Data Loss Prevention (DLP) - Datenverlust verhindern

Data Loss Prevention schützt das, was Unternehmen am meisten wert ist: ihre Daten. Kundendaten, Geschäftsgeheimnisse, Finanzinformationen - DLP stellt sicher, dass diese Informationen nicht unkontrolliert das Unternehmen verlassen.

DLP-Grundarchitektur

Data at Rest (ruhende Daten)

• Daten auf Festplatten, NAS, Cloud-Speicher, Datenbanken
• DLP scannt Speicherorte auf klassifizierte Inhalte
• Findet: Kreditkartennummern in Excel-Dateien auf Dateiserver
• Findet: Kundendaten in falsch konfigurierten Cloud-Buckets
• Aktion: Alert + optional Verschlüsselung erzwingen

Data in Motion (Daten im Netzwerk)

• E-Mails, HTTP/HTTPS-Uploads, FTP, Cloud-Sync
• DLP inspiziert Datentransfers (TLS-Interception nötig!)
• Findet: Kundenliste als Excel-Anhang an externe E-Mail
• Findet: Vertrag-PDF hochgeladen auf consumer-Dropbox
• Aktion: Block, Quarantäne, Benachrichtigung

Data in Use (aktive Nutzung)

• Endpunkt-Agent überwacht Aktionen auf dem Gerät
• Clipboard-Monitoring, Print-Überwachung, USB-Transfer
• Findet: Kopieren von klassifizierten Daten auf USB-Stick
• Findet: Screenshot von vertraulichem Dokument
• Aktion: Block + Alert an Security-Team

Erkenntnis: Effektives DLP kombiniert alle drei Ebenen. Nur E-Mail-DLP ist blind für Web-Uploads und USB; nur Endpoint-DLP ist blind für Cloud-Sync ohne Agent.

Datenklassifizierung als Fundament

Klassifizierungsstufen (typisch)

Stufe	Beschreibung
Öffentlich	Frei zugängliche Informationen
Intern	Nur für Mitarbeiter (kein Schaden bei Verlust)
Vertraulich	Eingeschränkter Personenkreis (Vertragspartner, etc.)
Streng Vertraulich	C-Level, Finanz, HR (höchster Schaden)

Klassifizierungsmethoden

Manuell (Benutzer-basiert):

• Mitarbeiter klassifiziert beim Erstellen: “Vertraulich”
• Vorteil: kontextbewusst
• Nachteil: fehleranfällig, inkonsistent

Automatisch via Regex/Pattern-Matching:

IBAN:            DE[0-9]{2}[0-9A-Z]{18}
Kreditkarte:     [0-9]{4}[- ][0-9]{4}[- ][0-9]{4}[- ][0-9]{4}
Personalausweis: [A-Z]{1}[0-9A-Z]{8}[0-9]{1}
E-Mail (intern): [a-zA-Z0-9._%+-]+@company\.com

Fingerprinting:

• Dokument-Signaturen: Vertrag X.pdf → einzigartiger Hash
• DLP erkennt Kopien/Ausschnitte dieses Dokuments überall
• Vorteil: Dokument-spezifisch, kein Regex nötig
• Einsatz: NDAs, M&A-Dokumente, Quellcode

ML-Klassifizierung (moderne DLP):

• Trainiert auf klassifizierten Dokumenten
• Erkennt ähnliche Inhalte auch ohne exakten Match
• Microsoft Purview: trainierbare Klassifikatoren

Microsoft Purview DLP

Einsatzbereich

• Exchange Online (E-Mail)
• SharePoint Online / OneDrive
• Teams
• Endpoints (mit Defender for Endpoint)
• MCAS (Cloud-App-Sicherheit, für Drittanbieter-Cloud)

Policy-Erstellung (Beispiel: DSGVO-relevante Daten)

Microsoft Purview Compliance Portal:
Data Loss Prevention → Policies → Create Policy

Template: DSGVO
Locations: Exchange, SharePoint, OneDrive, Teams, Devices

Rules:
  Condition: Inhalt enthält:
  → Deutsche IBAN (Sensitive Info Type)
  → Personalausweis-Nummer (Sensitive Info Type)
  → Anzahl: ≥ 5 Instanzen

  Ausnahme: E-Mail an @company.com (intern erlaubt)

  Aktionen:
  → Versand blockieren (externe Empfänger)
  → Compliance-Alert senden (Security-Team)
  → User Policy-Tip: "Diese E-Mail enthält personenbezogene Daten"

Endpoint DLP (Defender-Integration)

• Aktivitäten überwacht: Copy to USB, Print, Upload, Clipboard
• Aktion: Audit (nur loggen) oder Block + User-Benachrichtigung
• Ausnahmen: genehmigte USB-Geräte (Serial Numbers)

DLP-Überwachung

• Purview Activity Explorer: welche Daten gehen wo hin?
• Alerts: bei Richtlinienverstößen
• Reports: Top Policies ausgelöst, Top User

DLP und Datenschutz (DSGVO)

DSGVO erfordert DLP

• Art. 5 (1) f: “angemessene Sicherheit” personenbezogener Daten
• Art. 25: Privacy by Design → DLP als technische Schutzmaßnahme
• Art. 32: “geeignete technische Maßnahmen” → DLP explizit nennbar

DLP selbst unterliegt DSGVO

• DLP überwacht Mitarbeiter-Kommunikation → personenbezogene Verarbeitung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
• Mitarbeiter müssen informiert werden (Transparenz!)
• Betriebsrat: §87 BetrVG Mitbestimmung (Überwachung!)
• Betriebsvereinbarung: was wird überwacht, wie lange gespeichert?

Balance Datenschutz vs. DLP

• DLP-Logs: Löschfrist 90 Tage empfohlen (keine Langzeit-Überwachung)
• Nur Vorfälle dokumentieren (kein Logging aller OK-Transfers)
• Kein Inhalt-Logging bei nicht-Verstößen (Datensparsamkeit)
• Klare Policy: Was ist verboten? Mitarbeiter kennen die Regeln.

DSGVO-Hinweis: Datenverlust ohne DLP kann Bußgelder erhöhen. Ein DLP-Nachweis zeigt “angemessene Maßnahmen” und wirkt bußgeld-mindernd.

DLP-Einführung: Praktische Schritte

Phase 1: Audit-Modus (Monat 1-2)

• DLP aktiv, aber nur loggen (kein Block!)
• False-Positive-Rate messen: wie oft löst DLP fälschlich aus?
• Typisch: 60-80% False Positives beim ersten Rollout
• Policies anpassen: Ausnahmen definieren (HR-Abteilung darf IBANs senden!)

Phase 2: Warn-Modus (Monat 3-4)

• User sieht Warnung, kann übersteuern mit Begründung
• Begründungen sammeln: was sind legitime Ausnahmen?
• Policies weiter verfeinern

Phase 3: Block-Modus (Monat 5+)

• Kritische Policies: Block aktivieren
• Low-Risk-Policies: weiter im Warn-Modus
• Eskalationsprozess: User kann Appeal einreichen

Häufige False-Positive-Szenarien

Abteilung	Problem	Lösung
Buchhaltung	Sendet IBANs täglich (legitim!)	Departement-basierte Ausnahme
HR	Sendet Personalausweis-Nummern für Reiseabrechnung	Departement-basierte Ausnahme
IT	Sendet Test-Kreditkartennummern (Testsystem!)	Speziell gekennzeichnete Dokumente