Einführung in die Funktion zur Verhinderung von Datenverlust im neuen Exchange

Veröffentlichung des Originalartikels: 29.09.2012

Die Funktion Verhinderung von Datenverlust (Data Loss Prevention, DLP) im neuen Exchange ermöglicht mittels einer eingehenden Inhaltsanalyse das Bestimmen, Überwachen und Schützen vertraulicher Informationen in Ihrer Organisation. DLP wird für E-Mail-Systeme von Unternehmen immer wichtiger, da geschäftswichtige E-Mail vertrauliche Daten enthält, die geschützt werden müssen. Es sind die Finanzdaten, personenbezogenen Informationen und sich auf geistiges Eigentum beziehenden Daten, die versehentlich an nicht autorisierte Empfänger gesendet werden können, die für die Sicherheit verantwortlichen Mitarbeitern den Schlaf rauben. Um vertrauliche Daten zu schützen, ohne die Mitarbeiterproduktivität zu beeinträchtigen, bietet die neue Version, Microsoft Exchange Server 2013, DLP-Funktionen, mit deren Hilfe Sie vertrauliche Daten einfacher als je zuvor verwalten können.

Die ersten Schritte mit DLP in Exchange sind mühelos zu bewältigen, da Microsoft eine einfache Verwaltungsoberfläche bietet, die Ihnen Folgendes ermöglicht:

• Beginnen mit einer vorkonfigurierten Richtlinienvorlage, mit deren Hilfe Sie bestimmte Typen vertraulicher Informationen wie PCI-DSS-Daten (Payment Card Industry Data Security Standard), Gramm-Leach-Bliley Act-Daten oder sogar standortspezifisch personenbezogene Daten erkennen können.
• Ausnutzen der vollen Leistungsfähigkeit vorhandener Transportregelprädikate und -aktionen und Hinzufügen neuer Transportregeln
• Testen der Effektivität Ihrer DLP-Richtlinien vor deren vollständiger Erzwingung
• Integrieren eigener benutzerdefinierter DLP-Richtlinienvorlagen und Typen vertraulicher Informationen
• Erkennen vertraulicher Informationen in E-Mail-Anlagen, -Text oder -Betreffzeilen und Anpassen der Vertrauensstufe, bei denen Exchange Maßnahmen ergreift
• Hinzufügen von Richtlinientipps, die helfen können, Datenverluste zu vermeiden, indem Ihren Outlook-Benutzern ein Hinweis angezeigt wird, und die auch die Effektivität Ihrer Richtlinien verbessern können, indem falsch positive Ergebnisse gemeldet werden können
• Überprüfen von Vorfalldaten in Protokollen für die Nachrichtenverfolgung oder Hinzufügen der Berichterstellung mithilfe einer neuen Aktion zum Generieren von Vorfallberichten

Der Einsatz der von Microsoft bereitgestellten DLP-Richtlinienvorlagen erleichtert die ersten Schritte. DLP-Richtlinien sind Zusammenstellungen von Transportregeln mit neuen Features, die Sie anpassen können. Diese Regeln enthalten Klassifizierungstypen für die DLP-Richtlinien, die die Art der gesuchten Inhalte bestimmen. Über die Exchange-Verwaltungsshell, die Exchange-Verwaltungskonsole oder sogar Ihren eigenen XML-Dateieditor können Sie beginnen, DLP-Richtlinien in Ihre E-Mail-Nachrichtenumgebung zu integrieren. Die folgende Abbildung zeigt die DLP-Verwaltungsoberfläche.

Abbildung 1: Verwalten der Funktion zur Verhinderung von Datenverlust (DLP) in der Exchange-Verwaltungskonsole

Für Exchange Server 2013 wurden viele neue Bedingungen und Aktionen für Transportregeln erstellt, um neue DLP-Funktionen bereitzustellen. Ein wichtiges Feature der neuen Transportregeln ist eine neue Methode zum Erkennen vertraulicher Informationen, die in die Verarbeitung des Nachrichtenflusses integriert werden kann. Diese neue DLP-Funktion führt eine eingehende Inhaltsanalyse anhand von Stichwortübereinstimmungen, Wörterbuchübereinstimmungen, der Auswertung regulärer Ausdrücke, interner Funktion wie Bestätigen der Prüfsumme bei Kreditkartennummern sowie anderen Untersuchungsmethoden durch, um bestimmte Inhaltstypen im Nachrichtentext oder Anlagen zu erkennen.

Richtlinientipps, um die Mitarbeiter in Echtzeit zu informieren

Mithilfe der neuen DLP-Features können Sie E-Mail-Absender informieren, dass sie dabei sind, vertrauliche Informationen weiterzugeben, die Ihre Richtlinien erkannt haben, noch bevor Sie auf Senden klicken. Sie können dies erreichen, indem Sie Richtlinientipps konfigurieren. Richtlinientipps funktionieren ähnlich wie E-Mail-Infos und können so konfiguriert werden, dass im Microsoft Outlook 2013-Client dem Benutzer, der eine Nachricht erstellt, ein kurzer Hinweis mit Informationen zu Ihren Unternehmensrichtlinien angezeigt wird. Sie können Richtlinientipps so konfigurieren, dass Mitarbeiter lediglich gewarnt werden, ihre Nachrichten blockiert werden oder ihnen erlaubt wird, Ihre Sperre bei Angabe eines Grunds außer Kraft zu setzen. Richtlinientipps können auch für die Steigerung der Effektivität Ihrer DLP-Richtlinien nützlich sein, da sie Endbenutzern erlauben, falsch positive Ergebnisse mühelos zu melden. Das folgende Bildschirmfoto zeigt einen Richtlinientipp in Aktion.

Abbildung 2: Ein Richtlinientipp informiert Absender über vertrauliche Informationen, bevor sie die Nachricht senden

Festlegen von Richtlinien zum Schutz Ihrer vertraulichen Daten

Um mit dem Einsatz von DLP zu beginnen, stehen Ihnen drei verschiedene Methoden zur Verfügung:

1. Wenden Sie eine von Microsoft bereitgestellte Standardvorlage an. Die schnellste Möglichkeit, um mit der Verwendung von DLP-Richtlinien zu beginnen, ist die Erstellung und Implementierung einer neuen Richtlinie anhand einer Vorlage. Dies erspart Ihnen die Mühe, einen vollständig neuen Satz Regeln zu erstellen.
2. Importieren Sie eine vordefinierte Richtliniendatei aus einer Quelle außerhalb Ihrer Organisation. Sie können Richtlinienvorlagen importieren, die außerhalb Ihrer Nachrichtenumgebung von unabhängigen Softwareanbietern erstellt wurden. Auf diese Weise können Sie die DLP-Lösung erweitern und an Ihre geschäftlichen Anforderungen anpassen.
3. Erstellen Sie eine benutzerdefinierte Richtlinie ohne bereits vorhandene Bedingungen. Ihr Unternehmen hat möglicherweise spezielle Anforderungen an die Überwachung bestimmter Arten von Daten, die bekanntermaßen in E-Mail-Nachrichtensystemen vorhanden sind. Sie können selbst eine benutzerdefinierte DLP-Richtlinie erstellen, um die spezifischen Nachrichtendaten in Ihrer Organisation zu überprüfen und geeignete Aktionen auszuführen.

Typen vertraulicher Informationen in DLP-Richtlinien

Wenn Sie DLP-Richtlinien erstellen, können Sie Regeln verwenden, die eine Überprüfung auf vertrauliche Daten einschließen. Sie können die Bedingungen Ihrer Richtlinien, z. B. wie oft ein Element gefunden werden muss, damit eine Aktion ausgeführt wird oder welche Aktion ausgeführt werden soll, benutzerdefiniert anpassen, um Ihre spezifischen Unternehmensanforderungen zu erfüllen. Vertrauliche Informationsregeln werden durch Hinzufügen einer Bedingung, die Sie anpassen können, mit dem Transportregelsystem integriert: Wenn die Nachricht Folgendes enthält:…Vertrauliche Informationen. Diese Bedingung kann mit einem oder mehreren Typen vertraulicher Informationen konfiguriert werden, die in Nachrichten enthalten sind.

Damit Sie die Regeln in Bezug auf vertrauliche Daten einfacher verwenden können, stellt Microsoft Richtlinienvorlagen bereit, die bereits einige Typen vertraulicher Informationen enthalten. In der TechNet-Bibliothek finden Sie eine Übersicht der Typen vertraulicher Informationen, die standardmäßig zur Verfügung stehen. Hier sehen Sie ein kurzes Beispiel:

Die Verhinderung von Datenverlust (DLP) in Exchange 2013 ist eines der neuen Features mit Schwerpunkt auf Beheben von Compliance-Problemen in E-Mail. Weitere Features sind Compliance-eDiscovery, Compliance-Archivierung, Aufbewahrungsrichtlinien und die Ergänzungen an Transportregeln und der Verwaltung von Informationsrechten (IRM). Wir hoffen, dass Sie mit den Features zur Verhinderung von Datenverlust (DLP) produktiver und sicherer arbeiten können, die dem Schutz vertraulicher Daten in Ihrer Organisation dienen.

John Andrilla

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter Introducing Data Loss Prevention in the New Exchange