Für diese Funktion benötigen Sie das Chrome Enterprise Premium-Add‑on.
Sie können Chrome Enterprise Premium mit Datenschutzregeln verwenden, um Nutzeraktionen im Chrome-Browser und auf Windows-, Mac-, Linux- und ChromeOS-Geräten zu überwachen. Mit dem Schutz vor Datenverlust (Data Loss Prevention, DLP) in Chrome können Sie bis zu 10 MB Textinhalt in einer Datei scannen, um automatisch Daten zu erkennen, die geöffnet, hochgeladen, heruntergeladen, eingefügt oder übertragen wurden. Mit Datenschutzregeln in Chrome Enterprise Premium behalten Sie die Kontrolle über vertrauliche Informationen wie Sozialversicherungs- oder Kreditkartennummern.
Hinweis
- Richten Sie Ihre Chrome Enterprise Connector-Richtlinien ein. Eine Anleitung finden Sie unter Chrome Enterprise Connector-Richtlinien für Chrome Enterprise Premium festlegen.
- Wenn Sie den Geltungsbereich der Regel auf eine von Nutzern erstellte Gruppe beschränken möchten, fügen Sie der Gruppe alle relevanten Nutzer und Browser hinzu. Wenn Sie die Regel beispielsweise auf den Chrome-Browser anwenden möchten, fügen Sie den Browser Ihrer Zielgruppe hinzu. Weitere Informationen finden Sie unter Welche Arten von Gruppen kann ich für den Geltungsbereich einer Regel auswählen? und Gruppenbasierte Richtlinien verwalten.
Informationen zu Triggern
Bevor Sie festlegen können, nach welchen Inhalten mit Ihrer Regel gesucht werden soll, müssen Sie den Trigger bestimmen, der den Scanvorgang auslöst. Der von Ihnen ausgewählte Trigger bestimmt die für Ihre Regel verfügbaren Optionen für Zu scannender Inhaltstyp.
Sie können einen der folgenden Trigger wählen:
- Datei hochgeladen : Ein Nutzer lädt eine Datei von seinem Gerät im Chrome-Browser hoch.
- Datei heruntergeladen : Ein Nutzer lädt eine Datei auf sein Gerät herunter.
- Inhalt eingefügt: Ein Nutzer fügt Inhalte in eine Webseite ein.
- Inhalt gedruckt: Ein Nutzer druckt den Inhalt einer Webseite.
- URL aufgerufen: Ein Nutzer ruft eine URL auf.
DLP-Aktionen
Wenn sensible Inhalte gefunden werden, kann mit Ihrer Regel eine Aktion aus der folgenden Tabelle erzwungen werden.| Aktion (für Chrome-Browser und ChromeOS) | Beschreibung | Optionale Einstellungen |
|---|---|---|
| Blockieren | Nutzer können die Aktion nicht abschließen (z. B. eine Datei hochladen). Nutzer erhalten eine Fehlermeldung oder eine benutzerdefinierte Nachricht. | Benutzerdefinierte Nachricht: Dem Nutzer wird eine benutzerdefinierte Nachricht (bis zu 300 Zeichen, unterstützt Hyperlinks) angezeigt, die erklärt, warum die Aktion blockiert wurde. |
| Mit Warnung erlauben | Ermöglicht es Nutzern, nach einer Warnmeldung fortzufahren. Die Entscheidung, fortzufahren, wird in den Protokollereignissen aufgezeichnet. |
Benutzerdefinierte Nachricht: Eine benutzerdefinierte Warnmeldung anzeigen. Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen, bei denen eine URL aufgerufen wird, wird ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, bei denen eine URL auf einem Mac oder Windows-Gerät aufgerufen wird, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie. |
| Nur Prüfung | Nutzer können ohne Unterbrechung fortfahren. Das Ereignis wird zur Überprüfung protokolliert. |
Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen, bei denen eine URL aufgerufen wird, wird ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, bei denen eine URL auf einem Mac oder Windows-Gerät aufgerufen wird, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie. |
Wichtig:Bei den Triggern Datei hochgeladen und Inhalt eingefügt hängt die Blockierung von den Einstellungen Datei-Upload verzögern und Texteingabe verzögern in Ihren Chrome Enterprise Connector-Richtlinien ab. Weitere Informationen finden Sie unter Inhaltsanalyse: Uploads und Inhaltsanalyse: Bulk-Text.
DLP-Bedingungen
Wenn Sie eine Datenschutzregel erstellen, können Sie Bedingungen angeben, die definieren, nach welchen Inhalten oder Aktivitäten gescannt werden soll.
Sie können dabei vordefinierte Datentypen verwenden oder benutzerdefinierte Tools zur Inhaltserkennung erstellen.
Sie können auch mehrere Bedingungen mit den Operatoren AND, OR oder NOT kombinieren.
Weitere Informationen finden Sie unter Vordefinierte Inhaltsdetektoren verwenden, Benutzerdefinierte Detektoren erstellen und Beispiele für Regeln mit verschachtelten Bedingungsoperatoren.
Die verfügbaren Optionen für Zu scannender Inhaltstyp ändern sich je nachdem, welcher Trigger zum Start des Scans ausgewählt ist, z. B. Datei hochgeladen, Datei heruntergeladen, Inhalt eingefügt, Inhalt gedruckt oder URL aufgerufen.
| Zu scannender Inhaltstyp | Wonach soll gesucht werden? | Details und Nutzung |
|---|---|---|
| Alle Inhalte |
Stimmt mit vordefiniertem Datentyp überein Enthält Textstring Enthält Wort Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein |
Der gesamte Inhalt wird nach vertraulichen Informationen gescannt, die mit einer der folgenden Kategorien übereinstimmen:
|
| Text |
Stimmt mit vordefiniertem Datentyp überein Enthält Textstring Enthält Wort Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein |
Durchsucht den Haupttext einer Webseite oder Datei. |
| Dateigröße |
Ist gleich Ist größer als Ist kleiner als |
Legt einen Grenzwert für die Dateigröße (in Byte) fest, um die Regel basierend auf Ihrem Vergleich auszulösen. |
| Dateityp |
Stimmt mit dem allgemeinen MIME-Typ überein Stimmt mit benutzerdefiniertem MIME-Typ überein Stimmt mit Systemdateikategorie überein |
Filtert, was nach vordefinierten Dateikategorien wie „Bild“ oder „Ausführbar“ oder nach einem bestimmten MIME-Typ gescannt werden soll. Erfahren Sie mehr über MIME-Typen nach Dateikategorie. |
| Chrome-Quellkontext | Bestimmte Attribute im Zusammenhang mit dem Chrome-Browser | Scannt nach internen Chrome-Attributen, um die Umgebung oder den Status des Browsers zu definieren. Die Regel wird angewendet, wenn der Kontext einen der folgenden Werte hat: Inkognito, Zwischenablage oder Anderes Profil. |
| Quell-URL |
Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck |
Durchsucht die URL, von der der Inhalt stammt, nach bestimmten Texten, nach Wörtern aus einer benutzerdefinierten Liste oder nach Mustern. |
| Kategorie der Quell-URL |
Kategorie auswählen |
Wird mit Triggern wie „Inhalt eingefügt“ verwendet, um zu prüfen, ob eine Quell-URL zu einer vordefinierten Kategorie wie „Soziale Netzwerke“ oder „Nachrichten“ gehört. |
| Titel |
Stimmt mit vordefiniertem Datentyp überein Enthält Textstring Enthält Wort Endet mit Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein Beginnt mit |
Durchsucht den Titel einer an der Aktion beteiligten Webseite oder eines Dokuments. |
| URL |
Enthält Textstring Endet mit Stimmt mit einer URL aus einer URL-Liste überein Übereinstimmung mit regulärem Ausdruck Stimmt mit Wörtern aus der Wortliste überein Beginnt mit |
Durchsucht die URL, die an der Aktion beteiligt ist. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden. |
| URL-Kategorie | Kategorie auswählen | Prüft, ob die URL, die an der Aktion beteiligt ist, zu einer vordefinierten Kategorie gehört, z. B. „Soziale Netzwerke“, „Spiele“ oder „Glücksspiel“. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden. |
| Konto, mit dem Sie in der Web-App angemeldet sind |
Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E-Mail-Adressen überein |
Es wird das Nutzerkonto gescannt, das beim Auftreten des Triggers aktiv in der Google-Web-App angemeldet ist, z. B. Gmail oder Drive. Diese Bedingung gilt für Regeln, die durch die Ereignisse „Einfügen“, „URL aufgerufen“, „Dateidownload“, „Datei hochladen“ und „Drucken“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten unterstützt. |
| Konto, mit dem Sie in der Quell-Web-App angemeldet sind |
Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E-Mail-Adressen überein |
Scannt das Nutzerkonto, das in der Google-Web-App angemeldet ist, die die Quelle der Inhalte enthält (die App, in der die Inhalte kopiert wurden). Diese Bedingung gilt nur für Regeln, die durch das Ereignis „Inhalt eingefügt“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten unterstützt. |
Hinweis:Beim Trigger Besuchte URL werden URLs oder die entsprechenden Kategorien in eingebetteten iFrames nicht gescannt.
Region für Ihre Daten auswählen
Sie können Ihre DLP- und Malware-Scans in einer bestimmten Region speichern, z. B. in den USA oder in Europa. Sie können eine Region auswählen, um den Datenstandort zu bestimmen. Dies ist im Rahmen vieler Compliance-Vereinbarungen erforderlich. Weitere Informationen finden Sie unter Geografische Region für Daten auswählen .
Regel erstellen
Nachdem Sie festgelegt haben, was die Regel bewirken soll, können Sie diese erstellen. Weitere Informationen finden Sie unter Datenschutzregeln erstellen.Gängige Anwendungsfälle
In der folgenden Tabelle finden Sie Beispiele dafür, wie Sie einen Trigger (was der Nutzer tut), Bedingungen (was geprüft wird) und eine bestimmte Aktion (die Erzwingung) kombinieren, um eine DLP‑Richtlinie zu definieren. So verwenden Sie diese Tabelle:
- Wählen Sie einen Trigger aus.
- Ordnen Sie die Bedingungswerte den entsprechenden Optionen zu.
- Wählen Sie eine Aktion aus.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden –, normalerweise geschieht dies jedoch eher. Weitere Informationen
| Anwendungsfall | Nutzerereignis | Bedingungen | Aktion |
| Herunterladen von Dateien aus Google Drive blockieren | Datei heruntergeladen |
Inhaltstyp:URL* Abgleich:Enthält Textstring Wert: drive.google.com |
Blockieren |
| Nutzer warnen, wenn eine heruntergeladene Datei mehr als 30 E‑Mail-Adressen enthält | Datei heruntergeladen |
Inhaltstyp:Alle Inhalte Abgleich:Stimmt mit vordefiniertem Datentyp überein Einstellungen: Datentyp: Global – E-Mail-Adresse, mittlere Wahrscheinlichkeit, mindestens 30 eindeutige Übereinstimmungen |
Mit Warnung erlauben |
| Dateiuploads auf Social-Media-Websites blockieren | Dateien hochladen |
Inhaltstyp:URL-Kategorie Abgleich:Kategorie auswählen Wert: Soziale Netzwerke |
Blockieren |
| Herunterladen von Bilddateien mit mehr als 10 Kilobyte blockieren | Datei heruntergeladen |
Bedingung 1:Dateigröße Abgleich: Ist größer als Wert: 10.000 Byte AND Bedingung 2:Dateityp Abgleich: Stimmt mit Systemdateikategorie überein Wert: Bild |
Blockieren |
| Es werden Instanzen protokolliert, bei denen US-Sozialversicherungsnummern in Dateien in ChromeOS übertragen werden | Dateiübertragung |
Inhaltstyp:Alle Inhalte Abgleich:Stimmt mit vordefiniertem Datentyp überein Einstellungen: Datentyp: USA – Sozialversicherungsnummer, Wahrscheinlichkeit: Mittel, Mindestanzahl eindeutiger Übereinstimmungen: 1, Mindestanzahl der Übereinstimmungen: 1 |
Nur Prüfung |
| Hindert Nutzer daran, Inhalte einzufügen, die aus Gmail (mail.google.com) kopiert wurden | Inhalt eingefügt |
Inhaltstyp: Quell-URL* Abgleich: Enthält Textstring Wert: mail.google.com |
Blockieren |
| Wasserzeichen anwenden oder Screenshots einschränken, wenn Nutzer bestimmte sensible Websites aufrufen | URL aufgerufen |
Inhaltstyp:URL* oder URL-Kategorie Abgleich:Wählen Sie den entsprechenden Abgleich aus. Wert: Die spezifische sensible URL oder Kategorie |
Mit Warnung zulassen/Nur prüfen (mit „Wasserzeichen hinzufügen“ und/oder „Screenshot einschränken“ ausgewählt) |
| Hochladen von Dateien in private Google Drive-Konten blockieren | Datei hochgeladen |
Bedingung 1: Abgleich:Enthält Textstring Wert: drive.google.com AND Bedingung 2: Abgleich:Stimmt nicht mit dem Domainnamen überein Wert:Domainname-Ihrer-Organisation.de |
Blockieren |
*Wenn eine von Ihnen gefilterte URL kürzlich aufgerufen wurde, wird sie mehrere Minuten lang im Cache gespeichert und kann erst dann wieder nach einer neuen (oder geänderten) Regel gefiltert werden, wenn der Cache gelöscht wurde. Warten Sie etwa fünf Minuten, bevor Sie eine neue oder geänderte Regel testen.
Benachrichtigungen prüfen, im Blick behalten und untersuchen
Nachdem Sie Datenschutzregeln erstellt haben, können Sie Nutzeraktionen wie das Hochladen und Herunterladen oder das Kopieren und Einfügen von Daten im Chrome-Browser prüfen. Anschließend haben Sie folgende Möglichkeiten:
- Berichte ansehen im Sicherheitsdashboard. Berichte zu Chrome Enterprise Premium:
- Bericht „Zusammenfassung für den Schutz vor Bedrohungen in Chrome“
- Bericht „Zusammenfassung für den Datenschutz in Chrome“
- Bericht zu Chrome-Nutzern mit hohem Sicherheitsrisiko
- Bericht zu Chrome-Domains mit hohem Sicherheitsrisiko
- Weitere Informationen finden Sie im Hilfeartikel Sicherheits dashboard verwenden.
- Benachrichtigungen zu Vorfällen beim Teilen von Daten untersuchen mit dem Sicherheitsprüftool. Weitere Informationen finden Sie im Hilfeartikel Das Sicherheitsprüftool.
- Details zu Vorfällen ansehen unter Ereignisse im Regelprotokoll.
- Regelverstöße untersuchen , um festzustellen, ob es sich um tatsächliche Vorfälle oder falsch-positive Ergebnisse handelt. Weitere Informationen finden Sie unter Inhalte ansehen, die DLP Regeln auslösen.
Weitere Informationen
- Zeitlimits für DLP- und Malware-Scans festlegen
- Benutzerdefinierte URL-Listen für DLP in Chrome verwenden
- Datenmaskierung verwenden, um DLP in Chrome zu verbessern
- DLP‑Regeln mit Bedingungen für den kontextsensitiven Zugriff kombinieren
- Chrome-Nutzer mit Chrome Enterprise Premium schützen
- Chrome-Protokollereignisse