Implementierung von Dokumenten-Fingerprinting

  • 10 Minuten

Als Information-Worker arbeiten Sie Tag für Tag mit vertraulichen Dokumenten wie Rechtsformularen, Mitarbeiterdatensätzen oder Compliancedokumenten. Es ist sehr wichtig, diese Daten vor unbefugtem Zugriff oder unbeabsichtigter Weitergabe zu schützen. Dokument-Fingerabdrücke in Microsoft Purview vereinfachen diesen Prozess, indem sie Standardformulare, die in Ihrer Organisation verwendet werden, automatisch erkennen und schützen.

Was ist Dokumenten-Fingerabdruck?

Beim Erstellen eines digitalen Dokumentfingerabdrucks werden gängige Formulare wie etwa ein Standardvertrag oder eine Patentanmeldung in einen eindeutigen Typ vertraulicher Informationen (Sensitive Information Type, SIT) umgewandelt. Diese SIT wird dann verwendet, um DLP-Richtlinien (Data Loss Prevention; Verhinderung von Datenverlust) zu erstellen, die ausgehende Kommunikation mit vertraulichen Informationen automatisch erkennen und blockieren oder zulassen.

Sie können z. B. einen Dokumentfingerabdruck für ein leeres Krankenversicherungsformular erstellen. Einmal eingerichtet, kann die DLP-Richtlinie alle Fälle identifizieren, in denen das Formular mit sensiblen Daten verschickt wird, selbst wenn der Rest des Dokuments leicht verändert wurde.

Features des Dokument-Fingerabdrucks

Das Erstellen eines digitalen Dokumentfingerabdrucks bietet mehrere Vorteile:

  • Works auf mehreren Plattformen: DLP-Richtlinien mit Dokumentfingerabdrücken können auf Exchange, SharePoint, OneDrive, Teams und Geräte angewendet werden.
  • Unterstützt Auto-Labeling: Auto-Labeling zum Schutz von Informationen kann Dokumentfingerabdrücke als Erkennungsmethode in Exchange, SharePoint und OneDrive verwenden.
  • Unterstützt mehrere Abgleichstypen: Sowohl partielle als auch exakte Übereinstimmungen sind verfügbar, um eine flexible und präzise Erkennung zu gewährleisten.
  • Mehrsprachige Erkennung: Erkennt Inhalte in mehreren Sprachen, einschließlich Doppelbyte-Sprachen wie Chinesisch, Japanisch und Koreanisch.
  • Höhere Genauigkeit: Durch die Konzentration auf eindeutige Wortmuster reduziert die Dokumenten-Fingerabdruckerstellung falsch-positive Ergebnisse und verbessert die Erkennungsgenauigkeit für sensible Formulare.

Funktionsweise der Dokumentfingerabdrücke

Durch Dokumenten-Fingerabdruck werden die einzigartigen Wortmuster in einem Dokument identifiziert. Wenn Sie ein Formular oder eine Vorlage hochladen, analysiert DLP dieses Muster und generiert einen Fingerabdruck als kleine Unicode-XML-Datei, die einen Hashwert enthält. Das Originaldokument selbst wird nicht gespeichert. Dieser Fingerabdruck wird zu einem SIT, der Ihren DLP-Richtlinien zugeordnet werden kann, um ausgehende Dokumente zu erkennen, die dem ursprünglichen Formular entsprechen.

Stellen Sie sich beispielsweise vor, Sie laden eine leere Patentanmeldungsvorlage hoch. Nachdem der Fingerabdruck erstellt wurde, kann Ihre DLP-Richtlinie jedes Dokument erkennen und verwalten, das diese Vorlage enthält, unabhängig davon, ob es teilweise ausgefüllt oder abgeschlossen ist.

Dieser Prozess wird in der Abbildung veranschaulicht.

  1. Erstellung des Fingerabdrucks: Das System analysiert die Patentvorlage und erstellt basierend auf ihren Wortmustern einen Fingerabdruck. Dieser Fingerabdruck kann jetzt zur Erkennung verwendet werden.

  2. Abgleich mit dem Fingerabdruck: Wenn ein Dokument gescannt wird, das diese Patentvorlage enthält, erkennt das DLP-System eine Übereinstimmung basierend auf dem eindeutigen Fingerabdruck und wendet die passende Richtlinie an, um das Dokument entsprechend zu behandeln.

Diagramm: Workflow für das Erstellen eines digitalen Dokumentfingerabdrucks

Dadurch wird sichergestellt, dass nur Dokumente mit dem ursprünglichen Format erkannt werden, auch wenn später personenbezogene Daten hinzugefügt werden.

Unterstützte Dateitypen

Das Erstellen eines digitalen Dokumentfingerabdrucks unterstützt die meisten Dateitypen, die in Nachrichtenflussregeln zulässig sind – einschließlich textbasierter Formate wie DOCX, PDF und TXT. Vorlagendateitypen wie .dotx werden jedoch nicht unterstützt. Weitere Informationen zu Dateitypen finden Sie unter Unterstützte Dateitypen für die Inhaltsüberprüfung gemäß Nachrichtenflussregeln.

Einschränkungen der Dokumentfingerabdrücke

Das Erstellen eines digitalen Dokumentfingerabdrucks funktioniert am besten mit textbasierten Dokumenten. Vertrauliche Informationen in folgenden Dateien werden nicht erkannt:

  • Kennwortgeschützte Dateien
  • Reine Bilddateien
  • Dateien, bei denen Text aus dem ursprünglichen Formular fehlt
  • Dateien, die größer als 4 MB sind

Die vorlage, die Sie hochladen, muss mindestens 256 Zeichen enthalten, und der extrahierte Text darf 204.800 Zeichen nicht überschreiten. Wenn Ihre Vorlage zu kurz ist, verfügt der Fingerabdruck nicht über genügend Wortmuster, um zuverlässige Übereinstimmungen zu generieren. Denken Sie auch daran, dass Text in eingebetteten Dokumenten während der Fingerabdruckerstellung nicht berücksichtigt wird. Verwenden Sie daher eine flache, eigenständige Vorlagendatei, um optimale Ergebnisse zu erzielen.

Optionen zum Abgleich von Dokumentenfingerabdrücken

Teilweiser Abgleich

Mit dem teilweisen Abgleich können DLP-Richtlinien Formulare erkennen, die nur teilweise ausgefüllt sind. Sie können das Konfidenzniveau der Erkennung auf Niedrig, Mittel oder Hoch festlegen, um zu steuern, wie viel Text übereinstimmen muss. So können Sie beispielsweise festlegen, dass bei Dokumenten, bei denen 30 Prozent des Texts mit dem Fingerabdruck übereinstimmen, eine DLP-Warnung ausgelöst werden soll.

Ein hohes Konfidenzniveau gibt die wenigsten falsch positiven Ergebnisse zurück, kann aber zu mehr falsch negativen Ergebnissen führen. Niedrige oder mittlere Konfidenzniveaus geben mehr falsch positive Ergebnisse zurück, aber nur wenige bis null falsche Negative. Wenn Sie z. B. ein niedriges Konfidenzniveau festlegen, kennzeichnet das System möglicherweise mehr Dokumente als potenziell vertraulich, aber einige sind möglicherweise Fehlalarme (falsch positive Ergebnisse). Ein hohes Konfidenzniveau wäre strenger und verfehlt möglicherweise einige vertrauliche Dokumente (falsche Negative).

  • Niedrige Konfidenz: Erfasst die meisten vertraulichen Dokumente, generiert aber möglicherweise mehr falsch positive Ergebnisse.
  • Mittlere Konfidenz: Bietet ein ausgewogenes Verhältnis zwischen falsch positiven und falsch negativen Ergebnissen.
  • Hohe Konfidenz: Erkennt nur exakte Übereinstimmungen und minimiert so falsch positive Ergebnisse. Allerdings besteht hier die Gefahr, dass Dokumente nicht richtig erkannt werden.

Exakte Übereinstimmung

Durch die exakte Übereinstimmung wird sichergestellt, dass nur Dokumente gekennzeichnet werden, die mit der ursprünglichen Vorlage identisch sind. Diese Option ist ideal, wenn Sie eine strenge Richtlinie benötigen, die nur ausgelöst wird, wenn der gesamte Text des Formulars mit dem Original übereinstimmt.

Erstellen eines fingerabdruckbasierten SIT in Microsoft Purview

  1. Melden Sie sich beim Microsoft Purview portal an, navigieren Sie dann zu Solutions>Information Protection>Classifiers>Sensitive Infotypen.

  2. Wählen Sie auf der Seite Typen vertraulicher Informationen die Option Fingerabdruckbasierten SIT erstellen aus.

  3. Geben Sie auf der Seite Fingerabdruckbasierten SIT benennen einen Namen und eine Beschreibung für Ihren neuen SIT ein, und wählen Sie anschließend Weiter aus.

  4. Laden Sie eine Datei hoch, um einen Fingerabdruck für die Datei zu erstellen, und passen Sie dann optional die Anforderungen für die einzelnen Konfidenzniveaus an.

    Screenshot, das zeigt, wie das Konfidenzniveau beim Erstellen eines Dokumentenfingerabdrucks (SIT) angepasst wird.

    Um die exakte Übereinstimmung zu verwenden, erweitern Sie das Dropdownmenü für Hoch, und wählen Sie dann Exakt aus.

  5. Wählen Sie Weiter aus.

  6. Überprüfen Sie auf der Seite Überprüfung der Einstellungen und Abschluss Ihre Einstellungen, und wählen Sie dann Erstellen aus.

  7. Wählen Sie auf der Bestätigungsseite die Option Fertig aus.

Um den Dokumentfingerabdruck mit Geräten zu verwenden, muss Erweiterte Klassifizierungsüberprüfung und -schutz aktiviert sein.

Fingerabdrücke werden in einem separaten Regelpaket gespeichert. Dieses Regelpaket hat eine maximale Größe von 300 KB. Mit diesem Grenzwert können Sie ungefähr 100 Fingerabdrücke pro Mandant erstellen.

Von Bedeutung

Wenn Sie ein E5-Kunde sind, empfehlen wir, Ihre vorhandenen Fingerabdrücke zu aktualisieren, um den vollständigen Dokumentfingerabdruck-Featuresatz zu nutzen. Wenn Sie ein E3-Kunde sind, empfehlen wir ein Upgrade auf eine E5-Lizenz.

Weitere Informationen zum Erstellen einer neuen DLP-Richtlinie mit fingerabdruckbasierten SITs finden Sie unter Erstellen einer neuen Richtlinie mit Ihrem Fingerabdruck-SIT.