Erstellen, Testen und Optimieren einer DLP-Richtlinie

Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) hilft Ihnen, die unbeabsichtigte oder versehentliche Freigabe vertraulicher Informationen zu verhindern.

DLP überprüft E-Mail-Nachrichten und Dateien auf vertrauliche Informationen, z. B. eine Kreditkartennummer. Mithilfe von DLP können Sie vertrauliche Informationen identifizieren und die folgenden Aktionen vorsehen:

  • Protokollieren des Ereignisses zu Überwachungszwecken
  • Anzeigen einer Warnung für den Endbenutzer, der die E-Mail-Nachricht senden oder die Datei freigeben möchte
  • Aktives Blockieren der E-Mail-Nachricht oder der Dateifreigabe

Berechtigungen

Mitglieder des Kompatibilitätsteams, die DLP-Richtlinien erstellen, benötigen Berechtigungen zum Zugreifen auf das Compliance Center. Standardmäßig hat Ihr Mandantenadministrator Zugriff, um Compliance Officern und anderen Personen Zugriff zu gewähren. Führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Gruppe in Microsoft 365, und fügen Sie dieser Compliance Officers hinzu.

  2. Erstellen Sie eine Rollengruppe auf der Seite Berechtigungen des Security & Compliance Center.

  3. Verwenden Sie beim Erstellen der Rollengruppe den Abschnitt "Rollen auswählen", um der Rollengruppe die folgende Rolle hinzuzufügen: DLP-Complianceverwaltung.

  4. Verwenden Sie den Abschnitt Mitglieder auswählen, um die zuvor erstellte Microsoft 365-Gruppe der Rollengruppe hinzuzufügen.

Verwenden Sie die Rolle "View-Only DLP Compliance Management", um eine Rollengruppe mit schreibgeschützten Berechtigungen für die DLP-Richtlinien und DLP-Berichte zu erstellen.

Weitere Informationen finden Sie unter Gewähren des Zugriffs auf das Office 365 Compliance Center.

Diese Berechtigungen sind erforderlich, um eine DLP-Richtlinie zu erstellen und anzuwenden und nicht, um Richtlinien zu erzwingen.

Wie vertrauliche Informationen durch DLP erkannt werden

DLP findet vertrauliche Informationen anhand des Mustervergleichs für reguläre Ausdrücke (RegEx) in Kombination mit anderen Indikatoren, z. B. der Nähe bestimmter Schlüsselwörter zu den Übereinstimmungsmustern. Beispielsweise hat eine VISA-Kreditkartennummer 16 Ziffern. Diese Ziffern können jedoch auf unterschiedliche Weise geschrieben werden, z. B. 1111-1111-1111-1111, 1111 1111 1111 1111 oder 1111111111111111.

Eine 16-stellige Zeichenfolge ist nicht notwendigerweise eine Kreditkartennummer, sie kann eine Ticketnummer von einem Helpdesksystem oder eine Seriennummer eines Hardwaregeräts sein. Um eine Kreditkartennummer von einer harmlosen 16-stelligen Zeichenfolge zu unterscheiden wird eine Berechnung (Prüfsumme) durchgeführt, um zu überprüfen, ob die Zahlen dem bekannten Muster eines der verschiedenen Kreditkartenanbieter entsprechen.

Wenn DLP Schlüsselwörter wie "VISA" oder "AMEX" findet, nahe Datumswerte, die das Ablaufdatum der Kreditkarte sein können, verwendet DLP diese Daten auch, um zu entscheiden, ob es sich bei der Zeichenfolge um eine Kreditkartennummer handelt oder nicht.

DLP ist also intelligent genug, um den Unterschied zwischen diesen beiden Textzeichenfolgen in einer E-Mail zu erkennen:

  • "Können Sie mir einen neuen Laptop bestellen? Use my VISA number 1111-1111-1111-1111, expiry 11/22, and send me the estimated delivery date when you have it."
  • "My laptop serial number is 2222-2222-2222-2222 and it was purchased on 11/2010. By the way, is my travel visa approved yet?"

Siehe Entitätsdefinitionen für Typen vertraulicher Informationen, in denen erläutert wird, wie die einzelnen Informationstypen erkannt werden.

Erste Schritte mit DLP (Verhinderung von Datenverlust)

Wenn die Risiken von Datenverlust nicht ganz offensichtlich sind, ist es schwierig, herauszufinden, wo genau Sie mit der Implementierung von DLP beginnen sollten. Glücklicherweise können DLP-Richtlinien im "Testmodus" ausgeführt werden, sodass Sie ihre Effektivität und Genauigkeit messen können, bevor Sie sie aktivieren.

DLP-Richtlinien für Exchange Online können über das Exchange Admin Center verwaltet werden. Sie können DLP-Richtlinien für alle Arbeitsvorgänge aber auch über das Security & Compliance Center konfigurieren, weshalb ich dies für Demonstrationen in diesem Artikel verwenden werde. Im Security & Compliance Center finden Sie die DLP-Richtlinien unter "Richtlinie zur Verhinderung von Datenverlust". > Wählen Sie "Richtlinie erstellen" aus, um zu starten.

Microsoft 365 bietet eine Reihe von DLP-Richtlinienvorlagen, die Sie zum Erstellen von Richtlinien verwenden können. Nehmen wir an, Sie sind Inhaber eines australischen Unternehmens. Sie können die Vorlagen nach Australien filtern und "Finanzen", "Medizinisches" und "Gesundheit" sowie "Datenschutz" auswählen.

Option zum Auswählen des Landes oder der Region.

Für diese Demonstration wähle ich australische personenbezogene Informationen (PII) aus, welche Informationstypen wie die australische Steuernummer (TFN) sowie die Führerscheinnummer umfassen.

Option zum Auswählen einer Richtlinienvorlage.

Weisen Sie Ihrer neuen DLP-Richtlinie einen Namen zu. Der Standardname entspricht der DLP-Richtlinienvorlage, Sie sollten jedoch einen aussagekräftigeren Namen auswählen, da mehrere Richtlinien aus derselben Vorlage erstellt werden können.

Option zum Benennen der Richtlinie.

Wählen Sie die Orte aus, auf die die Richtlinie angewendet werden soll. DLP-Richtlinien können auf Exchange Online, SharePoint Online und OneDrive for Business angewendet werden. Ich werde diese Richtlinie so konfigurieren, dass sie für alle Orte gilt.

Option zum Auswählen aller Speicherorte.

Akzeptieren Sie beim ersten Richtlinien-Einstellungen Schritt vorerst nur die Standardwerte. Sie können DLP-Richtlinien anpassen, aber die Standardwerte sind ein guter Ausgangspunkt.

Optionen zum Anpassen des zu schützenden Inhaltstyps.

Nachdem Sie auf "Weiter" geklickt haben, wird Ihnen eine Seite mit mehr Richtlinien Einstellungen mit weiteren Anpassungsoptionen angezeigt. Bei einer Richtlinie, die Sie nur testen möchten, können Sie hier einige Anpassungen vornehmen.

  • Ich habe die Richtlinientipps vorläufig deaktiviert. Dies ist sinnvoll, wenn Sie nur einen Test durchführen und den Benutzern noch nichts anzeigen möchten. Richtlinientipps zeigen Benutzern Warnungen an, wenn sie dabei sind, gegen eine DLP-Richtlinie zu verstoßen. So wird einem Outlook-Benutzer beispielsweise eine Warnung angezeigt, dass die von ihm angefügte Datei Kreditkartennummern enthält und seine E-Mail deshalb abgelehnt werden wird. Das Ziel von Richtlinientipps besteht darin, das nicht konforme Verhalten zu beenden, bevor es geschieht.
  • Außerdem habe ich die Anzahl der Instanzen von 10 auf 1 gesenkt, damit diese Richtlinie jede Freigabe von australischen PII-Daten erkennt, und nicht nur die Massenfreigabe der Daten.
  • Ich habe zudem einen weiteren Empfänger zur E-Mail-Adresse für Vorfallsberichte hinzugefügt.

Zusätzliche Richtlinieneinstellungen.

Als Letztes habe ich diese Richtlinie so konfiguriert, dass sie zunächst nur im Testmodus ausgeführt wird. Beachten Sie, dass es hier auch eine Option zum Deaktivieren von Richtlinientipps im Testmodus gibt. Auf diese Weise können die Tipps in der Richtlinie aktiviert werden, und Sie können dann entscheiden, ob Sie sie während des Tests anzeigen oder deaktivieren möchten.

Option zum Testen der Richtlinie zuerst.

Klicken Sie auf dem letzten Überprüfungsbildschirm auf "Erstellen", um die Erstellung der Richtlinie abzuschließen.

Testen einer DLP-Richtlinie

Ihre neue DLP-Richtlinie wird innerhalb ungefähr einer Stunde wirksam. Sie können warten, bis sie durch normale Benutzeraktivitäten ausgelöst wird, oder die Auslösung selbst herbeiführen. Zuvor habe ich mit Entitätsdefinitionen für vertrauliche Informationstypenverknüpft, die Ihnen Informationen zum Auslösen von DLP-Übereinstimmungen bieten.

Die DLP-Richtlinie, die ich für diesen Artikel erstellt habe, wird beispielsweise australische Steuernummern (TFN) erkennen. Gemäß der Dokumentation basiert der Abgleich auf den folgenden Kriterien:

Dokumentation zur Australischen Steuernummer.

Um die TFN-Erkennung auf ziemlich stumpfe Weise zu veranschaulichen, durchläuft eine E-Mail mit den Wörtern "Steuernummer" und einer neunstelligen Zeichenfolge in direkter Nähe problemlos. Der Grund, warum die DLP-Richtlinie nicht ausgelöst wird, ist, dass die neunstellige Zeichenfolge die Prüfsumme übergeben muss, die angibt, dass es sich um einen gültigen TFN und nicht nur um eine harmlose Zahlenzeichenfolge handelt.

Australische Steuernummer, die keine Prüfsumme übergibt.

Im Vergleich dazu löst eine E-Mail mit den Wörtern "Steuernummer" und einem gültigen TFN, der die Prüfsumme übergibt, die Richtlinie aus. Die TFN, die ich hier verwende, wurde übrigens über eine Website erstellt, die gültige, aber nicht echte TFNs generiert. Solche Websites sind nützlich, da einer der häufigsten Fehler beim Testen einer DLP-Richtlinie die Verwendung einer gefälschten Zahl ist, die ungültig ist und die Prüfsumme nicht besteht (und daher die Richtlinie nicht auslöst).

Australische Steuernummer, die die Prüfsumme übergibt.

Die E-Mail-Berichte zu Vorfällen enthalten den Typ der vertraulichen Informationen, die erkannt wurden, die Anzahl der gefundenen Instanzen und das Konfidenzniveau der Erkennung.

Vorfallbericht mit erkannter Steuernummer.

Wenn Sie die DLP-Richtlinie im Testmodus beibehalten und die E-Mailberichte analysieren, können Sie ein Gefühl für die Genauigkeit der DLP-Richtlinie entwickeln und sehen, wie effektiv sie ist, wenn sie durchgesetzt wird. Zusätzlich zu den Vorfallberichten können Sie die DLP-Berichte verwenden, um eine aggregierte Darstellung der Richtlinienübereinstimmungen im gesamten Mandanten anzuzeigen.

Optimieren einer DLP-Richtlinie

Beim Analysieren der Richtlinientreffer sollten Sie einige Anpassungen am Verhalten der Richtlinien vornehmen. Als einfaches Beispiel können Sie feststellen, dass ein TFN in einer E-Mail kein Problem ist (ich bin der Meinung, dass dies immer noch der Fall ist, aber lassen Sie uns dies zur Demonstration verwenden), aber zwei oder mehr Instanzen stellen ein Problem dar. Mehrere Instanzen könnten ein riskantes Szenario darstellen, z. B. das eines Mitarbeiters, der einen CSV-Export aus der Mitarbeiter-Datenbank an eine Drittpartei wie etwa einen externen Buchhaltungsdienst per E-Mail sendet. Das ist definitiv etwas, das erkannt und blockiert werden sollte.

Im Compliance Center können Sie eine vorhandene Richtlinie bearbeiten, um das Verhalten anzupassen.

Option zum Bearbeiten der Richtlinie.

Sie können die Standorteinstellungen so anpassen, dass die Richtlinie nur auf bestimmte Workloads oder auf bestimmte Websites und Konten angewendet wird.

Optionen zum Auswählen bestimmter Speicherorte.

Sie können auch die Richtlinieneinstellungen anpassen und die Regeln so bearbeiten, dass sie Ihren Anforderungen besser entsprechen.

Option zum Bearbeiten der Regel.

Beim Bearbeiten einer Regel innerhalb einer DLP-Richtlinie können Sie Folgendes ändern:

  • Die Bedingungen, einschließlich des Typs und der Anzahl der Instanzen vertraulicher Informationen, durch die die Regel ausgelöst wird.
  • Die dann ausgeführten Aktionen wie z. B. das Einschränken des Zugriffs auf die Inhalte.
  • Benutzerbenachrichtigungen; dabei handelt es sich um Richtlinientipps, die dem Benutzer in dessen E-Mail-Client oder im Webbrowser angezeigt werden.
  • Benutzerüberschreibungen bestimmen, ob Benutzer ihre E-Mail- oder Dateifreigabe trotzdem fortsetzen können.
  • Vorfallberichte, um Administratoren zu benachrichtigen.

Optionen zum Bearbeiten von Teilen einer Regel.

Für diese Demonstration habe ich der Richtlinie Benutzerbenachrichtigungen hinzugefügt (seien Sie vorsichtig, wenn Sie dies ohne ausreichende Benutzerschulung tun), und Benutzern gestattet, die Richtlinie mit einer geschäftlichen Begründung außer Kraft zu setzen, oder indem sie sie als falsch positiv kennzeichnen. Sie können den E-Mail- und Richtlinientipptext auch anpassen, wenn Sie zusätzliche Informationen zu den Richtlinien Ihrer Organisation einschließen möchten, oder Benutzer auffordern, sich bei Fragen an den Support zu wenden.

Optionen für Benutzerbenachrichtigungen und Außerkraftsetzungen.

Die Richtlinie enthält zwei Regeln für die Behandlung von großen und geringen Mengen, deshalb sollten Sie beide hinsichtlich der gewünschten Aktionen bearbeiten. Dies bietet die Möglichkeit, Fälle abhängig von ihren Merkmalen zu behandeln. Sie könnten z. B. Außerkraftsetzungen für Verstöße im Hinblick auf geringe Mengen zulassen, für Verstöße hinsichtlich großer Mengen hingegen nicht zulassen.

Eine Regel für großes Volume und eine Regel für geringes Volume.

Wenn Sie den Zugriff auf Inhalte, die gegen die Richtlinie verstoßen, blockieren oder einschränken möchten, müssen Sie dazu eine Aktion für die Regel konfigurieren.

Option zum Einschränken des Zugriffs auf Inhalte.

Nachdem ich diese Änderungen an den Richtlinieneinstellungen gespeichert habe, muss ich zur Hauptseite "Einstellungen" für die Richtlinie zurückkehren und die Option aktivieren, dass Richtlinientipps für Benutzer angezeigt werden sollen, während sich die Richtlinie im Testmodus befindet. Dies ist eine effektive Möglichkeit, um Ihre Endbenutzer mit DLP-Richtlinien vertraut zu machen, und eignet sich zur Benutzerschulung, ohne zu viele falsch positive Ergebnisse zu riskieren, die sich negativ auf die Mitarbeiterproduktivität auswirken könnten.

Option zum Anzeigen von Richtlinientipps im Testmodus.

Serverseitig (oder cloudseitig) wird die Änderung aufgrund verschiedener Verarbeitungsintervalle möglicherweise nicht sofort wirksam. Wenn Sie eine DLP-Richtlinienänderung vornehmen, durch die neue Richtlinien Tipps für einen Benutzer angezeigt werden, werden diese Änderungen möglicherweise nicht sofort im Benutzer-Outlook-Client wirksam werden, da dieser alle 24 Stunden überprüft, ob es neue Richtlinienänderungen gibt. Wenn Sie die Dinge für den Test beschleunigen möchten, können Sie diesen Registry-Fix verwenden, um den letzten Downloadzeitstempel aus dem PolicyNudges-Schlüssel zu löschen. Outlook wird die neuesten Richtlinieninformationen herunterladen, wenn Sie das Programm das nächste Mal starten und mit dem Verfassen einer E-Mail-Nachricht beginnen.

Wenn Richtlinientipps aktiviert sind, werden dem Benutzer diese Tipps in Outlook angezeigt, und er kann Ihnen etwaige falsch positive Fälle melden.

Richtlinientipp mit Der Option, falsch positive Ergebnisse zu melden.

Untersuchen von falsch positiven Ergebnissen

DLP-Richtlinienvorlagen sind nicht von vornherein perfekt. Es kann vorkommen, dass einige falsch positive Ergebnisse in Ihrer Umgebung auftreten. Deshalb ist es so wichtig, dass Sie eine DLP-Bereitstellung erleichtern, indem Sie sich die Zeit nehmen, Ihre Richtlinien adäquat zu testen und zu optimieren.

Hier sehen Sie ein Beispiel für ein falsch positives Ergebnis. Diese E-Mail ist harmlos. Der Benutzer teilt jemandem lediglich seine Mobiltelefonnummer mit und schließt die eigene E-Mail-Signatur mit ein.

E-Mail mit falsch positiven Informationen.

Dem Benutzer wird jedoch ein Richtlinientipp angezeigt mit der Warnung, dass die E-Mail vertrauliche Informationen enthält, nämlich eine australische Führerscheinnummer.

Option zum Melden falsch positiver Ergebnisse im Richtlinientipp.

Der Benutzer kann die falsch positiven Informationen melden, und der Administrator kann überprüfen, warum es dazu gekommen ist. Im E-Mail-Bericht zu dem Vorfall wird die E-Mail als falsch positives Ereignis gekennzeichnet.

Vorfallbericht mit falsch positivem Ergebnis.

Dieser Führerscheinfall ist ein gutes Beispiel, das wir uns näher anschauen sollten. Der Grund für dieses falsch positive Ergebnis ist, dass der "Australian Driver's License"-Typ durch eine beliebige 9-stellige Zeichenfolge (auch eine Zeichenfolge, die Teil einer 10-stelligen Zeichenfolge ist) ausgelöst wird, innerhalb von 300 Zeichen näher an den Schlüsselwörtern "Telemetr nsw" (Groß-/Kleinschreibung nicht beachtet). Hier wird sie also durch die Telefonnummer und die E-Mail-Signatur ausgelöst, nur weil der Benutzer zufällig in Sydney ist.

Eine besteht darin, den Informationstyp "australischer Führerschein" aus der Richtlinie zu entfernen. Sie ist darin enthalten, weil sie Teil der DLP-Richtlinienvorlage ist, wir sind jedoch nicht gezwungen, sie zu verwenden. Wenn Sie nur an Steuernummern und nicht an Führerscheinnummern interessiert sind, können Sie diesen Informationstyp einfach entfernen. So können Sie ihn beispielsweise aus der Regel zu geringen Mengen in der Richtlinie entfernen, ihn in der Regel zu großen Mengen hingegen belassen, sodass Listen mehrerer Führerscheinnummern weiterhin erkannt werden.

Eine weitere Möglichkeit besteht darin, die Instanzenanzahl zu erhöhen, sodass ein geringes Volumen von Treiberlizenzen nur erkannt wird, wenn mehrere Instanzen vorhanden sind.

Option zum Bearbeiten der Instanzenanzahl.

Zusätzlich zum Ändern der Instanzenanzahl können Sie auch die Übereinstimmungsgenauigkeit (oder Konfidenzniveau) anpassen. Wenn Ihr Typ vertraulicher Informationen mehrere Muster aufweist, können Sie die Übereinstimmungsgenauigkeit in Ihrer Regel so anpassen, dass Letztere nur auf bestimmte Muster ausgerichtet ist. Um falsch positive Ergebnisse zu vermeiden, können Sie beispielsweise die Übereinstimmungsgenauigkeit Ihrer Regel so festlegen, dass sie nur dem Muster mit dem höchsten Konfidenzniveau entspricht. Weitere Informationen zu Konfidenzniveaus finden Sie unter Verwenden des Konfidenzniveaus, um Ihre Regeln zu optimieren.

Wenn Sie noch weiter fortgeschritten sein möchten, können Sie jeden vertraulichen Informationstyp anpassen. Sie können z. B. "Australia NSW" aus der Liste der Schlüsselwörter für die Australische Führerscheinnummerentfernen, um das oben ausgelöste falsch positive Ergebnis zu entfernen. Informationen dazu mithilfe von XML und PowerShell finden Sie unter Anpassen eines integrierten vertraulichen Informationstyps.

Aktivieren einer DLP-Richtlinie

Wenn Ihre DLP-Richtlinie vertrauliche Informationstypen genau und effektiv zu Ihrer Zufriedenheit erkennt und Ihre Endbenutzer ausreichend auf den Umgang mit den Richtlinien vorbereitet sind, können Sie die Richtlinie aktivieren.

Option zum Aktivieren der Richtlinie.

Wenn Sie darauf warten, dass die Richtlinie wirksam wird, stellen Sie eine Verbindung mit dem Security & Compliance Center PowerShell her, und führen Sie das Get-DlpCompliancePolicy-Cmdlet aus, um den DistributionStatus anzuzeigen.

Ausführen des Cmdlets in PowerShell.

Nachdem Sie die DLP-Richtlinie aktiviert haben, sollten Sie einige eigene abschließende Tests durchführen, um sicherzustellen, dass die erwarteten Richtlinienaktionen auftreten. Wenn Sie Dinge wie Kreditkartendaten testen möchten, finden Sie auf spezifischen Websites Informationen dazu, wie Sie Beispiel-Kreditkarten- oder andere persönliche Informationen generieren können, die die Prüfsummen zurückgeben und Ihre Richtlinien auslösen werden.

Richtlinien, die Benutzern Außerkraftsetzungen gestatten, bieten diese Option im Rahmen des Richtlinientipps.

Richtlinientipp, der die Außerkraftsetzung durch Benutzer ermöglicht.

Richtlinien, die den Zugriff auf Inhalte einschränken, zeigen dem Benutzer die entsprechende Warnung als Teil des Richtlinientipps an und verhindern, dass sie die E-Mail versenden.

Richtlinientipp, dass Inhalte eingeschränkt sind.

Zusammenfassung

Richtlinien zur Verhinderung von Datenverlust sind für Organisationen aller Art hilfreich. Das Testen einiger DLP-Richtlinien ist aufgrund der Kontrolle über Richtlinientipps, Außerkraftsetzungen von Endbenutzern und Vorfallberichten eine Übung mit geringem Risiko. Sie können in aller Ruhe einige DLP-Richtlinien testen, um zu sehen, welche Art von Verstößen bereits in Ihrer Organisation vorkommen, und dann Richtlinien mit niedrigen falsch positiven Ergebnisraten erstellen, Ihre Benutzer darin schulen, was erlaubt und was nicht zulässig ist, und schließlich Ihre DLP-Richtlinien in der Organisation bereitstellen.