Verhinderung von Datenverlust in Exchange 2013
Gilt für: Exchange Server 2013
Erfahren Sie mehr über DLP-Richtlinien in Exchange Server 2013, einschließlich der darin enthaltenen Richtlinien und deren Test. Des Weiteren erhalten Sie hier Informationen zu einem neuen Feature in Exchange DLP.
Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist ein wichtiger Aspekt in Messagingsystemen von Unternehmen, da E-Mails in sehr hohem Maß in der geschäftskritischen Kommunikation verwendet werden, die häufig vertrauliche Daten umfasst. DLP-Funktionen vereinfachen die Verwaltung von vertraulichen Daten erheblich und tragen so dazu bei, die Anforderungen an die Richtlinientreue für solche Daten einzuhalten und die Verwendung dieser Daten in E-Mails zu verwalten, ohne die Produktivität der Benutzer einzuschränken. Sehen Sie sich das folgende Video an, um einen konzeptionellen Überblick über DLP zu erhalten.
DLP-Richtlinien sind einfache Pakete, die Sätze von Bedingungen enthalten, die aus Transportregeln, Aktionen und Ausnahmen bestehen, die Sie im Exchange Admin Center (EAC) erstellen und dann aktivieren, um E-Mail-Nachrichten und Anlagen zu filtern. Sie können eine DLP-Richtlinie erstellen, sie aber zunächst nicht aktivieren. Dadurch können Sie Ihre Richtlinien testen, ohne die Nachrichtenübermittlung zu beeinträchtigen. DLP-Richtlinien können die umfassenden Funktionen vorhandener Transportregeln nutzen. Tatsächlich wurden im Microsoft Exchange Server 2013 eine Reihe neuer Arten von Transportregeln erstellt, um neue DLP-Funktionen zu erreichen.
Ein wichtiges neues Feature bei Transportregeln ist eine neue Methode zum Klassifizieren vertraulicher Informationen, die in die Verarbeitung des Nachrichtenflusses integriert werden kann. Diese neue DLP-Funktion führt eine eingehende Inhaltsanalyse anhand von Schlüsselwortübereinstimmungen, Wörterbuchübereinstimmungen, regulären Ausdrücken sowie anderen Untersuchungsmethoden aus, um Inhalte zu ermitteln, die die DLP-Richtlinien der Organisation verletzen. Exchange 2013 Service Pack 1 (SP1) fügt Dokumentfingerabdrücke hinzu, die Ihnen helfen, vertrauliche Informationen in Standardformularen zu erkennen. Weitere Informationen zu Transportregeln finden Sie unter Transportregeln in Exchange 2013 und Integrieren von Regeln für vertrauliche Informationen in Transportregeln. Sie können die DLP-Richtlinien auch über Cmdlets in der Exchange-Verwaltungsshell verwalten. Weitere Informationen zu Richtlinien- und Compliance-Cmdlets finden Sie unter Messagingrichtlinie und -compliance.
Zusätzlich zu den anpassbaren DLP-Richtlinien selbst können Sie E-Mail-Absender darüber informieren, dass sie möglicherweise gegen eine Ihrer Richtlinien verstoßen, noch bevor sie eine beleidigende Nachricht senden. Sie können dies erreichen, indem Sie Richtlinientipps konfigurieren. Richtlinientipps ähneln E-Mail-Infos und können so konfiguriert werden, dass eine kurze Notiz in Outlook 2013 oder höher angezeigt wird, die einer Person, die eine Nachricht erstellt, Informationen zu möglichen Richtlinienverstößen enthält. In Exchange 2013 SP1 werden Richtlinientipps auch in Outlook Web App und OWA für Geräte angezeigt. Weitere Informationen finden Sie unter Policy Tips.
Hinweis
DLP ist ein Premium-Feature, für das eine Exchange Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Weitere Informationen zu CALs und Serverlizenzierung finden Sie unter Häufig gestellte Fragen zur Exchange-Lizenzierung.
Exchange Enterprise CAL mit Diensten: Es ist ein Verhaltensunterschiede zu beachten, wenn Sie eine Exchange Enterprise CAL mit Services-Kunde mit einer Hybridbereitstellung sind, bei der sich einige Postfächer lokal und einige in Exchange Online befinden. In Exchange Online gelten DLP-Richtlinien. Aus diesem Grund gelten für Nachrichten von einem lokalen Benutzer zu einem anderen lokalen Benutzer keine DLP-Richtlinien, da die Nachricht die lokale Infrastruktur nicht verlässt.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit DLP gibt? Weitere Informationen finden Sie unter DLP-Verfahren.
Einrichten von Richtlinien zum Schutz vertraulicher Daten
Mit den Funktionen zur Verhinderung von Datenverlust können Sie verschiedene Kategorien vertraulicher Informationen ermitteln und überwachen, die Sie im Rahmen Ihrer Richtlinienbedingungen definiert haben, z. B. Personalausweis- oder Kreditkartennummern. Sie können entweder selbst benutzerdefinierte Richtlinien und Transportregeln erstellen oder die vordefinierten DLP-Richtlinienvorlagen verwenden, die von Microsoft für den schnellen Einstieg bereitgestellt werden. Weitere Informationen zu den enthaltenen Richtlinienvorlagen finden Sie unter DLP-Richtlinienvorlagen, die in Exchange 2013 bereitgestellt werden. Eine Richtlinienvorlage umfasst eine Reihe von Bedingungen, Regeln und Aktionen, mit denen Sie eine DLP-Richtlinie zur Untersuchung von Nachrichten erstellen und speichern können. Bei den Richtlinienvorlagen handelt es sich um Modelle, aus denen Sie Regeln auswählen oder die Sie mit eigenen Regeln anpassen können, um eine Richtlinie zu erstellen, die Ihre Anforderungen an die Verhinderung von Datenverlust erfüllt.
Ihnen stehen drei verschiedene Methoden zur Verfügung, um mit der Verwendung von DLP-Richtlinien zu beginnen:
Anwenden einer standardmäßig von Microsoft bereitgestellten Vorlage: Die schnellste Möglichkeit, DLP-Richtlinien zu verwenden, besteht darin, eine neue Richtlinie mithilfe einer Vorlage zu erstellen und zu implementieren. Dies erspart Ihnen die Mühe, einen vollständig neuen Satz an Regeln erstellen zu müssen. Sie müssen wissen, auf welche Art von Daten Sie überprüfen möchten oder welche Konformitätsbestimmungen Sie behandeln möchten. Sie müssen auch die Erwartungen Ihrer Organisation an die Verarbeitung solcher Daten kennen. Weitere Informationen hierzu erhalten Sie unter DLP-Richtlinienvorlagen, die in Exchange 2013 bereitgestellt werden , und Erstellen einer DLP-Richtlinie aus einer Vorlage.
Importieren einer vordefinierten Richtliniendatei von außerhalb Ihres organization: Sie können Richtlinien importieren, die bereits von unabhängigen Softwareanbietern außerhalb Ihrer Messagingumgebung erstellt wurden. Auf diese Weise können Sie die DLP-Lösung erweitern und an Ihre geschäftlichen Anforderungen anpassen. Weitere Informationen finden Sie unter Richtlinienvorlagen von Microsoft-Partnern, Definition eigener DLP-Vorlagen und Informationstypen und Importieren einer benutzerdefinierten DLP-Richtlinienvorlage aus einer Datei.
Erstellen einer benutzerdefinierten Richtlinie ohne bereits vorhandene Bedingungen: Ihr Unternehmen verfügt möglicherweise über eigene Anforderungen zum Überwachen bestimmter Datentypen, von denen bekannt ist, dass sie in einem Messagingsystem vorhanden sind. Sie können selbst eine benutzerdefinierte Richtlinie erstellen, um die spezifischen Messagingdaten in Ihrer Organisation zu überprüfen und geeignete Aktionen auszuführen. Sie müssen die Anforderungen und Einschränkungen der Umgebung kennen, in der die DLP-Richtlinie erzwungen wird, um eine solche benutzerdefinierte Richtlinie zu erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie.
Nachdem Sie eine Richtlinie hinzugefügt haben, können Sie die enthaltenen Regeln prüfen und ändern, die Richtlinie inaktiv setzen oder die Richtlinie vollständig entfernen. Die Verfahren für diese Aktionen werden im Thema Verwalten von DLP-Richtlinien beschrieben.
Arten von vertraulichen Informationen in DLP-Richtlinien
Wenn Sie DLP-Richtlinien erstellen oder ändern, können Sie Regeln verwenden, die eine Überprüfung auf vertrauliche Daten einschließen. Die im Thema Vertraulichen Informationstypen in Exchange Server aufgeführten Typen vertraulicher Informationen können in Ihren Richtlinien verwendet werden. Sie können die Bedingungen Ihrer Richtlinien – z. B. wie oft ein Element gefunden werden muss, damit eine Aktion ausgeführt wird, oder welche Aktion ausgeführt werden soll – benutzerdefiniert anpassen, um die spezifischen Richtlinienanforderungen in Ihrer Organisation zu erfüllen. Weitere Informationen zum Erstellen von DLP-Richtlinien finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie. Weitere Informationen zu den vollständigen Transportregeln der Suite finden Sie unter Transportregeln in Exchange 2013.
Damit Sie die Regeln in Bezug auf vertrauliche Daten einfacher verwenden können, stellt Microsoft Richtlinienvorlagen bereit, die bereits einige Arten vertraulicher Informationen beinhalten. Sie können jedoch keine Bedingungen für alle hier aufgeführten Typen vertraulicher Informationen zu Richtlinienvorlagen hinzufügen, da die Vorlagen darauf ausgelegt sind, sich auf die gängigsten Arten von compliancebezogenen Daten in Ihrem organization zu konzentrieren. Weitere Informationen zu den vorgefertigten Vorlagen finden Sie unter DLP-Richtlinienvorlagen, die in Exchange 2013 bereitgestellt werden. Sie können eine Vielzahl von DLP-Richtlinien für Ihre Organisation erstellen und aktivieren, sodass viele verschiedene Arten von Informationen untersucht werden. Sie können auch eine DLP-Richtlinie erstellen, die nicht auf einer vorhandenen Vorlage basiert. Informationen dazu, wie Sie eine solche Richtlinie erstellen, finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie. Weitere Informationen zu Typen vertraulicher Informationen finden Sie unter Typen vertraulicher Informationen in Exchange Server.
Sensible Daten mit Dokument Fingerprinting erkannt
Mit Exchange 2013 SP1 können Sie dokumentenfingerabdrücke verwenden, um ganz einfach einen vertraulichen Informationstyp basierend auf einem Standardformular zu erstellen. Informationen zum Schützen von Formulardaten finden Sie unter Schutz von Formulardaten durch Dokumentfingerabdrücke.
Richtlinientipps zur Benachrichtigung der Benutzer über die Erwartungen hinsichtlich vertraulicher Inhalte
Sie können Richtlinientipp-Benachrichtigungen verwenden, um E-Mail-Absender über mögliche Complianceprobleme zu informieren, während sie eine E-Mail-Nachricht verfassen. Wenn Sie einen Richtlinientipp in einer DLP-Richtlinie konfigurieren, wird die Benachrichtigung nur angezeigt, wenn ein Element in der E-Mail des Absenders die in der Richtlinie festgelegten Bedingungen erfüllt. Richtlinientipps ähneln den E-Mail-Infos, die in Microsoft Exchange 2010 eingeführt wurden. Weitere Informationen finden Sie unter Richtlinientipps.
Erkennen von vertraulichen Informationen und herkömmliche Nachrichtenklassifikation
Exchange 2013 bietet eine neue Methode zur Verwaltung von Nachrichten- und Anlagendaten im Vergleich zur herkömmlichen Nachrichtenklassifizierung. Ein entscheidender Vorteil der DLP-Lösung ist die Möglichkeit, vertrauliche Inhalte ordnungsgemäß identifizieren zu können, die für die Organisation, für rechtliche Anforderungen, in der Geografie oder für andere geschäftliche Anforderungen einzigartig sind. Exchange 2013 ermöglicht dies durch eine neue Architektur für die eingehende Inhaltsanalyse in Kombination mit Erkennungskriterien, die Sie durch die Regeln in Ihren DLP-Richtlinien festlegen. Die Verhinderung von Datenverlust in Exchange 2013 basiert auf der Konfiguration des richtigen Satzes an Regeln für vertrauliche Informationen, damit diese Regeln ein hohes Maß an Schutz bieten können und gleichzeitig unnötige Unterbrechungen der Nachrichtenübermittlung durch falsch-positive oder negative Ergebnisse minimieren. Diese Regeltypen, die in der DLP-Lösung für die Erkennung vertraulicher Daten verantwortlich sind, sorgen im Framework aus Transportregeln für die Bereitstellung von DLP-Funktionalität.
Weitere Informationen zu diesen neuen Features finden Sie unter Integrieren von Regeln für vertrauliche Informationen in Transportregeln. Die herkömmlichen Nachrichtenklassifizierungsfelder können weiterhin auf Nachrichten in Exchange angewendet werden, und diese können mit der neuen Erkennung vertraulicher Informationen kombiniert werden, entweder zusammen innerhalb einer einzelnen DLP-Richtlinie oder gleichzeitig ausgeführt werden, sodass sie unabhängig in Exchange ausgewertet werden. Weitere Informationen zu den älteren Exchange 2010-Nachrichtenklassifizierungen finden Sie unter Grundlegendes zu Nachrichtenklassifizierungen.
Informationen zu über DLP verarbeiteten Nachrichten
Damit Exchange 2013 Informationen zu Nachrichten und möglichen Regelverletzungen, die durch DLP-Richtlinien ermittelt werden, finden Sie weitere Informationen unter Anzeigen von DLP-Richtlinienerkennungsberichten und Erstellen von Schadensberichten für DLP-Richtlinienerkennungen. Daten in Bezug auf die DLP-Ergebnisse sind eng in Zustellungsberichte integriert, das Nachrichtenverfolgungstool von Exchange 2013.
Installationsvoraussetzungen
Um DLP-Features nutzen zu können, muss Exchange 2013 mit mindestens einem Absenderpostfach konfiguriert sein. Verhinderung von Datenverlust ist ein Premium-Feature, für das eine Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Weitere Informationen zu den ersten Schritten mit Exchange Server finden Sie unter Planen und Bereitstellen.