2025/10 | Fachbeitrag | IT-Sicherheit / Datenschutz

Datenabflüsse verhindern – in acht einfachen Schritten

Vielen Unternehmen fällt es schwer, die Kontrolle über ihre Daten zu behalten, besonders seit Mitarbeiter vermehrt remote arbeiten und verschiedenste Cloud-Services und KI-Tools nutzen. Data Loss Prevention (DLP) kann den Abfluss sensibler Informationen verhindern, doch die Einführung gilt als komplex und zeitraubend. 

Die Datenmengen in Unternehmen wachsen, und mit ihnen die Herausforderungen beim Schutz der Daten. Denn diese liegen nicht mehr vornehmlich auf gut gesicherten internen Servern, sondern fließen beständig zwischen Endgeräten innerhalb und außerhalb des Firmennetzwerks, lokalen Infrastrukturen und Clouds sowie neuen KI-Tools hin und her. Klassische Sicherheitskonzepte können mit dieser Vielfalt und Dynamik nicht mithalten - Unternehmen müssen die Daten selbst in den Mittelpunkt stellen und detailliert regeln, was mit ihnen getan werden darf und was nicht. Lösungen für Data Loss Prevention (DLP) helfen dabei. Bei ihrer Einführung hat sich nach Erfahrungen von Forcepoint folgendes Vorgehen bewährt:

• Schritt 1: Ziele und Use Cases definieren
  Zunächst müssen Unternehmen klären, welche Ziele sie mit der Einführung einer DLP-Lösung erreichen wollen: Geht es um den Schutz von wertvollem geistigem Eigentum oder regulatorische Vorgaben, etwa in Bezug auf den Datenschutz? Soll eine sichere Basis für hybride Arbeitsmodelle geschaffen werden oder steht die Einführung neuer Cloud-Services und KI-Tools im Vordergrund, die nicht zu Datenabflüssen führen soll? Darauf aufbauend können Unternehmen ein Risikoprofil erstellen, das unter anderem die verschiedenen Arten von zu schützenden Daten, die Kanäle, über die sie abfließen können, sowie die Konsequenzen von Datenabflüssen umfasst.
  
  
• Schritt 2: Implementierungsplan aufsetzen
  Steht fest, welche Daten und Kanäle geschützt werden sollen, lässt sich eine Roadmap für die DLP-Einführung festlegen. Dafür müssen Unternehmen alle Stakeholder an Bord holen und Verantwortlichkeiten klären, etwa wer sich um die Installation und Integration in die bestehende Infrastruktur kümmert, wer die Optimierung von Richtlinien und wer die Bearbeitung von Incidents übernimmt. Gemeinsam kann dann ein Zeitplan erarbeitet werden, der die verfügbaren personellen Ressourcen berücksichtigt und auch Zeit für Tests lässt.
  
  
• Schritt 3: Richtlinien und Workflows definieren
  Sind die Projektmanagement-Vorbereitungen erledigt, lassen sich die Richtlinien ausarbeiten, die die DLP-Lösung später durchsetzen soll. Dafür sollten Experten aus den Fachbereichen hinzugezogen werden, die bei der Einschätzung unterstützen, welche Auswirkungen ein Verlust oder Diebstahl der Daten hätte. Darauf basierend lassen sich für Aktivitäten - etwa den Versand der Daten per E-Mail oder das Hochladen in die Cloud - Aktionen festlegen. Bei unkritischen Daten reicht in der Regel eine Protokollierung, bei anderen Daten ist je nach Kanal und Kritikalität ein Warnhinweis, ein Freigabeprozess oder ein Blockieren der Aktion möglich. Auch eine Verschlüsselung kann erzwungen werden, beispielsweise beim Speichern von Dokumenten auf USB-Sticks. Wichtig ist, dass die Aktionen möglichst automatisiert eingeleitet werden, um das Sicherheitsteam zu entlasten und Verzögerungen für Anwender zu vermeiden. Lediglich Ereignisse mit unbekannten Auswirkungen sollten ein manuelles Eingreifen erfordern: Die entsprechenden Workflows - Wer schaut sich den Vorfall an? Wer entscheidet über die Maßnahmen? - werden ebenfalls in dieser Projektphase festgelegt.
  
  
• Schritt 4: DLP einführen und für das Monitoring nutzen
  Nun folgt die eigentliche Installation und Konfiguration der DLP-Lösung. Bevor diese vollständig scharf geschaltet wird und die Richtlinien durchsetzt, sollte sie zunächst weitgehend passiv genutzt werden - nur für ein Monitoring. Auf diese Weise erhalten Unternehmen einen Einblick in alle Datenbewegungen und die potenziellen Auswirkungen ihrer Richtlinien. Stellen sich diese als zu restriktiv heraus, können sie noch Anpassungen vornehmen. Lediglich Richtlinien, die hochkritische Aktivitäten wie den massenhaften Upload von Daten zu verdächtigen Zielen im Internet betreffen, sollten in dieser Phase tatsächlich durchgesetzt werden. Darüber hinaus ist es oft sinnvoll, den DLP-Einsatz nicht gleich unternehmensweit zu starten, sondern mit einem Kanal wie E-Mail oder Cloud, mit einem Fachbereich oder mit einer Region.
  
  
• Schritt 5: Mit der Durchsetzung von Richtlinien beginnen
  Ist das Feintuning der Richtlinien abgeschlossen, können sie schließlich durchgesetzt werden - auch hier empfiehlt es sich, schrittweise vorzugehen und beispielsweise mit den kritischsten Daten und Kanälen anzufangen. Ein genauer Blick auf das Monitoring ist jedoch weiterhin zu empfehlen, um sicherzustellen, dass Mitarbeiter nicht bei legitimen Aktivitäten behindert und Richtlinien bei Bedarf zügig angepasst werden. Ideal ist es zudem, wenn die DLP-Lösung nicht auf starre Richtlinien setzt, sondern den Kontext von Aktivitäten berücksichtigt und Richtlinien dem Risiko entsprechend verändert. Schließlich zeigt sich oft erst am Kontext, ob eine Aktion harmlos oder sicherheitskritisch ist, etwa weil der Nutzer zu ungewöhnlichen Zeiten oder von unüblichen Orten auf Daten zugreift oder plötzlich deutlich größere Datenmengen als im bisherigen Arbeitsalltag herunterlädt.
  
  
• Schritt 6: Optimierungen vornehmen
  Nachdem die eigentliche DLP-Einführung abgeschlossen ist, ist es an der Zeit für Analysen und Optimierungen. Zeigen sich beispielsweise bestimmte riskante Verhaltensmuster in der Belegschaft, können Unternehmen gezielt Schulungen hierzu ansetzen. Zudem sollte die Wirksamkeit der Richtlinien kontinuierlich überprüft werden. Letztlich ist Datensicherheit ebenso wie die DLP-Einführung keine einmalige Aktion, die irgendwann abgeschlossen ist, sondern sollte immer weiter optimiert werden, um neuen Technologien, Tools, Datentypen und Bedrohungen gerecht zu werden.
  
  
• Schritt 7: DLP unternehmensweit einsetzen
  Abgeschlossen wird die DLP-Einführung mit der Ausweitung des Schutzes auf die verbleibenden Datentypen und Kanäle, die in den Schritten 4 und 5 noch nicht berücksichtigt wurden. Wird eine moderne DLP-Lösungen eingesetzt, lassen sich die bestehenden Richtlinien leicht auf andere Kanälen anwenden, weshalb der Aufwand überschaubar ist. Gegebenenfalls lassen sich bestehende Richtlinien auch replizieren und anpassen, sollte ein Kanal besondere Anforderungen aufweisen.
  
  
• Schritt 8: DLP zum DPSM erweitern
  Der Ausbau einer DLP-Lösung zu einem vollständigen Data Security Posture Management (DSPM) kann die Effektivität der Richtlinien deutlich verbessern. DSPM bietet Funktionen für eine automatische Data Discovery und Datenklassifizierung, sodass Unternehmen keine Datenbestände übersehen und weniger manuellen Aufwand haben. Zudem hilft DSPM, übermäßige Berechtigungen für Dateien aufzuspüren und zu beseitigen und auf diese Weise das Risiko von Sicherheitsverletzungen weiter zu reduzieren. Damit erleichtert es die Umsetzung von Least-Privilege-Prinzipien. Und nicht zuletzt identifiziert ein DSPM auch Daten, die redundant, veraltet oder überflüssig sind und gelöscht werden können, um die Speicherkosten zu senken.

"Eine DLP-Einführung ist kein Mammut-Projekt, wie viele Unternehmen fürchten", betont Fabian Glöser, Team Lead Sales Engineering Nordics, Central & Eastern Europe bei Forcepoint. "Ein strukturiertes Vorgehen sorgt dafür, dass die personellen Ressourcen optimal eingesetzt und die Projektziele nicht aus den Augen verloren werden. Moderne DLP- und DSPM-Lösungen nutzen zudem KI für die Datenklassifizierung und bringen ein fertiges Richtlinien-Set mit, was den manuellen Aufwand signifikant reduziert. In vielen Projekten haben wir Data Discovery und Datenklassifizierung schon nach zwei bis vier Wochen abgeschlossen, wissen, was mit sensiblen Daten geschieht, und können die ersten firmenspezifischen Richtlinien durchsetzen."

Der Autor:

Fabian Glöser, Team Lead Sales Engineering Nordics, Central & Eastern Europe bei Forcepoint. Forcepoint erleichtert die IT-Sicherheit von globalen Unternehmen und Regierungen. Die Data-Security-Everywhere-Architektur von Forcepoint senkt die Hürden bei der Einführung von Zero-Trust-Konzepten und verhindert den Diebstahl oder Verlust von sensiblen Daten sowie geistigem Eigentum, egal von wo aus Mitarbeiter darauf zugreifen. Forcepoint mit Sitz in Austin, Texas, schafft abgesicherte, vertrauenswürdige Umgebungen für Unternehmen und deren Mitarbeiter in mehr als 150 Ländern. 

^{Foto: (C) Forcepoint)}

Web: www.forcepoint.com/de