Datensicherheit in Exchange 2016

Data Loss Prevention (DLP) in Exchange 2013/2016

| Autor: Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Seit Exchange 2013, und auch in Exchange 2016, gibt es neue Funktion zur Verhinderung von Datenverlust. Diese trägt die Bezeichnung Data Loss Prevention (DLP) und stellt eine Erweiterung der Transportregeln dar.

DLP-Richtlinien sind Regeln mit verschiedenen Bedingungen. Diese bestehen aus Transportregeln, Aktionen und Ausnahmen. DLP soll verhindern, dass Anwendern absichtlich oder versehentlich wichtige Daten per E-Mail an externe Empfänger senden. DLP-Richtlinien können die Funktionen vorhandener Transportregeln nutzen. Sie können die DLP-Richtlinien über Cmdlets in der Exchange Management Shell verwalten, aber auch im Exchange Admin Center. Verhinderung von Datenverlust ist ein Premium-Feature, für das eine Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Diese müssen Sie für Postfächer erwerben, welche diese Funktion nutzen wollen.
Neu seit Exchange 2013 SP1 ist in diesem Bereich "Dokumentfingerabdrücke verwalten" im Bereich Verwaltung der "Compliance\Verhinderung von Datenverlust". Die Funktion erkennt interne Formulare und kann verhindern, dass Daten aus den Formularen nach extern gesendet werden. Diese Technik ist auch in Exchange 2016 integriert. Sie müssen keine eigenen Regeln erstellen, sondern können vorgefertigte Regeln verwenden. Dazu bietet Exchange Vorlagen auf deren Basis Sie die Einrichtung starten.
Sie können alle standardmäßig installierten DLP-Vorlagen anpassen oder ohne Änderung in Ihrer Organisation einsetzen. DLP-Richtlinienvorlagen verwenden vor allem Transportregeln, die Bedingungen und Aktionen enthalten. Am schnellsten erstellen Sie eine DLP-Richtlinie im Exchange Admin Center: Navigieren Sie im Exchange Admin Center zu "Verwaltung der Compliance/Verhinderung von Datenverlust", und klicken Sie auf "Hinzufügen". Wählen Sie über "Weitere Optionen" die von Ihnen gewünschten Einstellungen aus. Der Standardmodus für eine Richtlinie besteht aus einem Test ohne Aktionen. Das heißt, Exchange kann DLP einführen, ohne tatsächlich die E-Mails zu beeinflussen. Auf diese Weise lassen sich besser Tests durchführen.
Einige Richtlinien ermöglichen das Hinzufügen von Regeln, welche die Rechteverwaltung (RMS) für E-Mails verwenden. Sie müssen RMS in Exchange konfigurieren, bevor Sie die Aktionen nutzen können. Die Rechteverwaltung ist eine eigenständige Funktion, die sich aber mit DLP verbinden lässt.

Für jede DLP-Richtlinie können Sie einen von drei Modi auswählen:

    • Erzwingen -- Regeln in der Richtlinie gelten für alle E-Mails. Exchange kann E-Mails blockieren, wenn DLP Daten findet, welche die Bedingungen der Richtlinie erfüllen. Alle in der Richtlinie festglegeten Aktionen werden aktiv ausgeführt.
    • DLP-Richtlinie mit Richtlinientipps testen -- Regeln in der Richtlinie werden für alle E-Mails ausgewertet. E-Mails werden nicht blockiert. Wenn Sie Richtlinientipps konfiguriert haben, werden sie den Benutzern angezeigt. Anwender erhalten also eine Information, wenn Sie geheime Daten versenden wollen.
    • DLP-Richtlinie ohne Richtlinientipps testen -- Regeln in der Richtlinie werden ausgewertet, wie bei den anderen Modi. Exchange blockiert außerdem keine E-Mails und zeigt Anwendern auch keine Informationen an.