Microsoft Purview DLP | Exchange Online: Blockieren, Verschlüsseln & Genehmigen

E-Mail ist der Dinosaurier der digitalen Kommunikation – und trotz Teams oder Slack immer noch das Einfallstor Nummer eins für Datenverlust. Ob ein falscher Empfänger im „Cc“, ein unbedachtes „Reply All“ oder der gut gemeinte Versand einer Excel-Liste an die private Adresse, um am Wochenende weiterzuarbeiten: Sobald eine E-Mail deinen Tenant verlässt, verlierst du die Kontrolle.

Jetzt gehen wir in die Praxis. Exchange Online ist oft der erste Workload, den Unternehmen absichern, denn hier ist der ROI (Return on Invest) für die Sicherheit am schnellsten sichtbar.

Doch Vorsicht: Exchange DLP bedeutet nicht zwangsläufig „Blockieren„. In der modernen Welt ist DLP oft ein Enabler. Statt den Versand sensibler Daten zu verbieten, können wir ihn mittels Office 365 Message Encryption (OME) automatisch absichern. So wird aus einem Sicherheitsrisiko ein geschützter Geschäftsprozess.

In diesem Guide bauen wir gemeinsam vier praxisnahe Szenarien, die aufeinander aufbauen:

1. Die „Notbremse“: Blockieren von hochsensiblen Daten an externe Empfänger.
2. Der „Sicherheitsgurt“: Automatische Verschlüsselung, wenn Vertrauliches versendet wird.
3. Die „Interne Firewall“: Verhindern, dass Daten zwischen Abteilungen fließen.
4. Der „Kontrollraum“: Kontrollinstanz (Manager Approval) für komplexere Themen.

Vorbereitung & Voraussetzungen

Bevor wir konfigurieren, ein kurzer Check der Rahmenbedingungen. Viele Admins befürchten bei DLP komplexe Rollouts oder hohe Kosten. Bei Exchange Online ist das unbegründet.

Der Schutz von E-Mails („Data in Transit“) ist in Microsoft 365 Business Premium und E3 bereits enthalten. Du benötigst für diesen Guide keine teuren E5-Upgrades.

Möchtest du mehr dazu wissen? 👉 Hier geht es zur detaillierten DLP-Übersichtsseite [Microsoft Purview DLP | Architektur & Strategie-Guide], wo wir alle Lizenzmodelle und Funktionsunterschiede beleuchten.

Hinweis zu Shared Mailboxes: Die DLP-Regeln greifen standardmäßig auch für geteilte Postfächer, sofern der sendende Benutzer über eine gültige Lizenz verfügt.

In diesem Artikel konzentrieren wir uns auf „DLP für Exchange Online„

Der Startpunkt für alle Szenarien

Egal ob wir blockieren, verschlüsseln oder genehmigen, die Konfiguration beginnt immer an derselben Stelle. Wir arbeiten hier nicht im klassischen Exchange Admin Center, sondern zentral im Microsoft Purview Portal (ehemals Compliance Center).

1. Öffne das Microsoft Purview Portal.
2. Navigiere in der linken Leiste zu Verhinderung von Datenverlust (Data loss prevention).
3. Klicke im Menü auf Richtlinien (Policies).

Szenario A: Notbremse (Blockieren externer Freigaben)

In diesem Szenario bauen wir eine klassische „Data Leakage“-Schutzmauer. Ziel ist es, den Abfluss hochkritischer Daten (wie Kreditkartennummern oder interne Projekt-Codes) an externe Empfänger zu stoppen. Wir wählen hier bewusst den Ansatz „Benutzerdefiniert“ (Custom), damit du die Logik hinter den Regeln verstehst, anstatt dich blind auf Templates zu verlassen.

Schritt 1: Policy-Erstellung & Location

Navigiere im Microsoft Purview Portal zu DLP (Verhinderung von Datenverlust) (Data loss prevention) > Richtlinien (Policies) und klicke auf Richtlinie erstellen (Create policy).

1. Welche Informationen sind zu schützen?
   • Im ersten Schritt fragt der Assistent nach dem Bereich.
   • Hier wählen wir Unternehmensanwendungen & Geräte (Enterprise applications & devices) aus. (Hinweis: Je nach Ansicht kann dieser Schritt variieren, führt aber zur Kategorie-Auswahl).
     
2. Kategorie wählen:
   • Wähle Benutzerdefiniert (Custom) und dann Benutzerdefinierte Richtlinie (Custom policy).
   • Warum? Zwar gibt es Templates für „Finanzdaten“, aber wir wollen volle Kontrolle über die Aktionen haben.
     
3. Name & Beschreibung:
   • Gib der Policy einen sprechenden Namen, z. B. DLP-EXO-Block-Financial-External.
   • Eine gute Beschreibung hilft deinem Team später, den Zweck zu verstehen.
     
4. Standorte (Locations) – WICHTIG:
   • Jetzt kommt der entscheidende Schritt. Standardmäßig aktiviert Microsoft oft alle Locations.
   • Deaktiviere SharePoint, OneDrive, Teams und Geräte (Devices).
   • Setze den Haken NUR bei Exchange-E-Mail (Exchange email).

Warum diese Trennung? DLP-Regeln für E-Mails funktionieren technisch anders als für ruhende Dateien (SharePoint). Wenn du alle Locations in eine Policy packst, wirst du später Schwierigkeiten haben, spezifische Aktionen (wie „Verschlüsseln“ oder „Moderieren„) zu definieren, da diese Option für SharePoint so nicht existiert. „Keep it simple“ ist die Devise für saubere Fehlersuche.

Schritt 2: Die Bedingungen (Conditions)

Im Schritt Richtlinieneinstellungen definieren (Define policy settings) wählst du Erweiterte DLP-Regeln erstellen oder anpassen (Create or customize advanced DLP rules). Klicke auf Regel erstellen (Create rule).

Eine DLP-Regel benötigt immer eine Logik nach dem Prinzip: WENN [Inhalt sensibel] UND [Empfänger extern] DANN [Aktion].

• Inhalt definieren:
  • Klicke auf Bedingung hinzufügen (Add condition) > Inhalt enthält (Content contains) > Typen vertraulicher Informationen (Sensitive info types).
  • Suche und wähle hier die Klassiker:
    • Kreditkartennummer (Credit Card Number)
    • Internationale Kontonummer (IBAN) (IBAN)
    • Deutsche Personalausweisnummer (Germany Identity Card Number)
  • Tipp: Du kannst hier auch eigene „Stichwortwörterbücher“ (Keyword Dictionaries) hinterlegen, etwa für interne Projektnamen (z. B. „Projekt Phoenix“).
    
• Richtung definieren:
  • Füge eine weitere Bedingung hinzu: Inhalt wird von Microsoft 365 aus freigegeben (Content is shared from Microsoft 365).
  • Wähle die Option: an Personen außerhalb meiner Organisation (with people outside my organization).

Die Logik: Diese Kombination stellt sicher, dass interne Mails (z. B. an die Buchhaltung) nicht blockiert werden. Die Regel greift nur, wenn Daten den sicheren Hafen deines Tenants verlassen.

Schritt 3: Die Aktion (Block & Benachrichtigung)

Wenn der Trigger auslöst, muss Exchange handeln. Scrolle im Regel-Editor runter zum Bereich Aktionen (Actions).

1. Blockieren (Restrict access):
   • Füge die Aktion hinzu: Zugriff einschränken oder Inhalt an Microsoft 365-Speicherorten verschlüsseln (Restrict access or encrypt the content…).
   • Wähle die Option: Jeden blockieren (Block users from sending email).
   • Effekt: Die E-Mail verlässt den Postausgangsserver nicht und der Absender erhält einen Unzustellbarkeitsbericht (NDR).
     
2. Benutzer benachrichtigen (User notifications):
   • Ein stilles Blockieren erzeugt Frust und Tickets. Aktiviere den Schalter Benutzer benachrichtigen… (Use notifications…).
   • Dies sorgt dafür, dass der Nutzer in Outlook einen Richtlinientipp (Policy Tip) sieht – also einen gelben Balken, noch bevor er sendet.
     
3. Das Ventil (User Overrides):
   • Scrolle zu Benutzer darf die Einschränkungen außer Kraft setzen (User overrides).
   • Aktiviere: Mitarbeiter dürfen die Richtlinie außer Kraft setzen… (Allow users to override policy restrictions).
   • Wähle zwingend: Eine geschäftliche Begründung für das Außerkraftsetzen anfordern (Require a business justification to override).

Tipp: Warum erlauben wir das Umgehen der Blockade? Weil DLP nie zu 100% perfekt ist. Vielleicht muss die HR-Abteilung dringend Daten an einen externen Prüfer senden und die Frist läuft ab. Mit dem Override ermöglichst du den Geschäftsprozess, protokollierst aber die Begründung („Justification„) für das Audit. Das ist der ideale Kompromiss zwischen Sicherheit und Produktivität.

Szenario B: Der Sicherheitsgurt (Verschlüsselung)

Während wir im ersten Szenario die „Notbremse“ gezogen haben, kümmern wir uns jetzt um den realen Geschäftsalltag. Daten müssen das Haus verlassen – sei es ein Vertragsentwurf an einen Partner, Gehaltsdaten an den Steuerberater oder Patientendaten an eine Versicherung. Ein pauschales Blockieren wäre hier ein „Business Blocker“.

Statt den Versand zu verhindern, nutzen wir DLP als Enabler: Wir zwingen das System dazu, die Nachricht automatisch zu verschlüsseln, falls der Absender es vergessen hat. Das ist der „Sicherheitsgurt“: Du darfst fahren, aber nur angeschnallt.

Der Clou: Wir müssen dem System nicht neu beibringen, was „vertraulich“ ist. In den vorangegangenen Artikeln „Sensitivity Labels: Architektur & Praxis“ sowie „Automatisierte Anwendung von Sensitivity Labels“ haben wir bereits definiert, wie du Daten klassifizierst (Tagging). Auf diese Vorarbeit greifen wir jetzt zurück: Sobald eine E-Mail oder ein Anhang das Label „Vertraulich“ trägt, wendet DLP automatisch die Office 365 Message Encryption (OME) an.

Office 365 Message Encryption (OME) arbeitet intelligent im Hintergrund. Die Benutzererfahrung (User Experience) hängt davon ab, welchen E-Mail-Dienst der Empfänger nutzt:

• Microsoft 365 / Outlook: Die Mail wird automatisch entschlüsselt und ist sofort lesbar (markiert durch ein Schloss-Symbol).
  
• Externe (Gmail, GMX): Der Empfänger erhält einen Link zum OME-Portal und öffnet die Mail sicher per Einmal-Code (OTP) oder Google-Login.
  
• Anhänge: Werden ebenfalls verschlüsselt und sind nur nach Authentifizierung lesbar.

Schritt 1: Die Regel bauen (Labels als Trigger)

Zeit ist Geld! Anstatt eine neue Richtlinie komplett von null zu konfigurieren und alle Speicherorte (Locations) erneut auszuwählen, kopieren wir einfach unsere bestehende Richtlinie aus Szenario A. Das stellt sicher, dass wir konsistente Einstellungen haben (z. B. nur Exchange Online ausgewählt) und spart Klicks.

Wir passen in der Kopie nur die Logik an: Anstatt nach Mustern wie Kreditkartennummern zu suchen, nutzen wir die Vorarbeit aus deiner Information-Protection-Strategie. Der Vorteil: DLP muss nicht mehr raten, ob ein Inhalt sensibel ist. Wenn ein User das Dokument bereits als „Vertraulich“ klassifiziert hat, vertraut DLP dieser Einschätzung und erzwingt die Verschlüsselung am Gateway.

1. Richtlinie duplizieren:
   • Navigiere im Purview Portal zu DLP (Verhinderung von Datenverlust) > Richtlinien.
   • Markiere die Checkbox neben deiner Richtlinie aus Szenario A.
   • Klicke in der Menüleiste oben auf Richtlinie kopieren.
   • Gib der neuen Richtlinie einen passenden Namen, z. B. DLP-EXO-Encrypt-Confidential, und speichere sie.
     
2. Regel bearbeiten:
   • Klicke auf den Namen der neuen Richtlinie und wähle Richtlinie bearbeiten.
   • Navigiere zum Schritt Erweiterte DLP-Regeln anpassen und klicke auf das Stift-Symbol (Bearbeiten) neben der übernommenen Regel.
     
3. Bedingung (Condition) ändern:
   • Entferne die alte Bedingung (z. B. Kreditkarten), indem du auf das Löschen-Symbol daneben klickst.
   • Klicke auf Bedingung hinzufügen > Inhalt enthält.
   • Wähle im Dropdown-Menü Vertraulichkeitsbezeichnungen aus und klicke auf Hinzufügen.
   • Wähle hier deine Labels aus.

Wichtig: Stelle sicher, dass die zweite Bedingung Inhalt wird von Microsoft 365 aus freigegeben weiterhin auf an Personen außerhalb meiner Organisation steht.

Schritt 2: Verschlüsselung als Action setzen

Nun zur Magie. Wenn eine vertrauliche Mail das Haus verlässt, soll Exchange Online (genauer: Office 365 Message Encryption / OME) eingreifen.

Im Hintergrund verpackt Exchange die Nachricht in einen HTML-Wrapper. Empfänger mit Microsoft 365 merken davon oft nichts (transparente Entschlüsselung), während Empfänger bei GMX oder Gmail einen Link erhalten und sich via Einmalcode authentifizieren. Das Geniale daran: Du nimmst dem Anwender die Entscheidung ab. Er muss nicht mehr daran denken, den kleinen „Verschlüsseln“-Button in Outlook zu drücken – die Policy erledigt das im Backend.

1. Gehe zum Bereich Aktionen.
2. Falls noch eine „Blockieren„-Aktion aus der alten Regel vorhanden ist, lösche diese.
3. Füge die Aktion hinzu: Zugriff einschränken oder Inhalt an Microsoft 365-Speicherorten verschlüsseln.
4. Setze den Haken bei E-Mail-Nachrichten verschlüsseln.
5. Unter Schutzberechtigung auswählen hast du (je nach Lizenz) meist zwei relevante Optionen:
   • Nur verschlüsseln: Die Nachricht ist sicher, der Empfänger kann sie aber drucken und weiterleiten. Das ist der „freundliche“ Standard.
   • Nicht weiterleiten: Die Nachricht ist verschlüsselt, kann aber technisch nicht weitergeleitet, gedruckt oder kopiert werden. Ideal für sehr heikle Daten.
6. Speichere die Regel und die Richtlinie ab.

💡 Achtung bei älteren Tenants! Sollte die Verschlüsselung trotz korrekter Regel nicht greifen, ist das Feature in deinem Tenant eventuell noch deaktiviert (dies betrifft Tenants, die vor 2018 erstellt wurden).

Prüfe und aktiviere die Funktion kurz per Exchange Online PowerShell:

Set-IRMConfiguration -AzureRMSLicensingEnabled $true

Damit stellst du sicher, dass die modernen OME-Funktionen (Office 365 Message Encryption) technisch bereitstehen.

Szenario C: Die interne Firewall

Bisher haben wir uns darauf konzentriert, dass Daten das Unternehmen nicht verlassen. Doch die Realität zeigt: Viele Datenlecks passieren intern. Gehaltslisten landen versehentlich im „Alle Mitarbeiter“-Verteiler, oder die Forschungsabteilung teilt unbewusst Patent-Entwürfe mit dem Vertrieb.

In diesem Szenario verhindern wir nicht den Versand nach außen, sondern den Fluss von Informationen innerhalb des Tenants zwischen Abteilungen, die strikt getrennt bleiben müssen (Segregation of Duties).

Schritt 1: Scope definieren (Innen statt Außen)

Wir starten wieder effizient, indem wir eine bestehende Richtlinie kopieren. Da sich die Logik für interne Blockaden aber stark von externen Warnungen unterscheidet, löschen wir die übernommene Regel und erstellen eine komplett neue. Das garantiert uns eine saubere Konfiguration ohne „Altlasten“ in den Einstellungen.

1. Richtlinie vorbereiten:
   • Navigiere zu DLP (Verhinderung von Datenverlust) > Richtlinien.
   • Markiere eine bestehende Exchange-Richtlinie (z. B. aus Szenario A) und klicke oben auf Richtlinie kopieren.
   • Nenne die neue Richtlinie z. B. DLP-EXO-Internal-Block-HR und speichere sie.
   • Öffne die Richtlinie zur Bearbeitung und gehe zum Schritt Erweiterte DLP-Regeln anpassen.
     
2. Aufräumen & Neu erstellen:
   • Lösche die bestehende Regel (Klick auf das Mülleimer-Symbol).
   • Klicke auf Regel erstellen.
   • Gib der Regel einen Namen, z. B. Block HR Data Internal.
     
3. Bedingungen (Conditions) definieren:
   • Was (Inhalt): Füge die Bedingung hinzu: Inhalt enthält > Typen vertraulicher Informationen.
     • Wähle hier spezifische interne Datentypen, z. B. Germany Tax Identification Number (Steuer-ID).
     • Profi-Variante: Erstelle vorher unter „Datenklassifizierung“ ein eigenes Stichwortwörterbuch (Keyword Dictionary) mit Begriffen wie „Gehaltsanpassung“, „Bonus“, „Abfindung“.
   • Wohin (Scope): Füge die Bedingung hinzu: Inhalt wird von Microsoft 365 aus freigegeben.
     • Wähle diesmal explizit: nur für Personen innerhalb meiner Organisation.
   • Wer (Absender): Füge die Bedingung hinzu: Absender ist.
     • Um Fehlalarme zu vermeiden, wähle hier eine spezifische Gruppe aus, z. B. die Verteilergruppe „HR-Personal“.
     • Logik: Die Regel greift nur, wenn jemand aus der HR (Sender) an jemanden intern (Empfänger) sendet.

Schritt 2: Die Aktion (Blockieren mit Erklärung)

Wenn sensible HR-Daten intern an unbefugte Kollegen (z. B. via unbedachtem „Reply All“) gehen, muss der Riegel vorgeschoben werden. Hier ist der Lerneffekt („Policy Tip“) fast noch wichtiger als die Blockade selbst. Der Mitarbeiter muss verstehen, warum er dem Kollegen am Schreibtisch gegenüber diese Mail nicht schicken darf.

1. Scrolle im Regeleditor zum Bereich Aktionen.
2. Füge die Aktion hinzu: Zugriff einschränken oder Inhalt an Microsoft 365-Speicherorten verschlüsseln.
3. Wähle die Option: Jeden blockieren. (Dies verhindert den Versand der E-Mail).
4. Scrolle weiter zu Benutzerbenachrichtigungen.
5. Aktiviere den Schalter Benutzer benachrichtigen und helfen, sie zu schulen….
6. Setze den Haken bei Den Richtlinientipptext anpassen und gib einen klaren Hinweis ein:
   • Beispiel: „Diese E-Mail enthält vertrauliche HR-Daten und darf nicht intern via E-Mail verteilt werden. Bitte nutzen Sie dafür den gesicherten SharePoint-Bereich.„

Das Mindset: Wir erziehen die Nutzer zur korrekten Ablage. E-Mail ist kein Aktenordner für interne Geheimnisse.

Szenario D: Der Kontrollraum (Manager Approval)

Manchmal ist „Blockieren“ zu hart und „Verschlüsseln“ zu weich. Es gibt Grauzonen. Stell dir vor, ein Ingenieur sendet große CAD-Dateien an einen Zulieferer. Das könnte Industriespionage sein, es könnte aber auch Teil eines kritischen Projekts sein, das heute fertig werden muss.

Ein Algorithmus kann den Kontext („Ist das heute geschäftskritisch?„) oft nicht beurteilen. Ein Mensch schon. Deshalb nutzen wir eine DLP-Funktion, die den Vorgesetzten mit in den Prozess holt: Die E-Mail wird angehalten, der Vorgesetzte prüft sie und klickt auf „Genehmigen„. Erst dann geht sie raus.

Schritt 1: Trigger für Grauzonen

Damit die Genehmigungs-Optionen im DLP-Menü überhaupt erscheinen, muss die Richtlinie sich exklusiv auf E-Mails konzentrieren. Da wir in Szenario A, B und C bereits genau solche „Exchange Only„-Richtlinien gebaut haben, können wir uns die Arbeit sparen und eine davon einfach duplizieren.

1. Richtlinie kopieren:
   • Wähle eine deiner bestehenden Exchange-Richtlinien aus (z. B. DLP-EXO-Block-Financial-External).
   • Klicke in der Leiste oben auf Richtlinie kopieren.
   • Gib der Kopie einen passenden Namen, z. B. DLP-EXO-Manager-Approval-CAD und speichere sie.
     
2. Standorte prüfen (Der entscheidende Trick):
   • Öffne die neue Richtlinie und klicke auf Richtlinie bearbeiten.
   • Klicke dich weiter bis zum Schritt Standorte.
     • Kontrollblick: Stelle sicher, dass NUR der Schalter Exchange-E-Mail aktiviert ist. (SharePoint, OneDrive etc. müssen aus sein).
     • Warum? Wenn hier andere Orte aktiviert wären, würde Microsoft die Genehmigungs-Aktion im späteren Verlauf einfach ausblenden! Da wir kopiert haben, sollte das aber bereits korrekt sein.
       
3. Gehe weiter zu Erweiterte DLP-Regeln anpassen.
   • Lösche die übernommene Regel, da wir für diesen Spezialfall eine komplett neue Logik brauchen.
   • Klicke auf Regel erstellen und gib ihr einen Namen (z. B. Check Large Attachments).

Schritt 2: Umleitung zum Vorgesetzten

Statt die E-Mail hart zu blockieren (was den Workflow stört) oder einfach durchzuwinken, schalten wir eine menschliche Instanz dazwischen. Wir leiten die Nachricht zur Genehmigung um.

1. Bedingung (Trigger) festlegen:
   • Klicke auf Bedingung hinzufügen.
   • Die Logik (UND / ODER): Hier entscheidest du, wie scharf der Filter eingestellt ist.
     • UND (Strikter Filter): Fügst du Bedingungen untereinander hinzu, müssen alle gleichzeitig zutreffen.
       • Beispiel: Die E-Mail enthält das Wort „Projekt X“ UND trägt zusätzlich die Vertraulichkeitsbezeichnung „Geheim“. Nur wenn beides passt, greift die Regel.
     • ODER (Breiter Filter): Willst du, dass die Regel greift, sobald eines der Kriterien erfüllt ist? Dann musst du mit Gruppen arbeiten (Klick auf Gruppe hinzufügen).
       • Beispiel: Die E-Mail enthält „Projekt X“ (Gruppe 1) ODER sie trägt das Label „Geheim“ (Gruppe 2). In beiden Fällen muss der Chef genehmigen.
   • Empfehlung: Starte mit einer einfachen Bedingung, z. B. Inhalt enthält (für Projektnamen) oder Die Anlagengröße ist größer oder gleich (z. B. 10 MB).
   • Wichtig: Füge am Ende zwingend die Bedingung hinzu (per UND verknüpft): Inhalt wird von Microsoft 365 aus freigegeben > an Personen außerhalb meiner Organisation.
     
2. Aktion wählen (Die Genehmigung):
   • Klicke auf Aktion hinzufügen.
   • Wähle die Aktion: Die Nachricht zur Genehmigung weiterleiten an.
     • Hinweis: Diese Option ist nur sichtbar, weil wir in Schritt 1 exklusiv „Exchange“ als Standort gewählt haben!
       
3. Den Genehmiger bestimmen: Hier öffnen sich zwei strategische Pfade:
   • Pfad A: Die Hierarchie-Lösung („Vorgesetzter des Absenders“)
     • Funktionsweise: Exchange schaut im Entra ID (Azure AD) des Absenders in das Feld Manager. Die Mail geht dynamisch an genau diese Person.
     • Vorteil: Skaliert perfekt. Das Marketing prüft Marketing-Mails, die Technik prüft Technik-Mails.
     • Voraussetzung: Dein Active Directory muss sauber gepflegt sein!
   • Pfad B: Der feste Gatekeeper („Bestimmte Personen“)
     • Funktionsweise: Du bestimmst eine fixe E-Mail-Adresse (z. B. compliance@firma.de oder den CISO).
     • Einsatzgebiet: Sinnvoll bei lückenhaftem AD oder für hochspezifische Finanzthemen.
       
4. Optional: Absender informieren (Policy Tip): Damit der Absender weiß, warum der Kunde die Mail noch nicht hat, konfigurieren wir einen Hinweis.
   • Scrolle nach unten zum Bereich Benutzerbenachrichtigungen.
   • Aktiviere den Schalter Benutzer benachrichtigen….
   • Setze den Haken bei Den Richtlinientipptext anpassen und gib einen klaren Text ein:
     • Beispiel: „Ihre Nachricht wartet auf Genehmigung durch Ihren Vorgesetzten.“
5. Speichern:
   • Klicke auf Speichern (unten im Regeleditor).
   • Klicke im Richtlinien-Assistenten auf Weiter, lasse den Modus auf Einschalten (Sofort) oder Im Simulationsmodus testen und klicke auf Senden (Fertig stellen).

Was passiert technisch?

1. Der User klickt auf Senden.
2. Die Mail verlässt seinen Ausgang, wird aber nicht an den externen Empfänger zugestellt.
3. Der Manager erhält eine System-E-Mail mit dem Betreff „Genehmigung erforderlich“. Er sieht den Inhalt und die Anhänge.
4. In der Mail befinden sich zwei Buttons: Genehmigen (Approve) und Ablehnen (Reject).
5. Erst bei Klick auf „Genehmigen“ gibt Exchange die Mail an den eigentlichen Empfänger frei.

Tipp: Nutze dies sparsam! Wenn du diese Regel auf jede Rechnung anwendest, werden deine Abteilungsleiter rebellieren. Nutze es nur für kritische Geschäfts-Szenarien („High Impact, Low Frequency“).

Zusammenfassung der Szenarien

Du hast nun einen kompletten Werkzeugkasten für Exchange Online DLP:

User Experience: Was sieht der Anwender?

Technik ist die Pflicht, Akzeptanz ist die Kür. Exchange DLP unterscheidet sich von vielen anderen Security-Features im Hintergrund (wie Defender), weil es sehr „laut“ ist. Der User merkt sofort, dass etwas passiert. Das ist gewollt, birgt aber Frustpotenzial.

Wir unterscheiden zwei Ebenen der Interaktion: Die präventive Warnung (Policy Tip) und die reaktive Blockade (NDR).

Erziehung in Echtzeit

Das mächtigste Werkzeug von DLP ist der „Policy Tip“. Noch bevor der Mitarbeiter auf „Senden“ drückt, scannt der Outlook-Client (oder OWA) den Inhalt der E-Mail und der Anhänge.

Findet das System eine Kreditkartennummer oder ein „Streng Vertraulich“-Label, erscheint am oberen Rand des E-Mail-Fensters ein gelber Balken.

• Die Botschaft: „Diese E-Mail verstößt gegen eine Richtlinie.“
• Der Effekt: Das ist kein Verbot, sondern ein Hinweis („Nudge“). Der User lernt: „Ah, ich darf diese Excel-Liste nicht an meine GMX-Adresse schicken.“ Er kann den Empfänger entfernen oder den Inhalt löschen, und der Balken verschwindet.

Wichtig: In Outlook Web Access (OWA – Outlook.com) und im ‚New Outlook for Windows‘ erscheinen diese Tipps fast sofort. In Outlook Classic Desktop kann es (je nach Version und Cache) einige Sekunden dauern, bis der Client die Prüfung abgeschlossen hat.

Der NDR: Wenn die Tür zugeht

Ignoriert der User den Tipp oder nutzt einen Client, der keine Tipps unterstützt (z. B. eine alte Mail-App auf dem Smartphone), greift die Block-Aktion am Server.

Die E-Mail verlässt den Postausgang, wird aber vom Exchange-Transport-Dienst abgefangen. Der Absender erhält wenige Sekunden später einen Non-Delivery Report (NDR). Dieser NDR ist keine kryptische Fehlermeldung („Error 5.7.1“), sondern eine von Microsoft generierte, lesbare Nachricht. Sie erklärt:

1. Was passiert ist (Nachricht blockiert).
2. Warum es passiert ist (Sensible Daten gefunden).
3. Was der User tun kann (z. B. den Anhang entfernen).

Falls du im vorigen Schritt den Override (Außerkraftsetzung) aktiviert hast, enthält diese Mail oft einen Link oder Button, mit dem der User die Mail erneut senden kann – diesmal mit Begründung.

Safe Deployment: Simulationsmodus

Microsoft zwingt dich am Ende des Wizards zu einer Entscheidung. Die einzig valide Option für eine neue Architektur ist: „Richtlinie im Simulationsmodus ausführen“.

Technisch betrachtet trennst du hier die Erkennung von der Durchsetzung. Das System prüft den Traffic gegen deine Bedingungen und schreibt Matches in das Audit-Log, führt aber keine blockierenden Aktionen (wie NDRs oder Verschlüsselung) aus.

Der Hybrid-Test (Empfohlen): Aktiviere zusätzlich die Checkbox „Richtlinientipps im Simulationsmodus anzeigen“. Das ist der ideale Mittelweg für das Onboarding:

• Technik: Der Mailfluss bleibt ungestört (kein Block).
• User Experience: Der Anwender sieht bereits den gelben Warnbalken im Client. So validierst du, ob die Warnung an der richtigen Stelle erscheint, ohne den Betrieb zu gefährden.

Hinweis: Lasse die Option „Aktivieren Sie die Richtlinie nach 15 Tagen…“ zwingend deaktiviert. Ein Go-Live erfolgt in der Sicherheitsarchitektur niemals zeitbasiert („blind“), sondern erst nach manueller Auswertung der Logs (Qualitäts-Gate). Wenn du diese Automatik vergisst, riskierst du nach zwei Wochen ungeprüfte Störungen im operativen Geschäft.

Monitoring & Tuning (Das Rauschen filtern)

Nachdem die Policy im Simulationsmodus läuft, lässt du sie für 1-2 Wochen arbeiten. In dieser Zeit sammelst du Daten. Navigiere im Purview Portal zu Data loss prevention > Activity explorer.

Hier siehst du jeden „Treffer“ (Match). Deine Aufgabe als Admin ist nun die Analyse:

1. False Positives finden: Wurde die interne Artikelnummer 1234-5678-9012-3456 fälschlicherweise als Kreditkarte erkannt?
   
2. Regel anpassen: Wenn ja, gehst du zurück in die Policy und fügst eine Ausnahme (Exception) hinzu oder erhöhst die geforderte Genauigkeit (Confidence Level).
   
3. Scharfschalten: Erst wenn im Activity Explorer nur noch echte Risiken auftauchen, stellst du den Schalter in der Policy auf „Turn it on“.

Dieser iterative Prozess garantiert, dass DLP deine Sicherheit erhöht, ohne den Geschäftsbetrieb zu stören.

Fazit: Vertrauen ist gut, Kontrolle ist automatisiert

Mit der Einrichtung von Exchange Online DLP hast du den wohl kritischsten und ältesten Kommunikationskanal deiner Organisation unter Kontrolle gebracht. E-Mail ist oft das größte „Daten-Leck“, weil es so einfach ist, Fehler zu machen.

Du verlässt dich ab heute nicht mehr darauf, dass Mitarbeiter im Stress daran denken, Daten nicht unverschlüsselt zu versenden – das System denkt jetzt für sie mit. Du hast den Schritt von der reaktiven „Feuerwehr“ (Daten sind weg, wir müssen melden) zur proaktiven Sicherheit vollzogen.

Das haben wir heute erreicht:

• 🔍 Transparenz: Du stocherst nicht mehr im Nebel. Im Simulationsmodus siehst du erstmals schwarz auf weiß, wie oft sensible Daten dein Unternehmen tatsächlich verlassen – und wohin.
  
• 🛡️ Sicherheit: Kritische Informationen (wie Kreditkartendaten oder Kundenlisten) werden aktiv geblockt, bevor sie Schaden anrichten können. Die „Notbremse“ funktioniert.
  
• ⚖️ Compliance: Legitime Geschäftsprozesse werden nicht behindert, sondern durch die automatische Verschlüsselung (OME) „Privacy by Design“-konform. Der Workflow bleibt erhalten, das Risiko sinkt.

Wie geht es weiter? (Deine Hausaufgabe)

DLP ist kein Projekt, das man an einem Nachmittag abschließt. Es ist ein Prozess. Lass diese Richtlinien nun für mindestens 1-2 Wochen im Simulationsmodus laufen. Widerstehe dem Drang, sofort auf „Turn it on“ zu klicken.

Nutze diese Zeit für das Feintuning:

1. Prüfe regelmäßig die „DLP Matches“ im Activity Explorer des Purview Portals.
2. Schlägt die Regel bei internen Signaturen oder Artikelnummern an? (False Positives).
3. Justiere die Confidence Level oder füge Ausnahmen hinzu.

Erst wenn das „Rauschen“ minimiert ist und du sicher bist, dass keine legitimen Rechnungen blockiert werden, schaltest du die Policy scharf.

This post is also available in: Deutsch