DLP in Chrome mit Datenmaskierung stärken

Die Datenmaskierung ist nur für Kunden verfügbar, die Chrome Enterprise Premium gekauft haben. Weitere Informationen zur Einbindung des Schutzes vor Datenverlust (Data Loss Prevention, DLP) in Chrome Enterprise Premium finden Sie unter Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden.

Als Administrator können Sie die Datenmaskierung in Chrome-DLP-Regeln verwenden, um vertrauliche Informationen zu schützen, indem Sie die ursprünglichen Buchstaben und Zahlen ausblenden.

Datenmaskierung

Die Datenmaskierung funktioniert mit DLP-Regeln für die URL-Navigation in Chrome, um Buchstaben und Zahlen in vertraulichen Daten zu verbergen oder zu „maskieren“. Sie können beispielsweise die Datenmaskierung verwenden, um Sozialversicherungsnummern durch das Wort REDACTED zu ersetzen, wenn nicht verwaltete Geräte bestimmte URLs aufrufen. Die Datenmaskierung funktioniert mit benutzerdefinierten DLP-Regeln, darunter der Screenshot-Schutz und Wasserzeichen.

Hinweis

Damit Sie Regeln zum Maskieren von Daten einrichten können, muss Ihr Super Admin-Konto oder Administratorkonto die folgenden Berechtigungen haben:

  • Organisationseinheit
  • Gruppen
  • DLP-Regel ansehen
  • DLP-Regel verwalten
  • Metadaten und Attribute abrufen

Weitere Informationen finden Sie in den Hilfeartikeln Administratorberechtigungen und Benutzerdefinierte Administratorrollen erstellen.

Datenmaskierung verwenden

Erweiterung „Secure Enterprise Browser“ installieren

Wenn Nutzer Daten mithilfe von URL-Navigationsregeln in Chrome maskieren möchten, müssen sie die Erweiterung Secure Enterprise Browser auf ihrem Endnutzergerät oder -profil installieren.

So installieren Sie diese Erweiterung:

  1. Gehen Sie in der Admin-Konsole zu Chrome-Browser und dann Apps & Erweiterungen und wählen Sie den Tab Nutzer und Browser aus.
  2. Wählen Sie im Bereich Apps und Erweiterungen Organisationseinheit, Gruppe, Nutzer oder Browser aus.
  3. Klicken Sie auf Hinzufügen und dann Chrome-Apps oder ‑Erweiterungen über die jeweilige ID hinzufügen .
  4. Geben Sie im geöffneten Bereich als Erweiterungs-ID die ID ekajlcmdfcigmdbphhifahdfjbkciflj ein und wählen Sie Aus dem Chrome Web Store aus.
  5. Klicken Sie auf Speichern.

    Auf dem Tab Nutzer und Browser sollte die App Secure Enterprise Browser angezeigt werden.

  6. Optional: Klicken Sie in der App-Liste auf die App, um sie zu konfigurieren.
    • Wählen Sie für die Installationsrichtlinie eine der folgenden Optionen aus:
      • Installation erzwingen
      • Installation erzwingen und an Symbolleiste des Browsers anpinnen

    Ist keine Richtlinie für die automatische Installation ausgewählt, müssen Nutzer die Secure Enterprise Browser-Erweiterung manuell installieren.

Beispiel: Maskieren mit Datenmaskierungsregeln

Sie können Regeln zum Maskieren von Daten auf dieselbe Weise wie andere DLP-Regeln für die URL-Navigation definieren. Weitere Beispiele finden Sie unter Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden.

In diesem Beispiel wird gezeigt, wie Sie eine Regel zum Maskieren von Daten erstellen, mit der Navigationsvorgänge zu Websites für generative KI gemeldet und Sozialversicherungsnummern unkenntlich gemacht werden (einschließlich Eingabe und Ausgabe für/von dem generativen KI-Tool).

  1. Rufen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz auf.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Regeln verwalten und dann Regel hinzufügen und dann Neue Regel.
  3. Geben Sie einen Namen und, wenn Sie möchten, eine Beschreibung für die Regel ein.
  4. Klicken Sie im Bereich Apps unter Chrome auf das Kästchen Aufgerufene URL.
  5. Klicken Sie auf Weiter.
  6. Wählen Sie im Abschnitt Aktionen unter Chrome Nur prüfen aus. Der Nutzer kann die URL aufrufen, die Aktion wird aber im Chrome-Protokoll aufgezeichnet.
  7. Wählen Sie Vertraulichen Text auf der Seite maskieren aus.
  8. Wählen Sie im Abschnitt Maskierungsmethode die Option Text durch „Entfernt“ (Redacted) ersetzen aus.
  9. Klicken Sie auf Regulären Ausdruck auswählen und wählen Sie dann Vordefinierte reguläre Ausdrücke/Sozialversicherungsnummer aus.
  10. Klicken Sie auf Weiter.
  11. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.

    Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

  12. Klicken Sie im Abschnitt Content-Konditionierung auf Bedingung hinzufügen.
  13. Wählen Sie unter Zu scannender Inhaltstyp die Option URL-Kategorie aus.
  14. Wählen Sie unter Kategorie auswählen Internet & Technologie/Generative KI aus.
  15. Klicken Sie auf Weiter.
  16. Wählen Sie auf der Seite Regeldetails einen Status für die Regel aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung an die Nutzer weiterzugeben. Sie können die Regel später aktivieren, indem Sie auf der Seite Datenschutzregeln den Status in Aktiv ändern.
  17. Klicken Sie auf Erstellen.

Hinweis: DLP-Datenmaskierungsregeln unterstützen keine iFrames. Sie können iFrames als Ziel festlegen, indem Sie eine Richtlinie angeben, wenn Sie die Secure Enterprise Browser-Erweiterung zum Maskieren verwenden, wie im folgenden Beispiel.

Beispiel: Maskierung über die Konfiguration der Secure Enterprise Browser-Erweiterung

Die Maskierung kann auch mit dem Secure Enterprise Browser mit JSON-Syntax konfiguriert werden. In diesem Beispiel erstellen Sie eine Regel zum Maskieren von Daten, mit der Navigationsvorgänge zu Websites mit generativer KI gemeldet und Sozialversicherungsnummern unkenntlich gemacht werden (einschließlich Eingaben und Ausgaben ins/vom generativen KI-Tool).

  1. Gehen Sie in der Admin-Konsole zu Chrome-Browser und dann Apps & Erweiterungen und wählen Sie den Tab Nutzer und Browser aus.
  2. Wählen Sie im Bereich Apps und Erweiterungen die Organisationseinheit aus.
  3. Wählen Sie in der Liste der Apps Secure Enterprise Browser aus.
  4. Geben Sie für Richtlinie für Erweiterungen eine Konfiguration im folgenden Format an:
    • Eine Ursprungs-URL (z. B. https://originUrl.de/*") ist erforderlich, um alle iFrames zu erfassen.
    • Erstellen Sie vordefinierte Detektoren mit einem der folgenden Werte: email, ssn, date, time, common-currency-amount, common-currency-amount-suffix, ip-address, cc-number, 4-digit-cc-number, payment-statement-link, intl-phone-number.
    • Erstellen Sie benutzerdefinierte reguläre Ausdrücke, indem Sie einen eindeutigen Namen (nicht einen der oben aufgeführten vordefinierten Detektornamen) verwenden und das Muster angeben.

    Weitere Informationen finden sich unter Erweiterbare Beispielvorlage unten.

Erweiterbare Beispielvorlage

{
  "dataMasking": {
    "Value": {
      "rules": [
        {
          "name": "DLP Test Light-Obfuscation",
          "urls": [
            "https://dlptest.com/sample-data/namessndob/",
            "https://dlptest.com/*"
          ],
          "detectors": [
            {
              "name": "ssn",
              "maskType": "LIGHT_OBFUSCATION"
            },
            {
              "name": "date",
              "maskType": "HARD_OBFUSCATION"
            },
            {
              "name": "Custom regex to redact ip address",
              "maskType": "REDACT",
              "regex": {
                "pattern": "(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
              }
            }
          ]
        }
      ]
    }
  }
}

Regionalen Ausdrucksdetektor erstellen

Sie können vordefinierte regionale Ausdrücke in Datenmaskierungsregeln verwenden oder eigene Tools zur Erkennung regionaler Ausdrücke erstellen und verwenden, um alle Inhalte zu maskieren, die mit Ihrem regionalen Ausdruck übereinstimmen.

So erstellen Sie einen regionalen Ausdruckserkennungs-Detektor:

Hinweis: Es wird ausschließlich die RE2-Syntax unterstützt. Bei regulären Ausdrücken wird standardmäßig die Groß-/Kleinschreibung berücksichtigt.

  1. Rufen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz auf.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Detektoren verwalten.
  3. Klicken Sie auf Detektor hinzufügen und dann Regulärer Ausdruck.
  4. Geben Sie im Feld Regulären Ausdruck hinzufügen einen Namen und optional eine Beschreibung für den Detektor ein.
  5. Geben Sie Ihren regulären Ausdruck unter Verwendung der RE2-Syntax ein. Weitere Informationen finden Sie unter Beispiele für reguläre Ausdrücke.
    • Bei regulären Ausdrücken wird standardmäßig die Groß-/Kleinschreibung berücksichtigt.
    • Sie können mehrere regionale Ausdrucksmuster mit dem Operator | (OR) kombinieren. So können Sie eine einzelne Regel erstellen, mit der verschiedene Arten vertraulicher Informationen erkannt und maskiert werden. Das allgemeine Format zum Kombinieren regulärer Ausdrücke ist beispielsweise: (regex1)|(regex2)|(regex3)|..
  6. Klicken Sie auf Ausdruck testen, um den regulären Ausdruck zu prüfen.
  7. Klicken Sie auf Erstellen.

Sie können den benutzerdefinierten Detektor verwenden, wenn Sie die Bedingung für die Datenmaskierung auswählen.