DLP-Regeln und benutzerdefinierte Inhaltsdetektoren für Google Drive erstellen

Die Bedingungen der DLP-Regel bestimmen, welche Art von vertraulichen Inhalten durch die Regel erkannt wird. Grundlegende Beispiele finden Sie unten im Abschnitt Beispiele für DLP-Regeln. Eine Regel benötigt möglicherweise nur eine einzige Bedingung oder sie kann mehrere Bedingungen mit den Operatoren AND, OR oder NOT kombinieren. Im Hilfeartikel Beispiele für verschachtelte Regelbedingungen mit Operatoren für DLP für Drive erhalten Sie weitere Informationen.

• Sie können in einer Regel vordefinierte Inhaltsdetektoren verwenden, um standardmäßige personenbezogene Daten wie eine Führerscheinnummer oder eine Steuernummer zu erkennen. Eine vollständige Liste der verfügbaren Detektoren finden Sie im Hilfeartikel Vordefinierte Inhaltsdetektoren verwenden.
• In Regelbedingungen können Sie auch benutzerdefinierte Inhaltsdetektoren erstellen und nutzen, z. B. eine Liste von Wörtern oder einen regulären Ausdruck. Eine Anleitung finden Sie unter Schritt 2. Benutzerdefinierten Detektor erstellen

Vorschläge zur Verbesserung von Regeltests, einschließlich der Einrichtung einer Regeltestumgebung, finden Sie im Hilfeartikel Best Practices für schnelleres Testen von Regeln.

Sie können eine reine Prüfregel erstellen, um Regeln zu testen, die Sie in DLP anlegen. So sehen Sie, welche Auswirkungen eine Regel in Google Drive hat. Wie alle Regeln werden auch diese ausgelöst. Es werden aber keine Aktionen ausgeführt, sondern nur die Ergebnisse in das Audit-Log der Regel sowie in das Prüftool geschrieben.

Vorschläge zur Verbesserung von Regeltests, einschließlich der Einrichtung einer Regeltestumgebung, finden Sie im Hilfeartikel Best Practices für schnelleres Testen von Regeln.

So erstellen und verwenden Sie eine reine Prüfregel:

1. Folgen Sie der Anleitung zur Regelerstellung in Schritt 3: Regeln erstellen.
2. Treffen Sie im Abschnitt „Aktion“ der Regelerstellung keine Auswahl. Die Aktionen sind optional. Die Regel wird auch ohne sie ausgelöst und alle Vorfälle werden im Audit-Log zu Regeln protokolliert. In diesem Fall wurde die Regel im Abschnitt „Aktion“ mit Nur Prüfung bezeichnet.
3. Fahren Sie fort und schließen Sie die Regelkonfiguration ab. Achten Sie darauf, dass die Regel aktiv ist.
4. Testen Sie, ob die Regel funktioniert, oder warten Sie, bis Nutzer in Ihrer Domain Daten freigeben, die möglicherweise von dieser Regel betroffen sind.
5. Rufen Sie das Audit-Log zu Regeln auf. Weitere Informationen finden Sie in den Hilfeartikeln zum Audit-Log zu Regeln oder zum Prüftool. Das Audit-Log enthält Regeln ohne ausgelöste Aktion, wenn Sie eine reine Prüfregel verwenden.

6. Wenn Sie sicher sind, dass die Regel genau wie gewünscht konfiguriert ist, ändern Sie sie so, dass eine Aktion folgt (siehe Schritt 3: Regeln erstellen).

Empfohlene Regeln sind DLP-Regeln, die Ihnen auf der Grundlage der Ergebnisse des Berichts „Statistiken zum Datenschutz“ vorgeschlagen werden. Wenn im Bericht beispielsweise Passnummern als freigegebener Datentyp in Ihrer Organisation aufgeführt werden, wird von DLP eine Regel empfohlen, um die Freigabe von Passnummern zu verhindern.

Empfehlungen erhalten Sie nur dann, wenn Sie den Bericht „Statistiken zum Datenschutz“ aktiviert haben. Weitere Informationen finden Sie unter Datenlecks mit empfohlenen Regeln für den Datenschutz vorbeugen.

• Dynamische Gruppen: Bei diesem Gruppentyp werden Mitgliedschaften und die jeweils zugeordneten Attribute automatisch verwaltet, das heißt, sie werden aktualisiert, wenn Nutzer einer Organisationseinheit beitreten, sie wechseln oder verlassen. Mit dynamischen Gruppen, die in der Admin-Konsole oder mit der Cloud Identity API zur Verfügung stehen, brauchen Sie daher weniger Zeit für die manuelle Verwaltung von Gruppenmitgliedschaften. Wenn Sie eine dynamische Gruppe für eine DLP-Regel verwenden möchten, muss sie auch eine Sicherheitsgruppe mit dem Label Sicherheit sein. Weitere Informationen zu dynamischen Gruppen

• Sicherheitsgruppen: Sie können eine Standard- oder dynamische Gruppe in eine Sicherheitsgruppe umwandeln. So können Sie Berechtigungen und die Zugriffssteuerung für die Gruppe ganz einfach regulieren, prüfen und beobachten. Sie können Sicherheitsgruppen in der Admin-Konsole oder mit der Cloud Identity Groups API erstellen, indem Sie ihnen das Label Sicherheit hinzufügen. Weitere Informationen

• Migrierte Gruppen: Gruppen, die Sie in Microsoft Active Directory oder anderen Tools erstellt haben, lassen sich mithilfe von Google Cloud Directory Sync (GCDS) mit Google Workspace synchronisieren. Die synchronisierten Gruppen können Sie dann in DLP-Regeln verwenden. Weitere Informationen zu GCDS

Dies ist eine allgemeine Anleitung zum Erstellen eines benutzerdefinierten Detektors, falls Sie einen für Ihre Regelbedingungen brauchen.

DLP-Detektor zur Verwendung mit Regeln erstellen

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Beachten Sie, dass Sie sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren müssen, um Regeln erstellen und bearbeiten zu können. Wir empfehlen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen.
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter  Prüftool  Regel  Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  SicherheitZugriffs- und DatenkontrolleDatenschutz.

   Zum Datenschutz

   Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

2. Klicken Sie auf Detektoren verwalten.
3. Klicken Sie auf Detektor hinzufügen. Geben Sie den Namen und die Beschreibung ein.

   Sie haben folgende Möglichkeiten:

   • Regulärer Ausdruck: Ein regulärer Ausdruck, auch Regex genannt, ist eine Methode zum Abgleich von Textinhalten mit bestimmten Mustern. Klicken Sie auf Ausdruck testen, um den regulären Ausdruck zu prüfen. Beispiele für reguläre Ausdrücke
   • Wortliste: Eine benutzerdefinierte Wortliste, die Sie erstellen. Dies ist eine durch Kommas getrennte Liste von Wörtern, die erkannt werden sollen. Großschreibung und Symbole werden ignoriert. Übereinstimmungen werden nur für ganze Wörter gefunden. Sie können eine Pop-up-Nachricht hinzufügen, die angezeigt wird, wenn Inhalte erkannt werden. Wörter in Wortlisten-Detektoren müssen mindestens zwei Buchstaben oder Ziffern enthalten.
4. Klicken Sie auf Erstellen. Später können Sie den benutzerdefinierten Detektor verwenden, wenn Sie einer Regel Bedingungen hinzufügen.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Beachten Sie, dass Sie sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren müssen, um Regeln erstellen und bearbeiten zu können. Wir empfehlen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen.

Informationen zu Berechtigungen, die nur für das Prüftool erforderlich sind, finden Sie unter Administratorberechtigungen für das Sicherheitsprüftool.

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  SicherheitZugriffs- und DatenkontrolleDatenschutz.

   Zum Datenschutz

   Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

2. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügenNeue Regel oder auf Regel hinzufügenNeue Regel aus Vorlage. Wählen Sie auf der Seite „Vorlagen“ eine Vorlage aus.
3. Geben Sie den Namen und eine Beschreibung für die Regel ein.
4. Wählen Sie im Bereich Apps die Option Google Drive  Drive-Dateien aus.
5. Klicken Sie auf Weiter.
6. Im Abschnitt Aktionen können Sie optional die Aktion auswählen, die ausgeführt werden soll, wenn beim Scan sensible Daten erkannt werden:

   Möchten Sie eine Regel testen, bevor Sie ihr eine Aktion hinzufügen?
   Sie können eine reine Prüfregel erstellen, um eine Regel zu testen, die in das Audit-Log schreibt, ohne eine Aktion auszuführen. Die Auswahl einer Aktion ist optional. Weitere Informationen finden Sie im Abschnitt Reine Prüfregeln zum Testen der Regelergebnisse verwenden (optional, aber empfohlen).

   • Externe Freigabe blockieren: Verhindert die Freigabe des Dokuments.
   • Bei externer Freigabe warnen: Wenn ein Nutzer versucht, die Datei freizugeben, wird er darauf hingewiesen, dass sie sensible Inhalte enthält. Er kann die Freigabe abbrechen oder auf „Trotzdem freigeben“ klicken.

     Hinweis:Wenn Sie für diese Aktion Benachrichtigungen aktivieren, werden sie ausgelöst, sobald sensible Inhalte erkannt werden. Dies ist unabhängig davon, ob die Datei zu diesem Zeitpunkt freigegeben wurde. Die Erkennung erfolgt in der Regel, nachdem eine Datei erstellt oder aktualisiert wurde oder sich die auf die Datei angewendeten Regeln geändert haben, z. B. wenn eine Regel erstellt oder aktualisiert wurde. Das kann auch passieren, wenn durch ein Systemupdate die Erkennung verbessert wird. Erkennungsereignisse werden im Regelprotokoll aufgezeichnet.

   • Herunterladen, Drucken und Kopieren deaktivieren: Dadurch wird das Herunterladen, Drucken und Kopieren verhindert, sofern der Nutzer nicht die Berechtigung Mitbearbeiter oder höher hat. Das ist eine Funktion zum Schutz vor Datenverlust der Kategorie „Verwaltung von Informationsrechten“ (Information Rights Management, IRM). Dabei werden die Freigabeeinstellungen von Google Drive als Richtlinien verwendet, sodass Nutzer Google Drive-Dokumente, Google-Tabellen oder Google-Präsentationen nicht auf allen Plattformen herunterladen, drucken oder kopieren können. Weitere Informationen finden Sie im Hilfeartikel Häufig gestellte Fragen zum neuen Schutz vor Datenverlust für Google Drive.
   • Klassifizierungslabels anwenden: Ein vorhandenes Klassifizierungslabel wird auf übereinstimmende Dateien angewendet. Führen Sie diese Konfigurationsschritte aus:
     1. Wählen Sie in der Drop-down-Liste Klassifizierungslabel ein verfügbares Label und dann ein verfügbares Feld und eine Feldoption für das Label aus. Es werden nur Badge-Labels und Standardlabels mit dem Feldtyp Optionsliste unterstützt. Weitere Informationen finden Sie unter Erste Schritte als Administrator von Klassifizierungslabels.
     2. Optional: Klicken Sie auf Label hinzufügen, um weitere Labels hinzuzufügen.
     3. Wählen Sie aus, ob Nutzer Labels und Feldwerte für ihre Dateien ändern dürfen.
7. Wählen Sie im Abschnitt Benachrichtigungen einen Schweregrad aus (Niedrig, Mittel, Hoch). Damit wird beeinflusst, wie Vorfälle im DLP-Dashboard dargestellt werden. Sie sehen die Anzahl der Vorfälle mit der Wichtigkeitsstufe „Hoch“, „Mittel“ oder „Niedrig“ im Verlauf der Zeit.
8. Klicken Sie optional das Kästchen Benachrichtigungszentrale an, um Benachrichtigungen auszulösen. Warnungen werden nur für Google Drive unterstützt. Weitere Informationen finden Sie unter Details zu Benachrichtigungen aufrufen.

   Klicken Sie das Kästchen an, um alle Super Admins zu benachrichtigen, oder fügen Sie die E‑Mail-Adressen weiterer Empfänger hinzu. Nur Empfänger, die zum Nutzer gehören, können hinzugefügt werden. Externe Empfänger werden ignoriert. Empfänger können Nutzer oder Gruppen sein. Denken Sie daran, dass Sie den Zugriff für ausgewählte Gruppen einrichten müssen, damit diese Gruppen die an sie gesendete E‑Mail erhalten können. Im Hilfeartikel E-Mail-Benachrichtigungen konfigurieren finden Sie weitere Informationen zum Festlegen des Gruppenzugriffs.

   Warnungen werden in der Benachrichtigungszentrale aufgelistet. Beachten Sie, dass die Warnung und deren Protokollierung nicht gleichzeitig passieren. Wenn eine Warnung in der Benachrichtigungszentrale angezeigt wird, dauert es eine Weile, bis das Audit-Log für Regeln und die DLP-Sicherheitsdashboards aktualisiert werden. Möglicherweise erhalten Sie eine Warnung und rufen dann die Übersicht der Warnungen auf. Die Anzahl der Vorfälle in den Dashboards oder Audit-Logs im Prüftool wird jedoch erst nach einer gewissen Zeit aktualisiert. Pro Regel und Tag können bis zu 50 Warnungen ausgegeben werden. Warnungen werden ausgegeben, bis dieser Grenzwert erreicht ist.

9. Klicken Sie auf Weiter.
10. Wählen Sie im Abschnitt Umfang die Option Alle in <domain.name> aus oder wenden Sie diese Regel nur auf Nutzer in ausgewählten Organisationseinheiten oder Gruppen an. Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

    Hinweis:Wenn Sie die Regel auf eine dynamische Gruppe anwenden möchten, muss die Gruppe auch das Label Sicherheit haben. Weitere Informationen finden Sie unter Welche Arten von Gruppen kann ich für den Geltungsbereich einer Regel auswählen?.

11. Klicken Sie im Abschnitt Bedingungen auf Bedingung hinzufügen.
12. Wählen Sie den zu scannenden Inhaltstyp aus:
    • Gesamter Inhalt: Das gesamte Dokument, einschließlich Dokumenttitel, Text und Änderungsvorschläge
    • Text: Textteil des Dokuments
    • Klassifizierungslabel: Alle Labels, die auf das Dokument angewendet wurden. Weitere Informationen finden Sie unter Erste Schritte als Administrator von Klassifizierungslabels.
    • Änderungsvorschläge: Inhalte, die dem Dokument im Vorschlagsmodus hinzugefügt wurden
    • Titel: Dokumenttitel
13. Wählen Sie Wonach soll gesucht werden? aus und füllen Sie dann die erforderlichen Attribute für diesen Scantyp aus, die in der Tabelle unten aufgeführt sind.

    Beachten Sie, dass die Optionen für Wonach soll gesucht werden? je nach dem Wert variieren, den Sie im vorherigen Schritt unter Zu scannender Inhaltstyp ausgewählt haben. Wenn Sie beispielsweise „Titel“ als zu scannenden Inhaltstyp auswählen, werden in den Optionen unter Wonach soll gesucht werden? die Optionen Endet mit und Beginnt mit angezeigt.

    Wonach soll gesucht werden?	Attribute
    Stimmt mit vordefiniertem Datentyp überein	Datentyp: Wählen Sie einen vordefinierten Datentyp aus. Weitere Informationen Schwellenwert für die Wahrscheinlichkeit: Wählen Sie einen Wert aus. Folgende Werte sind verfügbar: Sehr niedrig Niedrig Mittel Hoch Sehr hoch Diese Schwellenwerte geben an, als wie zuverlässig das Ergebnis des Abgleichs durch das DLP-System eingeschätzt wird. Im Allgemeinen erzielt der Schwellenwert Sehr hoch weniger Übereinstimmungen mit Inhalten und ist genauer. Wenn Sie Sehr niedrig auswählen, werden vermutlich mehr Übereinstimmungen mit Dateien gefunden, aber sie haben eine geringere Genauigkeit. Mindestanzahl eindeutiger Übereinstimmungen: Gibt an, wie oft ein übereinstimmendes Ergebnis eindeutig in einem Dokument vorkommen muss, damit die Aktion ausgelöst wird. Mindestanzahl der Übereinstimmungen: Gibt an, wie oft übereinstimmende Ergebnisse in einem Dokument mindestens vorkommen müssen, damit die Aktion ausgelöst wird. Wie funktionieren diese beiden Varianten? Stellen Sie sich zwei Listen mit Sozialversicherungsnummern vor: Die erste Liste enthält 50 Mal dieselbe Nummer und die zweite Liste 50 verschiedene Nummern. Wenn die Mindestanzahl der Übereinstimmungen gleich zehn ist, erfolgt die Auslösung aufgrund der Ergebnisse für beide Listen, da es jeweils mindestens zehn Übereinstimmungen gibt. Wenn aber die Mindestanzahl eindeutiger Übereinstimmungen gleich zehn und der Wert Mindestanzahl der Übereinstimmungen gleich eins ist, erfolgt nur eine Auslösung aufgrund der Ergebnisse in der zweiten Liste, da es zehn Übereinstimmungen mit verschiedenen Werten gibt.
    Enthält Textstring	Inhalte für den Abgleich eingeben: Geben Sie einen Teilstring, eine Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Geben Sie an, ob beim Inhalt Groß- und Kleinschreibung berücksichtigt werden soll. Bei einem Teilstring kann die Regel z. B. das Wort Schlüssel enthalten. Wenn im Dokument das Wort Schlüssel vorkommt, gibt es eine Übereinstimmung.
    Enthält Wort	Inhalte für den Abgleich eingeben: Geben Sie das Wort, die Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Nur verfügbar, wenn Sie Gmail als App auswählen.
    Übereinstimmung mit regulärem Ausdruck	Name für regulären Ausdruck: Ein benutzerdefinierter Detektor für reguläre Ausdrücke. Mindesthäufigkeit für die Mustererkennung: So oft muss das durch den regulären Ausdruck ausgedrückte Muster in einem Dokument mindestens vorkommen, damit die Aktion ausgelöst wird.
    Stimmt mit Wörtern aus der Wortliste überein	Name für Wortliste: Wählen Sie eine benutzerdefinierte Wortliste aus. Abgleichmodus: Wählen Sie entweder Mindestens eines der Wörter stimmt überein oder Eine Mindestanzahl eindeutiger Wörter stimmt überein aus. Mindestanzahl eines gefundenen Wortes: Die kleinstmögliche Häufigkeit, mit der ein erkanntes Wort die Aktion auslösen kann. Mindestanzahl der erkannten eindeutigen Wörter: So viele eindeutige Wörter müssen mindestens erkannt werden, damit die Aktion ausgelöst wird (nur bei der Option Eine Mindestanzahl eindeutiger Wörter stimmt überein).
    Endet mit	Inhalte für den Abgleich eingeben: Geben Sie das Wort, die Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Geben Sie an, ob beim Inhalt Groß- und Kleinschreibung berücksichtigt werden soll.
    Beginnt mit	Inhalte für den Abgleich eingeben: Geben Sie das Wort, die Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Geben Sie an, ob beim Inhalt Groß- und Kleinschreibung berücksichtigt werden soll.
    Ist (nur Inhaltstyp Klassifizierungslabel)	Klassifizierungslabel: Wählen Sie aus der Drop-down-Liste ein verfügbares Klassifizierungslabel aus. Labelfeld: Wählen Sie ein verfügbares Labelfeld für das ausgewählte Drive-Label aus. Feldoption: Wählen Sie eine verfügbare Feldoption für das ausgewählte Feld aus.

    Sie können die Operatoren AND, OR oder NOT mit Bedingungen verwenden. Weitere Informationen zur Verwendung der Operatoren AND, OR oder NOT mit Bedingungen finden Sie im Hilfeartikel Beispiele für verschachtelte Regelbedingungen mit Operatoren für DLP für Drive.

    Hinweis:Wenn Sie eine DLP-Regel ohne Bedingung erstellen, wird die angegebene Aktion auf alle Drive-Dateien angewendet.

14. Klicken Sie auf Weiter und sehen Sie sich die Regeldetails an.
15. Wählen Sie im Abschnitt Regelstatus einen Anfangsstatus für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter SicherheitDatenschutzRegeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
16. Klicken Sie auf Erstellen.

Erklären Sie den Nutzern das Verhalten und die Auswirkungen der neuen Regel. Das ist beispielsweise der Fall, wenn Sie die externe Freigabe blockieren möchten, wenn sensible Daten freigegeben werden. Dann sollten Sie die Nutzer darauf vorbereiten, dass sie Dokumente unter Umständen nicht freigeben können, und ihnen mitteilen, warum das so ist.

In diesem Beispiel wird gezeigt, wie Sie mithilfe eines vordefinierten Klassifikators verhindern, dass Nutzer in bestimmten Organisationen und Gruppen sensible Daten freigeben. Mit vordefinierten Klassifikatoren können Sie häufig eingegebene Daten angeben. In diesem Beispiel handelt es sich dabei um Sozialversicherungsnummern.

Bevor Sie beginnen, müssen Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den oben unter DLP-Regel erstellen aufgeführten Berechtigungen anmelden.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  SicherheitZugriffs- und DatenkontrolleDatenschutz.

   Zum Datenschutz

   Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

2. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügenNeue Regel.
3. Geben Sie den Namen und die Beschreibung der Regel an.
4. Wählen Sie im Bereich Apps die Option Google Drive Drive-Dateien aus.
5. Klicken Sie auf Weiter.
6. Wählen Sie im Abschnitt Aktionen unter „Google Drive“ die Option Externe Freigabe blockieren aus.
7. Wählen Sie im Abschnitt Benachrichtigungen den Schweregrad Hoch aus. Klicken Sie das Kästchen Benachrichtigungszentrale an, um eine Benachrichtigung zu aktivieren, und geben Sie die E‑Mail-Empfänger an.

   Beachten Sie, dass die Warnung und deren Protokollierung nicht gleichzeitig passieren. Admins können Warnungen erhalten, bis der Grenzwert von 50 pro Regel und Tag erreicht ist.

8. Klicken Sie auf Weiter.
9. Wählen Sie im Abschnitt Umfang die Option Auf alle <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus. Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.
10. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    • Zu scannender Inhaltstyp: Alle Inhalte
    • Wonach soll gesucht werden: Stimmt mit vordefiniertem Datentyp überein (empfohlen)
    • Datentyp: USA – Sozialversicherungsnummer.
    • Schwellenwert für die Wahrscheinlichkeit: Sehr hoch Eine zusätzliche Maßnahme, mit der ermittelt wird, ob Nachrichten die Aktion auslösen.
    • Mindestanzahl eindeutiger Übereinstimmungen: 1. So oft muss eine eindeutige Übereinstimmung in einem Dokument mindestens vorkommen, damit die Aktion ausgelöst wird.
    • Mindestanzahl der Übereinstimmungen: 1. So oft muss der Inhalt in einer Nachricht vorkommen, damit die Aktion ausgelöst wird. Wenn Sie beispielsweise „2“ auswählen, muss der Inhalt in einer Nachricht mindestens zweimal vorkommen, um die Aktion auszulösen.
11. Klicken Sie auf Weiter.
12. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
13. Wählen Sie im Abschnitt Regelstatus einen Anfangsstatus für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter SicherheitDatenschutzRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
14. Klicken Sie auf Erstellen.

In diesem Beispiel wird gezeigt, wie Sie einen benutzerdefinierten Detektor einrichten. Sie können Wörter auflisten, die in einem benutzerdefinierten Detektor erkannt werden sollen. Verwenden Sie Einstellungen für die Auslösung in Regeln, um zu verhindern, dass Nutzer Dokumente, in denen sensible Daten wie interne Projektnamen erwähnt werden, mit externen Empfängern teilen.

Bevor Sie beginnen, müssen Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den oben unter DLP-Regel erstellen aufgeführten Berechtigungen anmelden.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  SicherheitZugriffs- und DatenkontrolleDatenschutz.

   Zum Datenschutz

   Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

2. Klicken Sie auf Detektoren verwalten. Klicken Sie dann auf Detektor hinzufügenWortliste.
3. Geben Sie einen Namen und eine Beschreibung für den Detektor ein.
4. Geben Sie die zu erkennenden Wörter durch Kommas getrennt ein. In benutzerdefinierten Wortlisten gilt Folgendes:
   • Die Groß-/Kleinschreibung wird ignoriert. Das bedeutet: „GUT“ stimmt mit „gut“, „Gut“ und „GUT“ überein.
   • Übereinstimmungen werden nur für ganze Wörter gefunden. Wenn Sie beispielsweise „gut“ in die Liste der benutzerdefinierten Wörter aufnehmen, wird „guter“ nicht in den Abgleich aufgenommen.
5. Klicken Sie auf Erstellen.
6. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügenNeue Regel.
7. Geben Sie im Abschnitt Name die Bezeichnung und optional eine Beschreibung der Regel ein.
8. Wählen Sie im Bereich Apps die Option Google Drive Drive-Dateien aus.
9. Wählen Sie im Abschnitt Aktionen unter „Google Drive“ die Option Externe Freigabe blockieren aus.
10. Wählen Sie im Abschnitt Benachrichtigungen den Schweregrad Hoch aus. Klicken Sie das Kästchen Benachrichtigungszentrale an, um eine Benachrichtigung zu aktivieren, und geben Sie die E‑Mail-Empfänger an.

    Beachten Sie, dass die Warnung und deren Protokollierung nicht gleichzeitig passieren. Admins können Warnungen erhalten, bis der Grenzwert von 50 pro Regel und Tag erreicht ist.

11. Klicken Sie auf Weiter.

12. Suchen Sie im Abschnitt Umfang nach den Gruppen oder Organisationseinheiten, für die die Regel gelten soll, und wählen Sie sie aus.
13. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    • Zu scannender Inhaltstyp: Alle Inhalte
    • Wonach gesucht wird: Gleicht Wörter aus einer Wortliste ab
    • Name der Wortliste: Scrollen Sie, um den Detektor zu finden, den Sie oben erstellt haben.
    • Abgleichmodus: Wählen Sie einen Abgleichmodus aus:
      • Mindestens eines der Wörter stimmt überein: Zählt Übereinstimmungen mit jedem Wort aus der vordefinierten Wortliste
      • Eine Mindestanzahl eindeutiger Wörter stimmt überein: Geben Sie an, wie viele einzelne Wörter mindestens erkannt wurden und wie oft jedes Wort (von denen aus der vordefinierten Wortliste) insgesamt erkannt wird.
    • Mindestanzahl eines gefundenen Wortes: 1
14. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
15. Wählen Sie im Abschnitt Regelstatus einen Anfangsstatus für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter SicherheitDatenschutzRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
16. Klicken Sie auf Erstellen.

In einer Regelvorlage ist eine Reihe von Bedingungen gesammelt, die viele typische Datenschutzszenarien abdecken. Damit haben Sie die Möglichkeit, Richtlinien für häufig auftretende Datenschutzsituationen festzulegen.

In diesem Beispiel wird eine Regelvorlage verwendet, um das Senden oder Freigeben von Drive-Dokumenten oder E‑Mails mit personenidentifizierbaren Informationen in den USA zu blockieren.

Bevor Sie beginnen, müssen Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den oben unter DLP-Regel erstellen aufgeführten Berechtigungen anmelden.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  SicherheitZugriffs- und DatenkontrolleDatenschutz.

   Zum Datenschutz

   Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

2. Klicken Sie auf Regeln verwalten.
3. Klicken Sie auf Regel hinzufügenNeue Regel aus Vorlage.
4. Klicken Sie auf der Seite „Vorlagen“ auf Freigabe von personenidentifizierbaren Informationen unterbinden (USA).
5. Übernehmen Sie den Standardnamen und die Beschreibung der Regel oder geben Sie neue Werte ein.
6. Klicken Sie auf Weiter.
7. Überprüfen Sie die Einstellungen für Aktionen und Benachrichtigungen und bearbeiten Sie sie bei Bedarf. Für Google Drive ist Externe Freigabe blockieren ausgewählt. Dadurch werden Nutzer daran gehindert, Dateien, die die Bedingungen erfüllen, für Personen außerhalb Ihrer Organisation freizugeben. Die Sicherheit ist auf „Niedrig“ eingestellt und Warnungen sind deaktiviert.
8. Klicken Sie auf Weiter.
9. Die Bedingungen für die Regelvorlage sind vorab ausgewählt. Rufen Sie sie auf, wenn Sie die spezifischen Bedingungen sehen möchten, die für die Regel gelten.
10. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
11. Wählen Sie im Abschnitt Regelstatus einen Anfangsstatus für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter SicherheitDatenschutzRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
12. Klicken Sie auf Erstellen.

In diesem Beispiel wird eine DLP-Regel mit einer Bedingung für den kontextsensitiven Zugriff kombiniert. Wenn Sie eine DLP-Regel mit einer Kontextbedingung kombinieren, wird die Regel nur angewendet, wenn die Bedingung erfüllt ist.

In diesem Beispiel verhindert die DLP-Regel, dass Nutzer von Google Docs mit Kommentar- oder Lesezugriff sensible Inhalte herunterladen, drucken oder kopieren. Die Kontextbedingung besagt, dass Nutzer über iOS- oder Android-Geräte auf Inhalte zugreifen.

Wichtig: Damit geräte- oder gerätebetriebssystembasierte Kontextbedingungen auf Mobilgeräte angewendet werden können, muss die einfache oder erweiterte Geräteverwaltung aktiviert sein.

Bevor Sie beginnen, müssen Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den oben unter DLP-Regel erstellen aufgeführten Berechtigungen anmelden.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  SicherheitZugriffs- und DatenkontrolleDatenschutz.

   Zum Datenschutz

   Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

2. Klicken Sie auf Regeln verwalten. Klicken Sie dann auf Regel hinzufügenNeue Regel.
3. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
4. Wählen Sie im Bereich Apps die Option Google Drive Drive-Dateien aus.
5. Klicken Sie auf Weiter.
6. Wählen Sie im Bereich Aktionen für Google Drive die Option Herunterladen, Drucken und Kopieren deaktivieren und dann Nur für Kommentatoren und Betrachter aus.

   Hinweis:Die Aktion wird nur angewendet, wenn die Inhalts- und die Kontextbedingungen erfüllt sind.

7. Optional: Wählen Sie eine Wichtigkeitsstufe für die Benachrichtigung aus (niedrig, mittel oder hoch) und geben Sie an, ob Warnungen und E‑Mail-Benachrichtigungen gesendet werden sollen.
8. Klicken Sie auf Weiter.
9. Suchen Sie im Abschnitt Umfang nach den Gruppen in Organisationseinheiten, für die die Regel gilt.
10. Wählen Sie unter Apps in Google Drive die Option Drive-Dateien aus.
11. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen.
12. Wählen Sie unter Zu scannender Inhaltstyp die Option Alle Inhalte aus.
13. Wählen Sie unter Wonach soll gesucht werden? einen DLP-Scantyp und Attribute aus. Weitere Informationen zu den verfügbaren Attributen finden Sie unter DLP-Regel erstellen.
14. Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen, um die vorhandenen Zugriffsebenen aufzurufen.
15. Klicken Sie auf Neue Zugriffsebene erstellen.
16. Geben Sie einen Namen und eine Beschreibung für die neue Zugriffsebene ein.
17. Klicken Sie unter Kontextbedingungen auf Bedingung hinzufügen.
18. Wählen Sie Alle Attribute erfüllt aus.
19. Klicken Sie auf Attribut auswählenBetriebssystem des Geräts, dann auf Betriebssystem auswählen und wählen Sie in der Drop-down-Liste „iOS“ aus.
20. Übernehmen Sie für Mindestversion die Standardauswahl „Alle Versionen“ oder wählen Sie eine bestimmte Version aus.
21. Klicken Sie auf Bedingung hinzufügen und wiederholen Sie die Schritte 20 und 21. Wählen Sie dabei Android als Betriebssystem des Geräts aus.
22. Stellen Sie die Ein/Aus-Schaltfläche Mehrere Bedingungen verknüpfen mit (über Bedingungen) auf ODER. Die DLP-Regel wird dann angewendet, wenn Nutzer mit iOS- oder Android-Geräten auf vertrauliche Inhalte zugreifen.
23. Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene wird der Liste hinzugefügt und die zugehörigen Attribute werden rechts angezeigt.
24. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
25. Wählen Sie im Abschnitt Regelstatus einen Anfangsstatus für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter SicherheitDatenschutzRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
26. Klicken Sie auf Erstellen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Weitere Beispiele finden Sie unter Regeln zum Schutz vor Datenverlust mit Bedingungen für kontextsensitiven Zugriff kombinieren.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

• Administrator für Organisationseinheit
• Google Groups-Administrator
• DLP-Regel aufrufen und verwalten. Beachten Sie, dass Sie sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren müssen, um Regeln erstellen und bearbeiten zu können. Wir empfehlen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen.
• Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter  Prüftool  Regel  Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  SicherheitZugriffs- und DatenkontrolleDatenschutz.

   Zum Datenschutz

   Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

2. Klicken Sie auf Regeln verwalten oder Detektoren verwalten. Die Seite mit den Regeln finden Sie unter Sicherheit > Datenschutz > Regeln. Die Seite mit den Detektoren finden Sie unter Sicherheit > Datenschutz > Detektoren.

Sortierregeln

Regeln lassen sich nach der Spalte Name oder Zuletzt geändert in aufsteigender oder absteigender Reihenfolge sortieren.

1. Klicken Sie dazu auf der Seite „Regeln“ auf den jeweiligen Spaltennamen, also auf Name oder Zuletzt geändert.
2. Klicken Sie auf den Auf- oder Abwärtspfeil, um die Spalte entsprechend zu sortieren.

Regeln aktivieren oder deaktivieren

Wenn Sie eine Regel aktivieren, werden in DLP die Dokumente gescannt, die diese Regel verwenden.

1. Wählen Sie auf der Seite „Regeln“ in der Spalte „Status“ für eine Regel Aktiv oder Inaktiv aus.
2. Bestätigen Sie, dass Sie die Regel aktivieren oder deaktivieren möchten.

Regel löschen

Das Löschen von Regeln ist endgültig.

1. Bewegen Sie den Mauszeiger auf der Seite „Regeln“ auf eine Zeile, damit das Papierkorbsymbol  am Ende der Zeile angezeigt wird.
2. Klicken Sie auf das Papierkorbsymbol .
3. Bestätigen Sie, dass Sie die Regel löschen möchten.

Exportregeln

Sie können Regeln in eine TXT-Datei exportieren.

1. Klicken Sie auf der Seite mit den Regeln auf Regeln exportieren.
2. Die Regelliste wird als Textdatei heruntergeladen. Klicken Sie links unten auf die TXT-Datei, um die heruntergeladenen Regeln aufzurufen.

Regeldetails bearbeiten

Wenn Sie Regeln bearbeiten, wird ein neuer Scan der Dokumente ausgelöst, die von diesen Regeln betroffen sind.

1. Klicken Sie in der Liste der Regeln auf die Regel, die Sie bearbeiten möchten.
2. Klicken Sie auf Regel bearbeiten.
3. Bearbeiten Sie die Regel nach Bedarf. Der Ablauf ist derselbe wie beim Erstellen von Regeln.
4. Wenn Sie fertig sind, klicken Sie auf Aktualisieren und wählen Sie Folgendes aus:
   • Aktiv: Ihre Regel wird sofort ausgeführt.
   • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter SicherheitDatenschutzRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
5. Klicken Sie auf Abgeschlossen.

Regel mit dem Sicherheitsprüftool untersuchen

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus. Versionen vergleichen

In DLP wird im Prüftool für die Sicherheit gezeigt, wie oft eine Regel ausgelöst wird. Aufgeführt werden die Ergebnisse einer Suche nach der Regel sowie die ausgelösten Aktionen für jeden Vorfall.

Zur Verwendung des Prüftools benötigen Sie die Berechtigungen „Metadaten und Attribute abrufen“ unter Sicherheitscenter  Prüftool  Regel  Metadaten und Attribute abrufen.

So prüfen Sie eine Regel:

1. Bewegen Sie den Mauszeiger in der Regelliste auf eine Zeile und klicken Sie auf Regel untersuchen.
2. Sie sehen Suchergebnisse für die Regel. Beachten Sie, dass das Auslösen einer Regel und die Aktualisierung des Protokolls nicht gleichzeitig passieren. Weitere Informationen finden Sie im Hilfeartikel Prüftool.

Tipp: Sie können eine Regel im Prüftool aktivieren oder deaktivieren. Bewegen Sie den Mauszeiger in der Ergebnistabelle auf die Spaltenüberschrift „Regel-ID“. Klicken Sie darauf und wählen Sie AktionenRegel aktivieren oder AktionenRegel deaktivieren aus.

Tipp: Wenn Sie die Ergebnisse für alle DLP-Regeln sehen möchten, klicken Sie auf „Schließen“ X, um die spezifische Regel zu entfernen.

Benutzerdefinierte Detektoren filtern

Sie können die Liste der benutzerdefinierten Detektoren nach Detektornamen und Detektortyp filtern.

1. Klicken Sie auf der Seite mit den benutzerdefinierten Detektoren auf Filter hinzufügen.
2. Nach Name oder Typ des Detektors filtern:
   • Name des Detektors: Geben Sie einen String ein, nach dem gesucht werden soll.
   • Detektortyp: Wählen Sie einen Detektortyp aus.
3. Klicken Sie auf Übernehmen. Der Filter bleibt bestehen, bis Sie ihn verwerfen.

Detektoren exportieren

Sie können Detektoren in eine TXT-Datei exportieren.

1. Klicken Sie auf der Seite mit den Detektoren auf Detektoren exportieren.
2. Die Detektorenliste wird als Textdatei heruntergeladen. Klicken Sie links unten auf die txt-Datei, um die heruntergeladenen Detektoren aufzurufen.

Benutzerdefinierten Wortlisten-Detektor bearbeiten

Wenn Sie benutzerdefinierte Detektoren bearbeiten, die in Regeln verwendet werden, wird ein neuer Scan der Dokumente ausgelöst, die von den Regeln mit geänderten Detektoren betroffen sind.

So bearbeiten Sie den Namen und die Beschreibung eines benutzerdefinierten Detektors:

1. Klicken Sie in der Liste auf einen benutzerdefinierten Wortlisten-Detektor.
2. Klicken Sie auf Informationen bearbeiten.
3. Bearbeiten Sie den Titel und die Beschreibung.
4. Klicken Sie auf Speichern.

So fügen Sie der Liste Wörter hinzu:

1. Klicken Sie in der Liste auf einen benutzerdefinierten Wortlisten-Detektor.
2. Klicken Sie auf Wörter hinzufügen.
3. Fügen Sie der Wortliste Wörter hinzu.
4. Klicken Sie auf Speichern.

So bearbeiten Sie Wörter in der Liste:

1. Klicken Sie in der Liste auf einen benutzerdefinierten Detektor für benutzerdefinierte Wörter.
2. Klicken Sie auf Wörter bearbeiten.
3. Bearbeiten Sie die Wörter in der Liste.
4. Klicken Sie auf Speichern.

Benutzerdefinierten Detektor für reguläre Ausdrücke bearbeiten

Wenn Sie benutzerdefinierte Detektoren bearbeiten, die in Regeln verwendet werden, wird ein neuer Scan der Dokumente ausgelöst, die von den Regeln mit geänderten Detektoren betroffen sind.

So bearbeiten Sie den Namen, die Beschreibung oder den regulären Ausdruck im benutzerdefinierten Detektor für reguläre Ausdrücke:

1. Klicken Sie auf der Seite für benutzerdefinierte Detektoren auf einen benutzerdefinierten Detektor für reguläre Ausdrücke.
2. Bearbeiten Sie im Pop-up-Fenster den Titel, die Beschreibung oder den regulären Ausdruck.
3. Wenn Sie den regulären Ausdruck bearbeitet haben, klicken Sie auf Ausdruck testen. Geben Sie Testdaten zur Bestätigung ein.
4. Klicken Sie auf Speichern.

Benutzerdefinierten Detektor löschen

Wenn Sie einen Detektor löschen, ist das endgültig.

1. Bewegen Sie den Mauszeiger auf der Seite „Benutzerdefinierte Detektoren“ auf eine Zeile, sodass das Papierkorbsymbol  am Ende der Zeile eingeblendet wird.
2. Wählen Sie den Papierkorb  aus.
3. Bestätigen Sie, dass Sie den Detektor löschen möchten.