Verhinderung von Datenverlust

Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist ein Bündel von Strategien, Kontrollen und Technologien, das unbefugte Weitergabe sensibler Daten erkennt, überwacht und unterbindet — sei es vorsätzlich (böswillige Insider, externe Angreifer) oder versehentlich (falsch adressierte E-Mail, fehlkonfigurierte Freigabe). DLP ist weit über seine E-Mail-Scan-Ursprünge hinausgewachsen: modernes DLP umspannt Endgeraete, Netzwerke, Cloud-Anwendungen, E-Mail, Wechselmedien und — zunehmend — GenAI-Prompts und -Antworten.

Die drei klassischen DLP-Kategorien gelten weiterhin 2026: (1) Endpoint-DLP — Agenten auf Mitarbeitergeraeten ueberwachen Dateizugriffe, Zwischenablage, Druck, USB und Bildschirmaufnahmen. (2) Netzwerk-DLP — inspiziert Traffic, der das Unternehmensnetz ueber HTTPS, E-Mail oder Dateitransferprotokolle verlaesst. (3) Cloud-DLP — integriert sich mit SaaS-Anwendungen (Microsoft 365, Google Workspace, Salesforce, Box) per API, um sensible Daten in Cloud-Speichern zu identifizieren und zu schuetzen.

Eine vierte Kategorie hat sich etabliert und ist fuer jede Organisation mit LLM-Einsatz Pflicht: GenAI-DLP. Mitarbeitende, die vertrauliche Daten in ChatGPT, Claude oder Copilot einfuegen, stellen einen wesentlichen Datenabfluss-Vektor dar. Fuehrende DLP-Plattformen (Microsoft Purview, Zscaler, Netskope, Forcepoint) inspizieren inzwischen Prompts und blockieren oder redigieren sensible Inhalte vor der Uebermittlung.

DLP-Klassifizierung ist das Fundament. Sensible Datentypen umfassen typischerweise: personenbezogene Daten (PII) nach DSGVO, Zahlungsdaten (PCI DSS), Gesundheitsdaten (HIPAA), Quellcode, geistiges Eigentum, Kundenlisten, Finanzberichte und Zugangsdaten. Die Klassifizierung erfolgt ueber Musterabgleich (Regex fuer Kartennummern, IBAN), Keyword-Listen, Fingerprinting bestimmter Dokumente und ML-basierte Inhaltsanalyse.

Fuer regulierte europaeische Unternehmen ist DLP nicht optional: DSGVO Art. 32 fordert angemessene technische Massnahmen gegen unbefugte Offenlegung; NIS2 Art. 21(2)(h) listet Kryptographie und Zugriffskontrollen explizit; DORA Art. 9(2) verlangt Schutz der IKT-Systeme vor Informationsabfluss; und ISO 27001:2022 Annex A 8.12 heisst buchstaeblich 'Data leakage prevention' und ist eine neue Kontrolle der 2022er Revision.

Haeufige DLP-Fehlimplementierungen: zu breite Policies, die Alarm-Muedigkeit erzeugen und Teams dazu bringen, das Tool zu deaktivieren, fehlende Sensitivitaets-Labels auf Dokumenten, kein klarer Remediation-Workflow (wer reviewt DLP-Alarme und wie schnell?), Luecken zwischen Endpoint- und Cloud-Abdeckung. Ein gut gefuehrtes DLP-Programm zeigt einen abnehmenden Trend bei False-Positive-Alarmen, sobald Klassifikatoren und Labels reifen, klare MTTR-Metriken fuer bearbeitete Vorfaelle und Nachweise, dass Blockierungen Exfiltration erfolgreich verhindern.

Matproof integriert sich mit Signalen von DLP-Tools (Microsoft Purview, Netskope, Zscaler) und mappt DLP-relevante Kontrollen auf DSGVO Art. 32, NIS2 Art. 21, DORA Art. 9, ISO 27001 A.8.12 und das SOC-2-Confidentiality-Kriterium — sodass eine einzige DLP-Investition alle Frameworks aus einer Evidenz-Pipeline bedient.