IT-Dienstleister
09.10.2025
Data-Loss-Prevention (DLP) mit Microsoft Purview in Microsoft 365
Wer personenbezogene Kundendaten per Outlook, Teams oder OneDrive austauscht, trägt im Mittelstand heute das gleiche Haftungsrisiko wie ein Konzern. Eine Data-Loss-Prevention-Lösung (DLP) in Microsoft 365 sorgt dafür, dass sensible Informationen das Unternehmen nicht unkontrolliert verlassen – in den Microsoft 365‑Diensten ganz ohne zusätzliche Agent-Software.
Warum DLP im Mittelstand jetzt relevant ist
- Datenabfluss passiert meist unbeabsichtigt: falscher Empfänger in Outlook, Copy-&-Paste in Teams oder schnelles Ablegen in der privaten Dropbox
- DSGVO-Bußgelder treffen auch kleinere Unternehmen und können bis zu 4 % des Jahresumsatzes betragen
- Geschäftspartner verlangen Audit-Nachweise, dass personenbezogene Daten, IBANs oder Entwicklungsgeheimnisse geschützt sind
- KI-Tools und Large-Language-Models erhöhen das Risiko, dass vertrauliche Texte in fremde Trainingsdaten wandern
Was ist Data Loss Prevention?
DLP erkennt, protokolliert und blockiert den Abfluss sensibler Daten. „Leakage“ meint versehentliches Teilen, „Loss“ den Verlust durch Diebstahl oder Sabotage. In Microsoft 365 stellt Purview DLP das zentrale Framework bereit – ohne Installationsaufwand auf Exchange Online, Teams oder OneDrive.
So funktioniert Microsoft Purview DLP in Microsoft 365
Geschützte Orte (Locations)
- Exchange Online – ein- und ausgehende E-Mails, Anhänge
- SharePoint & OneDrive – Dateien in Sites, persönlichen Laufwerken
- Microsoft Teams & Chat – Kanal-Posts, 1:1-Nachrichten, Gast-Zugriffe
- Endpoint DLP – Windows 10/11, macOS: USB, Druck, Clipboard, Screenshots
- Browser- & Network DLP (Preview) – Microsoft Edge for Business und ausgewählte Netzwerkprotokolle
Erkennungslogik
- Sensitive Information Types: vordefiniert (IBAN, Steuer-ID, Ausweisnummer) oder eigene Muster
- Trainierbare Klassifizierer für unstrukturierte Texte (z. B. „Lebenslauf“)
- Exact Data Match (EDM) – Hash-basierter Abgleich gegen Quelltabellen (z. B. Kundendatenbank)
Aktionen
- Audit Only – alles wird geloggt, der Benutzer merkt nichts
- Block mit oder ohne Override und Begründung
- Policy Tips: dezente Hinweise in Outlook, Teams & Co. („Achtung, IBAN entdeckt – bitte prüfen“)
Zusammenspiel mit Sensitivity Labels & Governance
Sensitivity Labels beschreiben den Schutzbedarf der Datei („Intern“, „Vertraulich“, „Geheim“). DLP kann diese Labels als Bedingung nutzen und gezielt verschärfen. Beispiel: Nur wenn die PowerPoint „Vertraulich“ gelabelt ist, greift das Druckverbot. Ergänzend beobachtet Insider Risk Management das Benutzerverhalten (z. B. Massen-Downloads), während Information Barriers den Kontakt zwischen Abteilungen verhindern. Alles Teil derselben Purview-Konsole.
DLP & Microsoft 365 Copilot
Microsoft 365 Copilot respektiert vorhandene Labels und DLP-Policies. Trotzdem sollte DLP Uploads in nicht gemanagte AI-Apps blockieren (Edge-Regel). So sichern Sie sich doppelt ab, falls ein Mitarbeiter Text per Copy-&-Paste in ein öffentliches Prompt-Fenster einfügen will.
Lizenzüberblick – was brauche ich wirklich?
- Purview DLP für Mail, SharePoint, OneDrive: in Office 365/Microsoft 365 E3 und höher enthalten; DLP für Teams erfordert Microsoft 365 E5 oder das E5 Compliance Add-on
- Endpoint DLP sowie Browser-/Network DLP: in Microsoft 365 E5 Compliance enthalten oder als entsprechendes Add-on zu E3 buchbar
- Sensitivity Labels (Auto-Labeling): Microsoft Purview Information Protection P2 erforderlich
Details ändern sich laufend – Microsoft liefert die aktuelle Matrix
Fazit
Mit Purview DLP in Microsoft 365 reduzieren mittelständische Unternehmen das Risiko von Bußgeldern oder den schädlichen Abfluss von vertraulichen Daten signifikant – ohne zusätzliche Agents.
Einfach Kontakt aufnehmen – die C. Rudolf Salfer GmbH begleitet Unternehmen aus Mühldorf, Waldkraiburg und ganz Oberbayern bei Microsoft 365 -Projekten
Jetzt DLP-Workshop oder PoC buchen
FAQ – Häufig gestellte Fragen
Was unterscheidet Microsoft Purview DLP von Sensitivity Labels?
Labels klassifizieren Daten, DLP setzt Durchsetzungsregeln. Beides ergänzt sich ideal.
Welche Standorte schützt DLP?
Standard: Exchange, SharePoint, OneDrive, Teams. Add-ons: Endpoint DLP, Edge/Network DLP (Preview).
Welche Lizenz brauche ich für Endpoint DLP?
Microsoft 365 E5 Compliance (oder als entsprechendes Add-on zu E3).
Hilft DLP beim Schutz vor KI-Tools?
Ja, Browser-Regeln in Edge for Business blockieren das Hochladen sensibler Inhalte in nicht gemanagte AI-Apps.
Weiterführend: Microsoft 365 für den Mittelstand — Pläne, Kosten & Praxiseinstieg
