Die meisten Unternehmen filtern eingehende Mails aggressiv: Spam, Phishing, Malware. Was sie verschicken, schauen sie selten genauer an. Genau dort entstehen aber die meldepflichtigen DSGVO-Vorfälle der letzten Jahre – versehentlich angehängte Personalakten, ein „falsches Reply-All" mit Kundenliste, ein Entwickler, der einen API-Key per Mail an einen Dienstleister schickt. Outbound-DLP setzt genau dort an.
Was DLP konkret leistet
Ein modernes Outbound-DLP-System untersucht jede ausgehende Mail eines authentifizierten Users vor der Übergabe an Postfix gegen ein konfigurierbares Policy-Set:
- Strukturierte Erkenner: Kreditkartennummern (mit Luhn-Prüfung), IBANs (Mod-97), Steuer-IDs, US-SSNs – mit Format-Validierung statt blindem Regex, der jede 13-stellige Zahl als Kartennummer markiert.
- Geheimnis-Erkenner: AWS-Access-Keys, GCP-Service-Account-JSON, GitHub-PATs, OpenAI-Keys, generische High-Entropy-Strings – die häufigsten Quellen versehentlicher Credential-Leaks.
- Klassifizierungs-Marker: Schlüsselwörter wie „vertraulich", „streng vertraulich", „interne Verteilung" – konfigurierbar pro Domain und Geschäftsbereich.
- Anhang-Inspektion: Office-Dokumente, PDF-Texte und ZIP-Inhalte werden in dieselbe Pipeline gegeben – nicht nur die Mail-Body.
Das große Problem: False Positives
Naive DLP-Lösungen blockieren so viele legitime Mails, dass die IT die Quarantäne nach drei Wochen abschaltet. SecTepe.Comm geht zwei Wege, um die False-Positive-Rate niedrig zu halten:
- Pro-Policy-Aktion statt globaler Block: Jede Regel kann „log only", „warn user", „quarantine" oder „block" auslösen. Eine IBAN aus einer Buchhaltungsdomain wird geloggt, eine PEM-Private-Key-Zeile aus dem Marketing-Postfach hart blockiert.
- Redacted Snippets statt voller Treffer: Die Match-Ansicht für Admins zeigt nur den maskierten Treffer (z. B.
4111-XXXX-XXXX-1111) – Compliance-konforme Untersuchung ohne neuen Datenleck-Vektor.
Multi-Domain & Per-Domain-Policies
Outbound-DLP entfaltet seinen Wert erst dann richtig, wenn es pro Domain unterschiedlich konfigurierbar ist. Eine Holding mit fünf Tochtergesellschaften will andere Klassifizierungs-Regeln für die Steuerberatung als für die Vertriebs-GmbH. Die SecTepe.Comm-Domain-Registry erlaubt genau diese Granularität – bis hinunter zu Per-Sender- und Per-Empfänger-Ausnahmen.
4-Augen-Release: das fehlende Sicherheitsnetz
Selbst die besten DLP-Regeln produzieren manchmal ein quarantäniertes Anwalts-PDF, das raus muss. Die Alternative zum „Admin entscheidet allein": ein 4-Augen-Approval-Flow. Releases bei Hochrisiko-Verdikten (DLP-Treffer, Sandbox-Bedrohung, Policy-Violation) sind nur möglich, wenn ein zweiter Operator die Freigabe aktiv im UI quittiert. Das ist gleichzeitig ISO-27001-Beleg für „segregation of duties" – ohne Excel-Listen oder Slack-Pings.
Was DLP nicht ersetzt
Ein DLP-System ist kein Ersatz für Awareness, klare Klassifizierungs-Richtlinien und einen vernünftigen Umgang mit Secrets (z. B. einen Vault statt PEM-Files in Mails). Es ist die letzte technische Verteidigungslinie, die menschliche Fehler abfängt – und die Erkenntnisse aus den Treffern liefern oft wertvolles Feedback für Awareness-Schulungen und Prozessanpassungen.
Fazit
Outbound-DLP gehört in jedes ernsthafte Mail-Security-Konzept. Entscheidend ist nicht, dass „DLP an" ist, sondern wie präzise die Regeln sind, wie sauber die Action-Eskalation läuft (warn → quarantine → block) und wie reibungsarm der Release-Prozess ist. SecTepe.Comm liefert dafür das Pattern-Set, die UI und das 4-Augen-Sicherheitsnetz – als Teil der gleichen Plattform, die ohnehin schon die Inbound-Mails filtert.