Data Loss Prevention (DLP) stellt Unternehmen angesichts von Compliance-Vorgaben wie NIS-2 und ISO 27001:2022 vor große Herausforderungen. Kommerzielle DLP-Lösungen sind oft teuer und komplex und ersetzen nicht den strategischen Prozess für effektiven Datenschutz. Die Open-Source SIEM-Plattform Wazuh bietet hier eine flexible, kostengünstige Alternative.
DLP ist ein Programm, kein isoliertes Werkzeug. Der Erfolg hängt von einem strategischen Rahmen ab, der Richtlinien, Methoden und systematischen Datenschutz vereint.
Ein weit verbreitetes Missverständnis ist, DLP als isoliertes Werkzeug zu betrachten. Tatsächlich handelt es sich um ein umfassendes Programm, das strategische Planung vor jeder technischen Umsetzung verlangt. Bevor Sie Wazuh oder ein anderes SIEM-System einsetzen, muss eine klare DLP-Richtlinie entwickelt werden. Diese sollte präzise Ziele und messbare Erfolgskriterien definieren. Der erste Schritt besteht darin, die kritischsten Daten Ihrer Organisation – die sogenannten „Kronjuwelen“ – zu identifizieren.
Ohne eine fundierte Datenklassifizierung bleibt jede technische Lösung wirkungslos. Unternehmen müssen wissen, welche Daten sie besitzen, wo diese gespeichert sind und wer Zugriff darauf hat. Nur so lassen sich Schutzmaßnahmen gezielt auf die sensibelsten Informationen ausrichten.
Wazuh: Leistungsstarkes SIEM für DLP-Unterstützung
Wazuh ist eine Open-Source-Sicherheitsplattform, die umfassende SIEM- und XDR-Funktionen bereitstellt. Dazu gehören Echtzeit-Ereigniskorrelation, Erkennung von Bedrohungsmustern und automatisierte (vorab definierte!) aktive Gegenmaßnahmen. Die Plattform nutzt OpenSearch als Datenspeicher- und Analyse-Engine, um Datenströme zu speichern, zu indizieren und mit eigenen Pipelines zu verarbeiten. Dashboards ermöglichen die Visualisierung komplexer Zusammenhänge dieser Daten und bieten weitere Funktionen zur detaillierten Aufarbeitung. Diese Integration erleichtert eine zentrale Verwaltung von Sicherheitsoperationen und liefert umfangreiche Erkenntnisse aus den Daten. Dabei verschwimmen die Grenzen zwischen Security-Intelligence und Business-Intelligence. Dennoch ist Wazuh kein Allheilmittel für DLP, sondern ein zentraler Bestandteil eines größeren Sicherheitskonzepts. Mit Modulen wie FIM, SCA und CTI unterstützt Wazuh die Umsetzung von ISO 27001:2022-Kontrollen, etwa 5.15 (Access Control) durch Überwachungsfunktionen und 8.12 (Data Leakage Prevention) durch präventive Maßnahmen, und erleichtert so die Einhaltung dieser Standards.
Das FIM-Modul von Wazuh erkennt Änderungen an Dateien, Verzeichnissen und Registry-Einträgen. Es kann beispielsweise melden, wenn eine .doc-Datei verschoben oder verändert wurde, inklusive Details wie Zugriffszeitpunkt, Verantwortlichem und Datei-Delta. Allerdings fehlt die Fähigkeit, den Inhalt auf Vertraulichkeit zu prüfen – ein Punkt, der durch eine übergeordnete DLP-Strategie abgedeckt werden muss.
Security Configuration Assessment (SCA) zur Risikominimierung
Ein weiterer Baustein ist das SCA-Modul, der Endpunkte anhand von CIS-Benchmarks auf Fehlkonfigurationen prüft. Mit individuell anpassbaren Richtlinien liefert SCA nicht nur Handlungsempfehlungen und Berichte, sondern ergänzt potenziell unternehmenseigene Überprüfungen. SCA unterstützt dabei, Fehlkonfigurationen und damit einhergehende Sicherheitslücken zu schließen und die Angriffsfläche zu reduzieren.
Wazuh CTI: Schwachstellen frühzeitig erkennen
Der Wazuh Cyber Threat Intelligence (CTI) Feed bietet aktuelle Informationen zu Schwachstellen (CVEs), inklusive Schweregrad, Ausnutzbarkeit und Mitigation. Diese Daten aus vertrauenswürdigen Quellen von Betriebssystemherstellern und Sicherheitsdatenbanken (z.B. NVD, CISA) helfen, Systeme zu härten und potenzielle Eintrittspforten für Datenverluste zu schließen, wodurch die DLP-Maßnahmen wirksam unterstützt werden.
Infrastruktur und Sicherheit ganzheitlich betrachten
CMDB als Grundlage: Eine Configuration Management DataBase (CMDB) ist essenziell, um die IT-Umgebung zu verstehen. Sie dokumentiert Konfigurationselemente und deren Abhängigkeiten, um Datenflüsse nachzuvollziehen, und dient als zentrale Quelle für die Überwachung von IT-Assets – eine Voraussetzung für effektiven Datenschutz.
Umfassendes Infrastruktur-Monitoring
Einzelne Tools reichen nicht aus. Netzwerkverkehrsanalyse, Betriebssystem- und Anwendungsüberwachung sind notwendig, um DLP-Richtlinien über alle Komponenten hinweg durchzusetzen.
Deterministischer Ansatz für mehr Sicherheit
Eine erfolgreiche DLP-Strategie setzt auf Härtung, Inventarisierung und Whitelisting. Unternehmen benötigen volle Transparenz über Prozesse: Welche Benutzerkonten führen sie aus? Wann und mit welchen Parametern laufen sie? Ein Prozess, der normalerweise tagsüber unter einem Servicekonto läuft, aber nachts um 3 Uhr unter einem Benutzerkonto startet, sollte Alarm schlagen – selbst wenn er freigegeben ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
1. Baseline erstellen: Starten Sie mit einem Systemscan, um normales Verhalten zu definieren – von Ausführungszeiten bis zu typischen Parametern. Diese Baseline dient als Referenz für die Anomalie Erkennung.
2. Schrittweise Einführung: Starten Sie zunächst mit der generellen Überwachung und Alarmierung, bevor Sie automatische Abwehrmaßnahmen einführen. So können Sie Ihre Richtlinien anpassen, ohne den Betrieb zu beeinträchtigen.
3. Rechtliche Aspekte beachten: Beim Einsatz von DLP-Tools, die Mitarbeiterkommunikation und/oder Online-Aktivitäten überwachen, sollten rechtliche Rahmenbedingungen berücksichtigt werden. Gesetzliche Vorgaben zu Datenschutz, Privatsphäre und Überwachung (u.a. DS-GVO) können Einschränkungen mit sich bringen. Eine frühzeitige Abstimmung mit der Rechtsabteilung und klare Nutzungsbedingungen sind essenziell, um Compliance sicherzustellen.
An Standards anlehnen
Richten Sie Ihre DLP-Strategie an Frameworks wie der ISO 27001:2022 und dem informativen Dokument ISO 27002:2022 aus, die praxisnahe Hinweise zu organisatorischen und technischen Maßnahmen bieten.
Besonders relevant sind hierbei die Kontrollen zur Klassifizierung von Informationen (5.12), um sensible Daten zu identifizieren, und zur Zugriffskontrolle (5.15), um unbefugten Zugriff zu verhindern. Ebenso wichtig ist die Kontrolle 8.1, die den Schutz von Informationen auf Benutzer-Endgeräten fordert, um Datenverluste durch Diebstahl oder unbefugten Zugriff zu vermeiden. Ergänzend fordert die Kontrolle 8.12 (Data Leakage Prevention) explizit Maßnahmen zur Verhinderung von Datenlecks, einschließlich der Überwachung von Kanälen wie E-Mail, mobilen Geräten oder weit verbreiteten Remote Admin Tools, die potenziell zur Extraktion großer Datenmengen genutzt werden können, insbesondere wenn sie in ihrer Standardkonfiguration keine ausreichenden Sicherheitsmechanismen bieten. Die Umsetzung einer ganzheitlichen DLP-Strategie ist hier entscheidend, um sensible Informationen zu schützen.
Fazit: Strategie vor Technik
DLP ist ein Programm, kein isoliertes Werkzeug. Der Erfolg hängt von einem strategischen Rahmen ab, der Richtlinien, Methoden und systematischen Datenschutz vereint. Wazuh bietet als Open-Source SIEM eine solide Basis für DLP-Maßnahmen, erfordert aber eine durchdachte Einbettung in ein größeres Sicherheitskonzept. Ohne die Kombination aus CMDB, Infrastruktur-Monitoring und SIEM-Tools wie Wazuh bleibt man für Teile der eigenen Umgebung blind. Effektiver Datenschutz verlangt nicht nur genehmigte Anwendungen, sondern ein tiefes Verständnis ihres Kontexts und Verhaltens.
Über den Autor: Stephan H. Wenderlich ist Inhaber von „Gray-Hat IT-Security Consulting Stephan H. Wenderlich“. Als passionierter Informatiker liegt seine Expertise bei ganzheitlicher IT-Sicherheit via ISMS-Thematiken (z.B. ISO 27001 und NIS-2), Server-Härtung, Monitoring via Checkmk und Wazuh SIEM. Zudem ist er offizieller „Wazuh-Ambassador“.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9d/57/9d57f9142e7671048784a58a92956f15/0120815460v2.jpeg "Obwohl Datensicherheit für Entscheider höchste Priorität hat, weisen viele Organisationen immer noch eine große Lücke in ihrer Sicherheitsstrategie auf. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/cf/63cf12cec8d640fada674a3efbad87c3/0124017609v2.jpeg "Das Open-Source-SIEM Wazuh verfügt über einen riesigen Funktionsumfang, aber ein gewöhnungsbedürftiges Interface. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/25/35257ce43950a45c6c76a8d391fbb228/0110808027.jpeg "Mit DLP können Unternehmen ihr wertvollstes Gut – ihr geistiges Eigentum, zuverlässig schützen. (Bild: duncanandison - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/02/2a02bea05905ca91398f5230582589e1/0104003872.jpeg "Keine andere Technologie ist so gut wie DLP geeignet, Datenrisiken aufzuspüren und Sicherheitsverletzungen wirkungsvoll zu verhindern. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/cf/63cf12cec8d640fada674a3efbad87c3/0124017609v2.jpeg "Das Open-Source-SIEM Wazuh verfügt über einen riesigen Funktionsumfang, aber ein gewöhnungsbedürftiges Interface. (Bild: ZinetroN - stock.adobe.com)")