Implementieren einer Data Control-Richtlinie

Standardmäßig ist Data Control deaktiviert und es sind keine Regeln zur Überwachung oder Einschränkung der Übertragung von Dateien auf Speichergeräte oder in Anwendungen festgelegt. Es empfiehlt sich folgender Umgang mit Data Control:

  1. Machen Sie sich mit Data Control vertraut:

    • Speichergeräte: Data Control fängt alle Dateien ab, die mit Windows Explorer auf ein überwachtes Speichergerät kopiert werden (einschließlich des Windows-Desktops). Dateien, die jedoch direkt in einer Anwendung (z.B. Microsoft Word) gespeichert oder über die Befehlszeile übertragen werden, werden nicht erfasst.

      Über die beiden folgenden Optionen können Sie erzwingen, dass alle Übertragungen auf ein überwachtes Speichergerät mit Windows Explorer erfolgen: „Benutzerbestätigte Übertragungen zulassen“ und „Ereignis protokollieren“ oder „Übertragung sperren und Ereignis protokollieren“. Bei Auswahl beider Optionen blockiert Data Control Versuche, Dateien direkt in einer Anwendung zu speichern oder über die Befehlszeile zu übertragen. Der Benutzer wird in einer Desktop-Benachrichtigung aufgefordert, die Übertragung mit Windows Explorer durchzuführen.

      Wenn eine Data Control-Richtlinie nur Regeln mit der Maßnahme Dateiübertragung zulassen und Ereignis protokollieren umfasst, greift Data Control nicht beim Speichern in einer Anwendung oder der Übertragung über die Befehlszeile. Benutzer können Speichergeräte somit uneingeschränkt nutzen. Data Control-Ereignisse werden jedoch weiterhin ausschließlich bei Übertragungen mit Windows Explorer protokolliert.

      Anmerkung Diese Einschränkung gilt nicht für die Überwachung von Anwendungen.

    • Anwendungen: Data Control greift, wenn Dateien und Dokumente in überwachte Anwendungen hochgeladen werden. Damit nur von Benutzern eingeleitete Dateiübertragungen überwacht werden, werden einige Systemdateiverzeichnisse von Data Control ausgeschlossen.

      Anmerkung Wenn Sie E-Mail-Clients überwachen, scannt Data Control alle Dateianhänge, jedoch nicht den Inhalt von E-Mails. Zum Scannen von E-Mail-Inhalten können Sie Sophos Email Security und Data Protection verwenden.
  2. Überlegen Sie sich, welche Daten einer Kontrolle bedürfen und entsprechende Regeln erfordern. Sophos bietet eine Reihe von Regelvorlagen, die Ihnen die Erstellung der Data Control-Richtlinie erleichtern.
    ACHTUNG Bedenken Sie beim Erstellen von Inhaltsregeln, dass das Scannen von Inhalten sehr rechen- und zeitaufwändig ist. Testen Sie die Inhaltsregel auf jeden Fall vor der Integration in ein umfangreiches Netzwerk.
    Anmerkung Beim Erstellen der ersten Richtlinie empfiehlt sich die Beschränkung auf die Erkennung personenbezogener Daten in Dokumenten. Sophos bietet zu diesem Zweck entsprechende Vorlagen.
  3. Aktivieren Sie Data Control und wählen Sie in den Regeln die Option Dateiübertragung zulassen und Ereignis protokollieren, um kontrollierte Daten zu erkennen, jedoch nicht zu blockieren.
    ACHTUNG Diese Maßnahme sollte zunächst für alle Regeln übernommen werden. So können Sie die Wirksamkeit der Regeln ohne Beeinträchtigung der Benutzerproduktivität testen.
  4. Übertragen Sie die Data Control-Richtlinie zunächst nur auf einige Computer, damit die Analyse ausgelöster Data Control-Ereignisse überschaubar bleibt.
  5. Nutzen Sie die Data Control-Ereignisanzeige, um einen Überblick über die Datennutzung zu erhalten und Schwachstellen in der Testkonfiguration auszumachen (z.B. eine Regel, die zu empfindlich ist und mehr Ereignisse als erwartet erzeugt). Sie können die Ereignisanzeige per Klick auf Ereignisse > Data Control-Ereignisse > aufrufen.
  6. Korrigieren Sie die Richtlinie ggf. nach dem Test und übertragen Sie sie auf eine größere Gruppe von Computern. Jetzt sollten Sie folgende Punkte in Erwägung ziehen:
    • Auswählen der Maßnahmen Benutzerbestätigte Übertragungen zulassen und Ereignis protokollieren oder Übertragung sperren und Ereignis protokollieren für bestimmte Regeln.
    • Legen Sie am besten für jede Gruppe eine eigene Richtlinie an. So können Sie beispielsweise der Personalabteilung die Übertragung personenbezogener Daten erlauben, für die Mitglieder der übrigen Gruppen jedoch unterbinden.

Nähere Informationen zum Einrichten der Data Control-Richtlinie entnehmen Sie bitte der Hilfe zu Sophos Enterprise Console.