Schützen Sie ausgehende E-Mails vor dem unbeabsichtigten Versand sensibler Daten. DLP erkennt vertrauliche Inhalte und reagiert automatisch.
Was ist DLP?
Data Loss Prevention (DLP) überwacht ausgehende E-Mails und verhindert, dass sensible oder vertrauliche Informationen Ihr Unternehmen unbeabsichtigt verlassen. Typische Anwendungsfälle:
Ein Mitarbeiter sendet versehentlich eine IBAN oder Kreditkartennummer an eine externe Adresse.
Ein vertrauliches Dokument wird an den falschen Empfänger gesendet.
Interne Informationen werden an zu viele externe Empfänger gleichzeitig verschickt.
DLP erkennt solche Situationen automatisch und reagiert je nach Konfiguration — z.B. durch Blockieren, Schwärzen oder Quarantäne.
Aufbau
DLP basiert auf Regelgruppen. Jede Regelgruppe enthält eine oder mehrere Regeln, die festlegen:
WENN — Welche Inhalte erkannt werden sollen (Erkennung)
WO — In welchen Teilen der E-Mail geprüft wird (Scope)
DANN — Was bei einem Treffer passiert (Aktion)
Regelgruppen werden über das Routing bestimmten Absendern und Empfängern zugewiesen.
Regelgruppe erstellen
Navigieren Sie zu MailGuard > DLP.
Klicken Sie auf + um eine neue Regelgruppe zu erstellen.
Vergeben Sie einen Namen und wählen Sie den Modus:
Durchsetzen: Aktionen werden tatsächlich ausgeführt.
Audit: Treffer werden nur protokolliert, die E-Mail wird normal zugestellt.
Fügen Sie eine oder mehrere Regeln hinzu.
Speichern Sie die Regelgruppe.
Weisen Sie die Regelgruppe über MailGuard > Routing einer ausgehenden Route zu.
Passwortgeschützte PDF-, ZIP- oder Office-Dateien erkennen.
Getarnte Dateien
Dateien erkennen deren tatsächlicher Typ nicht zur Dateiendung passt (z.B. eine EXE-Datei die als PDF getarnt wurde).
Kategorie: Empfänger
Erkennungstyp
Beschreibung
Empfängeranzahl
Reagiert wenn eine E-Mail an zu viele Empfänger gleichzeitig gesendet wird (z.B. mehr als 5 externe Empfänger).
Kombinierte Bedingungen
Sie können mehrere Bedingungen mit UND verknüpfen. Alle Bedingungen müssen erfüllt sein, damit die Regel auslöst. Beispiel: "IBAN im Text UND mehr als 3 externe Empfänger".
Prüfbereich (Scope)
Für jede Regel können Sie festlegen, wo geprüft werden soll:
Bereich
Beschreibung
E-Mail-Text
Der Nachrichteninhalt (Body)
Betreff
Die Betreffzeile
Anhänge
Dateianhänge — unterstützt werden: Office (DOCX, XLSX, PPTX u.a.), PDF, TXT, CSV, JSON, XML, HTML sowie Bilder (per automatischer Texterkennung).
Header
E-Mail-Header (z.B. benutzerdefinierte X-Header)
Aktionen
Aktion
Beschreibung
Blockieren
Die E-Mail wird abgelehnt und nicht zugestellt. Der Absender erhält eine Unzustellbarkeitsbenachrichtigung.
Quarantäne
Die E-Mail wird zurückgehalten und kann vom Administrator geprüft, freigegeben oder abgelehnt werden. Der Absender wird benachrichtigt.
Schwärzen
Sensible Daten werden durch einen Platzhalter ersetzt (z.B. [REDACTED] oder DE** **** 00). Die E-Mail wird zugestellt. Funktioniert im E-Mail-Text sowie in Office-, PDF-, Text- und Bildanhängen.
Anhang entfernen
Betroffene Anhänge werden aus der E-Mail entfernt, der Rest wird zugestellt.
Metadaten entfernen
Autor, Kommentare, Änderungsverfolgung und andere Metadaten werden aus Office- und PDF-Anhängen entfernt.
BCC-Kopie
Eine Kopie der E-Mail wird an eine Compliance-Adresse gesendet (z.B. compliance@ihredomain.de).
Umleiten
Die E-Mail wird an eine andere Adresse umgeleitet statt an den ursprünglichen Empfänger.
Protokollieren
Die E-Mail wird normal zugestellt, der Treffer wird im Vorfallprotokoll gespeichert.
Schwärzungsmodi
Modus
Beispiel
Voll
DE89 3704 0044 0532 0130 00 wird zu [REDACTED]
Teilweise
DE89 3704 0044 0532 0130 00 wird zu DE** **** **** **** **** 00
Quarantäne
Wenn Sie die Aktion Quarantäne verwenden, können Sie im Tab Quarantäne der Regelgruppe konfigurieren:
Absender benachrichtigen: Der Absender erhält eine E-Mail, dass seine Nachricht zurückgehalten wurde.
Ablehnungsbenachrichtigung: Wenn ein Administrator die quarantänisierte Mail ablehnt, erhält der Absender eine Benachrichtigung.
Benachrichtigungsvorlagen: Sie können eigene HTML-Vorlagen mit Platzhaltern verwenden.
Die Quarantäne-Funktion setzt voraus, dass die globale Quarantäne in den MailGuard-Einstellungen aktiviert ist.
Priorität und Mehrfachtreffer
Wenn mehrere Regeln innerhalb einer Regelgruppe auf eine E-Mail zutreffen, wird die Regel mit der strengsten Aktion angewendet. Die Reihenfolge (von streng nach mild):
Im Audit-Modus werden alle Regeln geprüft und Treffer protokolliert, aber keine Aktionen durchgeführt. Die E-Mail wird normal zugestellt. Nutzen Sie diesen Modus, um neue Regeln zu testen bevor Sie sie scharf schalten.
Vorfälle
Alle DLP-Treffer werden unter Überblick > Vorfälle protokolliert. Dort sehen Sie:
Welche Regel ausgelöst hat
Welche Daten erkannt wurden (geschwärzt)
Welche Aktion durchgeführt wurde
Absender, Empfänger und Zeitpunkt
Routing
Regelgruppen müssen über MailGuard > Routing einer ausgehenden Route zugewiesen werden. Erst dann werden sie aktiv. Sie können festlegen, für welche Absender und Empfänger die Regelgruppe gelten soll.
Wichtig: Regelgruppen mit einer Empfängeranzahl-Erkennung müssen einer Route mit dem Empfängertyp "Alle Postfächer" zugewiesen werden.
Voraussetzungen
Aktives MailGuard-Abonnement.
Korrekt konfigurierte Domain und Mail-Server-Anbindung.