CompliantDesk

A.8 Technologische Maßnahmen

A.8.12

Verhinderung von Datenlecks

ISO 27001TISAXDSGVOBSI

Maßnahmen zur Verhinderung von Datenlecks müssen auf Systeme, Netzwerke und Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.

Was fordert dieses Control?

Maßnahmen zur Verhinderung von Datenlecks müssen auf Systeme, Netzwerke und Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.

Warum ist das wichtig?

Data Leakage Prevention erkennt und verhindert den unbefugten Abfluss sensibler Daten, ob versehentlich oder vorsätzlich, über Mail, Web, USB und Cloud.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.2.4Direkt
DSGVOArt. 32Indirekt
BSICON.2Indirekt

Was der Auditor erwartet

  1. 1DLP-Maßnahmen für sensible Datenkanäle
  2. 2Bezug zur Klassifizierung sensibler Daten
  3. 3Reaktion auf erkannte Abflussversuche

Audit-Checkliste

Dokumente

  • DLP-Konzept

    Geschützte Kanäle und Regeln für sensible Daten

Nachweise

  • DLP-Ereignisse

    Erkannte und behandelte Abflussversuche

Technisch

  • DLP-Konfiguration

    Regeln für Mail, Endpoint und Cloud

Praxis-Tipps zur Umsetzung

1

An Klassifizierung koppeln

DLP-Regeln auf als sensibel gekennzeichnete Daten ausrichten.

2

Kanäle abdecken

Mail, Web, USB und Cloud-Uploads gemeinsam betrachten.

3

Erst beobachten

DLP zunächst im Monitoring-Modus testen, um Fehlalarme zu reduzieren.

Häufige Fehler

Nur ein Kanal

Mail-DLP existiert, USB und Cloud bleiben offen.

Zu strikt gestartet

Aggressive Blockregeln stören den Betrieb und werden umgangen.

Häufig gestellte Fragen

Brauchen alle Organisationen DLP?

Der Aufwand ist risikobasiert. Wer viele sensible Daten verarbeitet, profitiert deutlich von DLP.

Wo setzt DLP an?

An Endpunkten, im Mail-Verkehr, im Web-Proxy und in Cloud-Diensten, idealerweise kombiniert.

Wie hängt DLP mit Kennzeichnung zusammen?

DLP wirkt am besten, wenn sensible Daten klassifiziert und gekennzeichnet sind (A.5.12/A.5.13).

So hilft CompliantDesk bei A.8.12

Dokumentieren Sie DLP-Maßnahmen als Kontrolle, verknüpfen Sie sie mit klassifizierten Daten und führen Sie erkannte Vorfälle im Vorfall-Modul.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.12

Klassifizierung von Informationen

A.5.13

Kennzeichnung von Informationen

A.8.24

Einsatz von Kryptografie