Verhinderung von Datenverlust (Data Loss Prevention, DLP) in Exchange Server.

Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist in Exchange Server wichtig, da die unternehmenskritische E-Mail-Kommunikation häufig vertrauliche Daten umfasst. DLP-Features machen die Verwaltung vertraulicher Daten in E-Mail-Nachrichten einfacher als je zuvor, indem compliance-Anforderungen ausgeglichen werden, ohne die Produktivität der Mitarbeiter unnötig zu beeinträchtigen. Sehen Sie sich das folgende Video an, um einen konzeptionellen Überblick über DLP zu erhalten.

DLP-Richtlinien sind einfache Pakete, bei denen es sich um Sammlungen von Nachrichtenflussregeln (auch als Transportregeln bezeichnet) handelt, die bestimmte Bedingungen, Aktionen und Ausnahmen enthalten, die Nachrichten und Anlagen basierend auf ihrem Inhalt filtern. Sie können eine DLP-Richtlinie erstellen, aber sie nicht aktivieren. Dadurch können Sie Ihre Richtlinien testen, ohne die Nachrichtenübermittlung zu beeinträchtigen. Weitere Informationen finden Sie unter Testen einer Nachrichtenflussregel.

DLP-Richtlinien können die volle Leistungsfähigkeit von Nachrichtenflussregeln nutzen, um Nachrichten während der Übertragung zu erkennen und dann darauf zu reagieren. Beispielsweise kann eine Nachrichtenflussregel eine umfassende Inhaltsanalyse durch Schlüsselwortvergleiche, Wörterbuchvergleiche, Textmustervergleiche durch reguläre Ausdrücke und andere Inhaltsuntersuchungstechniken durchführen, um Inhalte zu erkennen, die gegen die DLP-Richtlinien Ihrer Organisation verstoßen. Der Dokumentfingerabdruck ist auch verfügbar, um Sie bei der Erkennung vertraulicher Informationen in Standardformularen zu unterstützen. Weitere Informationen finden Sie in den folgenden Themen:

Zusätzlich zu den anpassbaren DLP-Richtlinien selbst können Sie E-Mail-Absender darüber informieren, wenn sie gegen eine Ihrer Richtlinien verstoßen, noch bevor sie eine Nachricht senden, die vertrauliche Informationen enthält. Dazu konfigurieren Sie Richtlinientipps. Richtlinientipps enthalten eine kurze Notiz zu möglichen Richtlinienverstößen in Outlook 2013 oder höher, Outlook im Web (früher als Outlook Web App bezeichnet) und Outlook im Web für Geräte. Weitere Informationen finden Sie unter Policy Tips.

Hinweise:

  • DLP ist ein Premium-Feature, für das eine Exchange Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Weitere Informationen zu CALs und Serverlizenzierung finden Sie unter Häufig gestellte Fragen zur Exchange-Lizenzierung.

  • In Hybridumgebungen, in denen sich einige Postfächer in lokalem Exchange befinden und andere sich in Exchange Online befinden, werden DLP-Richtlinien nur in Exchange Online angewendet. Für Nachrichten, die zwischen lokalen Benutzern gesendet werden, sind keine DLP-Richtlinien angewendet, da die Nachrichten die lokale Umgebung nicht verlassen.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit DLP gibt? Weitere Informationen finden Sie unter DLP Procedures.

Einrichten von Richtlinien zum Schutz vertraulicher Daten

Mit den Funktionen zur Verhinderung von Datenverlust können Sie verschiedene Kategorien vertraulicher Informationen ermitteln und überwachen, die Sie im Rahmen Ihrer Richtlinienbedingungen definiert haben, z. B. Personalausweis- oder Kreditkartennummern. Sie haben die Möglichkeit, eigene benutzerdefinierte Richtlinien und Nachrichtenflussregeln zu definieren, oder Sie können die dlp-Richtlinienvorlagen verwenden, die in Exchange enthalten sind, um schnell loszulegen. Eine Richtlinienvorlage ist ein Modell, das eine Reihe von Bedingungen, Regeln und Aktionen enthält, aus denen Sie auswählen können, um eine tatsächliche DLP-Richtlinie zu erstellen und zu speichern, die Ihnen bei der Überprüfung von Nachrichten hilft. Weitere Informationen zu den enthaltenen Richtlinienvorlagen finden Sie unter In Exchange bereitgestellte DLP-Richtlinienvorlagen.

Es gibt drei verschiedene Methoden, die Sie zum Implementieren von DLP verwenden können:

  • Anwenden einer in Exchange bereitgestellten sofort einsatzbereiten Vorlage: Die schnellste Möglichkeit, DLP-Richtlinien zu verwenden, besteht darin, eine neue Richtlinie mithilfe einer Vorlage zu erstellen und zu implementieren. Dies erspart Ihnen die Mühe, einen vollständig neuen Satz an Regeln erstellen zu müssen. Sie müssen wissen, auf welche Art von Daten Sie überprüfen möchten oder welche Compliancebestimmungen Sie behandeln möchten. Sie müssen auch die Erwartungen Ihrer Organisation an die Verarbeitung dieser Daten kennen. Weitere Informationen finden Sie unter IN Exchange bereitgestellte DLP-Richtlinienvorlagen und Erstellen einer DLP-Richtlinie aus einer Vorlage.

  • Importieren einer vordefinierten Richtliniendatei von außerhalb Ihrer Organisation: Sie können Richtlinien importieren, die von unabhängigen Softwareanbietern erstellt wurden. Auf diese Weise können Sie die DLP-Lösung erweitern, um Ihre Geschäftsanforderungen zu erfüllen. Weitere Informationen finden Sie unter Definieren eigener DLP-Vorlagen und Informationstypen undImportieren einer DLP-Richtlinie aus einer Datei.

  • Erstellen einer benutzerdefinierten Richtlinie ohne vorhandene Bedingungen: Ihr Unternehmen hat möglicherweise eigene Anforderungen zum Überwachen bestimmter Datentypen, die in einem Messagingsystem bekannt sind. Sie können eine benutzerdefinierte Richtlinie vollständig selbst erstellen, um Ihre eigenen eindeutigen Nachrichtendaten zu suchen und darauf zu reagieren. Sie müssen die Anforderungen und Einschränkungen der Umgebung kennen, in der die DLP-Richtlinie erzwungen wird, um effektive benutzerdefinierte Richtlinien zu erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie.

Nachdem Sie eine Richtlinie hinzugefügt haben, können Sie ihre Regeln überprüfen und ändern, die Richtlinie deaktivieren oder sie vollständig entfernen. Weitere Informationen finden Sie unter Verwalten von DLP-Richtlinien.

Arten von vertraulichen Informationen in DLP-Richtlinien

Wenn Sie DLP-Richtlinien erstellen oder ändern, können Sie Regeln einschließen, die nach vertraulichen Informationen suchen. Die vertraulichen Informationstypen, die im Thema Typen vertraulicher Informationen in Exchange Server aufgeführt sind, stehen Ihnen zur Verwendung in Ihren Richtlinien zur Verfügung. Sie können die Bedingungen innerhalb einer Richtlinie anpassen, z. B. wie oft etwas gefunden werden muss, bevor eine Aktion ausgeführt wird, oder die auszuführende Aktion. Weitere Informationen zum Erstellen von DLP-Richtlinien finden Sie unter Create a Custom DLP Policy. Weitere Informationen zu Nachrichtenflussregeln finden Sie unter Nachrichtenflussregeln in Exchange Server.

Um Ihnen die Verwendung von Regeln zu erleichtern, die nach vertraulichen Informationen suchen, enthält Exchange Richtlinienvorlagen, die bereits einige der Typen vertraulicher Informationen enthalten. Sie können keine Bedingungen für alle Typen vertraulicher Informationen hinzufügen, da die Vorlagen so konzipiert sind, dass Sie sich auf die gängigsten Arten von compliancebezogenen Daten in Ihrer Organisation konzentrieren können. Weitere Informationen zu den vorgefertigten Vorlagen finden Sie unter DLP-Richtlinienvorlagen, die in Exchange bereitgestellt werden.

Sie können viele DLP-Richtlinien für Ihre Organisation erstellen und alle aktivieren, damit nach vielen verschiedenen Arten von Informationen gesucht wird. Sie können auch eine DLP-Richtlinie erstellen, die nicht auf einer vorhandenen Vorlage basiert. Informationen zum Erstellen einer solchen Richtlinie finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie. Weitere Informationen zu den verfügbaren Typen vertraulicher Informationen finden Sie unter Typen vertraulicher Informationen in Exchange Server.

Sensible Daten mit Dokument Fingerprinting erkannt

Exchange ermöglicht die Verwendung von Dokumentfingerabdrücken , um ganz einfach einen vertraulichen Informationstyp zu erstellen, der auf einem Standardformular basiert.

Richtlinientipps zur Benachrichtigung der Benutzer über die Erwartungen hinsichtlich vertraulicher Inhalte

Sie können Richtlinientipp-Benachrichtigungen verwenden, um E-Mail-Absender über mögliche Probleme mit der Richtlinientreue zu informieren, während diese eine Nachricht erstellen. Wenn Sie einen Richtlinientipp in einer DLP-Richtlinie konfigurieren, wird die Benachrichtigung nur angezeigt, wenn etwas in der E-Mail-Nachricht des Absenders den in Ihrer Richtlinie beschriebenen Bedingungen entspricht. Richtlinientipps ähneln E-Mail-Infos, die in Exchange 2010 eingeführt wurden. Weitere Informationen finden Sie unter Policy Tips.

Erkennen von vertraulichen Informationen und herkömmliche Nachrichtenklassifikation

Ein wichtiger Faktor für die Stärke einer DLP-Lösung ist die Fähigkeit, vertrauliche oder vertrauliche Inhalte richtig zu identifizieren, die für Ihre Organisation, ihre gesetzlichen Anforderungen, ihre geografische Umgebung oder andere geschäftliche Anforderungen eindeutig sein können. Die Exchange DLP-Architektur verwendet eine umfassende Inhaltsanalyse in Verbindung mit Erkennungskriterien, die Sie über Regeln in Ihren DLP-Richtlinien festlegen. Um Datenverlust in Exchange zu verhindern, müssen Sie die entsprechenden Regeln für vertrauliche Informationen konfigurieren, die ein hohes Maß an Schutz bieten und gleichzeitig Unterbrechungen des Nachrichtenflusses minimieren, die durch falsch positive und negative Ergebnisse verursacht werden. Diese Arten von Regeln (die in den DLP-Informationen als Erkennung vertraulicher Informationen bezeichnet werden) funktionieren im Rahmen von Nachrichtenflussregeln, um DLP-Funktionen zu ermöglichen. Weitere Informationen zu diesen Features finden Sie unter Integrieren von Regeln für vertrauliche Informationen in Nachrichtenflussregeln.

Sie können weiterhin herkömmliche Nachrichtenklassifizierungen auf Nachrichten anwenden und diese Klassifizierungen mit der Erkennung vertraulicher Informationen kombinieren. Sie können diese Features zusammen in einer einzelnen DLP-Richtlinie verwenden oder unabhängig (gleichzeitig) betreiben. Weitere Informationen zu den herkömmlichen Exchange 2010-Nachrichtenklassifizierungen finden Sie unter Grundlegendes zu Nachrichtenklassifizierungen.

Informationen zu über DLP verarbeiteten Nachrichten

Informationen zu Nachrichten, die DLP-Richtlinienerkennungen in Ihrer Umgebung enthalten, finden Sie unter Anzeigen von DLP-Richtlinienerkennungsberichten und Erstellen von Incidentberichten für DLP-Richtlinienerkennungen. Daten im Zusammenhang mit DLP-Erkennungen sind stark in die Übermittlungsberichte integriert.

Weitere Informationen