DLP in Chrome mit Datenmaskierung stärken

Die Datenmaskierung ist nur für Kunden verfügbar, die Chrome Enterprise Premium gekauft haben. Weitere Informationen zur Einbindung des Schutzes vor Datenverlust (Data Loss Prevention, DLP) in Chrome Enterprise Premium finden Sie unter Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden.

Als Administrator können Sie die Datenmaskierung in Chrome-DLP-Regeln verwenden, um vertrauliche Informationen zu schützen, indem die ursprünglichen Buchstaben und Zahlen ausgeblendet werden.

Datenmaskierung

Die Datenmaskierung funktioniert mit DLP-Regeln zur URL-Navigation in Chrome, um Buchstaben und Zahlen in vertraulichen Daten auszublenden oder zu „maskieren“. Sie können beispielsweise die Datenmaskierung verwenden, um Sozialversicherungsnummern durch das Wort REDACTED zu ersetzen, wenn nicht verwaltete Geräte bestimmte URLs aufrufen. Die Datenmaskierung funktioniert mit benutzerdefinierten DLP-Regeln, darunter der Screenshot-Schutz und Wasserzeichen.

Hinweis

Damit Sie Regeln zur Datenmaskierung einrichten können, muss Ihr Super Admin-Konto oder Administratorkonto die folgenden Berechtigungen haben:

  • Organisationseinheit
  • Gruppen
  • DLP-Regel ansehen
  • DLP-Regel verwalten
  • Metadaten und Attribute abrufen

Weitere Informationen zu Administratorberechtigungen und zum Erstellen benutzerdefinierter Administratorrollen.

Datenmaskierung verwenden

Erweiterung „Secure Enterprise Browser“ installieren

Wenn Nutzer Daten mithilfe von Regeln zur URL-Navigation in Chrome maskieren möchten, müssen sie die Secure Enterprise Browser Erweiterung auf ihrem Endnutzergerät oder in ihrem Profil installieren.

So installieren Sie die Erweiterung:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Chrome-Browserund dannApps und Erweiterungen und wählen Sie den Tab Nutzer und Browser aus.
  2. Wählen Sie im Bereich Apps und Erweiterungen die Organisationseinheit, Gruppe, den Nutzer oder Browser aus.
  3. Klicken Sie auf Hinzufügen und dannChrome-Apps oder ‑Erweiterungen nach ID hinzufügen .
  4. Geben Sie im geöffneten Bereich als Erweiterungs-ID die ID ekajlcmdfcigmdbphhifahdfjbkciflj ein und wählen Sie Aus dem Chrome Web Store aus.
  5. Klicken Sie auf Speichern.

    Auf dem Tab Nutzer und Browser sollte die App Secure Enterprise Browser angezeigt werden.

  6. Optional: Klicken Sie in der App-Liste auf die App, um sie zu konfigurieren.
    • Wählen Sie unter Installationsrichtlinie eine der folgenden Optionen aus:
      • Installation erzwingen
      • Installation erzwingen und an Symbolleiste des Browsers anpinnen

    Ist keine Richtlinie für die automatische Installation ausgewählt, müssen Nutzer die Secure Enterprise Browser-Erweiterung manuell installieren.

Beispiel: Maskierung mithilfe von Regeln zur Datenmaskierung

Sie können Regeln zur Datenmaskierung auf dieselbe Weise wie andere DLP-Regeln zur URL-Navigation definieren. Weitere Beispiele finden Sie im Hilfeartikel Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden.

In diesem Beispiel wird gezeigt, wie Sie eine Regel zum Maskieren von Daten erstellen, mit der Navigationsvorgänge zu Websites für generative KI gemeldet und Sozialversicherungsnummern unkenntlich gemacht werden (einschließlich Eingabe und Ausgabe für/von dem generativen KI-Tool).

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen „DLP-Regel ansehen“ und „DLP-Regel verwalten“.

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Regeln verwaltenund dannRegel hinzufügen und dann Neue Regel.
  3. Geben Sie einen Namen und, wenn Sie möchten, eine Beschreibung ein.
  4. Markieren Sie im Bereich Apps unter Chrome das Kästchen Aufgerufene URL.
  5. Klicken Sie auf Weiter.
  6. Wählen Sie im Abschnitt Aktionen unter Chrome die Option Nur prüfen aus. Der Nutzer kann zur URL navigieren, die Aktion wird jedoch im Chrome-Protokoll aufgezeichnet.
  7. Wählen Sie Vertraulichen Text auf der Seite maskieren aus.
  8. Wählen Sie im Abschnitt Maskierungsmethode die Option Text durch „Entfernt“ (Redacted) ersetzen aus.
  9. Klicken Sie auf Regulären Ausdruck auswählen und dann auf Vordefinierte reguläre Ausdrücke/Sozialversicherungsnummer.
  10. Klicken Sie auf Weiter.
  11. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.

    Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

  12. Klicken Sie im Abschnitt Content-Konditionierung auf Bedingung hinzufügen.
  13. Wählen Sie unter Zu scannender Inhaltstyp die Option URL-Kategorie aus.
  14. Wählen Sie unter Kategorie auswählen die Option Internet & Technologie/Generative KI aus.
  15. Klicken Sie auf Weiter.
  16. Wählen Sie auf der Seite Regeldetails einen Status für die Regel aus:
    • Aktiv : Ihre Regel wird sofort ausgeführt.
    • Inaktiv : Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung an die Nutzer weiterzugeben. Sie können die Regel später aktivieren, indem Sie auf der Seite Datenschutzregeln den Status zu Aktiv ändern.
  17. Klicken Sie auf Erstellen.

Hinweis: DLP-Regeln zur Datenmaskierung unterstützen keine iFrames. Sie können iFrames gezielt ansprechen, indem Sie eine Richtlinie angeben, wenn Sie die Secure Enterprise Browser-Erweiterung zum Maskieren verwenden, wie im folgenden Beispiel.

Beispiel: Maskierung über die Konfiguration der Secure Enterprise Browser-Erweiterung

Die Maskierung kann auch mit dem Secure Enterprise Browser mit JSON-Syntax konfiguriert werden. In diesem Beispiel erstellen Sie eine Regel zum Maskieren von Daten, mit der Navigationsvorgänge zu Websites mit generativer KI gemeldet und Sozialversicherungsnummern unkenntlich gemacht werden (einschließlich Eingaben und Ausgaben ins/vom generativen KI-Tool).

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Chrome-Browserund dannApps und Erweiterungen und wählen Sie den Tab Nutzer und Browser aus.
  2. Wählen Sie im Bereich Apps und Erweiterungen die Organisationseinheit aus.
  3. Wählen Sie in der Liste der Apps Secure Enterprise Browser aus.
  4. Geben Sie unter Richtlinie für Erweiterungen eine Konfiguration im folgenden Format an:
    • Eine Ursprungs-URL (z. B. https://originUrl.com/*") ist erforderlich, um alle iFrames zu erfassen.
    • Erstellen Sie vordefinierte Detektoren mit einem der folgenden Werte: email, ssn, date, time, common-currency-amount, common-currency-amount-suffix, ip-address, cc-number, 4-digit-cc-number, payment-statement-link, intl-phone-number
    • Erstellen Sie benutzerdefinierte reguläre Ausdrücke, indem Sie einen eindeutigen Namen (nicht einen der oben aufgeführten vordefinierten Detektornamen) verwenden und das Muster angeben.

    Weitere Informationen finden Sie unter Erweiterbare Beispielvorlage unten.

Erweiterbare Beispielvorlage

{
  "dataMasking": {
    "Value": {
      "rules": [
        {
          "name": "DLP Test Light-Obfuscation",
          "urls": [
            "https://dlptest.com/sample-data/namessndob/",
            "https://dlptest.com/*"
          ],
          "detectors": [
            {
              "name": "ssn",
              "maskType": "LIGHT_OBFUSCATION"
            },
            {
              "name": "date",
              "maskType": "HARD_OBFUSCATION"
            },
            {
              "name": "Custom regex to redact ip address",
              "maskType": "REDACT",
              "regex": {
                "pattern": "(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
              }
            }
          ]
        }
      ]
    }
  }
}

Regionalen Ausdrucksdetektor erstellen

Sie können vordefinierte regionale Ausdrücke in Regeln zur Datenmaskierung verwenden oder eigene regionale Ausdrucksdetektoren erstellen und verwenden, um alle Inhalte zu maskieren, die mit Ihrem regionalen Ausdruck übereinstimmen.

So erstellen Sie einen regionalen Ausdrucksdetektor:

Hinweis: Es wird ausschließlich die RE2-Syntax unterstützt. Bei regulären Ausdrücken wird standardmäßig die Groß-/Kleinschreibung berücksichtigt.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen „DLP-Regel ansehen“ und „DLP-Regel verwalten“.

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Detektoren verwalten.
  3. Klicken Sie auf Detektor hinzufügenund dannRegulärer Ausdruck.
  4. Geben Sie im Feld Regulären Ausdruck hinzufügen einen Namen und optional eine Beschreibung für den Detektor ein.
  5. Geben Sie Ihren regulären Ausdruck unter Verwendung der RE2-Syntax ein. Weitere Informationen finden Sie unter Beispiele für reguläre Ausdrücke.
    • Bei regulären Ausdrücken wird standardmäßig die Groß-/Kleinschreibung berücksichtigt.
    • Sie können mehrere regionale Ausdrucksmuster mit dem Operator | (ODER) kombinieren. So können Sie eine einzelne Regel erstellen, mit der verschiedene Arten vertraulicher Informationen erkannt und maskiert werden. Das allgemeine Format zum Kombinieren regulärer Ausdrücke ist beispielsweise: (regex1)|(regex2)|(regex3)|..
  6. Klicken Sie auf Ausdruck testen, um den regulären Ausdruck zu prüfen.
  7. Klicken Sie auf Erstellen.

Sie können den benutzerdefinierten Detektor verwenden, wenn Sie die Bedingung für die Datenmaskierung auswählen.