Sie benötigen das Chrome Enterprise Premium-Add‑on, um diese Funktion nutzen zu können.
Mit Chrome Enterprise Premium können Sie mithilfe von Datenschutzregeln Nutzeraktionen im Chrome-Browser und auf Windows-, Mac-, Linux- und ChromeOS-Geräten überwachen. Mit dem Schutz vor Datenverlust (Data Loss Prevention, DLP) in Chrome können Sie bis zu 10 MB Textinhalte in einer Datei scannen, um automatisch Daten zu erkennen, die geöffnet, hochgeladen, heruntergeladen, eingefügt oder übertragen werden. Mit Datenschutzregeln in Chrome Enterprise Premium behalten Sie die Kontrolle über vertrauliche Informationen wie Sozialversicherungs- oder Kreditkartennummern.
Hinweis
- Richten Sie Ihre Chrome Enterprise Connectors-Richtlinien ein. Eine Anleitung finden Sie im Hilfeartikel Chrome Enterprise Connector-Richtlinien für Chrome Enterprise Premium festlegen.
- Wenn Sie den Umfang der Regel auf eine von Nutzern erstellte Gruppe beschränken möchten, fügen Sie der Gruppe alle relevanten Nutzer und Browser hinzu. Wenn Sie die Regel beispielsweise auf den Chrome-Browser anwenden möchten, fügen Sie den Browser Ihrer Zielgruppe hinzu. Weitere Informationen finden Sie unter Welche Arten von Gruppen kann ich für den Geltungsbereich einer Regel auswählen? und Gruppenbasierte Richtlinien verwalten.
Trigger
Bevor Sie festlegen können, nach welchen Inhalten mit Ihrer Regel gesucht werden soll, müssen Sie den Trigger bestimmen, der den Scanvorgang auslöst. Der von Ihnen ausgewählte Trigger bestimmt die für Ihre Regel verfügbaren Optionen für Zu scannender Inhaltstyp.
Sie können einen der folgenden Trigger wählen:
- Datei hochgeladen: Ein Nutzer lädt eine Datei von seinem Gerät im Chrome-Browser hoch.
- Datei heruntergeladen: Ein Nutzer lädt eine Datei auf sein Gerät herunter.
- Inhalt eingefügt: Ein Nutzer fügt Inhalte in eine Webseite ein.
- Inhalt gedruckt: Ein Nutzer druckt den Inhalt einer Webseite.
- Aufgerufene URL: Ein Nutzer ruft eine URL auf.
DLP-Aktionen
Wenn sensible Inhalte gefunden werden, kann mit Ihrer Regel eine Aktion aus der folgenden Tabelle erzwungen werden.| Aktion (für Chrome-Browser und ChromeOS) | Beschreibung | Optionale Einstellungen |
|---|---|---|
| Blockieren | Nutzer können die Aktion nicht abschließen (z. B. eine Datei hochladen). Nutzer erhalten eine Fehlermeldung oder eine benutzerdefinierte Nachricht. | Benutzerdefinierte Nachricht: Dem Nutzer wird eine benutzerdefinierte Nachricht (bis zu 300 Zeichen, unterstützt Hyperlinks) angezeigt, die erklärt, warum die Aktion blockiert wurde. |
| Mit Warnung erlauben | Ermöglicht es Nutzern, nach einer Warnmeldung fortzufahren. Die Entscheidung, fortzufahren, wird in den Protokollereignissen aufgezeichnet. |
Mitteilung anpassen: Eine benutzerdefinierte Warnmeldung anzeigen. Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen vom Typ „Besuchte URL“ wird ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, die auf Mac- und Windows-Computern über eine besuchte URL ausgeführt werden, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie. |
| Nur Prüfung | Nutzer können ohne Unterbrechung fortfahren. Das Ereignis wird zur Überprüfung protokolliert. |
Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen vom Typ „Besuchte URL“ wird ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, die auf Mac- und Windows-Computern über eine besuchte URL ausgeführt werden, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie. |
Wichtig:Bei den Triggern Datei hochgeladen und Inhalt eingefügt hängt die Blockierung von den Einstellungen Datei-Upload verzögern und Texteingabe verzögern in Ihren Chrome Enterprise Connector-Richtlinien ab. Weitere Informationen finden Sie unter Inhaltsanalyse: Uploads und Inhaltsanalyse: Bulk-Text.
DLP-Bedingungen
Wenn Sie eine Datenschutzregel erstellen, können Sie Bedingungen angeben, die definieren, nach welchen Inhalten oder Aktivitäten gescannt werden soll. Sie können vordefinierte Datentypen verwenden. Sie können auch eigene benutzerdefinierte Tools zur Inhaltserkennung erstellen. Sie können auch mehrere Bedingungen mit den Operatoren UND, ODER oder NICHT kombinieren.
Weitere Informationen finden Sie unter Vordefinierte Inhaltsdetektoren verwenden, Benutzerdefinierte Detektoren erstellen und Beispiele für Regeln mit verschachtelten Bedingungsoperatoren.
Die verfügbaren Optionen für Zu scannender Inhaltstyp ändern sich je nachdem, welcher Trigger zum Start des Scans ausgewählt ist, z. B. Datei hochgeladen, Datei heruntergeladen, Inhalt eingefügt, Inhalt gedruckt, URL aufgerufen.
| Zu scannender Inhaltstyp | Wonach soll gesucht werden? | Details und Nutzung |
|---|---|---|
| Alle Inhalte |
Stimmt mit vordefiniertem Datentyp überein Enthält Textstring Enthält Wort Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein |
Der gesamte Inhalt wird nach vertraulichen Informationen gescannt, die mit einer der folgenden Kategorien übereinstimmen:
|
| Text |
Stimmt mit vordefiniertem Datentyp überein Enthält Textstring Enthält Wort Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein |
Durchsucht den Haupttext einer Webseite oder Datei. |
| Dateigröße |
Ist gleich Ist größer als Ist kleiner als |
Legt einen Dateigrößen-Grenzwert (in Byte) fest, der die Regel basierend auf Ihrem Vergleich auslösen soll. |
| File type |
Stimmt mit dem allgemeinen MIME-Typ überein Stimmt mit benutzerdefiniertem MIME-Typ überein Stimmt mit Systemdateikategorie überein |
Filtert, was gescannt werden soll, nach vordefinierten Dateikategorien wie „Bild“ oder „Ausführbar“ oder nach einem bestimmten MIME-Typ. Erfahren Sie mehr über MIME-Typen nach Dateikategorie. |
| Chrome-Quellkontext | Spezifische Attribute für den Chrome-Browser | Es wird nach internen Chrome-Attributen gesucht, um die Umgebung oder den Status des Browsers zu definieren. Die Regel gilt, wenn der Kontext einen der folgenden Werte hat: Inkognito, Zwischenablage oder Anderes Profil. |
| Quell-URL |
Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck |
Durchsucht die URL, von der die Inhalte stammen, nach bestimmten Texten, nach Wörtern aus einer benutzerdefinierten Liste oder nach Mustern. |
| Kategorie der Quell-URL |
Kategorie auswählen |
Wird mit Triggern wie „Inhalt eingefügt“ verwendet, um zu prüfen, ob eine Quell-URL zu einer vordefinierten Kategorie wie „Soziale Netzwerke“ oder „Nachrichten“ gehört. |
| Titel |
Stimmt mit vordefiniertem Datentyp überein Enthält Textstring Enthält Wort Endet mit Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein Beginnt mit |
Durchsucht den Titel einer an der Aktion beteiligten Webseite oder eines Dokuments. |
| URL |
Enthält Textstring Endet mit Stimmt mit einer URL aus einer URL-Liste überein Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein Beginnt mit |
Durchsucht die URL, die an der Aktion beteiligt ist. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden. |
| URL-Kategorie | Kategorie auswählen | Prüft, ob die URL, die an der Aktion beteiligt ist, zu einer vordefinierten Kategorie wie „Soziale Netzwerke“, „Spiele“ oder „Glücksspiele“ gehört. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden. |
| Konto, mit dem Sie in der Web-App angemeldet sind |
Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E-Mail-Adressen überein |
Es wird das Nutzerkonto gescannt, das beim Auslösen des Ereignisses aktiv in der Google-Web-App angemeldet ist, z. B. Gmail oder Drive. Diese Bedingung gilt für Regeln, die durch die Ereignisse „Einfügen“, „URL besucht“, „Dateidownload“, „Datei hochladen“ und „Drucken“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten verfügbar. |
| Konto, mit dem Sie in der Quell-Web-App angemeldet sind |
Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E-Mail-Adressen überein |
Scannt das Nutzerkonto, das in der Google-Web-App angemeldet ist, die die Quelle der Inhalte enthält (die App, in der die Inhalte kopiert wurden). Diese Bedingung gilt nur für Regeln, die durch das Ereignis „Inhalt eingefügt“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten verfügbar. |
Hinweis:Beim Trigger Besuchte URL werden URLs oder die entsprechenden Kategorien in eingebetteten iFrames nicht gescannt.
Region für Ihre Daten auswählen
Sie können Ihre DLP- und Malware-Scans in einer bestimmten Region speichern, z. B. in den USA oder in Europa. Sie können eine Region auswählen, um den Datenstandort zu bestimmen. Dies ist im Rahmen vieler Compliance-Vereinbarungen erforderlich. Weitere Informationen finden Sie im Hilfeartikel Geografische Region für Daten auswählen .
Regel erstellen
Nachdem Sie festgelegt haben, was die Regel bewirken soll, können Sie diese erstellen. Weitere Informationen finden Sie unter Datenschutzregeln erstellen.Häufige Anwendungsfälle
In der folgenden Tabelle finden Sie Beispiele dafür, wie Sie einen Trigger (was der Nutzer tut), Bedingungen (was geprüft wird) und eine bestimmte Aktion (die Erzwingung) kombinieren, um eine DLP‑Richtlinie zu definieren. So verwenden Sie diese Tabelle:
- Wählen Sie einen Trigger aus.
- Ordnen Sie die Bedingungswerte den entsprechenden Optionen zu.
- Wählen Sie eine Aktion aus.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden –, normalerweise geschieht dies jedoch eher. Weitere Informationen
| Anwendungsfall | Nutzerereignis | Bedingungen | Aktion |
| Herunterladen von Dateien aus Google Drive blockieren | Datei heruntergeladen |
Inhaltstyp:URL* Abgleich: Enthält Textstring Wert: drive.google.com |
Blockieren |
| Nutzer warnen, wenn eine heruntergeladene Datei mehr als 30 E-Mail-Adressen enthält | Datei heruntergeladen |
Inhaltstyp:Alle Inhalte Übereinstimmung: Stimmt mit vordefiniertem Datentyp überein Einstellungen: Datentyp: Global – E-Mail-Adresse, mittlere Wahrscheinlichkeit, mindestens 30 eindeutige Übereinstimmungen |
Mit Warnung erlauben |
| Dateiuploads auf Social-Media-Websites blockieren | Dateien hochladen |
Inhaltstyp:URL-Kategorie Übereinstimmung: Kategorie auswählen Wert: Soziale Netzwerke |
Blockieren |
| Herunterladen von Bilddateien mit mehr als 10 KB blockieren | Datei heruntergeladen |
Bedingung 1:Dateigröße Abgleich: Ist größer als Wert: 10.000 Byte AND Bedingung 2: Dateityp Übereinstimmung: Stimmt mit Systemdateikategorie überein Wert: Bild |
Blockieren |
| Es werden Instanzen protokolliert, bei denen US-Sozialversicherungsnummern in Dateien in ChromeOS übertragen werden | Dateiübertragung |
Inhaltstyp:Alle Inhalte Übereinstimmung: Stimmt mit vordefiniertem Datentyp überein Einstellungen: Datentyp: USA – Sozialversicherungsnummer, Wahrscheinlichkeit: Mittel, Mindestanzahl eindeutiger Übereinstimmungen: 1, Mindestanzahl der Übereinstimmungen: 1 |
Nur Prüfung |
| Hindert Nutzer daran, Inhalte einzufügen, die aus Gmail (mail.google.com) kopiert wurden | Inhalt eingefügt |
Inhaltstyp: Quell-URL* Abgleich: Enthält Textstring Wert: mail.google.com |
Blockieren |
| Wasserzeichen anwenden oder Screenshots einschränken, wenn Nutzer bestimmte vertrauliche Websites aufrufen | URL aufgerufen |
Inhaltstyp:URL* oder URL-Kategorie Abgleich: Wählen Sie den entsprechenden Abgleich aus. Wert: Die spezifische sensible URL oder Kategorie |
Mit Warnung zulassen/Nur prüfen (mit „Wasserzeichen hinzufügen“ und/oder „Screenshot einschränken“ ausgewählt) |
| Hochladen von Dateien in private Google Drive-Konten blockieren | Datei hochgeladen |
Bedingung 1: Abgleich: Enthält Textstring Wert: drive.google.com AND Bedingung 2: Übereinstimmung: Stimmt nicht mit dem Domainnamen überein Wert: your-organization-domain-name.com |
Blockieren |
*Wenn eine von Ihnen gefilterte URL kürzlich aufgerufen wurde, wird sie mehrere Minuten lang im Cache gespeichert und kann erst dann wieder nach einer neuen (oder geänderten) Regel gefiltert werden, wenn der Cache gelöscht wurde. Warten Sie etwa fünf Minuten, bevor Sie eine neue oder geänderte Regel testen.
Benachrichtigungen prüfen, im Blick behalten und untersuchen
Nachdem Sie Datenschutzregeln erstellt haben, können Sie Nutzeraktionen wie das Hoch- und Herunterladen oder das Kopieren und Einfügen von Daten im Chrome-Browser prüfen. Anschließend haben Sie folgende Möglichkeiten:
- Sehen Sie sich die Berichte im Sicherheitsdashboard an. Berichte zu Chrome Enterprise Premium umfassen:
- Bericht „Zusammenfassung für den Schutz vor Bedrohungen in Chrome“
- Bericht „Zusammenfassung für den Datenschutz in Chrome“
- Bericht zu Chrome-Nutzern mit hohem Sicherheitsrisiko
- Bericht zu Chrome-Domains mit hohem Sicherheitsrisiko
- Weitere Informationen finden Sie im Hilfeartikel Sicherheitsdashboard verwenden.
- Mit dem Sicherheitsprüftool können Sie Benachrichtigungen zu Vorfällen beim Teilen von Daten prüfen. Weitere Informationen finden Sie im Hilfeartikel Das Sicherheitsprüftool.
- Details zu Vorfällen finden Sie unter Ereignisse im Regelprotokoll.
- Prüfen Sie bei Verstößen gegen Regeln, ob es sich um tatsächliche Vorfälle oder falsch-positive Ergebnisse handelt. Weitere Informationen finden Sie unter Inhalte ansehen, die DLP-Regeln auslösen.
Weitere Informationen
- Zeitüberschreitungsfristen für DLP- und Malware-Scans einrichten
- Benutzerdefinierte URL-Listen für DLP in Chrome verwenden
- Mit Datenmaskierung den Schutz vor Datenverlust in Chrome verbessern
- Regeln zum Schutz vor Datenverlust mit Bedingungen für kontextsensitiven Zugriff kombinieren
- Chrome-Nutzer mit Chrome Enterprise Premium schützen
- Chrome-Protokollereignisse