Erstellen eines digitalen Dokumentfingerabdrucks

Gilt für: Exchange Server 2013

Information-Worker in Ihrer Organisation verarbeiten im Lauf eines Arbeitstags viele Arten von vertraulichen Informationen. Mit dem Fingerabdruck von Dokumenten können Sie diese Informationen einfacher schützen, indem Sie Standardformulare identifizieren, die in Ihrer Organisation verwendet werden. Dieses Thema beschreibt die Konzepte für Dokumentfingerabdrücke. Informationen zum Erstellen eines Dokumentfingerabdrucks finden Sie unter Schutz von Formulardaten durch Dokumentfingerabdrücke.

Grundlegendes Szenario für Dokumentfingerabdrücke

Dokumentabdrücke sind ein Feature zur Verhinderung von Datenverlust (Data Loss Prevention, DLP), das ein Standardformular in einen vertraulichen Informationstyp konvertiert, mit dem Sie Transportregeln und DLP-Richtlinien definieren können. Sie können z. B. einen Dokumentfingerabdruck erstellen, der auf einer leeren Patentvorlage basiert, und dann eine DLP-Richtlinie erstellen, die alle ausgehenden Patentvorlagen mit ausgefülltem vertraulichem Inhalt erkennt und blockiert. Optional können Sie Richtlinientipps einrichten, um Absender darüber zu informieren, dass sie möglicherweise vertrauliche Informationen senden, und der Absender sollte überprüfen, ob die Empfänger berechtigt sind, die Patente zu erhalten. Dieser Prozess funktioniert mit allen textbasierten Formularen, die in Ihrer Organisation verwendet werden. Weitere Beispiele für Formulare, die Sie hochladen können, sind:

  • Regierungsformulare

  • HIPAA (Health Insurance Portability and Accountability Act)-kompatible Formulare

  • Formulare mit Mitarbeiterinformationen für die Personalabteilung

  • Speziell für Ihre Organisation erstellte benutzerdefinierte Formulare

Ideal wäre es, wenn es in Ihrer Organisation bereits eine etablierte Routine beim Umgang mit der Versendung vertraulicher Informationen gäbe. Wenn Sie ein leeres Formular hochgeladen haben, das in einen Dokumentfingerabdruck umgewandelt werden soll, und eine entsprechende Richtlinie einrichten, erkennt der DLP Agent alle Dokumente in ausgehenden Mails, die zu diesem Fingerabdruck passen.

Funktionsweise von Dokumentfingerabdrücken

Wahrscheinlich haben Sie schon erraten, dass sich auf den Dokumenten keine echten Fingerabdrücke befinden - aber der Name erklärt sehr gut die Funktion. Genauso, wie der Fingerabdruck eines Menschen einzigartige Muster hat, haben Dokumente eine einzigartige Wortstruktur. Wenn Sie eine Datei hochladen, identifiziert der DLP Agent die einzigartige Wortstruktur des Dokuments, erstellt aus dieser Struktur einen Dokumentfingerabdruck und verwendet diesen Fingerabdruck zur Erkennung ausgehender Dokumente mit derselben Struktur. Aus diesem Grund werden die effektivsten Dokumentfingerabdrücke durch Hochladen von Formularen oder Vorlagen erstellt. Jede Person, die ein Formular ausfüllt, verwendet denselben Originalsatz von Wörtern und fügt dann ihre eigenen Wörter in das Dokument ein. Solange das ausgehende Dokument nicht durch ein Kennwort geschützt ist und sämtlichen Text aus dem Originalformular enthält, kann der DLP Agent bestimmen, ob das Dokument zum Dokumentfingerabdruck passt.

Im folgenden Beispiel wird gezeigt, was passiert, wenn Sie einen Dokumentfingerabdruck auf Grundlage einer Patentvorlage erstellen. Sie können aber auch jedes andere Formular dafür verwenden.

Ein Patentdokument, das einem Dokumentfingerabdruck entspricht.

Die Patentvorlage enthält die leeren Felder "Patenttitel", "Erfinder" und "Beschreibung" sowie Beschreibungen für jedes dieser Felder, also das Wortmuster. Wenn Sie die ursprüngliche Patentvorlage hochladen, befindet sie sich in einem der unterstützten Dateitypen und im Nur-Text-Format. Der DLP-Agent verwendet einen Algorithmus, um dieses Wortmuster in einen Dokumentfingerabdruck zu konvertieren, bei dem es sich um eine kleine Unicode-XML-Datei handelt, die einen eindeutigen Hashwert enthält, der den ursprünglichen Text darstellt, und der Fingerabdruck wird als Datenklassifizierung in Active Directory gespeichert. (Als Sicherheitsmaßnahme wird das ursprüngliche Dokument selbst nicht im Dienst gespeichert, es wird nur der Hashwert gespeichert, und das originale Dokument kann nicht aus dem Hashwert rekonstruiert werden.) Der Patentfingerabdruck wird dann zu einem vertraulichen Informationstyp, den Sie einer DLP-Richtlinie zuordnen können. Nachdem Sie den Fingerabdruck einer DLP-Richtlinie zugeordnet haben, erkennt der DLP-Agent alle ausgehenden E-Mails, die Dokumente enthalten, die dem Patentfingerabdruck entsprechen, und behandelt sie gemäß den Richtlinien Ihrer Organisation. Sie können beispielsweise eine DLP-Richtlinie einrichten, die verhindert, dass reguläre Mitarbeiter ausgehende Nachrichten mit Patenten senden. Der DLP-Agent wird den Patentfingerabdruck verwenden, um Patente zu erkennen und diese E-Mails zu blockieren. Alternativ können Sie Ihrer Rechtsabteilung gestatten, Patente an andere Organisationen zu senden, da sie dazu einen geschäftlichen Bedarf hat. Sie können bestimmten Abteilungen das Senden vertraulicher Informationen gestatten, indem Sie Ausnahmen für diese Abteilungen in Ihrer DLP-Richtlinie erstellen, oder Sie können zulassen, dass sie einen Richtlinientipp mit geschäftlicher Begründung außer Kraft setzen. Ausführlichere Informationen zum Erstellen von DLP-Richtlinienregeln und -Ausnahmen finden Sie unter DLP-Verfahren. Weitere Informationen zum Einrichten von Richtlinientipps, die Benutzer außer Kraft setzen können, finden Sie unter Richtlinientipps in Exchange 2013.

Unterstützte Dateitypen

Die Dokumentenfingerabdruck-Funktion unterstützt dieselben Dateitypen, die auch in Transportregeln unterstützt werden. Eine Liste der unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen für die Inhaltsüberprüfung von Transportregeln. Eine kurze Bemerkung zu Dateitypen: Der Dateityp .dotx wird weder in den Transportregeln noch beim Dokumentfingerabdruck unterstützt, da er mit einer Vorlagendatei in Word verwechselt werden kann. Der Begriff "Vorlage" in diesem und anderen Themen zum Dokumentfingerabdruck bezieht sich auf ein Dokument, das Sie als Standardformular eingerichtet haben, nicht auf den Dateityp "Vorlage".

Einschränkungen der Funktion "Dokumentfingerabdruck"

Der DLP Agent für Dokumentfingerabdrücke erkennt in den folgenden Fällen keine vertraulichen Informationen:

  • Kennwortgeschützte Dateien

  • Dateien, die nur Bilder enthalten

  • Dokumente, die nicht den gesamten Text aus dem Originalformular enthalten, aus dem der Dokumentfingerabdruck erstellt wurde

Weitere Informationen

Schutz von Formulardaten durch Dokumentfingerabdrücke

Integrieren von Regeln für vertrauliche Informationen in Transportregeln

DLP-Verfahren