Datenlecks in Chat-Nachrichten und ‑Anhängen verhindern

Mit DLP für Google Chat Daten in Chat-Nachrichten und -Anhängen schützen

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen

Der Schutz vor Datenverlust für Google Chat ist für Nutzer der Cloud Identity Premiumversion verfügbar, die auch für Google Workspace-Versionen lizenziert sind, die Google Chat und Audit und Untersuchung enthalten.

Mit DLP für Google Chat können Sie Datenschutzregeln erstellen, um Datenverluste in Chat-Nachrichten und -Anhängen (hochgeladene Dateien und Bilder) zu verhindern.

DLP für Google Chat – Funktionen

Mit DLP für Google Chat haben Sie die Kontrolle über die Freigabe sensibler Daten in Chatunterhaltungen. Mit Chat für DLP haben Sie folgende Möglichkeiten:

  • Datenschutzregeln speziell für Google Chat oder für Google Chat und andere Apps wie Google Drive oder Gmail erstellen.
  • Datenschutzregeln erstellen, mit denen Chat-Nachrichten und Anhänge blockiert oder für zukünftige Audits protokolliert werden oder mit denen Nutzer vor dem Senden dieser Nachrichten eine Warnung erhalten.
  • Sie können Bedingungen für sensible Daten mithilfe von Textstrings, vordefinierten und benutzerdefinierten Detektoren definieren, die Wortlisten und reguläre Ausdrücke enthalten.
  • Sie können Datenschutzregeln für eine bestimmte Organisationseinheit oder Gruppe oder für die gesamte Organisation erzwingen.
  • Verstöße gegen die DLP-Richtlinien in Google Chat mit dem Sicherheitsprüftool untersuchen, einschließlich Endnutzernachrichten, die gegen solche Regeln verstoßen.

Bekannte Einschränkungen

Google Chat und Latenzbeschränkungen

Google Chat ist eine latenzempfindliche Anwendung. Wir haben DLP für Google Chat so konzipiert, dass die Endnutzerumgebung nicht beeinträchtigt wird.

  • Bei Nachrichten erhält DLP einen festen Zeitraum für die Durchführung von Scans. Je nach Komplexität und Anzahl der Detektoren werden einige Detektoren möglicherweise nicht rechtzeitig fertiggestellt und nicht erzwungen. Der DLP-Scanstatus ist im Audit-Log für Google Chat für gesendete Nachrichten und hochgeladene Anhänge enthalten.
  • Die folgenden vordefinierten Detektoren benötigen möglicherweise mehr Zeit für den Scan. Wenn Sie sie in DLP-Regeln für Chat verwenden, erhöht sich das Risiko von Zeitüberschreitungen beim Scannen:
    • Geburtsdatum
    • Name der Person
  • Anhänge haben mehr Zeit für Scans.

Tabellarische Daten in CSV-Dateien, die als Nur-Text behandelt werden

CSV-Dateien werden als Nur-Text behandelt. Daher werden durch DLP in den Spalten möglicherweise keine Verstöße erkannt, wenn Sie die Daten in der Datei prüfen.

Nutzer benötigen die neuesten Versionen von Gmail und Google Chat

Achten Sie darauf, dass die Gmail- und Google Chat-Anwendungen Ihrer Nutzer auf dem neuesten Stand sind, damit sie vollständige Nachrichten für blockierte Chat-Unterhaltungen erhalten. In älteren Versionen von Gmail und Google Chat werden Inhalte, die nur eine Warnung auslösen sollen, stattdessen blockiert.

Ohne Bedingungen erstellte DLP-Regeln

Wenn Sie eine DLP-Regel ohne Bedingung erstellen, wird die angegebene Aktion auf jede Chat-Nachricht und/oder alle hochgeladenen Dateien angewendet, je nachdem, ob Sie beim Erstellen der Regel Nachrichten oder Dateianhänge oder beides auswählen.

Wie funktioniert DLP für Google Chat?

Wenn der Nutzer eine Chat-Nachricht sendet, prüft DLP diese Nachricht auf sensible Inhalte. Wenn ein Anhang gegen eine Blockier- oder Warnregel verstößt, wird die Aktion beim Senden der Nachricht angewendet.

Was wird gescannt?

DLP-Regeln werden auf gesendete Nachrichten angewendet, nicht auf die Nachrichten, die ein Nutzer oder Gruppenbereich empfangen kann.

  • Nachrichten und Anhänge werden gescannt. Anhänge umfassen Dateien und Bilder. Der Dateiname des Anhangs wird ebenfalls gescannt (bei unterstützten Dateitypen). Anhänge, die gegen die Sicherheitsrichtlinien verstoßen, können nicht gesendet werden.
  • Nachrichten in 1:1-Chats, Gruppenchats und Gruppenbereichen werden gescannt, auch wenn das Chatprotokoll deaktiviert ist. Weitere Informationen finden Sie im Hilfeartikel Verlauf in Google Chat aktivieren oder deaktivieren.
  • DLP-Vorfälle in Google Chat werden im Audit-Log zu Regeln protokolliert. In einigen Fällen kann der Nachrichteninhalt im Protokoll verfügbar sein. Wie lange der Nachrichteninhalt im Protokoll sichtbar ist, hängt von den Einstellungen für das Chatprotokoll und von der konfigurierten Aufbewahrungsdauer für Nachrichten in Google Chat ab.
    • Wenn das Chatprotokoll aktiviert ist, können Administratoren die Nachricht bis zu Ihrer konfigurierten Aufbewahrungsdauer ansehen.
    • Wenn das Chatprotokoll deaktiviert wird, ist die Nachricht 24 Stunden lang verfügbar.

Gescannte Dateitypen

Zu den gescannten Dateitypen gehören:

  • Dokumentdateitypen: TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, .ppt., PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON, SH

  • Bilddateitypen: EPS

    Hinweis:Wenn OCR aktiviert ist, werden auch die folgenden Bildtypen gescannt: BMP, GIF, JPEG, PNG und Bilder in PDF-Dateien.

  • Komprimierte Dateitypen: ZIP

  • Kundenspezifische Dateitypen: HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS

Größenbeschränkung für Anhänge bei Scans

Anhänge, die größer als 50 MB sind, werden hochgeladen, ohne von DLP gescannt zu werden.

Wann wird die Nachricht gescannt?

Wenn ein Nutzer eine Chat-Nachricht sendet, werden Chat-Nachrichten unabhängig davon gescannt, ob es Anhänge sind.

Ablauf von DLP für Google Chat:

  1. Sie definieren DLP-Regeln. Diese Regeln bestimmen, welche Inhalte vertraulich sind und geschützt werden sollen. Sie können DLP-Regeln sowohl auf Nachrichten als auch auf Anhänge anwenden.
  2. Ein Nutzer sendet eine Chatnachricht. DLP scannt den Inhalt auf Verstöße gegen DLP-Regeln. Anhänge werden beim Upload gescannt und blockiert, wenn sie gegen Regeln verstoßen.
  3. Die von Ihnen definierten Regeln werden erzwungen und bei Verstößen werden alle Aktionen ausgelöst, die Sie für die Regeln konfiguriert haben.
  4. Im Audit-Log zu Regeln werden Sie über Verstöße gegen DLP-Regeln informiert.

Was passiert, wenn die Nachricht eines Nutzers blockiert wird oder eine Warnung auslöst?

Informieren Sie Ihre Endnutzer darüber, was sie erwartet, bevor Sie DLP-Regeln für Google Chat implementieren. Erläutern Sie, dass es Richtlinien dafür gibt, welche Informationen freigegeben werden können, und dass Nachrichten, die gegen diese Richtlinien verstoßen, blockiert werden oder zu einer Warnung führen. Teilen Sie ihnen mit, welche Informationen eingeschränkt sind, damit sie nicht überrascht werden, wenn sie Nachrichten zu blockierten Inhalten erhalten oder vor sensiblen Inhalten gewarnt werden.

Nutzererfahrung bei blockierten Nachrichten

Wenn eine Chat-Nachricht oder ein Anhang blockiert wird, erhalten Nutzer unter anderem folgende Nachrichten:

  • Ihre Nachricht konnte nicht gesendet werden
  • Die Nachricht konnte nicht aktualisiert werden

    Ihre Nachricht enthält möglicherweise vertrauliche Inhalte wie Kreditkartennummern, die gemäß den Richtlinien Ihrer Organisation nicht geteilt werden dürfen. Bearbeiten Sie die Nachricht oder wenden Sie sich an Ihren Administrator, wenn Sie Bedenken haben.

Wenn eine Nachricht blockiert wird, kann der Nutzer das Dialogfeld schließen oder auf Nachricht bearbeiten klicken und den Nachrichtentext bearbeiten oder den Anhang entfernen, der gegen die Richtlinien verstößt.

Abläufe bei Nachrichten, die eine Warnung auslösen

Wenn eine Chat-Nachricht oder ein Anhang eine Warnung auslöst, erhalten Nutzer die folgende Nachricht. Beachten Sie, dass die Nachricht anfangs blockiert ist und nur gesendet wird, wenn der Nutzer sich trotzdem zum Senden der Nachricht entscheidet:

  • Nachricht prüfen

    Ihre Nachricht enthält möglicherweise vertrauliche Inhalte wie Kreditkartennummern, die gemäß den Richtlinien Ihrer Organisation nicht geteilt werden dürfen. Bearbeiten Sie die Nachricht oder wenden Sie sich an Ihren Administrator, wenn Sie Bedenken haben.

Nachdem der Nutzer die Warnung erhalten hat, kann er auf Nachricht bearbeiten klicken und den Nachrichtentext bearbeiten, auf Trotzdem senden klicken, um den Text unverändert zu senden, oder das Dialogfeld schließen.

Wie kann ich festlegen, welche Nachrichten blockiert werden? Was ist, wenn ich Nachrichten in Gruppenbereichen oder Gruppen blockieren möchte?

Wählen Sie nach der Auswahl einer DLP-Regelaktion (z. B. „Nachricht blockieren“) den Unterhaltungstyp aus, den Sie abdecken möchten: intern oder extern (z. B. ein extern geführter Gruppenbereich oder eine Unterhaltung mit aktiviertem Gastzugriff). Sie können auch auswählen, ob die Regel auf Gruppenbereiche, Gruppenchats und 1:1-Chats angewendet werden soll:

DLP für Google Chat – Regelbeispiele

Im Folgenden finden Sie einige Beispiele dafür, wie Sie DLP-Regeln erstellen, mit denen Chat-Nachrichten oder Anhänge blockiert, vor sensiblen Inhalten gewarnt oder Details zu Chat-Nachrichten im Audit-Log zu Regeln protokolliert werden.

Allgemeine Schritte zum Erstellen von DLP-Regeln finden Sie im Hilfeartikel Neue DLP-Regeln und benutzerdefinierte Inhaltsdetektoren für Google Drive erstellen.

Chat-Nachrichten blockieren, die eine Sozialversicherungsnummer enthalten – externe und interne Nachrichten

Mit dieser Regel wird eine Unterhaltung (intern oder extern) blockiert, wenn ein Text oder ein Anhang eine Sozialversicherungsnummer enthält.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  und dann Regeln und dann Regel erstellen und dann Datenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie den Namen und die Beschreibung der Regel ein, z. B. Beim Freigeben der Sozialversicherungsnummer in Chat blockieren.
  3. Wählen Sie bei Google Chat Nachricht gesendet und Datei hochgeladen (für Anhänge) aus.
  4. Klicken Sie auf Weiter.
  5. Wählen Sie im Abschnitt Aktionen unter „Google Chat“ die Option Nachricht blockieren aus. Wählen Sie außerdem aus, wann die Aktion angewendet werden soll. Wählen Sie für dieses Beispiel Externe Unterhaltungen und Interne Unterhaltungen aus. Lassen Sie Gruppenbereiche, Gruppenchats und 1:1-Chats ausgewählt.
  6. Optional: Im Abschnitt Benachrichtigungen:
    • Wählen Sie eine Wichtigkeitsstufe aus („Niedrig“, „Mittel“ oder „Hoch“), um festzulegen, wie ein durch diese Regel ausgelöstes Ereignis im Sicherheitsdashboard gemeldet wird.
    • Wählen Sie aus, ob ein durch diese Regel ausgelöstes Ereignis auch eine Benachrichtigung an die Benachrichtigungszentrale senden soll. Wählen Sie außerdem aus, ob Benachrichtigungen per E-Mail an alle Super Admins oder andere Empfänger gesendet werden sollen.
  7. Klicken Sie auf Weiter.
  8. Wählen Sie im Abschnitt Umfang die Option Auf alle <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus.
  9. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    1. Zu scannender Inhaltstyp: Alle Inhalte. Wenn Sie Google Chat auswählen, ist „Alle Inhalte“ der einzige verfügbare Inhaltstyp, unabhängig davon, welche anderen Apps ausgewählt sind.
    2. Wonach soll gesucht werden: Stimmt mit vordefiniertem Datentyp überein (empfohlen)
    3. Datentyp auswählen: USA – Sozialversicherungsnummer.
    4. Schwellenwert für die Wahrscheinlichkeit: Hoch Der Konfidenzschwellenwert für die Bedingung. Diese zusätzliche Maßnahme bestimmt, ob Nachrichten die Regelaktion auslösen.
    5. Mindestanzahl eindeutiger Übereinstimmungen: 1. So oft muss eine eindeutige Übereinstimmung in einer Nachricht oder einem Anhang mindestens vorkommen, damit die Aktion ausgelöst wird.
    6. Mindestanzahl der Übereinstimmungen: 1. So oft muss der Inhalt in einer Nachricht oder einem Anhang vorkommen, damit die Aktion ausgelöst wird. Wenn Sie beispielsweise „2“ auswählen, muss der Inhalt in einer Nachricht mindestens zweimal vorkommen, um die Aktion auszulösen.
  10. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen. In Google Chat wird die Nachricht für externe und interne Unterhaltungen blockiert.
  11. Wählen Sie einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  12. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen

Externe Freigabe in Google Drive und einen Anhang in einer Chat-Nachricht blockieren, der eine Reisepassnummer enthält (nur externe Freigabe)

Mit dieser Kombinationsregel wird die externe Freigabe von Reisepassinformationen über einen Chat-Anhang oder eine Drive-Datei blockiert.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  und dann Regeln und dann Regel erstellen und dann Datenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie den Namen und die Beschreibung der Regel ein, z. B. Blockieren, wenn eine Reisepassnummer in Google Chat oder Google Drive freigegeben wird.
  3. Wählen Sie für Google Drive Drive-Dateien aus. Wählen Sie bei Google Chat nur Datei hochgeladen aus.
  4. Klicken Sie auf Weiter.
  5. Im Bereich Aktionen:
    1. Wählen Sie unter „Google Chat“ die Option Nachricht blockieren aus. Wählen Sie außerdem aus, wann die Aktion angewendet werden soll. Heben Sie in diesem Beispiel die Auswahl von Interne Unterhaltungen auf und lassen Sie Externe Unterhaltungen aktiviert. Sie können auch auswählen, auf welche Arten von Chats die Regel angewendet werden soll.
    2. Wählen Sie unter Google Drive die Option Externe Freigabe blockieren aus.
  6. Optional: Im Abschnitt Benachrichtigungen:
    • Wählen Sie eine Wichtigkeitsstufe aus („Niedrig“, „Mittel“ oder „Hoch“), um festzulegen, wie ein durch diese Regel ausgelöstes Ereignis im Sicherheitsdashboard gemeldet wird.
    • Wählen Sie aus, ob ein durch diese Regel ausgelöstes Ereignis auch eine Benachrichtigung an die Benachrichtigungszentrale senden soll. Wählen Sie außerdem aus, ob Benachrichtigungen per E-Mail an alle Super Admins oder andere Empfänger gesendet werden sollen.
  7. Klicken Sie auf Weiter.
  8. Wählen Sie im Abschnitt Umfang die Option Auf alle <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus.
  9. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    1. Zu scannender Inhaltstyp: Alle Inhalte. Wenn Sie Google Chat auswählen, ist „Alle Inhalte“ der einzige verfügbare Inhaltstyp, unabhängig davon, welche anderen Apps ausgewählt sind.
    2. Wonach soll gesucht werden: Stimmt mit vordefiniertem Datentyp überein (empfohlen)
    3. Datentyp auswählen: US-amerikanischer Pass
    4. Schwellenwert für die Wahrscheinlichkeit: Hoch Der Konfidenzschwellenwert für die Bedingung. Diese zusätzliche Maßnahme bestimmt, ob Nachrichten die Aktion auslösen.
    5. Mindestanzahl eindeutiger Übereinstimmungen: 1. So oft muss eine eindeutige Übereinstimmung in einem Dokument mindestens vorkommen, damit die Aktion ausgelöst wird.
    6. Mindestanzahl der Übereinstimmungen: 1. So oft muss der Inhalt in einer Nachricht vorkommen, damit die Aktion ausgelöst wird. Wenn Sie beispielsweise „2“ auswählen, muss der Inhalt in einer Nachricht mindestens zweimal vorkommen, um die Aktion auszulösen.
  10. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen. Die Aktion für Google Chat ist das Blockieren von Inhalten nur für externe Unterhaltungen. Die Aktion für Google Drive ist das Blockieren der externen Freigabe.
  11. Wählen Sie einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  12. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen

Erwähnung des Codenamens oder Akronyms eines Projekts in in Google Chat hochgeladenen Dokumenten protokollieren

In diesem Beispiel können Sie angeben, wann der Codename eines Projekts (im Beispiel ist es SpiderWeb) oder das Akronym des Projekts (im Beispiel SpdW) in den hochgeladenen Dokumenten für Google Chat (als Anhang) in der Regel Audit-Log erscheinen.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  und dann Regeln und dann Regel erstellen und dann Datenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie den Namen und eine Beschreibung für die Regel ein, z. B. Freigabe von Namen in Google Chat erfassen.
  3. Wählen Sie bei Google Chat nur Datei hochgeladen aus.
  4. Klicken Sie auf Weiter.
  5. Wählen Sie im Abschnitt Aktionen unter „Chat“ die Option Nur Prüfung aus. Wählen Sie für Chat außerdem aus, wann die Aktion angewendet werden soll. Wählen Sie für dieses Beispiel sowohl Externe Unterhaltungen als auch Interne Unterhaltungen aus.
  6. Optional: Im Abschnitt Benachrichtigungen:
    • Wählen Sie eine Wichtigkeitsstufe aus („Niedrig“, „Mittel“ oder „Hoch“), um festzulegen, wie ein durch diese Regel ausgelöstes Ereignis im Sicherheitsdashboard gemeldet wird.
    • Wählen Sie aus, ob ein durch diese Regel ausgelöstes Ereignis auch eine Benachrichtigung an die Benachrichtigungszentrale senden soll. Wählen Sie außerdem aus, ob Benachrichtigungen per E-Mail an alle Super Admins oder andere Empfänger gesendet werden sollen.
  7. Klicken Sie auf Weiter.
  8. Wählen Sie im Abschnitt Umfang die Option Auf alle <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus.
  9. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    1. Zu scannender Inhaltstyp: Alle Inhalte. Wenn Sie Google Chat auswählen, ist „Alle Inhalte“ der einzige verfügbare Inhaltstyp, unabhängig davon, welche anderen Apps ausgewählt sind.
    2. Wonach soll gesucht werden?: Enthält Textstring
    3. Inhalte für den Abgleich eingeben – SpiderWeb
  10. Klicken Sie auf Bedingung hinzufügen, um eine ODER-Bedingung hinzuzufügen. Wählen Sie dann die folgenden Werte aus:
    1. Zu scannender Inhaltstyp: Alle Inhalte
    2. Wonach soll gesucht werden?: Enthält Textstring
    3. Inhalte für den Abgleich eingeben – SpdW
  11. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen. Beachten Sie unter Aktion, dass die Aktion für Google Chat nur für Prüfungen vorgesehen ist. Außerdem wird erwähnt, dass die Aktion für externe und interne Unterhaltungen erfolgt.
  12. Wählen Sie einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  13. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen

Benutzerdefinierten Detektor erstellen und in einer Regel verwenden, um Nutzer zu warnen, wenn sie projektspezifische Begriffe teilen

In diesem Beispiel erstellen Sie einen benutzerdefinierten Detektor, in dem projektspezifische Begriffe aufgelistet werden. Anschließend verwenden Sie diesen benutzerdefinierten Detektor als Bedingung in einer DLP-Regel.

Detektor erstellen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Klicken Sie auf Detektoren verwalten.
  3. Klicken Sie auf Detektor hinzufügen und dann auf Wortliste.
  4. Gehen Sie im Fenster Wortliste hinzufügen so vor:
    1. Geben Sie den Namen (z. B. Sensible Begriffe) und eine Beschreibung ein.
    2. Fügen Sie eine durch Kommas getrennte Liste Ihrer sensiblen Begriffe hinzu. Beachten Sie, dass Groß- und Kleinschreibung sowie Symbole ignoriert und nur vollständige Wörter abgeglichen werden. Wörter in Wortlisten-Detektoren müssen mindestens zwei Buchstaben oder Ziffern enthalten.
  5. Klicken Sie auf Erstellen. Jetzt können Sie den benutzerdefinierten Detektor in einer Regelbedingung verwenden.

Benutzerdefinierten Detektor in einer Regel verwenden

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Klicken Sie auf Regeln verwalten und dann Regel hinzufügen und dann Neue Regel.
  3. Geben Sie den Namen (z. B. Sensible Begriffe, bei denen Nutzer gewarnt werden) und eine Beschreibung für die Regel ein.
  4. Wählen Sie bei Google Chat Nachricht gesendet und Datei hochgeladen aus.
  5. Klicken Sie auf Weiter.
  6. Wählen Sie im Abschnitt „Aktionen“ unter „Chat“ die Option Nutzer warnen aus. Wählen Sie für Chat außerdem aus, wann die Aktion angewendet werden soll. Wählen Sie für dieses Beispiel Externe Unterhaltungen und Interne Unterhaltungen aus.
  7. Optional: Im Abschnitt Benachrichtigungen:
    • Wählen Sie eine Wichtigkeitsstufe aus („Niedrig“, „Mittel“ oder „Hoch“), um festzulegen, wie ein durch diese Regel ausgelöstes Ereignis im Sicherheitsdashboard gemeldet wird.
    • Wählen Sie aus, ob ein durch diese Regel ausgelöstes Ereignis auch eine Benachrichtigung an die Benachrichtigungszentrale senden soll. Wählen Sie außerdem aus, ob Benachrichtigungen per E-Mail an alle Super Admins oder andere Empfänger gesendet werden sollen.
  8. Wählen Sie im Abschnitt Umfang die Option Auf alle <domain.name> anwenden aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gilt, und schließen Sie sie ein oder aus.
  9. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
    • Zu scannender Inhaltstyp: Alle Inhalte. Wenn Sie Google Chat auswählen, ist „Alle Inhalte“ der einzige verfügbare Inhaltstyp, unabhängig davon, welche anderen Apps ausgewählt sind.
    • Wonach gesucht wird: Gleicht Wörter aus einer Wortliste ab
    • Name für Wortliste: Sensible Begriffe
    • Abgleichmodus: Beliebiges Wort abgleichen
    • Mindestanzahl eines gefundenen Wortes: 1
  10. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen. Beachten Sie unter Aktion, dass die Aktion für Google Chat Nutzer warnen und die Aktion für externe und interne Unterhaltungen enthält.
  11. Wählen Sie einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  12. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen

Personenidentifizierbare Informationen mit einer Regelvorlage schützen

In einer Regelvorlage ist eine Reihe von Bedingungen gesammelt, die viele typische Datenschutzszenarien abdecken. Damit haben Sie die Möglichkeit, Richtlinien für häufig auftretende Datenschutzsituationen festzulegen.

In diesem Beispiel wird eine Regelvorlage verwendet, um das Senden einer Chat-Nachricht, das Hochladen einer Datei in einen Chat oder das Freigeben einer Drive-Datei zu blockieren, wenn die Nachricht oder Datei personenidentifizierbare Informationen in den USA enthält.

Bevor Sie beginnen, melden Sie sich in Ihrem Super Admin-Konto oder einem delegierten Administratorkonto mit den folgenden Berechtigungen an:

  • Administrator für Organisationseinheit
  • Google Groups-Administrator
  • DLP-Regel aufrufen und verwalten. Beachten Sie, dass Sie sowohl die Berechtigung zum Ansehen als auch zum Verwalten aktivieren müssen, um Regeln erstellen und bearbeiten zu können. Wir empfehlen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen.
  • Die Berechtigungen Metadaten und Attribute abrufen (nur für die Verwendung des Prüftools erforderlich): Sicherheitscenter und dann Prüftool und dann Regel und dann Metadaten und Attribute abrufen.

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

  1. Gehen Sie zum Dreistrich-Menü  und dann Regeln.
  2. Klicken Sie auf Vorlagen.
  3. Klicken Sie auf der Seite „Vorlagen“ auf Freigabe von personenidentifizierbaren Informationen unterbinden (USA).
  4. Übernehmen Sie im Abschnitt Name den Standardnamen und die Beschreibung der Regel oder geben Sie neue Werte ein.
  5. Unter Apps sind die folgenden Optionen vorausgewählt:
    • In Google Chat sind die Kästchen Nachricht gesendet und Datei hochgeladen markiert.
    • Bei Gmail ist Nachricht gesendet markiert.
    • Für Google Drive ist Drive-Dateien ausgewählt.
  6. Klicken Sie auf Weiter, um sich die Standardaktionen anzusehen, die für die Vorlage für personenidentifizierbare Informationen ausgewählt wurden (für Google Chat und Gmail: Nachricht blockieren, für Google Drive: Externe Freigabe blockieren).
  7. Klicken Sie auf Weiter.
  8. Suchen Sie im Abschnitt Umfang nach den Gruppen in Organisationseinheiten, für die die Regel gilt.
  9. Sehen Sie sich die vorab ausgewählten Standardbedingungen für die Regelvorlage für personenidentifizierbare Informationen an:
    • Zu scannender Inhaltstyp: Alle Inhalte. Wenn Sie Google Chat auswählen, ist „Alle Inhalte“ der einzige verfügbare Inhaltstyp, unabhängig davon, welche anderen Apps ausgewählt sind.
    • Wonach soll gesucht werden: Stimmt mit vordefiniertem Datentyp überein (empfohlen)
    • Datentyp auswählen: Mehrere Datentypen, einschließlich Sozialversicherungsnummer, Führerscheinnummer und US-amerikanischer Passnummer.
    • Schwellenwert für die Wahrscheinlichkeit: Sehr hoch. Der Konfidenzschwellenwert für die Bedingung. Diese zusätzliche Maßnahme bestimmt, ob Nachrichten die Aktion auslösen.
    • Mindestanzahl eindeutiger Übereinstimmungen: 1. So oft muss eine eindeutige Übereinstimmung in einem Dokument mindestens vorkommen, damit die Aktion ausgelöst wird.
    • Mindestanzahl der Übereinstimmungen: 1. So oft muss der Inhalt in einer Nachricht vorkommen, damit die Aktion ausgelöst wird. Wenn Sie beispielsweise „2“ auswählen, muss der Inhalt in einer Nachricht mindestens zweimal vorkommen, um die Aktion auszulösen.
  10. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  11. Wählen Sie einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz und dann Regeln verwalten. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  12. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen

Benutzerdefinierte Nachricht für Nutzer hinzufügen, wenn DLP-Regeln für Chat ausgelöst werden

Als Administrator Ihrer Organisation können Sie eine Nachricht hinzufügen, die Ihren Nutzern angezeigt wird, wenn eine Regel ausgelöst wird. Sie können die Nachricht so anpassen, dass Nutzer die Inhalte, die gegen die Richtlinien verstoßen, leichter nachvollziehen und beheben können. Anschließend können Sie die Nachricht blockieren oder eine Warnung senden.

  1. Gehen Sie zum Dreistrich-Menü  und dann Regeln.
  2. Klicken Sie unter Sensible Inhalte klassifizieren und schützen auf Regel erstellen.
  3. Klicken Sie auf Name und geben Sie einen Namen für die Regel ein.
    (Optional) Klicken Sie auf Beschreibung und geben Sie eine Beschreibung für die Regel ein.
  4. Wählen Sie unter Apps und Google Chat eine oder mehrere der folgenden Optionen aus:
    • Wenn Sie die Regel auf Nachrichten anwenden möchten, klicken Sie das Kästchen Nachricht gesendet an.
    • Wenn Sie die Regel auf Anhänge anwenden möchten, setzen Sie ein Häkchen neben Datei hochgeladen.
  5. Klicken Sie auf Weiter.
  6. Klicken Sie auf Aktion und wählen Sie eine Option aus:
    • Wenn Sie Nutzer warnen möchten, wählen Sie Nutzer warnen aus.
    • Wenn Sie die Nachricht blockieren möchten, wählen Sie Nachricht blockieren aus.
  7. Wählen Sie aus, wann die Regel angewendet werden soll, und klicken Sie das Kästchen Nachricht anpassen an.
  8. Geben Sie Ihre benutzerdefinierte Nachricht ein. Sie können Nachrichten mit bis zu 300 Zeichen erstellen und Links einfügen. Eine eingefügte URL wird auf die Zeichenbeschränkung der Nachricht angerechnet.
  9. Optional: Wenn Sie in der Admin-Konsole eine Wichtigkeitsstufe für das Melden von Ereignissen angeben möchten, die durch diese Regel ausgelöst werden, wählen Sie unter Benachrichtigung die Option Niedrig, Mittel oder Hoch aus.
  10. Optional: Wenn eine Benachrichtigung an die Benachrichtigungszentrale gesendet werden soll, sobald ein Ereignis durch diese Regel ausgelöst wird, klicken Sie das Kästchen An Benachrichtigungszentrale senden an. Falls die Benachrichtigung an alle Super Admins gesendet werden soll, setzen Sie ein Häkchen bei Alle Super Admins. Sie können auch andere E‑Mail-Empfänger für Benachrichtigungen eingeben.
  11. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.
  12. Optional: So fügen Sie eine Bedingung hinzu:
    1. Klicken Sie auf Bedingung hinzufügen. Für Google Chat ist die einzige Option Alle Inhalte.
    2. Klicken Sie auf Wonach soll gesucht werden? und geben Sie die erforderlichen Attribute für den Scantyp an.

      Wenn Sie eine DLP-Regel ohne Bedingung erstellen, wird die angegebene Aktion auf jede Chat-Nachricht und alle hochgeladenen Dateien angewendet, je nachdem, ob Sie beim Erstellen der Regel Nachrichten oder Dateianhänge oder beides auswählen.
  13. Klicken Sie auf Weiter und sehen Sie sich die Regeldetails an.
  14. Wählen Sie einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Wenn Sie die Regel später aktivieren möchten, gehen Sie in der Admin-Konsole zu Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz und dann Regeln verwalten, ändern Sie den Status in Aktiv und klicken Sie auf Bestätigen.
  15. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen

Bilder auf sensible Inhalte prüfen

Mit der optischen Zeichenerkennung (Optical Character Recognition, OCR) prüft DLP für Google Chat den Bildtext auf hochgeladene Inhalte nach sensiblen Inhalten.

OCR ist nur für Anhänge mit Bildern verfügbar, die in Google Chat-Nachrichten hochgeladen werden. Bei Nachrichten, die Bilder enthalten, kann es zu Verzögerungen kommen.

Eine vollständige Liste der unterstützten Bildformate finden Sie oben im Abschnitt Gescannte Dateitypen.

OCR aktivieren

  1. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz.
  2. Klicken Sie unter Datenschutzeinstellungen auf Optische Zeichenerkennung (Optical Character Recognition, OCR). Der Standardstatus ist EIN. Wenn die OCR AUS ist, wählen Sie AUS aus und schieben Sie den Regler auf AN.
  3. Klicken Sie auf Speichern. Dadurch wird OCR für Datenschutzregeln aktiviert, die für Google Chat gelten.

Hinweis:Nach der Aktivierung gilt die OCR-Einstellung für alle DLP-Regeln für Google Chat. Sie kann nicht gezielt auf bestimmte Regeln angewendet werden.

Beim Erstellen einer Regel prüfen, ob OCR aktiviert ist

Sie können beim Erstellen einer Datenschutzregel prüfen, ob OCR aktiviert ist.

  1. Gehen Sie auf der Startseite der Admin-Konsole zu Regeln.
  2. Klicken Sie unter Sensible Inhalte schützen auf Regel erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
  4. Wählen Sie unter Apps für Google Chat das Kästchen Datei hochgeladen aus.
  5. Klicken Sie, um zu prüfen, ob die OCR aktiviert ist. Wenn OCR für Google Chat nicht ausgewählt ist, klicken Sie das Kästchen Google Chat an und klicken Sie auf Speichern.
  6. Klicken Sie auf Weiter, um die Erstellung der Regel abzuschließen. Weitere Informationen zum Erstellen von Regeln finden Sie oben im Abschnitt DLP für Google Chat – Regelbeispiele.

DLP-Verstöße in Google Chat mit dem Sicherheitsprüftool untersuchen

Nachdem Sie die DLP-Regeln für Google Chat eingerichtet haben, werden Regelverstöße im Regelprotokoll erfasst. Mit dem Sicherheitsprüftool können Sie im Regelprotokoll nach spezifischen Informationen zu Chat-Nachrichten oder Anhängen suchen, die gegen die Regel verstoßen, darunter:

  • Name der ausgelösten DLP-Regel
  • Absender der Nachricht
  • Datum, an dem die Nachricht gesendet wurde
  • Art der Unterhaltung, z. B. 1:1-Chat oder Gruppenbereich.
  • Inhalt der Nachricht (abhängig von Ihren Einstellungen für die Nachrichtenaufbewahrung)

Eine ausführliche Anleitung finden Sie im Hilfeartikel Mit Chat-Nachrichten die Daten in Ihrer Organisation schützen.

Einschränkungen des Prüftools

In folgenden Fällen können Sie die Nachricht (oder den Anhang), die gegen die Richtlinien verstößt, nicht sehen:

  • Die Nachricht wurde nicht gesendet (sie wurde gesperrt). Es können nur Inhalte angesehen werden, die gesendet wurden und gegen eine reine Prüfregel verstoßen.
  • Sie wurde in einer Unterhaltung gesendet, die einer anderen Organisation gehört.
  • Die Nachricht hat die Aufbewahrungsdauer überschritten.