Data Loss Prevention einfach erklärt: Was ist das und wie funktioniert DLP?

Daten sind längst zu einer Art Ressource geworden, ohne die kein Betrieb bestehen kann. Sie zirkulieren durch digitale Systeme, lagern in Clouds und wandern auf Endgeräten zwischen Besprechungen hin und her. Doch was, wenn diese Informationen plötzlich dort landen, wo sie nicht hingehören?

Vielleicht kennen Sie das: Eine Mail geht im Stress des Alltags an den falschen Empfänger oder ein Cloud-Link bleibt unabsichtlich öffentlich zugänglich. Ein falscher Klick, eine versehentliche Freigabe oder ein Cyberangriff – und schon ist der Vorfall passiert. Data Loss Prevention – kurz: DLP – ist die Antwort auf genau dieses Problem. Dabei geht es nicht um komplizierte IT-Spielereien, sondern um den Versuch, vertrauliche Daten im richtigen Moment am falschen Weg zu stoppen.

Das Prinzip von Data Loss Prevention

Unter DLP versteht man ein Schutzsystem, das sensible Daten sowohl vor Verlust als auch vor ungewollter Weitergabe schützt. Es wirkt wie ein Überwachungsmechanismus, der permanent im Verborgenen kontrolliert, was mit kritischen Daten geschieht. Klar ist ja: Datensicherungen helfen erst, wenn ein Verlust eingetreten ist. DLP setzt präventiv an und sorgt idealerweise dafür, dass es gar nicht so weit kommt, dass man eine Wiederherstellung benötigt.

Das Grundprinzip ist einfach: Wichtige Dateien erhalten eine Art Etikett – „vertraulich“, „nur intern“ oder ähnlich. Sobald jemand versucht, sie zu duplizieren, zu verschicken oder in die Cloud-Umgebung hochzuladen, reagiert DLP. Abhängig vom Anwendungsszenario gibt es eine Warnung aus, stoppt die Aktion oder dokumentiert diskret.

Unterschieden wird dabei in drei Zustände:

1. In use – wenn sie aktiv genutzt werden, etwa beim Drucken.

2. In motion – wenn sie über Netzwerke übertragen werden, beispielsweise in einer Nachricht.

3. At rest – wenn sie gespeichert sind, etwa auf einem Datenträger, Notebook oder in der Online-Umgebung.

In allen drei Situationen kann DLP aktiv werden und vertrauliche Daten auf ihrem sicheren Weg halten.

Welche Informationen tatsächlich geschützt werden müssen

Um Data Loss Prevention professionell anzugehen, muss man sich eines klar machen: Nicht alle Daten sind gleich sensibel. Während Produktbilder ohne weiteres geteilt werden dürfen, gilt dies für Bankdaten oder technische Zeichnungen natürlich nicht. Im Sinne der DSGVO sind besonders sensible personenbezogene Informationen alle Formen von personenbezogenen Informationen wie Namen, Adressen, Geburtsdaten oder gar Identifikationsnummern.

Aber auch unternehmensinterne Informationen wie Quellcode, Entwurfsunterlagen oder Forschungsunterlagen sind in vielen Branchen das Herzstück der Unternehmensleistung. Ihr Verlust kann nicht nur Umsätze gefährden, sondern auch Wettbewerbern Vorteile verschaffen.

Hinzu kommen Buchhaltungsinformationen – Kreditkarteninformationen, Kontonummern oder interne Berichte – die ein bevorzugtes Angriffsziel für Cyberkriminelle darstellen. Und schließlich vertrauliche Dokumente wie Geheimhaltungsvereinbarungen oder Rechtsdokumente, die neben dem eigenen Unternehmen oft auch Geschäftspartner betreffen.

Data Loss Prevention verfolgt diese Daten entlang ihres gesamten Datenzyklus: von der Erfassung über Verwendung und Austausch bis hin zur Speicherung und endgültigen Entfernung.

Welche Formen von DLP es gibt

Data Loss Prevention (DLP) ist kein einzelnes Werkzeug, sondern ein Baukasten aus verschiedenen Ansätzen, die sich gegenseitig ergänzen:

• Network-DLP überwacht sämtliche Datenströme, die einen Betrieb verlassen, z. B. über SMTP oder http. Auffällige Datenpakete werden gestoppt. Allerdings bleiben verschlüsselte Verbindungen hier oft ein blinder Fleck.

• Endpoint-DLP setzt direkt am Rechner des Nutzers an. Ein lokales Programm prüft Aktivitäten wie das Kopieren auf Wechselmedien, Druckaufträge, Bildschirmaufnahmen oder lokale Dateien. Diese Nähe macht es besonders wirksam, erfordert aber Verwaltungsaufwand.

• Cloud-DLP berücksichtigt die Realität moderner Arbeitsweisen. Da viele Informationen heute in SaaS-Anwendungen oder Online-Speichern liegen, kontrollieren Cloud-Lösungen Freigaben und scannen Inhalte direkt in den Anwendungen. Die Vielfalt der Anwendungen macht dies jedoch aufwendig.

Am wirkungsvollsten ist DLP, wenn alle drei Komponenten ineinandergreifen – Netzwerk-, Endgeräte- und Cloud-Schutz – und so ein lückenloses Schutznetz bilden.