Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.12 — Datenverlustprävention

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.12 ISO 27001ISO 27002BSI SYS.2.1

Ein Vertriebsmitarbeiter leitet die komplette Kundenliste an seine private E-Mail-Adresse weiter — als Vorbereitung für den Wechsel zur Konkurrenz. Ein Entwickler lädt den Quellcode auf einen persönlichen Cloud-Speicher hoch, „um von zu Hause weiterzuarbeiten”. A.8.12 verlangt Maßnahmen, die den unbefugten Abfluss sensibler Informationen erkennen und verhindern — ob absichtlich oder versehentlich.

Data Leakage Prevention (DLP) ist ein Zusammenspiel aus Technik (Erkennung und Blockierung), Organisation (Klassifizierung und Richtlinien) und Awareness (Sensibilisierung der Beschäftigten).

Was verlangt die Norm?

  • Sensible Daten klassifizieren. Bevor du Datenabfluss verhindern kannst, musst du wissen, welche Daten schützenswert sind. Klassifizierung (A.5.12/A.5.13) ist die Voraussetzung.
  • Abflusskanäle identifizieren. E-Mail, Cloud-Speicher, USB-Geräte, Drucker, Messaging-Dienste, Screenshots, Dateiübertragungen — jeder Kanal muss bewertet werden.
  • Erkennung und Blockierung. DLP-Tools identifizieren, überwachen und blockieren den unbefugten Versand sensibler Daten.
  • Genehmigungsprozesse. Bestimmte Aktionen (z.B. Versand vertraulicher Daten an externe Partner) können nach Genehmigung erlaubt werden.
  • Rechtliche Anforderungen beachten. DLP-Maßnahmen müssen mit Datenschutz- und Arbeitsrecht vereinbar sein.

In der Praxis

Kanäle priorisieren und schrittweise absichern. Beginne mit den häufigsten Abflusskanälen: E-Mail (Anhänge mit sensiblen Daten), Cloud-Uploads (persönliche Cloud-Dienste) und USB-Geräte. Erweitere dann auf Drucken, Messaging und Screenshots.

Monitoring vor Blockierung. Starte im Monitoring-Modus: Erkenne und protokolliere, aber blockiere noch nicht. Analysiere die Ergebnisse, identifiziere Fehlalarme, verfeinere die Regeln. Erst nach einer Kalibrierungsphase schalte auf Blockierung um — mit definierten Ausnahme- und Genehmigungsprozessen.

Content-basierte Erkennung einsetzen. Regelbasierte Erkennung (z.B. Kreditkartennummern, IBAN, Personalausweisnummern) ist der erste Schritt. Fingerprinting (Erkennung spezifischer Dokumente) und Machine Learning ergänzen für komplexere Szenarien.

Ausnahme-Workflow definieren. Manche Datenübertragungen sind geschäftlich notwendig. Ein definierter Genehmigungsprozess — Antrag, Prüfung, Freigabe, Protokollierung — stellt sicher, dass legitime Übertragungen möglich bleiben.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.12 typischerweise diese Nachweise:

  • DLP-Richtlinie — dokumentierte Regeln für Datenabflussverhinderung (→ Datenlöschung und DLP im Starter Kit)
  • DLP-Regelwerk — konfigurierte Erkennungsregeln und Aktionen
  • Vorfallberichte — dokumentierte DLP-Ereignisse mit Reaktion
  • Ausnahme-Protokoll — genehmigte Ausnahmen mit Begründung
  • Betriebsvereinbarung — rechtliche Grundlage für die Überwachungsmaßnahmen

KPI

Anteil der Datenexfiltrationskanäle, die durch DLP-Maßnahmen abgedeckt sind

Gemessen als Prozentsatz: Wie viele der identifizierten Abflusskanäle werden durch DLP-Maßnahmen überwacht oder kontrolliert? Ziel: 100% der kritischen Kanäle.

Ergänzende KPIs:

  • Anzahl der erkannten und verhinderten Datenabfluss-Versuche pro Monat
  • False-Positive-Rate der DLP-Regeln (Ziel: unter 5%)
  • Anteil der sensiblen Dokumente mit angewandter Klassifizierung

BSI IT-Grundschutz

A.8.12 mappt auf BSI-Bausteine mit Fokus auf Datenabflussprävention:

  • SYS.2.1 (Allgemeiner Client) — Anforderung, Datenübertragungswege auf Clients zu kontrollieren (USB, Cloud, E-Mail).
  • SYS.4.1 (Drucker, Kopierer, Multifunktionsgeräte)Kontrolle von Druckausgaben sensibler Informationen.
  • NET.1.1 (Netzarchitektur) — Netzwerkseitige Kontrollen gegen Datenabfluss.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauche ich zwingend ein DLP-Tool für A.8.12?

Die Norm schreibt kein spezifisches Tool vor. Für kleine Organisationen können organisatorische Maßnahmen (Klassifizierung, Zugriffskontrolle, Richtlinien) ausreichen. Ab mittlerer Größe oder bei hohem Schutzbedarf wird ein dediziertes DLP-Tool empfohlen, da manuelle Kontrolle nicht skaliert.

Wie gehe ich mit Fehlalarmen (False Positives) um?

Fehlalarme sind das größte Praxisproblem bei DLP. Beginne mit dem Monitoring-Modus (erkennen, nicht blockieren), analysiere die Ergebnisse und verfeinere die Regeln über mehrere Wochen. Erst wenn die False-Positive-Rate akzeptabel ist, schalte auf Blockierung um.

Muss ich auch den privaten E-Mail-Verkehr der Beschäftigten überwachen?

DLP-Maßnahmen müssen mit dem Datenschutz und dem Arbeitsrecht vereinbar sein. In Deutschland schränkt die private E-Mail-Nutzung am Arbeitsplatz die Überwachungsmöglichkeiten ein. Kläre vor der Einführung eines DLP-Tools die rechtlichen Rahmenbedingungen mit der Rechtsabteilung und dem Betriebsrat.