Data Loss Prevention
Sicherheitsstrategie und Technologien zur Erkennung und Verhinderung des unautorisierten Abflusses sensibler Daten.
Data Loss Prevention (DLP) umfasst Technologien und Prozesse, die verhindern, dass sensible Daten unkontrolliert das Unternehmen verlassen. DLP-Systeme identifizieren, überwachen und schützen vertrauliche Informationen — ob personenbezogene Daten im Sinne der DSGVO, Geschäftsgeheimnisse oder geistiges Eigentum. In Zeiten von Cloud-Nutzung und KI-Anwendungen gewinnt DLP massiv an Bedeutung.
DLP-Typen
| Typ | Einsatzort | Funktion |
|---|---|---|
| Network DLP | Netzwerkperimeter und -verkehr | Überwachung von E-Mail, Web-Traffic und Dateitransfers |
| Endpoint DLP | Arbeitsplätze und mobile Geräte | Kontrolle von USB, Druckern, Clipboard und lokalen Aktionen |
| Cloud DLP | SaaS-Anwendungen und Cloud-Speicher | Überwachung von Uploads, Freigaben und API-Zugriffen |
In der Praxis kombinieren Unternehmen alle drei Typen, um Daten in allen Zuständen zu schützen: Data at Rest (gespeichert), Data in Motion (übertragen) und Data in Use (verarbeitet).
Wie DLP funktioniert
DLP-Systeme erkennen sensible Daten anhand verschiedener Methoden: regelbasierte Erkennung (z. B. Kreditkartennummern, IBAN-Muster), Dokumentenklassifizierung durch Labels und Metadaten, Machine Learning zur Erkennung von Kontext und Verhaltensmustern sowie Fingerprinting für den Abgleich mit bekannten vertraulichen Dokumenten. Bei einem Regelverstoß kann das System warnen, blockieren, verschlüsseln oder den Vorfall an das SIEM melden.
DLP im Kontext von KI
Der Einsatz von KI-Werkzeugen am Arbeitsplatz schafft neue Datenabflussrisiken. Mitarbeitende können versehentlich vertrauliche Informationen in LLM-Prompts eingeben — Kundendaten, Quellcode, Vertragsinhalte oder strategische Dokumente. Ohne DLP-Kontrollen landen diese Daten bei externen KI-Anbietern. Ein souveräner KI-Arbeitsplatz integriert DLP-Mechanismen direkt in die KI-Nutzung: Eingabefilter prüfen Prompts auf sensible Inhalte, Ausgabefilter kontrollieren die Antworten, und ein AI Gateway protokolliert alle Interaktionen.
DLP und Compliance
DLP ist ein zentrales Werkzeug zur Einhaltung regulatorischer Anforderungen. Die DSGVO fordert technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten — DLP liefert diese auf technischer Ebene. Auch ISO 27001 adressiert den Schutz vor Datenverlust in mehreren Controls. Für Unternehmen unter der NIS2-Richtlinie gehört DLP zum geforderten Risikomanagement.
Integration in Zero Trust
In einer Zero-Trust-Architektur ist DLP ein integraler Bestandteil: Datenklassifizierung bestimmt, wer auf welche Informationen zugreifen darf. Conditional-Access-Richtlinien können den Zugriff auf sensitive Daten an bestimmte Geräte, Standorte oder Sicherheitsniveaus koppeln. Und jeder Datenzugriff wird protokolliert und auf Anomalien überwacht.
Relevanz für KMUs
DLP muss kein aufwendiges Großprojekt sein. Microsoft 365 E5 und vergleichbare Lösungen bieten integrierte DLP-Funktionen, die ohne separate Infrastruktur nutzbar sind. Für den Einstieg empfiehlt sich ein fokussierter Ansatz: zuerst die wichtigsten Datentypen identifizieren (personenbezogene Daten, Finanzdaten, geistiges Eigentum), dann Richtlinien im Monitoring-Modus starten und schrittweise verschärfen. Besonders wichtig ist aktuell die Absicherung von KI-Tools, um Shadow AI und unkontrollierten Datenabfluss zu verhindern.