Hinweise zu DLP

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus; Enterprise Essentials Plus. Versionen vergleichen

DLP in Google Drive und DLP in Google Chat sind auch für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz (Enterprise-, Business- oder Education-Versionen) haben.

DLP-Regeln

Mithilfe von DLP (Data Loss Prevention) lassen sich Regeln erstellen und anwenden, um zu steuern, welche Inhalte die Nutzer in Dateien außerhalb der Organisation freigeben dürfen. Außerdem haben Sie damit die Kontrolle darüber, was Nutzer teilen dürfen, und verhindern, dass vertrauliche Informationen wie Kreditkartennummern oder Identitätsnummern unbeabsichtigt preisgegeben werden.

DLP-Regeln lösen bei vertraulichen Inhalten das Scannen von Dateien aus und verhindern, dass Nutzer solche Inhalte teilen. Mit diesen Regeln legen Sie die Art von Vorfällen fest und diese wiederum lösen Aktionen aus, z. B. das Blockieren bestimmter Inhalte.

Die kontrollierte Freigabe für Mitglieder einer Domain, einer Organisationseinheit oder einer Gruppe können Sie jeweils zulassen.

Zusammenfassung des Ablaufs:

  • Sie definieren DLP-Regeln. Diese Regeln bestimmen, welche Inhalte vertraulich sind und geschützt werden sollen. DLP-Regeln gelten sowohl für „Meine Ablage“ als auch für geteilte Ablagen.
  • Mithilfe der DLP-Funktion wird in Inhalten nach Verstößen gegen DLP-Regeln gesucht, die DLP-Vorfälle auslösen.
  • Die von Ihnen definierten Regeln werden erzwungen und Verstöße lösen Aktionen aus, z. B. Warnungen.
  • Sie werden über Verstöße gegen DLP-Regeln informiert.

Weitere Informationen zu folgenden Themen:

Reine Prüfregel zum Testen neuer DLP-Regeln

Sie können DLP-Regeln testen, indem Sie Regeln erstellen, die keine optionale Aktion wie eine Blockierung oder Warnmeldung für Nutzer vorsehen. Wenn sie dann ausgelöst werden, werden die mit dem Vorfall verbundenen Daten in die Regelprotokollereignisse geschrieben. Weitere Informationen finden Sie unter Schritt 1: Regeln planen im Hilfeartikel DLP-Regeln und benutzerdefinierte Inhaltsdetektoren für Drive erstellen.

Beispiele für DLP-Anwendungsfälle

Das bietet DLP:

  • Die Verwendung vertraulicher Inhalte in Google Drive prüfen, die Ihre Nutzer möglicherweise bereits freigegeben haben. So erhalten Sie Informationen zu vertraulichen Dateien, die Nutzer hochgeladen haben.
  • Endnutzer direkt davor warnen, vertrauliche Inhalte außerhalb der Domain zu teilen.
  • Verhindern, dass sensible Daten (z. B. eine Sozialversicherungsnummer) mit externen Nutzern geteilt werden.
  • Administratoren oder andere Personen über Richtlinienverstöße oder DLP-Vorfälle benachrichtigen.
  • Details zu einem Vorfall mit Informationen zum Richtlinienverstoß untersuchen.

DLP-Funktionen

In der folgenden Tabelle werden die Funktionen beschrieben:

DLP-Funktionen Details
DLP-Regeln mit Umfang, Bedingung und Aktionen erstellen

Umfang

  • Richtlinien basierend auf Organisationseinheiten oder Gruppen erstellen
  • Einschluss und Ausschluss von Organisationseinheiten und Gruppen: Richtliniendefinition basierend auf Organisationseinheiten in der Umgebung. Mit der Regel werden Dateien gescannt, die den Nutzern in den ausgewählten Organisationen oder Gruppen gehören. Weitere Informationen finden Sie im Hilfeartikel Häufig gestellte Fragen zum Schutz vor Datenverlust für Google Drive.

Bedingungen

Aktionen

  • Regeln für Warnungen und Benachrichtigungen festlegen
  • Extern freigegebene Links blockieren
  • Endnutzer warnen
  • Inhaltsverstöße in Google Drive-Dateien prüfen
Vorfallmanagement
  • Eine Übersicht der Warnungen wird an Administratoren für DLP gesendet, um Vorfälle schnell zu erkennen und Fehlalarme zu validieren. Weitere Informationen finden Sie im Hilfeartikel Details zu Benachrichtigungen aufrufen.
  • Sie werden in der Benachrichtigungszentrale informiert, wenn eine entsprechende Regel ausgelöst wird. Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheitund dannBenachrichtigungszentrale. Weitere Informationen finden Sie im Hilfeartikel Details zu Benachrichtigungen aufrufen.
  • Berichterstellungs- und Prüf-Dashboard für Richtlinienverstöße (DLP-Vorfälle und die häufigsten Richtlinienvorfälle). Weitere Informationen finden Sie im Hilfeartikel Sicherheitsdashboard verwenden.
Regelprüfung
  • Verwenden Sie zur Untersuchung von Regeln das Sicherheitsprüftool. Weitere Informationen finden Sie im Hilfeartikel Das Sicherheitsprüftool.
  • Sie benötigen die Berechtigung Sicherheitscenter Prüftool Regel Metadaten und Attribute abrufen, um auf das Prüftool zuzugreifen.und dannund dannund dann
  • Mit dem Prüftool können Sie Sicherheits- und Datenschutzprobleme in Ihrer Domain erkennen, sondieren und Maßnahmen ergreifen.
Administratorberechtigungen
  • DLP-Regeln ansehen: Ermöglicht delegierten Administratoren, diese Regeln aufzurufen
  • DLP-Regeln verwalten: Delegierte Administratoren können entsprechende Regeln erstellen, bearbeiten und untersuchen.

Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können.

Nur für das Prüftool: Sicherheitscenterund dannPrüftoolund dannRegelund dannMetadaten und Attribute abrufen.

Anwendungen und Dateitypen, die mit DLP gescannt werden

Gescannte Anwendungen

Zu den gescannten Anwendungen gehören:

  • Google Sheets
  • Google Docs
  • Google Präsentationen
  • Google Formulare: Folgende Inhalte werden gescannt:
    • Dateien, die als Antwort auf Fragen zum Hochladen von Dateien gesendet wurden. Die Teilnehmer werden möglicherweise gewarnt oder können ihre Antworten nicht einreichen, wenn sie versuchen, vertrauliche Inhalte hochzuladen.
    • Formularinhalte (Fragen und Optionen).
  • Google Vids

Inhalte, die nicht von DLP gescannt werden:

  • Kommentare in Google Docs, Google Sheets, Google Präsentationen und Google Zeichnungen
  • E-Mail-Benachrichtigungen zu Kommentaren
  • Websiteinhalte
  • Formularantworten (mit Ausnahme von Dateiuploads)

Gescannte Dateitypen

Zu den gescannten Dateitypen gehören:

  • Dokumentdateitypen: DOC, DOCX, HTML, PDF, PPT, PPTX, TXT, WPD, XLS, XLSX, XML
  • Bilddateitypen: BMP, EPS, FIF, GIF, IMG_FOR_OCR, JPEG, PNG, PS, TIF
  • Komprimierte Dateitypen: BZIP, GZIP, RAR, TAR, ZIP
  • Kundenspezifische Dateitypen: HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, TTF, WML, XPS

Video- und Audiodateitypen werden nicht gescannt.

Hinweis:Die tatsächlich gescannten Dateien können je nach Anwendung variieren. Informationen zu den von DLP für Drive unterstützten Dateitypen finden Sie unter Welche Inhalte werden in den einzelnen Drive-Dateien gescannt?

Administratoranforderungen

Um DLP-Regeln und -Inhaltsdetektoren erstellen und festlegen zu können, müssen Sie Super Admin oder delegierter Administrator mit folgenden Berechtigungen sein:

  • Administrator für Organisationseinheit
  • Google Groups-Administrator
  • Berechtigungen DLP-Regel ansehen und DLP-Regel verwalten. Sie müssen sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren, um Regeln erstellen und bearbeiten zu können. Wir empfehlen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen.
  • Die Berechtigungen „Metadaten und Attribute abrufen“ (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenterund dannPrüftoolund dannRegelund dannMetadaten und Attribute abrufen.

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.