Erstellen und Verwalten von Richtlinien zur Verhinderung von Datenverlust

  • 8 Minuten

Organisationen müssen vertrauliche Informationen schützen und verhindern, dass sie versehentlich offengelegt werden. Die Bestimmungen für den Datenschutz ändern sich von Zeit zu Zeit. Das Ziel der Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist es, sicher zu verhindern, dass vertrauliche Daten verloren gehen, missbraucht werden oder dass nicht autorisierte Benutzer darauf zugreifen.

Mit Richtlinien zur Verhinderung von Datenverlust in Microsoft Purview können Organisationen vertrauliche Informationen in ihrer gesamten Microsoft 365-Umgebung identifizieren, überwachen und automatisch schützen.

Die DLP-Richtlinie kann Ihnen bei Folgendem helfen:

  • Identifizieren vertraulicher Informationen über viele Speicherorte hinweg (Exchange Online, SharePoint, OneDrive und Microsoft Teams)

  • Verhindern, dass vertrauliche Informationen unbeabsichtigt freigegeben werden

  • Überwachen und Schützen von vertraulichen Informationen in den Desktopversionen von Excel, PowerPoint und Word

  • Anzeigen von DLP-Berichten (mit Inhalten, die mit den DLP-Richtlinien Ihrer Organisation übereinstimmen)

DLP-Richtlinien für Microsoft Teams

Wenn Ihre Organisation über Verfahren zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) verfügt, können Sie Richtlinien definieren, die verhindern, dass Personen vertrauliche Informationen in einem Microsoft Teams-Kanal oder in einer Chatsitzung freigeben. DLP für Microsoft Teams blockiert vertrauliche Inhalte, wenn sie mit Microsoft Teams-Benutzern geteilt werden, die über einen Gastzugriff oder einen externen Zugriff verfügen. Im Folgenden finden Sie einige Beispiele für die Funktionsweise dieses Schutzes:

  • Schutz vertraulicher Informationen in Nachrichten: Angenommen, jemand versucht, vertrauliche Informationen in einem Teams-Chat oder -Kanal für Gäste freizugeben. Wenn Sie eine DLP-Richtlinie definiert haben, um die Situation zu verhindern, werden Nachrichten mit vertraulichen Informationen gelöscht, wenn sie an Gäste gesendet werden. Das Löschen geschieht automatisch und innerhalb von Sekunden, je nachdem, wie Ihre DLP-Richtlinie konfiguriert ist.

  • Schutz vertraulicher Informationen in Dokumenten: Angenommen, jemand versucht, ein Dokument für Gäste in einem Microsoft Teams-Kanal oder -Chat freizugeben, und das Dokument enthält vertrauliche Informationen. Wenn Sie eine DLP-Richtlinie definiert haben, um dies zu verhindern, wird das Dokument für diese Benutzer nicht geöffnet. Ihre DLP-Richtlinie muss SharePoint und OneDrive einschließen, damit ein Schutz besteht.

Beispiel: Schützen von Sozialversicherungsnummern in Teams-Chat- und -Kanalnachrichten

Als Teams-Administrator für Contoso haben Sie eine DLP-Richtlinie zum Schutz von Sozialversicherungsnummern in Teams-Chat- und -Kanalnachrichten erstellt und angewendet.

Später hat ein Benutzer versucht, eine Sozialversicherungsnummer in einem Microsoft Teams-Kanal zu senden. Die Nachricht wurde blockiert, und es gibt einen Hilfelink Was kann ich tun?. Über diesen Link wird ein Dialogfeld geöffnet, das Optionen für den Absender zum Beheben des Problems bereitstellt.

Screenshot „Benachrichtigung über blockierte Nachrichten in Teams“.

Als Administrator können Sie festlegen, dass Benutzer eine DLP-Richtlinie in Ihrer Organisation außer Kraft setzen können. Wenn Sie Ihre DLP-Richtlinien konfigurieren, können Sie die Standardrichtlinientipps verwenden oder Richtlinientipps anpassen. Im folgenden Beispiel hat der Absender die Möglichkeit, die Richtlinie außer Kraft zu setzen oder einen Administrator zu benachrichtigen, um sie zu überprüfen und zu korrigieren.

Screenshot „Optionen zum Auflösen blockierter Nachrichten“.

Die Empfänger sehen eine andere Nachricht auf dem Bildschirm, wie in der folgenden Abbildung dargestellt:

Screenshot „Nachricht blockiert“.

Sie bemerken möglicherweise, dass die Empfänger Informationen erhalten, dass die Nachricht aufgrund vertraulicher Inhalte blockiert wurde, und es gibt einen Link Was ist dies? direkt neben der Nachricht, der einen Artikel über DLP-Richtlinien öffnen wird, in dem die Benutzer eine Erklärung finden, warum die Nachricht blockiert wurde.

Übersicht über die DLP-Richtlinienkonfiguration

Sie haben Flexibilität bei der Erstellung und Konfiguration Ihrer DLP-Richtlinien. Sie können mit nur wenigen Klicks mit einer vordefinierten Vorlage beginnen und eine Richtlinie erstellen, oder Sie können Ihre eigene Richtlinie von Grund auf entwerfen. Unabhängig davon, was Sie auswählen, benötigen alle DLP-Richtlinien die gleichen Informationen von Ihnen.

  1. Wählen Sie, was Sie überwachen möchten: Microsoft Purview enthält viele vordefinierte Richtlinienvorlagen, die Ihnen den Einstieg erleichtern, oder Sie können eine benutzerdefinierte Richtlinie erstellen.

    • Eine vordefinierte Richtlinienvorlage: Finanzdaten, medizinische und Gesundheitsdaten, Daten der Privatsphäre für verschiedene Länder und Regionen. Weitere Informationen finden Sie unter DLP-Richtlinienvorlagen.

    • Eine benutzerdefinierte Richtlinie, welche die verfügbaren Typen vertraulicher Informationen, Aufbewahrungsbezeichnungen und Vertraulichkeitsbezeichnungen verwendet.

  2. Wählen Sie, wo Sie überwachen möchten: Sie wählen mindestens einen Speicherort aus, der von DLP auf vertrauliche Informationen überwacht werden soll. Sie können Folgendes überwachen:

    Speicherort Einschließen/Ausschließen nach
    Exchange-E-Mail Verteilergruppen
    Microsoft Office SharePoint Online-Websites Websites
    OneDrive-Konten Konten oder Verteilergruppen
    Teams-Chat- und Teams-Kanalnachrichten Konten
    Windows 10-Geräte Benutzer oder Gruppe
    Microsoft Defender for Cloud Apps Instanz
    Lokale Repositorys Repositorydateipfad

  3. Wählen Sie die Bedingungen aus, die erfüllt sein müssen, damit eine Richtlinie auf ein Element angewendet wird: Sie können vorkonfigurierte Bedingungen akzeptieren oder benutzerdefinierte Bedingungen definieren. Einige Beispiele:

    • Das Element enthält eine bestimmte Art vertraulicher Informationen, die in einem bestimmten Kontext verwendet wird. Beispielsweise werden 95 Sozialversicherungsnummern per E-Mail an Empfänger außerhalb Ihrer Organisation gesendet.

    • Das Element verfügt über eine angegebene Vertraulichkeitsbezeichnung.

    • Das Element mit vertraulichen Informationen wird entweder intern oder extern freigegeben.

  4. Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Richtlinienbedingungen erfüllt sind: Die Aktionen hängen vom Speicherort ab, an dem die Aktivität stattfindet. Einige Beispiele:

    • SharePoint/Exchange/OneDrive – Personen außerhalb Ihrer Organisation vom Zugriff auf den Inhalt blockieren. Zeigen Sie dem Benutzer einen Tipp an, und senden Sie ihm eine E-Mail-Benachrichtigung, dass er eine Aktion ausführt, die durch die DLP-Richtlinie untersagt ist.

    • Teams-Chat und -Kanal – Verhindern, dass vertrauliche Informationen im Chat oder Kanal geteilt werden.

Die Bedingungen und die auszuführenden Aktionen werden in einem Objekt definiert, das als „Regel“ bezeichnet wird. Eine Regel wird erstellt, um eine bestimmte Schutzanforderung zu erzwingen. Eine DLP-Richtlinie wird verwendet, um allgemeine Schutzanforderungen zu gruppieren.

Screenshot „Richtlinie zur Verhinderung von Datenverlust“.

Definieren einer neuen DLP-Richtlinie für Microsoft Teams

DLP-Richtlinien können im Microsoft Purview-Complianceportal unter Verhinderung von Datenverlust verwaltet werden. Führen Sie die folgenden Schritte aus, um eine neue DLP-Richtlinie für Teams-Speicherorte zu erstellen:

  1. Wählen Sie im Microsoft Purview-Complianceportal die Option Richtlinien > Verhinderung von Datenverlust aus.

  2. Wählen Sie die Registerkarte Richtlinien und dann + Richtlinie erstellen aus, um den Assistenten zu starten.

  3. Auf der Seite Mit einer Vorlage starten oder eine benutzerdefinierte Richtlinie erstellen können Sie aus verschiedenen Vorlagen für Typen vertraulicher Informationen auswählen, oder Sie können eine benutzerdefinierte Richtlinie erstellen. Treffen Sie Ihre Auswahl, und wählen Sie Weiter aus.

  4. Geben Sie auf der Seite Benennen Sie Ihre Richtlinie einen aussagekräftigen Namen und eine Beschreibung ein, die den Zweck dieser DLP-Richtlinie erläutert. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Speicherorte zum Anwenden der Richtlinie auswählen die Speicherorte aus, die durch die DLP-Richtlinie geschützt werden sollen. DLP-Richtlinien können Teams- und Nicht-Teams-Standorte gleichzeitig enthalten.

    Screenshot „Speicherortoptionen“ in DLP.

  6. Wählen Sie auf der Seite Richtlinieneinstellungen definieren eines der Optionsfelder aus, und wählen Sie dann Weiter aus.

    • Überprüfen und Anpassen von Standardeinstellungen aus der Vorlage

    • Erstellen oder Anpassen einer erweiterten DLP-Regel

  7. Abhängig von der vorherigen Auswahl werden Sie die Richtlinieneinstellungen konfigurieren.

    Wenn Sie Erstellen oder Anpassen der erweiterten DLP-Regel ausgewählt haben, werden Sie neue Regeln mit den folgenden Einstellungen konfigurieren:

    • Bedingungen

    • Ausnahmen

    • Aktionen

    • Benutzerbenachrichtigungen

    • Benutzeraußerkraftsetzungen

    • Schadensberichte

    • Weitere Optionen

    Screenshot „Optionen für Microsoft 365-Aktion“ in DLP.

    Wählen Sie nach dem Konfigurieren der gewünschten Einstellungen Weiter aus.

  8. Auf der Seite Testen oder Aktivieren der Richtlinie können Sie aus verschiedenen Einstellungen auswählen, um die neue DLP-Richtlinie zu aktivieren:

    • Zuerst austesten – Erzwingt die Richtlinie nicht. Sie können auch Richtlinientipps anzeigen, während Sie sich im Testmodus befinden.

    • Sofort einschalten – Aktiviert die Richtlinie direkt nach der Erstellung.

    • Ausgeschaltet lassen – Lässt die Richtlinie deaktiviert.

  9. Wählen Sie Weiter aus, und auf der Seite Überprüfen Ihrer Einstellungen wählen Sie Übermitteln aus.