DLP — Data Loss Prevention
Schützen Sie ausgehende E-Mails vor dem unbeabsichtigten Versand sensibler Daten. DLP erkennt vertrauliche Inhalte und reagiert automatisch.
Was ist DLP?
Data Loss Prevention (DLP) überwacht ausgehende E-Mails und verhindert, dass sensible oder vertrauliche Informationen Ihr Unternehmen unbeabsichtigt verlassen. Typische Anwendungsfälle:
- Ein Mitarbeiter sendet versehentlich eine IBAN oder Kreditkartennummer an eine externe Adresse.
- Ein vertrauliches Dokument wird an den falschen Empfänger gesendet.
- Interne Informationen werden an zu viele externe Empfänger gleichzeitig verschickt.
DLP erkennt solche Situationen automatisch und reagiert je nach Konfiguration — z.B. durch Blockieren, Schwärzen oder Quarantäne.
Aufbau
DLP basiert auf Regelgruppen. Jede Regelgruppe enthält eine oder mehrere Regeln, die festlegen:
- WENN — Welche Inhalte erkannt werden sollen (Erkennung)
- WO — In welchen Teilen der E-Mail geprüft wird (Scope)
- DANN — Was bei einem Treffer passiert (Aktion)
Regelgruppen werden über das Routing bestimmten Absendern und Empfängern zugewiesen.
Regelgruppe erstellen
- Navigieren Sie zu MailGuard > DLP.
- Klicken Sie auf + um eine neue Regelgruppe zu erstellen.
- Vergeben Sie einen Namen und wählen Sie den Modus:
- Durchsetzen: Aktionen werden tatsächlich ausgeführt.
- Audit: Treffer werden nur protokolliert, die E-Mail wird normal zugestellt.
- Fügen Sie eine oder mehrere Regeln hinzu.
- Speichern Sie die Regelgruppe.
- Weisen Sie die Regelgruppe über MailGuard > Routing einer ausgehenden Route zu.
Erkennungstypen
Kategorie: Inhalt
| Erkennungstyp | Beschreibung |
|---|---|
| Schlüsselwörter | Bestimmte Wörter oder Phrasen erkennen (z.B. "vertraulich", "Gehaltsabrechnung"). Optional Groß-/Kleinschreibung beachten. |
| Regex-Muster | Reguläre Ausdrücke für komplexe Muster (z.B. Telefonnummern, Projektnummern). |
| Sensible Daten | Vordefinierte Datentypen wie IBAN, Kreditkartennummern (Visa, Mastercard, Amex), Personalausweisnummern, Steuer-IDs, Sozialversicherungsnummern u.a. Mit automatischer Prüfsummenvalidierung. |
| Datenabgleich (EDM) | Abgleich gegen eine eigene CSV-Datenliste (z.B. Kundennummern, Vertragsnummern). Sie laden die CSV hoch und wählen die zu prüfenden Spalten aus. |
| Dokument-Fingerprint | Erkennt Dokumente die einem Referenzdokument ähnlich sind (z.B. eine vertrauliche Vorlage). Auch leicht veränderte Versionen werden erkannt. |
Kategorie: Dateien
| Erkennungstyp | Beschreibung |
|---|---|
| Dateityp | Bestimmte Dateikategorien erkennen: Office, PDF, Archive, ausführbare Dateien, Skripte, Bilder. |
| Verschlüsselte Dateien | Passwortgeschützte PDF-, ZIP- oder Office-Dateien erkennen. |
| Getarnte Dateien | Dateien erkennen deren tatsächlicher Typ nicht zur Dateiendung passt (z.B. eine EXE-Datei die als PDF getarnt wurde). |
Kategorie: Empfänger
| Erkennungstyp | Beschreibung |
|---|---|
| Empfängeranzahl | Reagiert wenn eine E-Mail an zu viele Empfänger gleichzeitig gesendet wird (z.B. mehr als 5 externe Empfänger). |
Kombinierte Bedingungen
Sie können mehrere Bedingungen mit UND verknüpfen. Alle Bedingungen müssen erfüllt sein, damit die Regel auslöst. Beispiel: "IBAN im Text UND mehr als 3 externe Empfänger".
Prüfbereich (Scope)
Für jede Regel können Sie festlegen, wo geprüft werden soll:
| Bereich | Beschreibung |
|---|---|
| E-Mail-Text | Der Nachrichteninhalt (Body) |
| Betreff | Die Betreffzeile |
| Anhänge | Dateianhänge — unterstützt werden: Office (DOCX, XLSX, PPTX u.a.), PDF, TXT, CSV, JSON, XML, HTML sowie Bilder (per automatischer Texterkennung). |
| Header | E-Mail-Header (z.B. benutzerdefinierte X-Header) |
Aktionen
| Aktion | Beschreibung |
|---|---|
| Blockieren | Die E-Mail wird abgelehnt und nicht zugestellt. Der Absender erhält eine Unzustellbarkeitsbenachrichtigung. |
| Quarantäne | Die E-Mail wird zurückgehalten und kann vom Administrator geprüft, freigegeben oder abgelehnt werden. Der Absender wird benachrichtigt. |
| Schwärzen | Sensible Daten werden durch einen Platzhalter ersetzt (z.B. [REDACTED] oder DE** **** 00). Die E-Mail wird zugestellt. Funktioniert im E-Mail-Text sowie in Office-, PDF-, Text- und Bildanhängen. |
| Anhang entfernen | Betroffene Anhänge werden aus der E-Mail entfernt, der Rest wird zugestellt. |
| Metadaten entfernen | Autor, Kommentare, Änderungsverfolgung und andere Metadaten werden aus Office- und PDF-Anhängen entfernt. |
| BCC-Kopie | Eine Kopie der E-Mail wird an eine Compliance-Adresse gesendet (z.B. compliance@ihredomain.de). |
| Umleiten | Die E-Mail wird an eine andere Adresse umgeleitet statt an den ursprünglichen Empfänger. |
| Protokollieren | Die E-Mail wird normal zugestellt, der Treffer wird im Vorfallprotokoll gespeichert. |
Schwärzungsmodi
| Modus | Beispiel |
|---|---|
| Voll | DE89 3704 0044 0532 0130 00 wird zu [REDACTED] |
| Teilweise | DE89 3704 0044 0532 0130 00 wird zu DE** **** **** **** **** 00 |
Quarantäne
Wenn Sie die Aktion Quarantäne verwenden, können Sie im Tab Quarantäne der Regelgruppe konfigurieren:
- Absender benachrichtigen: Der Absender erhält eine E-Mail, dass seine Nachricht zurückgehalten wurde.
- Ablehnungsbenachrichtigung: Wenn ein Administrator die quarantänisierte Mail ablehnt, erhält der Absender eine Benachrichtigung.
- Benachrichtigungsvorlagen: Sie können eigene HTML-Vorlagen mit Platzhaltern verwenden.
Die Quarantäne-Funktion setzt voraus, dass die globale Quarantäne in den MailGuard-Einstellungen aktiviert ist.
Priorität und Mehrfachtreffer
Wenn mehrere Regeln innerhalb einer Regelgruppe auf eine E-Mail zutreffen, wird die Regel mit der strengsten Aktion angewendet. Die Reihenfolge (von streng nach mild):
Blockieren > Umleiten > Quarantäne > Schwärzen > Anhang entfernen > Metadaten entfernen > BCC-Kopie > Protokollieren
Audit-Modus
Im Audit-Modus werden alle Regeln geprüft und Treffer protokolliert, aber keine Aktionen durchgeführt. Die E-Mail wird normal zugestellt. Nutzen Sie diesen Modus, um neue Regeln zu testen bevor Sie sie scharf schalten.
Vorfälle
Alle DLP-Treffer werden unter Überblick > Vorfälle protokolliert. Dort sehen Sie:
- Welche Regel ausgelöst hat
- Welche Daten erkannt wurden (geschwärzt)
- Welche Aktion durchgeführt wurde
- Absender, Empfänger und Zeitpunkt
Routing
Regelgruppen müssen über MailGuard > Routing einer ausgehenden Route zugewiesen werden. Erst dann werden sie aktiv. Sie können festlegen, für welche Absender und Empfänger die Regelgruppe gelten soll.
Wichtig: Regelgruppen mit einer Empfängeranzahl-Erkennung müssen einer Route mit dem Empfängertyp "Alle Postfächer" zugewiesen werden.
Voraussetzungen
- Aktives MailGuard-Abonnement.
- Korrekt konfigurierte Domain und Mail-Server-Anbindung.
- Mindestens eine ausgehende Routing-Regel.