Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus; Enterprise Essentials Plus. Versionen vergleichen
DLP in Google Drive und DLP in Google Chat sind auch für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz (Enterprise-, Business- oder Education-Versionen) haben.
Allgemeine FAQ zum Schutz vor Datenverlust für Google Drive
Welche vordefinierten Inhaltsdetektoren werden unterstützt?
Die DLP-Funktion in Drive unterstützt eine Vielzahl vordefinierter Detektoren. Im Zuge der Weiterentwicklung der DLP-Plattform werden weitere Detektoren hinzukommen.
Werden Inhalte zu 100% erkannt?
Nein, wir können nicht garantieren, dass alle vertraulichen Daten erkannt und markiert werden. Das Erkennungssystem der Funktion zum Schutz vor Datenverlust übersetzt definierte Vorlagen in reguläre Ausdrücke und versucht mithilfe weiterer Inhaltsparameter, die Wahrscheinlichkeit einer Übereinstimmung zu ermitteln. Es kann falsch-positive und falsch-negative Meldungen geben, die durch viele Faktoren ausgelöst werden. Außerdem können nicht alle Dateitypen gescannt und anhand von Regeln ausgewertet werden.
Wenn Regeln geändert oder hinzugefügt werden, werden dann auch bereits vorhandene Dateien vom System gescannt?
Ja. Wir versuchen, alle Dateien zu scannen, wenn eine Regel hinzugefügt oder geändert wird. Allerdings können nicht alle Dateitypen gescannt werden. Die Zeitspanne für das Scannen der Dateien ist von verschiedenen Faktoren abhängig, z. B. von der Zahl der Dateien in der Domain. Der Vorgang kann einige Stunden, einen Tag oder auch länger in Anspruch nehmen.
Tipp:Wenn Sie eine Regel hinzufügen oder ändern, scannt DLP die neueste Version der zuvor hochgeladenen Dateien. Das bezieht sich auch auf das Ändern eines benutzerdefinierten Inhaltsdetektors, der in einer Regel verwendet wird.
Kommt es auch vor, dass Dateien mehrmals gescannt werden?
Ja. Um sicherzustellen, dass vertrauliche Inhalte erkannt werden, erfolgt bei manchen Dokumenten mehr als ein Scan. Daher kann die Zahl der Dateien, die von einer Regeländerung betroffen sind, bei mehreren Scans unterschiedlich hoch sein.
Wie lange dauert es, bis eine DLP-Richtlinie in Kraft tritt?
Es kann bis zu 24 Stunden dauern, bis eine DLP-Richtlinie wirksam wird.
Welche Auslöser für Regeln sind in der Funktion zum Schutz vor Datenverlust in Drive verfügbar?
Die Funktion zum Schutz vor Datenverlust in Google Drive wird durch Dateiänderungen ausgelöst. Außerdem werden in Google Formulare Dateien gescannt, die beim Einreichen des Formulars als Frageneinreichungen hochgeladen wurden.
Kann ich Regeln zum Schutz vor Datenverlust mit einer API erstellen und verwalten?
Es gibt derzeit keinen API-Zugriff.
Gelten die DLP-Regeln auch für Drive-Dateien, die an E‑Mails angehängt wurden?
Wenn ein Nutzer eine Drive-Datei aus „Dateien aus Google Drive einfügen“ an eine E-Mail anhängt, gelten DLP-Regeln mit dem Auslöser „Nachricht wird gesendet“ nicht. Wenn jedoch die Freigabe in Google Drive als Auslöser ausgewählt wurde, werden diese Regeln vor dem Anhängen an die E-Mail auf die Drive-Dateien angewendet.
Was passiert, wenn ich ähnliche Erkennungsregeln habe und diese unterschiedliche Aktionen auslösen? So könnten z. B. mit einer Regel zu Sozialversicherungsnummern Nachrichten und Dokumente unter Quarantäne gestellt werden, während durch eine später erstellte Regel Sozialversicherungsnummern blockiert werden.
Die strengere Aktion hat Vorrang. In diesem Beispiel werden Sozialversicherungsnummern blockiert.
Wie kann ich Regeln und ihre bisherigen Ergebnisse untersuchen?
Verwenden Sie das Sicherheitsprüftool. Weitere Informationen finden Sie in den Hilfeartikeln zum Sicherheitsprüftool.
Welche Inhalte werden in den einzelnen Drive-Dateien gescannt?
Metadaten werden immer gescannt, einschließlich Dateinamen, Vorschläge und Labels.
Wenn die Inhaltsextraktion unterstützt wird und erfolgreich ist, wird der Hauptinhalt der Datei gescannt. Für die Inhaltsextraktion werden die folgenden Dateitypen unterstützt:
- 323, .7z, .ai, .arw, .asc, .bib, .boo, .c, .c++, .cc, .cfg, .cls, .conf, .cpp, .cr2, .cs, .csh, .css, .csv, .cxx, .d, .diff, .doc, .docx, .dot, .dxf, .eml, .eps, .etx, .gcd, .gif, .gtar, .h, .h++, .har, .heic, .heif, .hh, .hpp, .hs, .htc, .htm, .html, .hwp, .hxx, .ics, .icz, .jad, .java, .jpe, .jpeg, .jpg, .js, .json, .kml, .kmz, .lhs, .log, .ltx, .m, .markdown, .md, .mdown, .mht, .mhtml, .mjs, .mkd, .mkdn, .mml, .moc, .mrw, .msg, .nrw, .odp, .ods, .odt, .orf, .p, .pas, .patch, .pdf, .pef, .php, .pht, .phtml, .pl, .pm, .png, .pot, .pps, .ppt, .pptx, .ps, .py, .raf, .rar, .readme, .rtf, .rtx, .rw2, .sct, .sdc, .sdd, .sdw, .sh, .shar, .shtml, .sql, .strings, .sty, .svg, .svgz, .sxc, .sxi, .sxw, .tab, .tar, .taz, .tcl, .tex, .text, .tgz, .tif, .tiff, .tk, .tm, .ts, .tsv, .txt, .uls, .url, .vcf, .vcs, .webp, .wml, .wmls, .wpd, .wsc, .xht, .xhtml, .xlb, .xls, .xlsm, .xlsx, .xlt, .xltm, .xml, .xps, .xsl, .zip
Informationen zu Dateigrößenbeschränkungen und DLP für Drive finden Sie unter Gibt es eine Größenbeschränkung für die Drive-Dateien, die DLP scannen kann?
Kann ich DLP-Testregeln erstellen?
Ja, Sie können eine reine Prüfregel erstellen, um Regeln zu testen, die Sie in der neuen Version der DLP-Funktion erstellt haben. So lassen sich die möglichen Auswirkungen einer Regel abschätzen. Wie alle Regeln werden auch diese Regeln ausgelöst. In diesem Fall werden jedoch keine Aktionen ausgeführt, sondern nur die Ergebnisse in die Regelprüfereignisse geschrieben. Weitere Informationen finden Sie unter Reine Prüfregeln zum Testen der Regelergebnisse verwenden (optional, aber empfohlen). Weitere Informationen zu Protokollereignisdaten finden Sie unter Ereignisse im Regelprotokoll oder im Sicherheitsprüftool. Sowohl die Ereignisse im Regelprotokoll als auch das Sicherheitsprüftool enthalten Einträge für ausgelöste DLP-Regeln.
Auf der englischsprachigen Seite Sensitive Data Protection Demo finden Sie Beispiele für vertrauliche Inhalte und können eigene Inhalte testen.
Wie viele Benachrichtigungen können Administratoren erhalten?
Administratoren können pro Regel und Tag bis zu 50 Benachrichtigungen erhalten. Sie erhalten Benachrichtigungen, bis dieser Grenzwert erreicht ist.
Wird ein Scan ausgelöst, wenn ich einer Regelwarnung Empfänger hinzufüge?
Nein. Ein Scan wird ausgelöst, wenn Inhalte geändert werden. Durch das Hinzufügen weiterer Empfänger zu einer Benachrichtigung wird kein Scan ausgelöst.
Gibt es eine Größenbeschränkung für den Drive-Dateiinhalt, die DLP scannen kann?
Mit DLP wird der Inhalt jeder Datei gescannt, die extrahiert werden kann. Informationen zu den Dateitypen, die von DLP für Drive für die Inhaltsextraktion unterstützt werden, finden Sie unter Welche Inhalte werden in den einzelnen Drive-Dateien gescannt?
Bei nicht nativen Dateitypen unterstützt DLP die Inhaltsextraktion für Dateien mit einer Größe von bis zu 50 MB. Bei nativen Dateitypen gibt es für die Inhaltsextraktion keine Größenbeschränkung.
Gelten DLP-Regeln sowohl für „Meine Ablage“ als auch für geteilte Ablagen?
Ja. Für Dateien in „Meine Ablage“ gilt die DLP-Richtlinie für den Dateieigentümer. Für Dateien in einer geteilten Ablage gilt die geteilte Ablage als Dateieigentümer und die für die geteilte Ablage geltende DLP-Richtlinie ist gültig.
Wann werden Benachrichtigungen ausgelöst?
Benachrichtigungen werden ausgelöst, wenn in einer Datei vertrauliche Inhalte erkannt werden, die durch eine DLP-Regel definiert sind. Dies kann passieren, wenn die Datei oder die Regel erstellt wird (sofern die Inhalte bereits vorhanden sind). Durch das tatsächliche Teilen der Datei werden keine Benachrichtigungen ausgelöst.
Was bedeutet „Auslösender Nutzer“ in einer DLP-Benachrichtigung? Warum ist das Feld manchmal leer?
„Auslösender Nutzer“ ist die letzte Person, deren Änderung am Dokument zu einem DLP-Scan führte. Das Feld wird nur ausgefüllt, wenn der DLP-Scan aufgrund einer Dokumentänderung ausgeführt wird. Wenn der Scan aufgrund einer Richtlinienänderung erfolgt, gibt es in diesem Feld beispielsweise keinen Eintrag.
Verhindern, dass Kommentatoren und Betrachter Dateien herunterladen, drucken oder kopieren – FAQ
In diesen häufig gestellten Fragen geht es um die Möglichkeit, mit einer DLP-Regel das Herunterladen, Drucken und Kopieren für Drive zu deaktivieren. Wenn Sie beim Erstellen einer Regel eine optionale Aktion angeben, wird durch die Einstellung Herunterladen, Drucken und Kopieren deaktivieren verhindert, dass Nutzer diese Aktionen ausführen.
Wie wirkt sich der Dateizugriff eines Nutzers auf diese Einschränkungen aus?
Administratoren haben zwei Möglichkeiten, das Herunterladen, Kopieren und Drucken zu deaktivieren:
- Nur für Kommentatoren und Betrachter: Diese Einstellung verhindert, dass Nutzer Dateien herunterladen, drucken oder kopieren, sofern sie nicht mindestens die Bearbeitungsberechtigung haben.
- Für alle Mitbearbeiter (Kommentatoren, Betrachter, Autoren und Eigentümer): Mit dieser Einstellung wird verhindert, dass alle Nutzer eines Dokuments es herunterladen, drucken und kopieren können, einschließlich Dokumenteigentümer und Manager der geteilten Ablage. Nutzer mit Bearbeitungsberechtigungen und höher können weiterhin Inhalte innerhalb des Dokuments kopieren und einfügen.
Weitere Informationen finden Sie unter Dateifreigabe beschränken.
Ich möchte die Freigabe eines Links in der Datei aufheben und diese Einschränkungen auf dieselben Inhalte anwenden. Und wie geht das?
Administratoren können zwei Richtlinien mit denselben Bedingungen erstellen, die jedoch unterschiedliche Aktionen enthalten. Mit der ersten Richtlinie lässt sich beispielsweise der externe Zugriff auf Inhalte blockieren, während durch die zweite Richtlinie IRM auf denselben Inhalt angewendet wird.
Welche Einschränkungen gelten für Drive for Desktop?
Dateien, die gegen diese Richtlinien verstoßen, können nicht von einem Client heruntergeladen werden.
Kann ich diese restriktive Aktion auf Bearbeiter eines bestimmten Drive-Dokuments anwenden?
Nein. Diese Regelaktion wird auf Anzeige- und Kommentarrollen angewendet.
Gelten diese Einschränkungen für „Meine Ablage“ und geteilte Ablagen?
Ja.
Werden DLP-IRM-Richtlinien in Gemini berücksichtigt?
Ja, Gemini kann nur auf Inhalte zugreifen, auf die der Nutzer Zugriff hat. Wenn ein Nutzer aufgrund der IRM-Richtlinie (Information Rights Management, Verwaltung von Informationsrechten), die mit den Freigabeeinstellungen von Google Drive festgelegt wurde, keine Dateien herunterladen, drucken oder kopieren darf, kann Gemini im Namen des Nutzers nicht auf diese Dateien oder deren Inhalte zugreifen.
Wann wird ein Dokument auf diese Einschränkungen überprüft?
Wenn der Nutzer oder Gemini versucht, auf das Dokument zuzugreifen. Wenn der Administrator diese Einschränkungen mithilfe einer Aktion in einer DLP-Regel angewendet hat, während der Nutzer das Dokument bereits ansieht, wird es erst wirksam, wenn das Dokument neu geladen wird.
Wird durch diese Einschränkungen das Drucken im Vorschaumodus verhindert?
Nein.
Können externe Nutzer den Versionsverlauf für Dateien mit DLP-Regeln ansehen?
Nein, wenn Ihre Organisation eine DLP-Regel hat, die die externe Freigabe blockiert. Wenn Sie eine DLP-Regel haben, die die externe Freigabe blockiert, können Nutzer außerhalb Ihrer Organisation den Versionsverlauf von Dateien, auf die jemals eine DLP-Regel angewendet wurde, nicht aufrufen. Diese Bestimmung umfasst DLP-Regeln, mit denen Labels angewendet werden, die externe Freigabe aber nicht blockiert wird.
Weitere Informationen
- Hinweise zu DLP
- DLP-Regeln und benutzerdefinierte Inhaltsdetektoren für Google Drive erstellen
- Beispiele für verschachtelte Regelbedingungen mit Operatoren für DLP für Drive
- Vorfälle, Benachrichtigungen und Audit-Log-Ereignisse im Dashboard der Funktion DLP für Google Drive (Data Loss Protection, Schutz vor Datenverlust)
- Größenbeschränkungen für DLP-Inhalte und -Regeln ansehen
- Anwendungen und Dateitypen, die mit DLP gescannt werden