Datenlecks in E‑Mails und Anhängen verhindern (Gmail DLP)

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen

Der Schutz vor Datenverlust (DLP) für Gmail ist für Nutzer der Cloud Identity Premiumversion verfügbar, die auch für Google Workspace-Versionen lizenziert sind, die Gmail enthalten.

Sie können in der Admin-Konsole DLP-Regeln (Data Loss Prevention, Schutz vor Datenverlust) erstellen, um vertrauliche Inhalte zu verwalten, die Ihre Nutzer in E-Mails freigeben. Bei DLP für Gmail gelten Regeln für Nachrichten, die an Nutzer innerhalb und außerhalb Ihrer Organisation gesendet werden. Mithilfe von Regeln können Sie vertrauliche Daten identifizieren und verhindern, dass diese unangemessen weitergegeben werden.

Themen in diesem Hilfeartikel

Funktionen von DLP für Gmail

Mit DLP für Gmail haben Sie folgende Möglichkeiten:

  • DLP-Regeln für Gmail oder andere Google Workspace-Apps erstellen, die DLP verwenden, z. B. Gmail, Google Chat und Google Drive.
  • DLP-Regeln zum Auslösen geeigneter Aktionen für Verstöße gegen Regeln verwenden:
    • Nachricht blockieren: Die Zustellung der E‑Mail-Nachricht wird blockiert und der Nutzer erhält eine Benachrichtigung.
    • Nutzer warnen: Nutzer werden über vertrauliche Informationen informiert, die in der Nachricht erkannt wurden, können die Nachricht aber trotzdem senden.
    • Nachricht unter Quarantäne stellen: Die Nachricht wird unter Quarantäne gestellt, damit ein Administrator sie prüfen kann, bevor sie gesendet oder zurückgegeben wird.
    • Nur prüfen: Die Nachricht wird gesendet und das DLP-Ereignis wird zur späteren Prüfung protokolliert, um die Auswirkungen neuer Regeln zu bewerten.
  • Bedingungen mithilfe von Textstrings und vordefinierten und benutzerdefinierten Detektoren wie Schlüsselwörter und reguläre Ausdrücke definieren.
  • Regeln hinzufügen, mit denen neuen Nachrichten automatisch Klassifizierungslabels hinzugefügt werden, basierend auf den von Ihnen angegebenen Bedingungen. Beispielsweise das Klassifizierungslabel Vertraulich zuweisen, wenn Nachrichten vertrauliche, finanzielle oder personenidentifizierbare Informationen enthalten.
  • Erkennen, wenn der Modus „Vertraulich“ für eine Nachricht aktiviert ist, und den Status des Modus „Vertraulich“ als Bedingung verwenden, damit Nutzer Nachrichten mit vertraulichen Inhalten senden können.
  • Regeln für bestimmte Organisationseinheiten oder Gruppen oder für die gesamte Organisation erzwingen.
  • Administratoren in der Benachrichtigungszentrale über Regelverstöße benachrichtigen, damit sie das Problem untersuchen können.
  • Bildtext in allen Nachrichtenanhängen mit optischer Zeichenerkennung (OCR) scannen.

Wie funktioniert DLP für Gmail?

Wenn ein Nutzer eine E‑Mail-Nachricht sendet, wird sie von DLP auf sensible Inhalte gescannt. Wenn eine Nachricht oder ein Anhang gegen eine Regel verstößt, wird die in der Regel definierte Aktion auf die Nachricht angewendet.

Zusammenfassung des Ablaufs:

  1. Fügen Sie DLP-Regeln hinzu, in denen sowohl sensible Inhalte als auch die Aktionen definiert werden, die bei Nachrichten mit sensiblen Inhalten ausgeführt werden sollen.
  2. Wenn ein Nutzer eine E‑Mail-Nachricht sendet, prüft DLP den Inhalt auf Übereinstimmung mit den Regeln.
  3. Wenn eine Regel zutrifft, wendet DLP die in der Regel definierte Aktion an.
  4. Alle Ereignisse werden zur Überprüfung in den Regelprotokollereignissen protokolliert.

Synchrones und asynchrones Scannen

Mit DLP für Gmail können Regeln synchron oder asynchron geprüft werden:

  • Synchrones Scannen: DLP-Regeln werden geprüft, wenn der Nutzer auf Senden klickt. Der Nutzer wird vor dem Senden der Nachricht über vertrauliche Inhalte informiert. Gmail im Web und die mobile Gmail App führen synchrones Scannen durch.

  • Asynchrones Scannen: DLP-Regeln werden geprüft, nachdem die Nachricht das Postfach des Absenders verlassen hat. Nutzer erhalten eine Nachricht, dass die Nachricht blockiert oder in die Quarantäne verschoben wurde, bevor sie an den Empfänger zugestellt wird. Das asynchrone Scannen erfolgt, wenn ein Nutzer eine Nachricht über eine E-Mail-App eines Drittanbieters sendet und wenn das synchrone Scannen fehlschlägt.

Ergebnisse vom synchronen und asynchronen Scannen

Synchrones Scannen: Gmail im Web und auf Mobilgeräten

Wenn eine Regel mit der Aktion Nachricht blockieren ausgelöst wird, gilt Folgendes:

  • Es wird eine Benachrichtigung angezeigt, dass die Nachricht im aktuellen Zustand nicht gesendet werden kann. Sie können der Regel für diese Benachrichtigung eine benutzerdefinierte Nachricht hinzufügen.
  • Die Benachrichtigung enthält die Option Zurück zur Bearbeitung, damit der Nutzer zur Bearbeitung der Nachricht zurückkehren und die vertraulichen Inhalte aktualisieren oder entfernen kann.
  • Wenn der Nutzer die Nachricht nach der Bearbeitung noch einmal sendet, wird sie noch einmal gescannt und mit allen anwendbaren Regeln abgeglichen.

Wenn eine Regel mit der Aktion Nutzer warnen ausgelöst wird, gilt Folgendes:

  • Eine Benachrichtigung wird angezeigt, die darauf hinweist, dass die Nachricht möglicherweise sensible Inhalte enthält. In den Regeleinstellungen können Sie eine benutzerdefinierte Benachrichtigung hinzufügen.
  • Die Benachrichtigung enthält die Option Zurück zur Bearbeitung, damit der Nutzer zur Bearbeitung der Nachricht zurückkehren und die vertraulichen Inhalte aktualisieren oder entfernen kann.
  • Die Warnung enthält die Option Trotzdem senden, mit der der Nutzer die Nachricht im aktuellen Zustand senden kann.

Wenn eine Regel mit der Aktion Nachricht unter Quarantäne stellen ausgelöst wird, gilt Folgendes:

  • Eine Benachrichtigung wird angezeigt, die darauf hinweist, dass die Nachricht möglicherweise sensible Inhalte enthält. In den Regeleinstellungen können Sie eine benutzerdefinierte Benachrichtigung hinzufügen.
  • Das Feld enthält die Option Zurück zur Bearbeitung, damit der Nutzer optional zur Bearbeitung der Nachricht zurückkehren und die vertraulichen Inhalte aktualisieren oder entfernen kann.
  • Das Feld enthält den Button Zur Überprüfung senden, damit der Nutzer die Nachricht zur Überprüfung an einen Administrator oder einen anderen autorisierten Nutzer senden kann. Nach der Überprüfung kann der Administrator die Nachricht für die Zustellung an den Empfänger genehmigen oder den Versand blockieren.

Wenn eine Regel mit der Aktion Nur Prüfung ausgelöst wird, gilt Folgendes:

  • Der Nutzer sieht keine Warnung und die Nachricht wird an die Empfänger zugestellt.
  • Das Nachrichtenereignis wird in Audit-Logs aufgezeichnet.

Hinweis:Synchron gescannte Nachrichten werden als zusätzliche Sicherheitsmaßnahme möglicherweise noch einmal asynchron gescannt. Dies kann dazu führen, dass die Nachricht blockiert wird, auch wenn während des synchronen Scannens kein Dialogfeld angezeigt wurde.

Asynchrones Scannen: Gmail mit SMTP und Drittanbieter-E-Mail-App

Wenn eine Regel mit der Aktion Nachricht blockieren ausgelöst wird, gilt Folgendes:

  • Der Absender sieht die Nachricht in seinem Postfach Gesendet.
  • Der Absender erhält eine Nachricht, dass die Nachricht blockiert wurde. Sie können der Regel für diese Benachrichtigung eine benutzerdefinierte Nachricht hinzufügen.

Wenn eine Regel mit der Aktion Nutzer warnen ausgelöst wird, gilt Folgendes:

  • Der Absender sieht die Nachricht in seinem Postfach Gesendet.
  • Der Absender erhält eine Nachricht, dass die Nachricht blockiert wurde. Sie können der Regel für diese Benachrichtigung eine benutzerdefinierte Nachricht hinzufügen.
  • Bei Nachrichten, die mit E‑Mail-Apps von Drittanbietern gesendet werden, die über SMTP mit Gmail verbunden sind, verhalten sich Regeln mit der Aktion Nutzer warnen genauso wie Regeln mit der Aktion Nachricht blockieren.

Wenn eine Regel mit der Aktion Nachricht unter Quarantäne stellen ausgelöst wird, gilt Folgendes: 

  • Der Absender sieht die Nachricht in seinem Postfach Gesendet.
  • Wenn die Nachricht nicht gesendet wurde, erhält der Absender eine Benachrichtigung, dass die Nachricht unter Quarantäne gestellt wurde. Sie können der Regel für diese Benachrichtigung eine benutzerdefinierte Nachricht hinzufügen.

Wenn eine Regel mit der Aktion Nur Prüfung ausgelöst wird, gilt Folgendes:

  • Der Absender erhält keine Benachrichtigung und die Nachricht wird an den Empfänger zugestellt.

Asynchrones Scannen: Gmail im Web und auf Mobilgeräten

Wenn Sie Gmail im Web oder in einer mobilen App verwenden, werden Nachrichten als zusätzliche Sicherheitsmaßnahme noch einmal asynchron gescannt.

Wenn eine Regel mit der Aktion Nachricht blockieren ausgelöst wird, gilt Folgendes:

  • Der Absender sieht die Nachricht in seinem Postfach Gesendet.
  • Der Absender erhält eine Nachricht, dass die Nachricht blockiert wurde. Sie können der Regel für diese Benachrichtigung eine benutzerdefinierte Nachricht hinzufügen.

Wenn eine Regel mit der Aktion Nutzer warnen ausgelöst wird, wird die Nachricht gesendet:

  • Der Absender kann die Nachricht in seinem Postfach Gesendet sehen.
  • Das Nachrichtenereignis wird in „Ereignisse im Regelprotokoll“ aufgezeichnet.

Wenn eine Regel mit der Aktion Nachricht unter Quarantäne stellen ausgelöst wird, gilt Folgendes:

  • Der Absender kann die Nachricht in seinem Postfach Gesendet sehen.
  • Sie erhalten möglicherweise später eine Benachrichtigung, wenn das Senden von Nachrichten durch den Prüfer verhindert wurde.

Wenn eine Regel mit der Aktion Nur Prüfung ausgelöst wird, gilt Folgendes:

  • Der Absender erhält keine Benachrichtigung und die Nachricht wird an den Empfänger zugestellt.

Nachrichten, die automatisch von anderen Google-Produkten erstellt wurden

Gmail sendet automatische Benachrichtigungen und Nachrichten, die von anderen Google- und Google Workspace-Diensten wie Google Kalender, Google Docs und Google Drive erstellt wurden. Wenn beispielsweise jemand einen Termin in Google Kalender erstellt und Gäste einlädt, wird eine Gmail-Nachricht mit den Termindetails erstellt und an die Teilnehmer gesendet. Die Nachricht wird serverseitig gescannt. Wenn der Inhalt der Nachricht die Bedingungen einer Regel erfüllt, wird die Regelaktion angewendet.

Wenn eine Regel mit der Aktion Nachricht blockieren ausgelöst wird, gilt Folgendes:

  • Der Absender sieht die Nachricht in seinem Postfach Gesendet.
  • Der Absender erhält eine Nachricht, dass die Nachricht blockiert wurde. Sie können der Regel für diese Benachrichtigung eine benutzerdefinierte Nachricht hinzufügen.

Wenn eine Regel mit der Aktion Nutzer warnen ausgelöst wird, gilt Folgendes:

  • Die Nachricht wird gesendet.
  • Der Absender kann die Nachricht in seinem Postfach Gesendet sehen.
  • Das Nachrichtenereignis wird in „Ereignisse im Regelprotokoll“ aufgezeichnet.

Wenn eine Regel mit der Aktion Nachricht unter Quarantäne stellen ausgelöst wird, gilt Folgendes:

  • Der Absender wird möglicherweise später benachrichtigt, wenn das Senden von Nachrichten durch den Prüfer verhindert wurde.

Wenn eine Regel mit der Aktion Nur Prüfung ausgelöst wird, gilt Folgendes:

  • Die Nachricht wird gesendet.
  • Der Absender erhält keine Benachrichtigung.

Was wird gescannt?

Nur ausgehende Nachrichten werden gescannt. Die in der Regel hinzugefügten Bedingungen für Zu scannender Inhaltstyp bestimmen, welcher Teil der Nachricht gescannt wird:

  • Alle Inhalte: Betreff, An, Von, Bcc, Cc und Text der Nachricht werden synchron gescannt. Anhänge werden asynchron gescannt. Anhänge umfassen Dateien und Bilder. Dateinamen von Anhängen werden ebenfalls gescannt. Weitere Informationen finden Sie unter Unterstützte Dateitypen auf dieser Seite.
    Anhänge können nicht als Bedingung für die Anwendung der Aktion Warnen verwendet werden, da Anhänge immer asynchron gescannt werden.

    Wichtig: Bei der Option Alle Inhalte werden nur fünf Headertypen gescannt: Betreff, An, Von, Bcc und Cc. Diese Header sind sofort für das synchrone Scannen verfügbar. Wenn Sie alle Nachrichtenheader scannen möchten, empfehlen wir eine der folgenden Optionen:

    • Fügen Sie eine Bedingung mit dem Operator „OR“ hinzu, um E-Mail-Header zu scannen.
    • Erstellen Sie eine separate Regel, um E‑Mail-Header zu scannen.

  • E-Mail-Header: Inhalte in E-Mail-Headern. Die meisten Header werden asynchron gescannt. Die Header „Betreff“, „An“, „Von“, „Bcc“ und „Cc“ werden jedoch sowohl asynchron als auch synchron gescannt. Um eine Unterbrechung für Ihre Nutzer zu vermeiden, sollten Sie keine Bedingung für den negativen Abgleich (eine NOT-Bedingung) für nicht verfügbare E‑Mail-Kopfzeilen festlegen. E-Mail-Header werden gescannt, um nach vertraulichen Informationen zu suchen.

  • Text: Der Nachrichtentext wird synchron gescannt und Anhänge werden asynchron gescannt.

  • Betreff: Der Betreff wird synchron gescannt.

  • Klassifizierungslabels: Klassifizierungslabels, die manuell von einem Nutzer oder automatisch mit einer DLP-Regel angewendet wurden. Eine Regel kann nicht gleichzeitig Klassifizierungslabel als Bedingung und Klassifizierungslabels anwenden als Aktion haben.

  • Status des Modus „Vertraulich“: Gibt an, ob der Modus „Vertraulich“ für die Nachricht aktiviert ist. Wir empfehlen, diese Bedingung mit anderen Regelbedingungen zu verwenden. Wenn der Nachrichtentext beispielsweise eine Steuernummer enthält und die Nachricht nicht im Modus „Vertraulich“ gesendet wird, wird das Senden der Nachricht blockiert. Weitere Informationen finden Sie unter Gmail-Nachrichten mit dem Modus „Vertraulich“ schützen.

Unterstützte Dateitypen für Anhänge

DLP-Regeln scannen die folgenden Anhangstypen:

  • Dokumentdateitypen: TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON, SH
  • Bilddateitypen (wenn OCR aktiviert ist): EPS, BMP, GIF, JPEG, PNG und Bilder in PDF-Dateien
  • Komprimierte Dateitypen: BZIP, RAR, TAR, ZIP
  • Kundenspezifische Dateitypen: HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS

Mehrere Anhänge

Wenn eine Nachricht mehrere Anhänge hat, wird die Regel ausgelöst, wenn einer der Anhänge der Regelbedingung entspricht. Das kann manchmal dazu führen, dass Regeln mit der NOT-Bedingung unerwartete Ergebnisse liefern. Wenn beispielsweise die Bedingung NOT(content contains SSN) verwendet wird und einer der Anhänge SSN enthält, ist die Bedingung wahr und die Regel wird nicht ausgelöst.

Wie interagiert DLP mit anderen E‑Mail-Regeln?

DLP-Regeln werden vor Regeln zur Inhaltscompliance und Routingregeln ausgewertet.

Wenn für eine Nachricht in DLP-Regeln keine Blockier- oder Quarantäneaktionen akzeptiert werden, wird die Nachricht anhand von Regeln zur Inhaltscompliance und Weiterleitungsregeln ausgewertet. Wenn durch eine Regel zur Inhaltscompliance oder eine Routingregel eine Aktion angewendet wird, durch die eine weitere Kopie der Nachricht erstellt wird (z. B. durch Hinzufügen eines neuen Empfängers), werden die neuen Kopien der Nachricht von DLP gescannt, bevor sie gesendet werden.
Weitere Informationen finden Sie unter Regeln für die erweiterte Filterung von E‑Mail-Inhalten einrichten.

DLP für Gmail und Gruppen

In diesem Abschnitt wird beschrieben, wie Gmail-DLP-Regeln mit Gruppen interagieren.

DLP-Regeln werden nur auf Gruppen angewendet, wenn die Regel für die gesamte Organisation festgelegt ist. DLP-Regeln unterstützen für Gruppen nur die Aktion „Ablehnen“. Die Aktionen „Warnen“ und „Unter Quarantäne stellen“ werden für Gruppen nicht unterstützt.

DLP-Regeln für Gmail erstellen

  1. Gehen Sie zum Menü  und dann Regeln > Regel erstellen > Datenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie einen Namen für die Regel und optional eine Beschreibung ein.
  3. Klicken Sie im Bereich Apps bei Gmail auf das Kästchen Nachricht gesendet.
  4. Optional: Wenn Sie prüfen möchten, ob die OCR aktiviert ist, klicken Sie auf Prüfen und setzen Sie ein Häkchen bei Gmail, um die OCR für Gmail zu aktivieren.
  5. Klicken Sie auf Weiter.

  6. Wählen Sie im Abschnitt Aktionen unter Gmail eine Option aus.

    Alle Aktionen werden in den Regelprotokollereignissen protokolliert.

    • Nachricht blockieren: Die Nachricht wird nicht sofort gesendet und dem Absender wird eine Warnung zu potenziell sensiblen Informationen in der Nachricht angezeigt. Der Absender kann die Nachricht bearbeiten und noch einmal senden.
    • Nutzer warnen: Die Nachricht wird nicht sofort gesendet und dem Absender wird eine Warnung angezeigt. Der Absender kann die Nachricht unverändert senden oder sie bearbeiten und noch einmal senden.
      Hinweis: Anhänge werden immer asynchron gescannt. Sie können sie daher nicht als Bedingung für die Aktion Nutzer warnen in einer Regel verwenden.
    • Nachricht unter Quarantäne stellen: Die Nachricht wird nicht sofort gesendet und dem Absender wird eine Benachrichtigung angezeigt. Der Absender kann die Nachricht unverändert senden oder zur Überprüfung an einen Administrator oder eine andere qualifizierte Person senden. Sie müssen eine Option aus dem Menü Quarantänebedingung auswählen.
    • Nur prüfen: Die Nachricht wird gesendet. Es wird keine Benachrichtigung angezeigt. Die Nachricht wird anhand von Regeln gescannt und als Ereignis protokolliert, das ein Administrator später überprüfen kann.
    • Klassifizierungslabel anwenden: Ein Klassifizierungslabel auf Nachrichten anwenden, die den Bedingungen entsprechen. Sie müssen eine Option aus den Menüs Label-Feld und Feldoptionen auswählen.
    • Benutzerdefinierte Notiz hinzufügen: Fügt passenden E‑Mails einen benutzerdefinierten Header oder eine benutzerdefinierte Fußzeile hinzu.

  7. Wählen Sie unter Für welche Nachrichtentypen soll diese Aktion angewendet werden? aus, ob die Aktion auf interne Nachrichten, externe Nachrichten oder beides angewendet werden soll.

  8. Optional: Wenn Sie eine benutzerdefinierte Benachrichtigung erstellen möchten, klicken Sie unter Nachricht an den Nutzer auf das Kästchen Nachricht anpassen und geben Sie den Benachrichtigungstext ein. Benachrichtigungen können URLs und bis zu 300 Zeichen (einschließlich der Zeichen in URLs) enthalten. Wenn Sie keine benutzerdefinierte Mitteilung erstellen, wird im Feld die Standardmitteilung angezeigt.

  9. Optional: Wenn Sie die Wichtigkeitsstufe der gemeldeten Nachrichtenereignisse festlegen möchten, wählen Sie unter Benachrichtigungen eine Wichtigkeitsstufe aus: Niedrig, Mittel oder Hoch. Die Wichtigkeitsstufe wird in den Ereignissen im Regelprotokoll protokolliert und kann zur Untersuchung von Vorfällen verwendet werden.

  10. Optional: Wenn Sie eine Benachrichtigung zu Nachrichtenereignissen (eine durch diese Regel ausgelöste Nachricht) senden möchten, klicken Sie das Kästchen Benachrichtigungszentrale an. Mit der Option Alle Super Admins können Sie auch eine Benachrichtigung an Super Admins senden. Geben Sie andere Benachrichtigungen für andere Empfänger ein.

  11. Klicken Sie auf Weiter.

  12. Wählen Sie unter Bereich eine Option aus:

    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.

  13. Klicken Sie unter Inhaltsbedingungen auf Bedingung hinzufügen und wählen Sie den Teil der Nachricht aus, der gescannt werden soll.

    Wichtig: Wenn Sie eine DLP-Regel ohne Bedingung erstellen, werden alle Teile der Nachricht gescannt und die angegebene Aktion auf jede Gmail-Nachricht angewendet.

    • Gesamter Inhalt: Header, Betreff, Text und Anhänge der Nachricht werden gescannt.
    • Text: Inhalt der Nachricht und Anhänge werden gescannt.
    • Klassifizierungslabel: Scannt Klassifizierungslabel, die auf Nachrichten angewendet wurden.
    • Status des Modus „Vertraulich“: Hier wird geprüft, ob der Modus „Vertraulich“ für Nachrichten aktiviert ist.
    • E-Mail-Header: Es werden der Nachrichtenheader und der Betreff gescannt. Wenn die Nachricht mit der clientseitigen Verschlüsselung von Google Workspace (CSE) gesendet wird, kann nur der Inhalt der E‑Mail-Header (einschließlich Betreff) gescannt werden.
    • Betreff: Es wird nur der Betreff der Nachricht gescannt.

  14. Klicken Sie auf Wonach soll gesucht werden? und wählen Sie die Optionen und Attribute für den Scan aus. Ausführliche Informationen zu den einzelnen Feldern finden Sie auf dieser Seite unter Optionen und Attribute für die Suche.

  15. Klicken Sie auf Weiter und sehen Sie sich die Regeldetails an.

  16. Wählen Sie einen Status für die Regel aus:

    • Aktiv: Die Regel wird sofort ausgeführt.
    • Inaktiv: Die Regel wird hinzugefügt, aber nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung an andere weiterzugeben. Wenn Sie die Regel später auslösen möchten, gehen Sie in der Admin-Konsole zu Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutzund dannRegeln verwalten, ändern Sie den Status in Aktivund dann klicken Sie auf Bestätigen.

  17. Klicken Sie auf Erstellen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Optionen und Attribute für „Wonach soll gesucht werden?“

Die Optionen für Wonach soll gesucht werden? variieren je nach dem Inhaltstyp, den Sie zum Scannen ausgewählt haben. Bei Gmail-Regelbedingungen können Sie nach Folgendem suchen:

  • Stimmt mit vordefiniertem Datentyp überein (empfohlen)
  • Enthält Textstring
  • Enthält Wort
  • Übereinstimmung mit regulärem Ausdruck
  • Stimmt mit Wörtern aus der Wortliste überein
  • Ist ein Klassifizierungslabel
  • Aktiviert oder deaktiviert (nur Status des Modus „Vertraulich“)

Sie können die Operatoren AND, OR oder NOT mit Bedingungen verwenden. Weitere Informationen zur Verwendung dieser Operatoren mit Bedingungen finden Sie im Hilfeartikel Beispiele für DLP-Regeln mit verschachtelten Bedingungsoperatoren.

Wonach soll gesucht werden? Attribute
Stimmt mit vordefiniertem Datentyp überein

Datentyp: Wählen Sie einen vordefinierten Datentyp aus. Weitere Informationen finden Sie unter Vordefinierte Inhaltsdetektoren verwenden.

Schwellenwert für die Wahrscheinlichkeit: Wählen Sie einen Wert aus. Folgende Werte sind verfügbar:

  • Sehr niedrig
  • Niedrig
  • Mittel
  • Hoch
  • Sehr hoch

Diese Schwellenwerte geben an, als wie zuverlässig das Ergebnis des Abgleichs durch das DLP-System eingeschätzt wird. Im Allgemeinen erzielt der Schwellenwert „Sehr hoch“ weniger Übereinstimmungen mit Inhalten und ist genauer. Wenn Sie „Sehr niedrig“ auswählen, werden vermutlich mehr Übereinstimmungen mit Dateien gefunden, aber sie haben eine geringere Genauigkeit.

Mindestanzahl eindeutiger Übereinstimmungen: Geben Sie an, wie oft ein übereinstimmendes Ergebnis eindeutig in einem Dokument vorkommen muss, damit die Aktion ausgelöst wird.

Mindestanzahl der Übereinstimmungen: Geben Sie an, wie oft übereinstimmende Ergebnisse in einem Dokument mindestens vorkommen müssen, damit die Aktion ausgelöst wird.

Wie funktionieren diese beiden Varianten? Stellen Sie sich zwei Listen mit Sozialversicherungsnummern vor: Die erste Liste enthält 50 Mal dieselbe Nummer und die zweite Liste 50 verschiedene Nummern. Wenn die Mindestanzahl der Übereinstimmungen gleich zehn ist, erfolgt die Auslösung aufgrund der Ergebnisse für beide Listen, da es jeweils mindestens zehn Übereinstimmungen gibt. Wenn aber die Mindestanzahl eindeutiger Übereinstimmungen gleich zehn und der Wert „Mindestanzahl der Übereinstimmungen“ gleich eins ist, erfolgt nur eine Auslösung aufgrund der Ergebnisse in der zweiten Liste, da es zehn Übereinstimmungen mit verschiedenen Werten gibt.
Enthält Textstring Inhalte für den Abgleich eingeben: Geben Sie einen Teilstring, eine Zahl oder andere Zeichen ein, nach denen gesucht werden soll. Geben Sie an, ob beim Inhalt Groß- und Kleinschreibung berücksichtigt werden soll. Bei einem Teilstring kann die Regel z. B. das Wort „Schlüssel“ enthalten. Wenn im Dokument das Wort „Schlüssel“ vorkommt, gibt es eine Übereinstimmung.
Enthält Wort Inhalte für den Abgleich eingeben: Geben Sie das Wort, die Zahl oder andere Zeichen ein, nach denen gesucht werden soll.
Übereinstimmung mit regulärem Ausdruck

Name für regulären Ausdruck: Ein benutzerdefinierter Detektor für reguläre Ausdrücke.

Mindesthäufigkeit für die Mustererkennung: Geben Sie an, wie oft das durch den regulären Ausdruck ausgedrückte Muster in einem Dokument mindestens vorkommen muss, damit die Aktion ausgelöst wird.
Stimmt mit Wörtern aus der Wortliste überein

Name für Wortliste: Wählen Sie eine benutzerdefinierte Wortliste aus.

Abgleichmodus: Wählen Sie entweder Mindestens eines der Wörter stimmt überein oder Eine Mindestanzahl eindeutiger Wörter stimmt überein aus.

Mindestanzahl eines gefundenen Wortes: Geben Sie an, wie oft ein Wort mindestens erkannt werden muss, damit die Aktion ausgelöst wird.

Mindestanzahl der erkannten eindeutigen Wörter: Geben Sie die Mindestanzahl der eindeutigen Wörter ein, die erkannt werden müssen, damit die Aktion ausgelöst wird (nur bei der Option Eine Mindestanzahl eindeutiger Wörter stimmt überein verfügbar).

DLP-Regelereignisse mit dem Sicherheitsprüftool untersuchen

Nach Ereignissen im Regelprotokoll suchen

Im folgenden Beispiel wird eine Suche ausgeführt, um Gmail-Nachrichten zu untersuchen, die eine DLP-Regel ausgelöst haben. Sie können auch andere Bedingungen in der Suche verwenden oder eine Suche ohne Bedingungen ausführen.

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Sicherheitund dannSicherheitscenterund dannPrüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Klicken Sie auf Datenquelleund dannEreignisse im Regelprotokoll.
  3. Klicken Sie auf Tool zur Bedingungserstellungund dannBedingung hinzufügenund dannAttributund dannRegeltyp.
  4. Wählen Sie DLP aus.
  5. Klicken Sie auf Suchen.
     In den Suchergebnissen am Ende der Seite können Sie eine Liste der Ereignisse mit Details zu jedem Ereignis aufrufen.

    Hinweis: Snippets mit sensiblen Inhalten werden von DLP für Gmail nicht unterstützt. In der Spalte Enthält vertrauliche Inhalte wird daher „Falsch“ angezeigt, auch wenn eine Nachricht vertrauliche Inhalte enthält, die eine DLP-Regel ausgelöst haben.

  6. Scrollen Sie zur Spalte Ressourcen-ID und klicken Sie auf das Dreipunkt-Menü , um Gmail-Protokollereignisse und Nachrichten-ID aufzurufen.
  7. Klicken Sie auf Suchen, um eine neue Suchseite zu öffnen, auf der Gmail-Protokollereignisse die Datenquelle ist.
  8. Wenn Sie weitere Details aufrufen möchten, klicken Sie in einer beliebigen Zeile der Suchergebnisse auf die Nachrichten-ID. Eine Seitenleiste mit weiteren Details zur Prüfung wird angezeigt.
  9. Wenn Sie dazu aufgefordert werden, geben Sie an, warum Sie die Gmail-Inhalte ansehen möchten, und klicken Sie auf Bestätigen.

DLP-Verstöße mit BigQuery exportieren

Sie können DLP-Verstöße, die in Regelprotokollereignissen protokolliert wurden, zur weiteren Prüfung in benutzerdefinierte Tabellen exportieren. Weitere Informationen finden Sie unter Dienstprotokollexporte nach BigQuery einrichten.

Feedback geben

Klicken Sie in der Admin-Konsole auf einer beliebigen Seite zum Datenschutz auf Feedback geben.