. Weitere Informationen finden Sie unter Welche Arten von Gruppen kann ich für den Geltungsbereich einer Regel auswählen?

6. Klicken Sie auf Weiter.
7. Wählen Sie im Abschnitt Apps den Trigger für Google Drive aus: Datei erstellt, geändert, hochgeladen oder freigegeben.
8. Klicken Sie auf Weiter.
9. Klicken Sie im Abschnitt Bedingungen auf Bedingung hinzufügen.
10. Wählen Sie den zu scannenden Inhaltstyp aus:
    • Gesamter Inhalt: Das gesamte Dokument, einschließlich Dokumenttitel, Text und Änderungsvorschläge
    • Text: Textteil des Dokuments
    • Drive-Label: Alle auf das Dokument angewendeten Labels.Weitere Informationen: Erste Schritte als Administrator von Google Drive-Labels
    • Änderungsvorschläge: Inhalte, die dem Dokument im Vorschlagsmodus hinzugefügt wurden
    • Titel: Dokumenttitel
11. Wählen Sie Wonach soll gesucht werden? aus und füllen Sie dann die erforderlichen Attribute für diesen Scantyp aus, die in der Tabelle unten aufgeführt sind. 

    Beachten Sie, dass die Optionen für Wonach soll gesucht werden? je nach dem Wert variieren, den Sie im vorherigen Schritt unter Zu scannender Inhaltstyp ausgewählt haben. Wenn Sie beispielsweise „Titel“ als zu scannenden Inhaltstyp auswählen, werden in den Optionen unter Wonach soll gesucht werden? die Optionen Endet mit und Beginnt mit angezeigt.

    Wonach soll gesucht werden?	Attribute
    Stimmt mit dem vordefinierten Datentyp überein	Datentyp: Wählen Sie einen vordefinierten Datentyp aus. Weitere Informationen zu vordefinierten Datentypen Schwellenwert für die Wahrscheinlichkeit: Wählen Sie einen Wert aus. Folgende Werte sind verfügbar: Sehr niedrig Gering Mittel Hoch Sehr hoch Diese Schwellenwerte geben wieder, als wie zuverlässig das Ergebnis des Abgleichs durch das DLP-System eingeschätzt wird. Im Allgemeinen erzielt der Schwellenwert Sehr hoch weniger Übereinstimmungen mit Inhalten und ist genauer. Wenn Sie Sehr niedrig auswählen, werden vermutlich mehr Übereinstimmungen mit Dateien gefunden, aber sie haben eine geringere Genauigkeit. Mindestanzahl eindeutiger Übereinstimmungen: Gibt an, wie oft ein übereinstimmendes Ergebnis eindeutig in einem Dokument vorkommen muss, damit die Aktion ausgelöst wird.  Mindestanzahl der Übereinstimmungen: Gibt an, wie oft übereinstimmende Ergebnisse in einem Dokument mindestens vorkommen müssen, damit die Aktion ausgelöst wird.  Wie funktionieren diese beiden Varianten? Stellen Sie sich zwei Listen mit Sozialversicherungsnummern vor: Die erste Liste enthält 50 Mal dieselbe Nummer und die zweite Liste 50 verschiedene Nummern. Wenn die Mindestanzahl der Übereinstimmungen gleich zehn ist, erfolgt die Auslösung aufgrund der Ergebnisse für beide Listen, da es jeweils mindestens zehn Übereinstimmungen gibt. Wenn aber die Mindestanzahl eindeutiger Übereinstimmungen gleich zehn und der Wert Mindestanzahl der Übereinstimmungen gleich eins ist, erfolgt nur eine Auslösung aufgrund der Ergebnisse in der zweiten Liste, da es zehn Übereinstimmungen mit verschiedenen Werten gibt.
    Enthält Textstring	Inhalte für den Abgleich eingeben: Geben Sie einen Teilstring, eine Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Geben Sie an, ob beim Inhalt Groß- und Kleinschreibung berücksichtigt werden soll.  Bei einem Teilstring kann die Regel z. B. das Wort Schlüssel enthalten. Wenn im Dokument das Wort Schlüssel vorkommt, gibt es eine Übereinstimmung.
    Enthält Wort	Inhalte für den Abgleich eingeben: Geben Sie das Wort, die Zahl oder andere Zeichen ein, nach denen gesucht werden soll.
    Übereinstimmung mit regulärem Ausdruck	Name des regulären Ausdrucks: Ein benutzerdefinierter Detektor für reguläre Ausdrücke. Mindesthäufigkeit für die Mustererkennung: So oft muss das durch den regulären Ausdruck ausgedrückte Muster in einem Dokument mindestens vorkommen, damit die Aktion ausgelöst wird.
    Stimmt mit Wörtern aus der Wortliste überein	Wortliste: Wählen Sie eine benutzerdefinierte Wortliste aus. Abgleichmodus: Wählen Sie entweder Mindestens eines der Wörter stimmt überein oder Eine Mindestanzahl eindeutiger Wörter stimmt überein aus. Mindestanzahl der erkannten eindeutigen Wörter: So viele eindeutige Wörter müssen mindestens erkannt werden, damit die Aktion ausgelöst wird. Mindestanzahl eines gefundenen Wortes: Die kleinstmögliche Häufigkeit, mit der ein erkanntes Wort die Aktion auslösen kann (nur bei der Option Eine Mindestanzahl eindeutiger Wörter stimmt überein).
    Endet mit	Inhalte für den Abgleich eingeben: Geben Sie das Wort, die Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Geben Sie an, ob beim Inhalt Groß- und Kleinschreibung berücksichtigt werden soll.
    Beginnt mit	Inhalte für den Abgleich eingeben: Geben Sie das Wort, die Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Geben Sie an, ob beim Inhalt Groß- und Kleinschreibung berücksichtigt werden soll.
    Ist (nur Inhaltstyp des Drive-Labels)	Drive-Label: Wählen Sie aus der Drop-down-Liste ein verfügbares Drive-Label aus. Labelfeld: Wählen Sie ein verfügbares Labelfeld für das ausgewählte Drive-Label aus. Feldoption: Wählen Sie eine verfügbare Feldoption für das ausgewählte Feld aus.

    Sie können die Operatoren AND, OR oder NOT mit Bedingungen verwenden. Weitere Informationen zur Verwendung der Operatoren AND, OR oder NOT mit Bedingungen finden Sie im Hilfeartikel Beispiele für verschachtelte Regelbedingungen mit Operatoren für DLP für Drive.

    Hinweis: Wenn Sie eine DLP-Regel ohne Bedingung erstellen, wird die angegebene Aktion auf alle Drive-Dateien angewendet.

12. Klicken Sie auf Weiter.
13. Im Abschnitt Aktionen können Sie optional die Aktion auswählen, die ausgeführt werden soll, wenn sensible Daten im Scan erkannt werden:

    Möchten Sie eine Regel testen, bevor Sie ihr eine Aktion hinzufügen?
    Sie können eine reine Prüfregel erstellen, um eine Regel zu testen, die in das Audit-Log schreibt, ohne eine Aktion auszuführen. Die Auswahl einer Aktion ist optional. Weitere Informationen finden Sie im Abschnitt Reine Prüfregeln zum Testen der Regelergebnisse verwenden (optional, aber empfohlen).

    • Externe Freigabe blockieren: Verhindert die Freigabe des Dokuments.
    • Bei externer Freigabe warnen: Das Dokument wird freigegeben, aber es wird vor dem Regelverstoß gewarnt.
    • Herunterladen, Drucken und Kopieren für Kommentatoren und Betrachter deaktivieren: Dadurch wird das Herunterladen, Drucken und Kopieren verhindert, sofern der Nutzer nicht die Berechtigung Mitbearbeiter oder höher hat. Das ist eine Funktion zum Schutz vor Datenverlust der Kategorie "Verwaltung von Informationsrechten" (Information Rights Management, IRM). Dabei werden die Freigabeeinstellungen von Google Drive als Richtlinien verwendet, sodass Nutzer Google Drive-Dokumente, Google-Tabellen oder Google-Präsentationen nicht auf allen Plattformen herunterladen, drucken oder kopieren können. Weitere Informationen finden Sie im Hilfeartikel Häufig gestellte Fragen zum neuen Schutz vor Datenverlust für Google Drive.
    • Drive-Labels anwenden: Ein vorhandenes Drive-Label wird auf übereinstimmende Dateien angewendet. Führen Sie diese Konfigurationsschritte aus:
      1. Wählen Sie in der Drop-down-Liste Drive-Label ein verfügbares Label und dann ein verfügbares Feld und eine Feldoption für das Label aus. Es werden nur Badge-Labels und Standardlabels mit dem Feldtyp Optionsliste unterstützt. Weitere Informationen: Erste Schritte als Administrator von Google Drive-Labels
      2. Optional: Klicken Sie auf Label hinzufügen, um weitere Labels hinzuzufügen. 
      3. Wählen Sie aus, ob Nutzer Labels und Feldwerte für ihre Dateien ändern dürfen.
14. Wählen Sie im Abschnitt Benachrichtigungen einen Schweregrad aus (Niedrig, Mittel, Hoch) aus. Damit wird beeinflusst, wie Vorfälle im DLP-Dashboard dargestellt werden. Sie sehen die Anzahl der Vorfälle mit dem Schweregrad "Hoch", "Mittel" oder "Niedrig" im Verlauf der Zeit.
15. Klicken Sie optional das Kästchen An die Benachrichtigungszentrale senden an, um Benachrichtigungen auszulösen. Warnungen werden nur für Google Drive unterstützt. Weitere Informationen finden Sie im Hilfeartikel Details zu Benachrichtigungen aufrufen.

    Klicken Sie das Kästchen an, um alle Super Admins zu benachrichtigen, oder fügen Sie die E-Mail-Adressen weiterer Empfänger hinzu. Nur Empfänger, die zum Nutzer gehören, können hinzugefügt werden. Externe Empfänger werden ignoriert. Empfänger können Nutzer oder Gruppen sein. Denken Sie daran, dass Sie den Zugriff für ausgewählte Gruppen einrichten müssen, damit diese Gruppen die an sie gesendete E-Mail erhalten können. Im Hilfeartikel E-Mail-Benachrichtigungen konfigurieren finden Sie weitere Informationen zum Festlegen des Gruppenzugriffs.

    Warnungen werden in der Benachrichtigungszentrale aufgelistet. Beachten Sie, dass die Warnung und deren Protokollierung nicht gleichzeitig passieren. Wenn eine Warnung in der Benachrichtigungszentrale angezeigt wird, dauert es eine Weile, bis das Audit-Log für Regeln und die DLP-Sicherheitsdashboards aktualisiert werden. Möglicherweise erhalten Sie eine Warnung und rufen dann die Übersicht der Warnungen auf. Die Anzahl der Vorfälle in den Dashboards oder Audit-Logs im Prüftool wird jedoch erst nach einer gewissen Zeit aktualisiert. Pro Regel und Tag können bis zu 50 Warnungen ausgegeben werden. Warnungen werden ausgegeben, bis dieser Grenzwert erreicht ist.

16. Klicken Sie auf Weiter und sehen Sie sich die Regeldetails an.
17. Wählen Sie unter „Regelstatus“ einen Anfangsstatus für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit  Datenschutz  Regeln verwalten. Klicken Sie auf den Status "Inaktiv" für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
18. Klicken Sie auf Create (Erstellen). 

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Erklären Sie den Nutzern das Verhalten und die Auswirkungen der neuen Regel.  Das ist beispielsweise der Fall, wenn Sie die externe Freigabe blockieren möchten, wenn sensible Daten freigegeben werden. Dann sollten Sie die Nutzer darauf vorbereiten, dass sie Dokumente unter Umständen nicht freigeben können, und ihnen mitteilen, warum das so ist.

Hier erfahren Sie, wie Sie mithilfe eines vordefinierten Klassifikators verhindern, dass Nutzer in bestimmten Organisationen und Gruppen sensible Daten freigeben. Mit vordefinierten Klassifikatoren können Sie häufig eingegebene Daten angeben. In diesem Beispiel handelt es sich dabei um Sozialversicherungsnummern.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit 
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter Prüftool Regel Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleDatenschutz.
3. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügen  Neue Regel. 
4. Geben Sie den Namen und die Beschreibung der Regel an.
5. Wählen Sie im Abschnitt "Umfang" die Option Auf alle in <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus. Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.
6. Klicken Sie auf Weiter. Wählen Sie unter "Auslöser" für Google Drive die Option Datei geändert aus.
7. Klicken Sie im Abschnitt "Bedingungen" auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
   • Feld: Alle Inhalte
   • Wert: Stimmt mit dem Standard-Detektor überein
   • Standard-Detektor: USA – Sozialversicherungsnummer
   • Schwellenwert für die Wahrscheinlichkeit: Sehr wahrscheinlich. Eine zusätzliche Maßnahme, mit der ermittelt wird, ob Nachrichten die Aktion auslösen.
   • Mindestanzahl eindeutiger Übereinstimmungen: 1. So oft muss eine eindeutige Übereinstimmung in einem Dokument mindestens vorkommen, damit die Aktion ausgelöst wird.
   • Mindestanzahl der Übereinstimmungen: 1. So oft muss der Inhalt in einer Nachricht vorkommen, damit die Aktion ausgelöst wird. Wenn Sie beispielsweise "2" auswählen, muss der Inhalt in einer Nachricht mindestens zweimal vorkommen, um die Aktion auszulösen. 
8. Klicken Sie auf Weiter. Wählen Sie unter Google Drive die Option Externe Freigabe blockieren aus.
9. Wählen Sie unter "Schweregrad und Benachrichtigungen" den Schweregrad Hoch aus. Aktivieren Sie eine Warnung und geben Sie Empfänger ein.

   Beachten Sie, dass die Warnung und deren Protokollierung nicht gleichzeitig passieren. Administratoren können Warnungen erhalten, bis der Grenzwert von 50 pro Regel und Tag erreicht ist.

10. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
11. Klicken Sie auf Erstellen und wählen Sie Folgendes aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit Datenschutz Regeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
12. Klicken Sie auf Abgeschlossen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Hier erfahren Sie, wie Sie einen benutzerdefinierten Detektor einrichten. Sie können Wörter auflisten, die in einem benutzerdefinierten Detektor erkannt werden sollen. Verwenden Sie Einstellungen für die Auslösung in Regeln, um zu verhindern, dass Nutzer Dokumente, in denen sensible Daten wie interne Projektnamen erwähnt werden, mit externen Empfängern teilen.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit 
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter Prüftool Regel Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleDatenschutz.
3. Klicken Sie auf Detektoren verwalten. Klicken Sie dann auf Detektor hinzufügen Wortliste.
4. Geben Sie einen Namen und eine Beschreibung für den Detektor ein.
5. Geben Sie die zu erkennenden Wörter durch Kommas getrennt ein. In benutzerdefinierten Wortlisten gilt Folgendes:
   • Großschreibung wird ignoriert. Das bedeutet: "GUT" stimmt mit "gut", "Gut" und "GUT" überein.
   • Übereinstimmungen werden nur für ganze Wörter gefunden. Wenn Sie beispielsweise "gut" in die Liste der benutzerdefinierten Wörter aufnehmen, wird "guter" nicht in den Abgleich aufgenommen.
6. Klicken Sie auf Erstellen.
7. Klicken Sie auf Regeln verwalten. Klicken Sie anschließend auf Regel hinzufügen Neue Regel.
8. Geben Sie im Abschnitt "Regelname" die Bezeichnung und optional eine Beschreibung der Regel ein.
9. Suchen Sie im Abschnitt "Umfang" nach den Gruppen oder Organisationseinheiten, für die die Regel gelten soll, und wählen Sie sie aus.
10. Klicken Sie auf Weiter. Klicken Sie im Abschnitt "Auslöser" unter Google Drive das Feld Datei geändert an.
11. Klicken Sie im Abschnitt "Bedingungen" auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    • Feld: Alle Inhalte
    • Wert: Stimmt mit Wortlisten-Detektor überein
    • Wortliste: Scrollen Sie, um den Detektor zu finden, den Sie oben erstellt haben.
    • Abgleichmodus: Wählen Sie aus diesen Optionen aus:
    • Mindestens eines der Wörter stimmt überein: Zählt Übereinstimmungen mit jedem Wort aus der vordefinierten Wortliste
    • Eine Mindestanzahl eindeutiger Wörter stimmt überein: Geben Sie an, wie viele einzelne Wörter mindestens erkannt wurden und wie oft jedes Wort (von denen aus der vordefinierten Wortliste) insgesamt erkannt wird.
    • Mindestanzahl eines gefundenen Wortes: 1
12. Klicken Sie auf Weiter. Wählen Sie unter "Google Drive" die Aktion Externe Freigabe blockieren aus.
13. Wählen Sie unter "Schweregrad und Benachrichtigungen" den Schweregrad Hoch aus. Aktivieren Sie eine Warnung und geben Sie Empfänger an. Beachten Sie, dass die Warnung und deren Protokollierung nicht gleichzeitig passieren. Administratoren können Warnungen erhalten, bis der Grenzwert von 50 pro Regel und Tag erreicht ist.
14. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
15. Klicken Sie auf Erstellen und wählen Sie Folgendes aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit Datenschutz Regeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
16. Klicken Sie auf Abgeschlossen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

In einer Regelvorlage ist eine Reihe von Bedingungen gesammelt, die viele typische Datenschutzszenarien abdecken. Damit haben Sie die Möglichkeit, Richtlinien für häufig auftretende Datenschutzsituationen festzulegen.

Im folgenden Beispiel wird mithilfe einer Regelvorlage das Senden oder Freigeben von Drive-Dokumenten oder E-Mails mit personenidentifizierbaren Informationen blockiert.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit 
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter Prüftool Regel Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleDatenschutz.
3. Klicken Sie auf Regeln verwalten. 
4. Klicken Sie auf Regel hinzufügen Neue Regel aus Vorlage.
5. Klicken Sie auf der Seite "Vorlagen" auf Freigabe von personenidentifizierbaren Informationen unterbinden (USA).
6. Übernehmen Sie im Abschnitt "Name" den Standardnamen und die Beschreibung der Regel oder geben Sie neue Werte ein.
7. Suchen Sie im Abschnitt "Umfang" nach den Gruppen in Organisationseinheiten, für die die Regel gilt.
8. Klicken Sie auf Weiter. Unter "Trigger" ist das Kästchen Datei geändert für Google Drive angekreuzt. Die Bedingungen für die Regelvorlage sind vorab ausgewählt. Rufen Sie sie auf, wenn Sie die spezifischen Bedingungen sehen möchten, die für die Regel gelten. Die Sicherheit ist auf "Niedrig" eingestellt und Warnungen sind deaktiviert.
9. Für Google Drive ist Externe Freigabe blockieren ausgewählt. Dadurch werden Nutzer daran gehindert, Dateien, die die Bedingungen erfüllen, für Personen außerhalb Ihrer Organisation freizugeben.
10. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
11. Klicken Sie auf Erstellen und wählen Sie Folgendes aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit Datenschutz Regeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
12. Klicken Sie auf Abgeschlossen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit 
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen Ihnen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen. 
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter Prüftool Regel Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleDatenschutz.
3. Klicken Sie auf Regeln verwalten oder Detektoren verwalten. Die Seite mit den Regeln finden Sie unter Sicherheit > Datenschutz > Regeln. Die Seite mit den Detektoren sehen Sie unter Sicherheit > Datenschutz > Detektoren.

Regeln sortieren

Regeln lassen sich nach der Spalte Name oder Zuletzt geändert in aufsteigender oder absteigender Reihenfolge sortieren. 

1. Klicken Sie dazu auf der Seite "Regeln" auf den jeweiligen Spaltennamen, also auf Name oder Zuletzt geändert.
2. Klicken Sie auf den Auf- oder Abwärtspfeil, um die Spalte entsprechend zu sortieren.

Regeln aktivieren oder deaktivieren

Wenn Sie eine Regel aktivieren, werden in DLP die Dokumente gescannt, die diese Regel verwenden.

1. Wählen Sie auf der Seite "Regeln" in der Spalte "Status" für eine Regel Aktiv oder Inaktiv aus. 
2. Bestätigen Sie, dass Sie die Regel aktivieren oder deaktivieren möchten. 

Regel löschen

Wenn Sie eine Regel löschen, ist das endgültig.

1. Bewegen Sie den Mauszeiger auf der Seite „Regeln“ über eine Zeile, damit das Papierkorbsymbol  am Ende der Zeile angezeigt wird. 
2. Klicken Sie auf das Papierkorbsymbol .
3. Bestätigen Sie, dass Sie die Regel löschen möchten. 

Regeln exportieren

Sie können Regeln in eine TXT-Datei exportieren.

1. Klicken Sie auf der Seite mit den Regeln auf Regeln exportieren. 
2. Die Regelliste wird als Textdatei heruntergeladen. Klicken Sie links unten auf die TXT-Datei, um die heruntergeladenen Regeln aufzurufen.

Regeldetails bearbeiten

Wenn Sie Regeln bearbeiten, wird ein neuer Scan der Dokumente ausgelöst, die von diesen Regeln betroffen sind.

1. Klicken Sie in der Liste der Regeln auf die Regel, die Sie bearbeiten möchten.
2. Klicken Sie auf Regel bearbeiten.
3. Ändern Sie die Regel wie gewünscht. Der Ablauf ist derselbe wie beim Erstellen von Regeln. 
4. Wenn Sie fertig sind, klicken Sie auf Aktualisieren und wählen Sie Folgendes aus:
5. Aktiv: Ihre Regel wird sofort ausgeführt.
6. Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter Sicherheit Datenschutz Regeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
7. Klicken Sie auf Abgeschlossen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Regel mit dem Sicherheits-Prüftool untersuchen

In DLP wird im Sicherheits-Prüftool gezeigt, wie oft eine Regel ausgelöst wird. Aufgeführt werden die Ergebnisse einer Suche nach der Regel sowie die ausgelösten Aktionen für jeden Vorfall.

Zur Verwendung des Prüftools benötigen Sie die Berechtigungen "Metadaten und Attribute abrufen" unter Sicherheitscenter  Prüftool  Regel  Metadaten und Attribute abrufen.

So prüfen Sie eine Regel:

1. Klicken Sie in der Liste der Regeln auf die zu prüfende Regel.
2. Klicken Sie auf Regel prüfen.
3. Sie sehen Suchergebnisse für die Regel. Beachten Sie, dass das Auslösen einer Regel und die Aktualisierung des Audit-Logs nicht gleichzeitig passieren.  Weitere Informationen finden Sie in den Hilfeartikeln zum Prüftool. 

Tipp: Sie können eine Regel im Prüftool aktivieren oder deaktivieren. Bewegen Sie den Mauszeiger in der Ergebnistabelle auf die Spaltenüberschrift „Regel-ID“. Klicken Sie darauf und wählen Sie AktionenRegel aktivieren oder AktionenRegel deaktivieren aus. 

Tipp: Wenn Sie die Ergebnisse für alle DLP-Regeln sehen möchten, klicken Sie auf das X, um die spezifischen Regelsuchkriterien zu löschen, und dann auf Suchen.

Benutzerdefinierte Detektoren filtern

Sie können die Liste der benutzerdefinierten Detektoren nach Detektornamen und Detektortyp filtern.

1. Klicken Sie auf der Seite mit den benutzerdefinierten Detektoren auf Filter hinzufügen.
2. Nach Name oder Typ des Detektors filtern:
   • Detektorname: Geben Sie einen String ein, nach dem gesucht werden soll.
   • Detektortyp: Wählen Sie einen Detektortyp aus.
3. Klicken Sie auf Anwenden. Der Filter bleibt bestehen, bis Sie ihn verwerfen.

Detektoren exportieren

Sie können Detektoren in eine TXT-Datei exportieren.

1. Klicken Sie auf der Seite mit den Detektoren auf Detektoren exportieren. 
2. Die Detektorenliste wird als Textdatei heruntergeladen. Klicken Sie links unten auf die TXT-Datei, um die heruntergeladenen Detektoren aufzurufen.

Benutzerdefinierten Wortlisten-Detektor bearbeiten 

Wenn Sie benutzerdefinierte Detektoren bearbeiten, die in Regeln verwendet werden, wird ein neuer Scan der Dokumente ausgelöst, die von den Regeln mit geänderten Detektoren betroffen sind.

So bearbeiten Sie den Namen und die Beschreibung eines benutzerdefinierten Detektors:

1. Klicken Sie in der Liste auf einen benutzerdefinierten Wortlisten-Detektor.
2. Klicken Sie auf Informationen bearbeiten.
3. Ändern Sie den Titel bzw. die Beschreibung.
4. Klicken Sie auf Speichern.

So fügen Sie der Liste Wörter hinzu:

1. Klicken Sie in der Liste auf einen benutzerdefinierten Wortlisten-Detektor.
2. Klicken Sie auf Wörter hinzufügen.
3. Fügen Sie der Wortliste Wörter hinzu. 
4. Klicken Sie auf Speichern.

So bearbeiten Sie Wörter in der Liste:

1. Klicken Sie in der Liste auf einen benutzerdefinierten Detektor für benutzerdefinierte Wörter.
2. Klicken Sie auf Wörter bearbeiten.
3. Bearbeiten Sie die Wörter in der Liste.
4. Klicken Sie auf Speichern.

Benutzerdefinierten Detektor für reguläre Ausdrücke bearbeiten

Wenn Sie benutzerdefinierte Detektoren bearbeiten, die in Regeln verwendet werden, wird ein neuer Scan der Dokumente ausgelöst, die von den Regeln mit geänderten Detektoren betroffen sind.

So bearbeiten Sie den Namen, die Beschreibung oder den regulären Ausdruck im benutzerdefinierten Detektor für reguläre Ausdrücke:

1. Klicken Sie auf der Seite für benutzerdefinierte Detektoren auf einen benutzerdefinierten Detektor für reguläre Ausdrücke.
2. Bearbeiten Sie im Pop-up-Fenster den Titel, die Beschreibung oder den regulären Ausdruck.
3. Wenn Sie den regulären Ausdruck bearbeitet haben, klicken Sie auf Ausdruck testen. Geben Sie Testdaten zur Bestätigung ein.
4. Klicken Sie auf Speichern.

Benutzerdefinierte Detektoren löschen

Wenn Sie einen Detektor löschen, ist das endgültig.

1. Bewegen Sie den Mauszeiger auf der Seite „Benutzerdefinierte Detektoren“ auf eine Zeile, sodass das Papierkorbsymbol am Ende der Zeile eingeblendet wird.
2. Wählen Sie den Papierkorb aus.
3. Bestätigen Sie, dass Sie den Detektor löschen möchten.