Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden

Für diese Funktion benötigen Sie das Chrome Enterprise Premium-Add‑on.

Sie können Chrome Enterprise Premium mit Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) verwenden, um Nutzeraktionen im Chrome-Browser und auf Windows-, Mac-, Linux- und ChromeOS-Geräten zu überwachen. Sie können bis zu 10 MB Textinhalt in einer Datei scannen, um automatisch Daten zu erkennen, die geöffnet, hochgeladen, heruntergeladen, eingefügt oder übertragen wurden. Mit DLP-Regeln in Chrome Enterprise Premium behalten Sie die Kontrolle über vertrauliche Informationen wie Sozialversicherungs- oder Kreditkartennummern.

Themen in diesem Hilfeartikel

Hinweis
Nutzerereignisse (Trigger)
DLP-Bedingungen
DLP-Aktionen
Region für Ihre Daten auswählen
OCR aktivieren
DLP-Regel erstellen
Gängige Anwendungsfälle
Benachrichtigungen prüfen, im Blick behalten und untersuchen

Hinweis

Richten Sie Ihre Chrome Enterprise Connector-Richtlinien ein. Eine Anleitung finden Sie unter Chrome Enterprise Connector-Richtlinien für Chrome Enterprise Premium festlegen.

Nutzerereignisse (Trigger)

Bevor Sie festlegen, nach welchen Inhalten oder Kontexten Ihre Regel suchen soll, müssen Sie das Nutzerereignis bestimmen, das den Scanvorgang auslöst. Dieses Ereignis ist der Trigger für die gesamte Regel. Das von Ihnen ausgewählte Ereignis bestimmt die für Ihre Regel verfügbaren Optionen für Zu scannender Inhaltstyp.

Sie können aus folgenden Nutzerereignissen wählen:

Datei hochgeladen : Ein Nutzer lädt eine Datei von seinem Gerät im Chrome-Browser hoch.
Datei heruntergeladen : Ein Nutzer lädt eine Datei auf sein Gerät herunter.
Inhalt eingefügt: Ein Nutzer fügt Inhalte in eine Webseite ein.
Inhalt gedruckt: Ein Nutzer druckt den Inhalt einer Webseite.
URL aufgerufen: Ein Nutzer ruft eine URL auf.

DLP-Bedingungen

Wenn Sie eine DLP-Regel erstellen, geben Sie Bedingungen an, die definieren, nach welchen Inhalten oder Aktivitäten gescannt werden soll. Sie können mehrere Bedingungen kombinieren, um spezifische Regeln zu erstellen.

Die verfügbaren Optionen für Zu scannender Inhaltstyp ändern sich je nachdem, welches Nutzerereignis zum Start des Scans ausgewählt ist, z. B. Datei hochgeladen, Datei heruntergeladen, Inhalt eingefügt, Inhalt gedruckt oder URL aufgerufen.

Zu scannender Inhaltstyp	Wonach soll gesucht werden?	Details und Nutzung
Alle Inhalte	Stimmt mit vordefiniertem Datentyp überein	Der gesamte Inhalt wird nach vertraulichen Informationen gescannt, die einem vordefinierten Datentyp entsprechen, z. B. „Global – E-Mail-Adresse“ oder „USA – Sozialversicherungsnummer“. Sie können einen Schwellenwert für die Wahrscheinlichkeit und einen Mindestwert für eindeutige oder vollständige Übereinstimmungen festlegen.
Text	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht den Haupttext einer Webseite oder Datei nach bestimmten Texten, Wörtern aus einer benutzerdefinierten Liste oder durch einen regulären Ausdruck definierte Muster.
Dateigröße	Ist größer als Ist kleiner als Ist gleich	Legt einen Schwellenwert für die Dateigröße (in Byte) fest, um die Regel basierend auf Ihrem Vergleich auszulösen.
Dateityp	Stimmt mit Systemdateikategorie überein Stimmt mit bestimmtem MIME-Typ überein	Filtert, was nach vordefinierten Dateikategorien wie „Bild“ oder „Ausführbar“ oder nach einem bestimmten MIME-Typ gescannt werden soll. Erfahren Sie mehr über MIME-Typen nach Dateikategorie.
Chrome-Quellkontext	Bestimmte Attribute im Zusammenhang mit dem Chrome-Browser	Scannt nach internen Chrome-Attributen, um die Umgebung oder den Status des Browsers zu definieren. Die Regel gilt, wenn der Kontext einen der folgenden Werte hat: Inkognito, Zwischenablage oder Anderes Profil.
Quell-URL	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht die URL, von der der Inhalt stammt, nach bestimmten Texten, Wörtern aus einer benutzerdefinierten Liste oder Mustern.
Konto, mit dem Sie in der Web-App angemeldet sind	Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E-Mail-Adressen überein	Es wird das Nutzerkonto gescannt, das beim Auftreten des Ereignisses aktiv in der Google-Web-App angemeldet ist, z. B. Gmail oder Drive. Diese Bedingung gilt für Regeln, die durch die Ereignisse „Einfügen“, „URL aufgerufen“, „Dateidownload“, „Datei hochladen“ und „Drucken“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten unterstützt.
Konto, mit dem Sie in der Quell-Web-App angemeldet sind	Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E-Mail-Adressen überein	Scannt das Nutzerkonto, das in der Google-Web-App angemeldet ist, die die Quelle der Inhalte enthält (die App, in der die Inhalte kopiert wurden). Diese Bedingung gilt nur für Regeln, die durch das Ereignis „Inhalt eingefügt“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten unterstützt.
Kategorie der Quell-URL	Kategorie auswählen	Wird mit dem Nutzerereignis (z. B. „Inhalt eingefügt“) verwendet, um zu prüfen, ob eine Quell-URL zu einer vordefinierten Kategorie wie „Soziale Netzwerke“ oder „Nachrichten“ gehört.
Titel	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht den Titel einer an der Aktion beteiligten Webseite oder eines Dokuments nach bestimmten Texten, nach Wörtern aus einer benutzerdefinierten Liste oder nach Mustern.
URL	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht die URL, die an der Aktion beteiligt ist, nach bestimmten Texten, nach Wörtern aus einer benutzerdefinierten Liste oder nach Mustern. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden.
URL-Kategorie	Kategorie auswählen	Prüft, ob die URL, die an der Aktion beteiligt ist, zu einer vordefinierten Kategorie wie „Soziale Netzwerke“, „Spiele“ oder „Glücksspiel“ gehört. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden.

Hinweis:Beim Trigger Besuchte URL werden URLs oder die entsprechenden Kategorien in eingebetteten iFrames nicht gescannt.

DLP-Aktionen

Ist eine Bedingung erfüllt, kann die Regel eine der folgenden Aktionen erzwingen:

Aktion (für Chrome-Browser und ChromeOS)	Beschreibung	Optionale Einstellungen
Blockieren	Nutzer können die Aktion nicht abschließen (z. B. eine Datei hochladen). Nutzer erhalten eine Fehlermeldung oder eine benutzerdefinierte Nachricht.	Benutzerdefinierte Nachricht: Dem Nutzer wird eine benutzerdefinierte Nachricht (bis zu 300 Zeichen, unterstützt Hyperlinks) angezeigt, die erklärt, warum die Aktion blockiert wurde.
Mit Warnung erlauben	Ermöglicht es Nutzern, nach einer Warnmeldung fortzufahren. Die Entscheidung, fortzufahren, wird in den Protokollereignissen aufgezeichnet.	Benutzerdefinierte Nachricht: Eine benutzerdefinierte Warnmeldung anzeigen. Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen, bei denen eine URL aufgerufen wird, werden ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, bei denen eine URL auf einem Mac oder Windows-Gerät aufgerufen wird, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie.
Nur Prüfung	Nutzer können ohne Unterbrechung fortfahren. Das Ereignis wird zur Überprüfung protokolliert.	Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen, bei denen eine URL aufgerufen wird, werden ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, bei denen eine URL auf einem Mac oder Windows-Gerät aufgerufen wird, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie.

Aktion (für Chrome-Browser und ChromeOS)

Beschreibung

Optionale Einstellungen

Blockieren

Nutzer können die Aktion nicht abschließen (z. B. eine Datei hochladen). Nutzer erhalten eine Fehlermeldung oder eine benutzerdefinierte Nachricht.

Benutzerdefinierte Nachricht: Dem Nutzer wird eine benutzerdefinierte Nachricht (bis zu 300 Zeichen, unterstützt Hyperlinks) angezeigt, die erklärt, warum die Aktion blockiert wurde.

Mit Warnung erlauben

Ermöglicht es Nutzern, nach einer Warnmeldung fortzufahren. Die Entscheidung, fortzufahren, wird in den Protokollereignissen aufgezeichnet.

Benutzerdefinierte Nachricht: Eine benutzerdefinierte Warnmeldung anzeigen.

Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen, bei denen eine URL aufgerufen wird, werden ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet.

Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, bei denen eine URL auf einem Mac oder Windows-Gerät aufgerufen wird, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie.

Nur Prüfung

Nutzer können ohne Unterbrechung fortfahren. Das Ereignis wird zur Überprüfung protokolliert.

Wichtig:Bei den Nutzerereignissen Datei hochgeladen und Inhalt eingefügt hängt die Blockierung von den Einstellungen Datei-Upload verzögern und Texteingabe verzögern in Ihren Chrome Enterprise Connector-Richtlinien ab. Weitere Informationen finden Sie unter Inhaltsanalyse: Uploads und Inhaltsanalyse: Bulk-Text.

Region für Ihre Daten auswählen

Sie können Ihre DLP- und Malware-Scans in einer bestimmten Region speichern, z. B. in den USA oder in Europa. Sie können eine Region auswählen, um den Datenstandort zu bestimmen. Dies ist im Rahmen vieler Compliance-Vereinbarungen erforderlich. Weitere Informationen finden Sie im Hilfeartikel Geografische Region für Ihre Daten auswählen.

OCR aktivieren

Sie müssen die optische Zeichenerkennung (Optical Character Recognition, OCR) aktivieren, damit Chrome Bilder in Dateien und PDFs nach sensiblen Inhalten durchsuchen kann. OCR scannt BMP-, GIF-, JPEG-, PNG- und TIF-Dateien, die hochgeladen, heruntergeladen und gedruckt wurden. Die Aktivierung der OCR gilt das für alle DLP-Regeln. Sie kann nicht gezielt auf bestimmte Regeln angewendet werden.

So aktivieren Sie OCR:

Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Sicherheit Zugriffs- und Datenkontrolle Datenschutz.

Zu „Datenschutz“

Hierfür benötigen Sie die Administratorberechtigungen "DLP-Regel ansehen und DLP-Regel verwalten".
Gehen Sie zu Datenschutzeinstellungen und klicken Sie auf Optische Zeichenerkennung (OCR).
Aktivieren Sie Für Google Chrome.
Klicken Sie auf Speichern.

DLP-Regel erstellen

Nachdem Sie OCR aktiviert und die Bedingungen und Aktionen für Ihre Regel festgelegt haben, können Sie die DLP-Regel erstellen. Weitere Informationen finden Sie unter DLP-Regel erstellen.

Gängige Anwendungsfälle

In der folgenden Tabelle finden Sie Beispiele dafür, wie Sie ein Nutzerereignis (Trigger), Bedingungen (was geprüft wird) und eine bestimmte Aktion (die Erzwingung) kombinieren, um eine DLP-Richtlinie zu definieren. So verwenden Sie diese Tabelle:

Wählen Sie ein Nutzerereignis aus.
Ordnen Sie die Bedingungswerte den entsprechenden Optionen zu.
Wählen Sie eine Aktion aus.

Anwendungsfall	Nutzerereignis	Bedingungen	Aktion
Herunterladen von Dateien aus Google Drive blockieren	Datei heruntergeladen	Inhaltstyp:URL&ast; Abgleich:Enthält Textstring Wert: drive.google.com	Blockieren
Nutzer warnen, wenn eine heruntergeladene Datei mehr als 30 E-Mail-Adressen enthält	Datei heruntergeladen	Inhaltstyp:Alle Inhalte Abgleich:Stimmt mit vordefiniertem Datentyp überein Einstellungen: Datentyp: Global – E-Mail-Adresse, mittlere Wahrscheinlichkeit, mindestens 30 eindeutige Übereinstimmungen	Mit Warnung erlauben
Dateiuploads auf Social-Media-Websites blockieren	Dateien hochladen	Inhaltstyp:URL-Kategorie Abgleich:Kategorie auswählen Wert: Soziale Netzwerke	Blockieren
Herunterladen von Bilddateien mit mehr als 10 Kilobyte blockieren	Datei heruntergeladen	Bedingung 1:Dateigröße Abgleich: Ist größer als Wert: 10.000 Byte AND Bedingung 2:Dateityp Abgleich: Stimmt mit Systemdateikategorie überein Wert: Bild	Blockieren
Es werden Instanzen protokolliert, bei denen US-Sozialversicherungsnummern in Dateien in ChromeOS übertragen werden	Dateiübertragung	Inhaltstyp:Alle Inhalte Abgleich:Stimmt mit vordefiniertem Datentyp überein Einstellungen: Datentyp: USA – Sozialversicherungsnummer, Wahrscheinlichkeit: Mittel, Mindestanzahl eindeutiger Übereinstimmungen: 1, Mindestanzahl der Übereinstimmungen: 1	Nur Prüfung
Hindert Nutzer daran, Inhalte einzufügen, die aus Gmail (mail.google.com) kopiert wurden	Inhalt eingefügt	Inhaltstyp:Quell-URL&ast; Abgleich:Enthält Textstring Wert: mail.google.com	Blockieren
Wasserzeichen anwenden oder Screenshots einschränken, wenn Nutzer bestimmte sensible Websites besuchen	URL aufgerufen	Inhaltstyp:URL&ast; oder URL-Kategorie Abgleich:Wählen Sie den entsprechenden Abgleich aus. Wert: Die spezifische sensible URL oder Kategorie	Mit Warnung zulassen/Nur prüfen (mit „Wasserzeichen hinzufügen“ und/oder „Screenshot einschränken“ ausgewählt)
Hochladen von Dateien in private Google Drive-Konten blockieren	Datei hochgeladen	Bedingung 1: Inhaltstyp: URL Abgleich:Enthält Textstring Wert: drive.google.com AND Bedingung 2: Inhaltstyp: Konto der Web-App-Anmeldung Abgleich:Stimmt nicht mit dem Domainnamen überein Wert:Domainname-Ihrer-Organisation.com	Blockieren

&ast; Wenn eine von Ihnen gefilterte URL kürzlich aufgerufen wurde, wird sie mehrere Minuten lang im Cache gespeichert und kann erst dann wieder nach einer neuen (oder geänderten) Regel gefiltert werden, wenn der Cache gelöscht wurde. Warten Sie etwa fünf Minuten, bevor Sie eine neue oder geänderte Regel testen.

Benachrichtigungen prüfen, im Blick behalten und untersuchen

Nachdem Sie DLP-Regeln erstellt haben, können Sie Nutzeraktionen wie das Hochladen und Herunterladen oder das Kopieren und Einfügen von Daten im Chrome-Browser prüfen. Anschließend haben Sie folgende Möglichkeiten:

Berichte im Sicherheitsdashboard ansehen. Zu den Berichten im Zusammenhang mit Chrome Enterprise Premium gehören:
- Bericht „Zusammenfassung für den Schutz vor Bedrohungen in Chrome“
- Bericht „Zusammenfassung für den Datenschutz in Chrome“
- Bericht zu Chrome-Nutzern mit hohem Sicherheitsrisiko
- Bericht zu Chrome-Domains mit hohem Sicherheitsrisiko
- Weitere Informationen finden Sie im Hilfeartikel Sicherheits dashboard verwenden.
Benachrichtigungen zu Vorfällen beim Teilen von Daten mit dem Sicherheitsprüftool untersuchen. Weitere Informationen finden Sie im Hilfeartikel Das Sicherheitsprüftool.
Details zu Vorfällen unter Ereignisse im Regelprotokoll ansehen.
Verstöße gegen DLP-Regeln untersuchen , um festzustellen, ob es sich um tatsächliche Vorfälle oder falsch-positive Ergebnisse handelt. Weitere Informationen finden Sie unter Inhalte ansehen, die DLP Regeln auslösen.

Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.