Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden

Sie benötigen das Chrome Enterprise Premium-Add‑on, um diese Funktion nutzen zu können.

Mit Chrome Enterprise Premium und DLP-Regeln (Data Loss Prevention, Schutz vor Datenverlust) können Sie Nutzeraktionen im Chrome-Browser und auf Windows-, Mac-, Linux- und ChromeOS-Geräten überwachen. Sie können bis zu 10 MB Textinhalte in einer Datei scannen, um automatisch Daten zu erkennen, die geöffnet, hochgeladen, heruntergeladen, eingefügt oder übertragen werden. Mit DLP-Regeln in Chrome Enterprise Premium behalten Sie die Kontrolle über vertrauliche Informationen wie Sozialversicherungs- oder Kreditkartennummern.

Themen auf dieser Seite

Hinweis
Nutzerereignisse (Trigger)
DLP-Bedingungen
DLP-Aktionen
Region für Ihre Daten auswählen
OCR aktivieren
DLP-Regel erstellen
Gängige Anwendungsfälle
Benachrichtigungen prüfen, im Blick behalten und untersuchen

Hinweis

Richten Sie Ihre Chrome Enterprise Connectors-Richtlinien ein. Eine Anleitung finden Sie unter Chrome Enterprise Connector-Richtlinien für Chrome Enterprise Premium festlegen.

Nutzerereignisse (Trigger)

Bevor Sie festlegen, nach welchen Inhalten oder Kontexten Ihre Regel suchen soll, müssen Sie das Nutzerereignis bestimmen, das den Scanvorgang auslöst. Dieses Ereignis ist der Trigger für die gesamte Regel. Das von Ihnen ausgewählte Ereignis bestimmt die für Ihre Regel verfügbaren Optionen für Zu scannender Inhaltstyp.

Sie können eines der folgenden Nutzerereignisse auswählen:

Datei hochgeladen: Ein Nutzer lädt eine Datei von seinem Gerät im Chrome-Browser hoch.
Datei heruntergeladen: Ein Nutzer lädt eine Datei auf sein Gerät herunter.
Inhalt eingefügt: Ein Nutzer fügt Inhalte in eine Webseite ein.
Inhalt gedruckt: Ein Nutzer druckt den Inhalt einer Webseite.
Aufgerufene URL: Ein Nutzer ruft eine URL auf.

DLP-Bedingungen

Wenn Sie eine DLP-Regel erstellen, geben Sie Bedingungen an, die definieren, nach welchen Inhalten oder Aktivitäten gescannt werden soll. Sie können mehrere Bedingungen kombinieren, um spezifische Regeln zu erstellen.

Die verfügbaren Optionen für Zu scannender Inhaltstyp ändern sich je nachdem, welches Nutzerereignis zum Start des Scans ausgewählt ist, z. B. Datei hochgeladen, Datei heruntergeladen, Inhalt eingefügt, Inhalt gedruckt, URL aufgerufen.

Zu scannender Inhaltstyp	Wonach soll gesucht werden?	Details und Nutzung
Alle Inhalte	Stimmt mit vordefiniertem Datentyp überein	Der gesamte Inhalt wird nach vertraulichen Informationen gescannt, die einem vordefinierten Datentyp entsprechen, z. B. „Global – E-Mail-Adresse“ oder „USA – Sozialversicherungsnummer“. Sie können einen Schwellenwert für die Wahrscheinlichkeit und einen Mindestwert für eindeutige oder vollständige Übereinstimmungen festlegen.
Text	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht den Haupttext einer Webseite oder Datei nach bestimmten Texten, Wörtern aus einer benutzerdefinierten Liste oder durch einen regulären Ausdruck definierte Muster.
Dateigröße	Ist größer als Ist kleiner als Ist gleich	Legt einen Dateigrößen-Grenzwert (in Byte) fest, der die Regel basierend auf Ihrem Vergleich auslöst.
Dateityp	Stimmt mit Systemdateikategorie überein Stimmt mit dem angegebenen MIME-Typ überein	Filtert, was gescannt werden soll, nach vordefinierten Dateikategorien wie „Bild“ oder „Ausführbar“ oder nach einem bestimmten MIME-Typ. Weitere Informationen zu MIME-Typen nach Dateikategorie
Chrome-Quellkontext	Spezifische Attribute für den Chrome-Browser	Es wird nach internen Chrome-Attributen gesucht, um die Umgebung oder den Status des Browsers zu definieren. Die Regel gilt, wenn der Kontext einen der folgenden Werte hat: Inkognito, Zwischenablage oder Anderes Profil.
URL der Quelle	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht die URL, von der die Inhalte stammen, nach bestimmten Texten, nach Wörtern aus einer benutzerdefinierten Liste oder nach Mustern.
Konto, mit dem Sie in der Web-App angemeldet sind	Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E‑Mail-Adressen überein	Es wird das Nutzerkonto gescannt, das beim Auftreten des Ereignisses aktiv in der Google-Web-App angemeldet ist, z. B. Gmail oder Drive. Diese Bedingung gilt für Regeln, die durch die Ereignisse „Einfügen“, „URL besucht“, „Dateidownload“, „Datei hochladen“ und „Drucken“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten verfügbar.
Konto, mit dem Sie in der Quell-Web-App angemeldet sind	Stimmt überein mit Domainname Stimmt mit der E-Mail-Adresse überein Stimmt mit dem regulären Ausdruck für E‑Mail-Adressen überein	Scannt das Nutzerkonto, das in der Google-Web-App angemeldet ist, die die Quelle der Inhalte enthält (die App, in der die Inhalte kopiert wurden). Diese Bedingung gilt nur für Regeln, die durch das Ereignis „Inhalt eingefügt“ ausgelöst werden. Derzeit nur für private und verwaltete Google-Konten verfügbar.
Kategorie der Quell-URL	Kategorie auswählen	Wird mit dem Nutzerereignis (z. B. „Inhalt eingefügt“) verwendet, um zu prüfen, ob eine Quell-URL zu einer vordefinierten Kategorie wie „Soziale Netzwerke“ oder „Nachrichten“ gehört.
Titel	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht den Titel einer an der Aktion beteiligten Webseite oder eines Dokuments nach bestimmten Texten, nach Wörtern aus einer benutzerdefinierten Liste oder nach Mustern.
URL	Enthält Textstring Stimmt mit Wörtern aus der Wortliste überein Übereinstimmung mit regulärem Ausdruck	Durchsucht die URL, die an der Aktion beteiligt ist, nach bestimmten Texten, nach Wörtern aus einer benutzerdefinierten Liste oder nach Mustern. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden.
URL-Kategorie	Kategorie auswählen	Prüft, ob die URL, die an der Aktion beteiligt ist, zu einer vordefinierten Kategorie wie „Soziale Netzwerke“, „Spiele“ oder „Glücksspiele“ gehört. Dieser Scan berücksichtigt die URLs von Inhalten, die in eingebetteten iFrames geladen werden.

Hinweis:Beim Trigger Besuchte URL werden URLs oder die entsprechenden Kategorien in eingebetteten iFrames nicht gescannt.

DLP-Aktionen

Ist eine Bedingung erfüllt, kann die Regel eine der folgenden Aktionen erzwingen:

Aktion (für Chrome-Browser und ChromeOS)	Beschreibung	Optionale Einstellungen
Blockieren	Nutzer können die Aktion nicht abschließen (z. B. eine Datei hochladen). Nutzer erhalten eine Fehlermeldung oder eine benutzerdefinierte Nachricht.	Benutzerdefinierte Nachricht: Dem Nutzer wird eine benutzerdefinierte Nachricht (bis zu 300 Zeichen, unterstützt Hyperlinks) angezeigt, die erklärt, warum die Aktion blockiert wurde.
Mit Warnung erlauben	Ermöglicht es Nutzern, nach einer Warnmeldung fortzufahren. Wenn der Nutzer sich entscheidet, den Termin zu speichern, wird dies im Protokoll gespeichert.	Mitteilung anpassen: Eine benutzerdefinierte Warnmeldung anzeigen. Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen vom Typ „URL besucht“ wird ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, die auf Mac- und Windows-Computern über eine besuchte URL ausgeführt werden, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie.
Nur Prüfung	Nutzer können ohne Unterbrechung fortfahren. Das Ereignis wird zur Überprüfung protokolliert.	Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen vom Typ „URL besucht“ wird ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet. Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, die auf Mac- und Windows-Computern über eine besuchte URL ausgeführt werden, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie.

Aktion (für Chrome-Browser und ChromeOS)

Beschreibung

Optionale Einstellungen

Blockieren

Nutzer können die Aktion nicht abschließen (z. B. eine Datei hochladen). Nutzer erhalten eine Fehlermeldung oder eine benutzerdefinierte Nachricht.

Benutzerdefinierte Nachricht: Dem Nutzer wird eine benutzerdefinierte Nachricht (bis zu 300 Zeichen, unterstützt Hyperlinks) angezeigt, die erklärt, warum die Aktion blockiert wurde.

Mit Warnung erlauben

Ermöglicht es Nutzern, nach einer Warnmeldung fortzufahren. Wenn der Nutzer sich entscheidet, den Termin zu speichern, wird dies im Protokoll gespeichert.

Mitteilung anpassen: Eine benutzerdefinierte Warnmeldung anzeigen.

Seiteninhalt mit Wasserzeichen versehen: Bei Aktionen vom Typ „URL besucht“ wird ein durchscheinendes Wasserzeichen und der Text „Vertraulich“ oder eine benutzerdefinierte Nachricht auf der Webseite eingeblendet.

Inhalte von Screenshots und Bildschirmfreigaben einschränken: Bei Aktionen, die auf Mac- und Windows-Computern über eine besuchte URL ausgeführt werden, werden Screenshots und die Bildschirmfreigabe auf den zugehörigen Seiten blockiert. Inhalte werden in Screenshots unter Windows geschwärzt; auf Macs verschwinden sie.

Nur Prüfung

Nutzer können ohne Unterbrechung fortfahren. Das Ereignis wird zur Überprüfung protokolliert.

Wichtig:Bei den Nutzerereignissen Datei hochgeladen und Inhalt eingefügt hängt die Blockierung von den Einstellungen Datei-Upload verzögern und Texteingabe verzögern in Ihren Chrome Enterprise Connector-Richtlinien ab. Weitere Informationen finden Sie unter Inhaltsanalyse: Uploads und Inhaltsanalyse: Bulk-Text.

Region für Ihre Daten auswählen

Sie können Ihre DLP- und Malware-Scans in einer bestimmten Region speichern, z. B. in den USA oder in Europa. Sie können eine Region auswählen, um den Datenstandort zu bestimmen. Dies ist im Rahmen vieler Compliance-Vereinbarungen erforderlich. Weitere Informationen finden Sie im Hilfeartikel Geografische Region für Daten auswählen.

OCR aktivieren

Sie müssen die optische Zeichenerkennung (Optical Character Recognition, OCR) aktivieren, damit Chrome Bilder in Dateien und PDFs nach sensiblen Inhalten durchsuchen kann. OCR scannt BMP-, GIF-, JPEG-, PNG- und TIF-Dateien, die hochgeladen, heruntergeladen und gedruckt werden. Die Aktivierung der OCR gilt das für alle DLP-Regeln. Sie kann nicht gezielt auf bestimmte Regeln angewendet werden.

So aktivieren Sie die OCR:

Gehen Sie in der Admin-Konsole zum Dreistrich-Menü SicherheitZugriffs- und DatenkontrolleDatenschutz.

Zum Datenschutz

Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.
Rufen Sie die Datenschutzeinstellungen auf und klicken Sie auf Optische Zeichenerkennung (OCR).
Aktivieren Sie Für Google Chrome.
Klicken Sie auf Speichern.

DLP-Regel erstellen

Nachdem Sie die OCR aktiviert und die Bedingungen und Aktionen für Ihre Regel festgelegt haben, können Sie die DLP-Regel erstellen. Weitere Informationen finden Sie unter DLP-Regel erstellen.

Gängige Anwendungsfälle

In der folgenden Tabelle finden Sie Beispiele dafür, wie Sie ein Nutzerereignis (Trigger), Bedingungen (was geprüft wird) und eine bestimmte Aktion (die Erzwingung) kombinieren, um eine DLP-Richtlinie zu definieren. So verwenden Sie diese Tabelle:

Wählen Sie ein Nutzerereignis aus.
Ordnen Sie die Bedingungswerte den entsprechenden Optionen zu.
Wählen Sie eine Aktion aus.

Anwendungsbeispiel	Nutzerereignis	Bedingungen	Aktion
Herunterladen von Dateien aus Google Drive blockieren	Datei heruntergeladen	Inhaltstyp:URL&ast; Abgleich:Enthält Textstring Wert:drive.google.com	Blockieren
Nutzer warnen, wenn eine heruntergeladene Datei mehr als 30 E-Mail-Adressen enthält	Datei heruntergeladen	Inhaltstyp:Alle Inhalte Übereinstimmung:Stimmt mit vordefiniertem Datentyp überein Einstellungen:Datentyp: Global – E-Mail-Adresse, mittlere Wahrscheinlichkeit, mindestens 30 eindeutige Übereinstimmungen	Mit Warnung erlauben
Dateiuploads auf Social-Media-Websites blockieren	Datei hochladen	Inhaltstyp:URL-Kategorie Übereinstimmung:Kategorie auswählen Wert:Soziale Netzwerke	Blockieren
Herunterladen von Bilddateien mit mehr als 10 KB blockieren	Datei heruntergeladen	Bedingung 1:Dateigröße Abgleich: Ist größer als Wert: 10.000 Byte UND Bedingung 2:Dateityp Übereinstimmung: Stimmt mit Systemdateikategorie überein Wert: Bild	Blockieren
Es werden Instanzen protokolliert, bei denen US-Sozialversicherungsnummern in Dateien in ChromeOS übertragen werden	Dateiübertragung	Inhaltstyp:Alle Inhalte Übereinstimmung:Stimmt mit vordefiniertem Datentyp überein Einstellungen: Datentyp: USA – Sozialversicherungsnummer, Wahrscheinlichkeit: Mittel, Mindestanzahl eindeutiger Übereinstimmungen: 1, Mindestanzahl der Übereinstimmungen: 1	Nur Prüfung
Hindert Nutzer daran, Inhalte einzufügen, die aus Gmail (mail.google.com) kopiert wurden	Inhalt eingefügt	Inhaltstyp:Quell-URL&ast; Abgleich:Enthält Textstring Wert:mail.google.com	Blockieren
Wasserzeichen anwenden oder Screenshots einschränken, wenn Nutzer bestimmte vertrauliche Websites aufrufen	Aufgerufene URL	Inhaltstyp:URL&ast; oder URL-Kategorie Abgleich:Wählen Sie den entsprechenden Abgleich aus. Wert:Die spezifische sensible URL oder Kategorie	Mit Warnung zulassen / Nur prüfen (mit „Wasserzeichen hinzufügen“ und/oder „Screenshot einschränken“ ausgewählt)
Hochladen von Dateien in private Google Drive-Konten blockieren	Die Datei wurde hochgeladen	Bedingung 1: Inhaltstyp:URL Abgleich:Enthält Textstring Wert:drive.google.com UND Bedingung 2: Inhaltstyp:Konto der Web-App-Anmeldung Übereinstimmung:Stimmt nicht mit dem Domainnamen überein Wert: your-organization-domain-name.com	Blockieren

&ast;Wenn eine von Ihnen gefilterte URL kürzlich aufgerufen wurde, wird sie mehrere Minuten lang im Cache gespeichert und kann erst dann wieder nach einer neuen (oder geänderten) Regel gefiltert werden, wenn der Cache gelöscht wurde. Warten Sie etwa fünf Minuten, bevor Sie eine neue oder geänderte Regel testen.

Benachrichtigungen prüfen, im Blick behalten und untersuchen

Nachdem Sie DLP-Regeln erstellt haben, können Sie Nutzeraktionen wie das Hoch- und Herunterladen oder das Kopieren und Einfügen von Daten im Chrome-Browser prüfen. Anschließend haben Sie folgende Möglichkeiten:

Sehen Sie sich die Berichte im Sicherheitsdashboard an. Berichte zu Chrome Enterprise Premium umfassen:
- Bericht „Zusammenfassung für den Schutz vor Bedrohungen in Chrome“
- Bericht „Zusammenfassung für den Datenschutz in Chrome“
- Bericht zu Chrome-Nutzern mit hohem Sicherheitsrisiko
- Bericht zu Chrome-Domains mit hohem Sicherheitsrisiko
- Weitere Informationen finden Sie im Hilfeartikel Sicherheitsdashboard verwenden.
Mit dem Sicherheitsprüftool können Sie Benachrichtigungen zu Vorfällen beim Teilen von Daten prüfen. Weitere Informationen finden Sie im Hilfeartikel Das Sicherheitsprüftool.
Details zu Vorfällen finden Sie unter Ereignisse im Regelprotokoll.
Prüfen Sie bei Verstößen gegen DLP-Regeln, ob es sich um tatsächliche Vorfälle oder falsch-positive Ergebnisse handelt. Weitere Informationen finden Sie unter Inhalte ansehen, die DLP-Regeln auslösen.

Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.