DSPM zeigt Ihnen, wo sich die Daten befinden. Und was jetzt?

DSPM hat sich innerhalb von 18 Monaten von einer aufkommenden Kategorie zu einer etablierten Sicherheitsinvestition entwickelt. Aktuelle Branchenberichte zeigen, dass etwa 30 % der britischen CISOs im Jahr 2026 DSPM-Lösungen erwerben, um Datenexponierung über Cloud-, SaaS- und On-Premises-Umgebungen hinweg zu reduzieren. Diese Zahl entspricht den Prognosen führender Analysten und den Erfahrungen von Behörden auf Landes- und Kommunalebene.

Wichtige Erkenntnisse

1. Die Einführung von DSPM beschleunigt sich rasant. Rund 30 % der britischen CISOs kaufen 2026 DSPM-Lösungen, und staatliche sowie kommunale Behörden folgen diesem Trend.
2. Discovery schafft eine dokumentierte Pflicht. Sobald ein DSPM-Scan eine Exponierung meldet, verfügt das Unternehmen über tatsächliches Wissen – und eine Frist zur Behebung, an der Kläger, Aufsichtsbehörden und Auditoren das Handeln messen.
3. Die Governance-Lücke ist größer als die Discovery-Lücke. 33 % der Unternehmen verfügen nicht über prüffähige Audit-Trails und 61 % haben fragmentierte Protokolle. Die meisten können nicht nachweisen, wie sie mit den von DSPM identifizierten Daten umgegangen sind.
4. Transparenz ist nicht gleich Kontrolle. Nur 33 % der Unternehmen wissen genau, wo ihre Daten gespeichert sind. Noch weniger können steuern, wie Daten über E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare, APIs und KI ausgetauscht werden.
5. Die Antwort ist eine Kontroll-Ebene, kein weiterer Scanner. DSPM identifiziert das Risiko. Eine gesteuerte Datenbewegungsebene schließt diese Lücke – ohne sie werden DSPM-Berichte zu Haftungsdokumenten.

StateTech Magazine berichtete im April 2026, dass DSPM für Behörden auf Landes- und Kommunalebene unverzichtbar geworden ist, um hybride Cloud-Umgebungen und steigenden regulatorischen Druck zu bewältigen. Der Artikel beschreibt DSPM als „datenzentrierte Kontrollschicht“, die sensible Daten unternehmensweit kontinuierlich entdeckt, klassifiziert und überwacht. Diese Einordnung ist wichtig, da sie den Kernnutzen von DSPM präzise erfasst – und zugleich die zentrale Einschränkung offenlegt.

DSPM zeigt, welche Daten vorhanden sind, wo sie gespeichert sind, wer darauf zugreifen kann und wo sie unzureichend geschützt sind. Es versetzt Daten jedoch nicht in einen gesteuerten Zustand. Es erzwingt keine Richtlinien, wenn Daten an Partner gesendet, in SaaS-Anwendungen hochgeladen oder von KI-Agenten abgefragt werden. Es erzeugt keine prüffähigen Audit-Trails über die weiteren Schritte. Der Markt hat zu Recht erkannt, dass Unternehmen Transparenz über ihre Daten benötigen. Die nächste Frage – die viele Sicherheitsprogramme noch nicht beantwortet haben – lautet: Was tun, wenn diese Transparenz erreicht ist?

Hier liegt die Lücke. DSPM hat die Discovery gelöst. Die Governance bleibt für die meisten Unternehmen ungelöst.

Das DSPM-Paradox: Discovery schafft Pflicht

Ein DSPM-Scan ist juristisch betrachtet ein Ereignis, das Wissen schafft. Vor dem Scan konnte ein Unternehmen sich noch auf die Verteidigung „Wir wussten nicht, dass diese Daten existieren“ berufen. Nach dem Scan entfällt diese Verteidigung. Das Unternehmen weiß nun genau, wo die Daten liegen, dass sie unzureichend geschützt sind – und wenn keine Behebung erfolgt, handelt es trotz dokumentiertem Wissen nicht.

Dies ist die zentrale These hinter der rechtlichen Bewertung von Datenschutzvorfällen. Das Argument beruht auf drei Säulen. Tatsächliches Wissen. DSPM liefert es. Die Schutzpflicht greift sofort. Vorsätzliche Unwissenheit wird abgelehnt. Gerichte akzeptieren immer seltener die Verteidigung „Wir haben absichtlich nicht hingeschaut“, wenn geeignete Tools verfügbar waren, aber nicht eingesetzt wurden. Die Frist zur Behebung läuft. Discovery löst eine „angemessene Zeit“-Verpflichtung aus – Tage bis Wochen für Hochrisikodaten, Monate für weniger kritische Kategorien.

Das Klage-Muster zeichnet sich bereits ab. Beispiel: Ein DSPM-Scan im ersten Quartal meldet eine Datenbank als hochriskant, unverschlüsselt und mit personenbezogenen Daten. Es erfolgt keine Behebung. Im vierten Quartal wird diese Datenbank kompromittiert. Im Rahmen der Discovery fordern Kläger alle DSPM-Scan-Berichte und Behebungspläne an. Die Frage bei der Aussage ist offensichtlich: „Sie wussten im Januar, dass diese Datenbank unverschlüsselt war. Was haben Sie unternommen?“ Die neunmonatige Lücke zwischen dokumentiertem Wissen und Verstoß wird zum zentralen Beweisstück im Prozess.

Tagging ist ein Eingeständnis von Wissen. Wenn getaggte Daten bei einem Verstoß unzureichend geschützt sind, dokumentiert das Unternehmen seine eigene Fahrlässigkeit.

Die Governance-Lücke ist größer als die Discovery-Lücke

Das Discovery-Problem wird gelöst. Das Governance-Problem nicht.

Der Kiteworks Data Security and Compliance Risk: 2026 Prognosebericht, der Unternehmen branchenübergreifend zu ihrer Data-Governance-Reife befragte, ergab, dass 33 % keine prüffähigen Audit-Trails haben und 61 % fragmentierte, nicht sinnvolle Protokolle führen. Der Prognosebericht fand außerdem heraus, dass 78 % der Unternehmen keine Daten validieren können, die in KI-Trainingspipelines gelangen, 63 % keine Zweckbindung für KI-Agenten durchsetzen können und 60 % einen fehlverhaltenden KI-Agenten nicht schnell beenden können. Das sind keine Discovery-Lücken, sondern Governance-Lücken.

Der 2026 Thales Data Threat Report kommt aus einer anderen Perspektive zu einem ähnlichen Ergebnis. Nur 33 % der Unternehmen wissen genau, wo ihre Daten gespeichert sind. Nur 39 % können alle ihre Daten klassifizieren. Von den als sensibel eingestuften Cloud-Daten sind lediglich 47 % verschlüsselt. Menschliches Versagen, nicht fortschrittliche Bedrohungen, ist mit 28 % die Hauptursache für Datenpannen. Selbst Unternehmen, die wissen, wo ihre Daten liegen, können meist nicht nachweisen, welche Kontrollen angewendet wurden.

Der Prognosebericht 2026 unterstreicht die operativen Auswirkungen. Nur 28 % der Unternehmen haben die „Managed“-Reife für Data Governance erreicht – mit definierten Metriken, konsistenter Umsetzung und teilweiser Automatisierung. 25 % setzen weiterhin auf manuelle oder periodische Compliance-Prozesse als primären Ansatz. In einem regulatorischen Umfeld, das zunehmend kontinuierliche Nachweise erwartet, wird periodische Compliance zum Risiko.

Dieses Muster wiederholt sich in allen Branchen und Regionen. Unternehmen können die Datenrisiken benennen, denen sie ausgesetzt sind. Sie haben jedoch keine Kontrollen implementiert, um diese Risiken zu steuern.

Warum Discovery-Only-Programme Haftung schaffen, aber kein Risiko reduzieren

Ein reines DSPM-Datensicherheitsprogramm erzeugt einen spezifischen Fehler: dokumentiertes Wissen über eine Exponierung ohne dokumentierte Behebung. Das ist die schlechteste Ausgangslage für ein Unternehmen. Vor DSPM konnten Unternehmen plausibel Unwissenheit geltend machen. DSPM-only-Unternehmen ersetzen Unwissenheit durch den Nachweis nicht adressierter Risiken.

Dieses Muster reicht über Gerichtsverfahren hinaus in das regulatorische Umfeld. Der 2026 Thales Data Threat Report dokumentiert, dass vernetzte SaaS-Ökosysteme und agentenbasierte KI-Tools, die über Code-Repositories und Unternehmensdaten hinweg operieren, Zuständigkeitsgrenzen verwischen und eine dynamische, kontinuierliche Durchsetzung von Datensouveränität erfordern – statt statischer Einzelanwendungen. Regulierungsbehörden geben sich nicht mehr mit punktueller Dokumentation zufrieden. Sie erwarten, dass Unternehmen kontinuierlich nachweisen, wie Daten bewegt werden – nicht nur, wo sie gespeichert sind.

Die Drittparteien-Dimension vergrößert die Lücke. Der Prognosebericht 2026 fand heraus, dass 89 % der Unternehmen nie eine Incident Response mit Drittanbietern geübt haben und 87 % keine gemeinsamen Incident-Response-Playbooks besitzen. Wird ein Partner kompromittiert – und das passiert regelmäßig –, improvisieren fast neun von zehn Unternehmen ihre Reaktion. DSPM kann aufzeigen, welche sensiblen Daten durch diese Partnerschaft exponiert wurden. Es zeigt jedoch nicht, welche Kontrollen beim Austausch galten, welcher Audit-Trail existiert oder welche Nachweise für eine regulatorische Prüfung vorliegen.

Das ist die operative Realität, die DSPM allein nicht lösen kann. Discovery ohne Governance ist nur die halbe Lösung. Die andere Hälfte – die das Risiko wirklich schließt – ist das, was nach dem Scan mit den Daten passiert.

Was Verteidigungsfähigkeit ausmacht: Von Discovery zu Governance zu Nachweis

Ein verteidigungsfähiges Datensicherheitsprogramm behandelt DSPM als Frontend einer vierstufigen Architektur. Discover: Ermitteln, wo sensible Daten liegen, wie sie klassifiziert sind und wo Exponierung besteht. Govern: Daten in eine kontrollierte Umgebung überführen, in der Richtlinien kanalübergreifend konsequent durchgesetzt werden – E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare, APIs, KI-Integrationen. Track: Prüffähige, manipulationssichere Audit-Trails für jeden Zugriff, jede Übertragung und jede Richtlinienentscheidung generieren. Prove: Nachweise bereitstellen, die gegenüber Aufsichtsbehörden und Auditoren belegen, dass das Unternehmen auf die Discovery reagiert hat.

Diese vier Stufen müssen als einheitliche Architektur funktionieren, nicht als Stapel isolierter Tools. Der Prognosebericht 2026 fand heraus, dass 61 % der Unternehmen eine fragmentierte Datenbewegungs-Infrastruktur haben – was auch ihre Audit-Trails fragmentiert. Ein einheitlicher Nachweis lässt sich nicht aus fünf verschiedenen Systemen mit unterschiedlichen Richtlinien-Engines und Log-Formaten erzeugen.

Die Governance-Schicht muss sich zudem auf KI-Daten-Governance erstrecken, nicht nur auf menschlichen Datenzugriff. Der Prognosebericht 2026 dokumentiert, dass nur 36 % der Unternehmen Einblick darin haben, wie Partner Daten in KI-Systemen handhaben, und 29 % nennen grenzüberschreitende KI-Anbieter als zentrales Datenschutzrisiko. KI-Agenten konsumieren inzwischen dieselben sensiblen Daten, die DSPM identifiziert – oft über unkontrollierte Integrationen – und die Kontrollen für menschlichen Dateizugriff gelten meist nicht für die KI-Ebene.

Das Muster ist in den meistzitierten Studien konsistent. CrowdStrikes 2026 Global Threat Report dokumentiert einen Anstieg KI-gestützter Angriffe um 89 % gegenüber dem Vorjahr und 82 % malwarefreie Erkennungen, wobei Angreifer zunehmend über Cloud-, SaaS- und Identitätssysteme agieren, statt Schadcode einzuschleusen. Angreifer bewegen sich gezielt zu den Daten – und zwar über genau die Kanäle (E-Mail, SaaS, Kollaborationsplattformen, KI-Integrationen), die DSPM zwar beobachtet, aber nicht steuert.

Kiteworks-Ansatz: Die operative Schicht nach DSPM

Kiteworks ist kein DSPM-Tool. Kiteworks ist die nachgelagerte, gesteuerte Datenbewegungsebene, die Discovery in verteidigungsfähiges Handeln überführt. DSPM zeigt Unternehmen, wo sensible Daten liegen und wo Exponierung besteht. Kiteworks stellt die kontrollierte Umgebung bereit, in die diese Daten überführt, Richtlinien konsistent angewendet und Nachweise über das Handeln erzeugt werden.

Die Architektur ist entscheidend, weil DSPM-Erkenntnisse in konkretes Handeln übersetzt werden müssen. Wenn eine DSPM-Plattform einen Datensatz als geschützte Gesundheitsdaten, regulierte Finanzdaten oder CUI klassifiziert, fließen diese Klassifizierungen als Richtlinien-Inputs in Kiteworks. Die Kiteworks Data Policy Engine erzwingt dann die entsprechenden Kontrollen bei jeder Interaktion mit diesen Daten – Verschlüsselung im ruhenden Zustand und während der Übertragung, rollen- und attributbasierte Zugriffskontrolle, Aufbewahrungsrichtlinien, geografische Verarbeitungsbeschränkungen – über E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare, APIs und KI-Integrationen durch den Kiteworks Secure MCP Server und das Kiteworks AI Data Gateway hinweg.

Drei architektonische Eigenschaften sind entscheidend, um die DSPM-Governance-Lücke zu schließen. Einheitliche Richtliniendurchsetzung: Eine einzige Policy Engine steuert alle Datenbewegungskanäle und beseitigt die Fragmentierung, die Audit-Trails in den meisten Unternehmen unübersichtlich macht. Manipulationssichere, prüffähige Audit-Trails: Jede Aktion wird in einem konsolidierten Audit-Trail protokolliert, der SIEM in Echtzeit versorgt und die 33 %-Lücke bei Audit-Trails sowie die 61 %-Fragmentierung laut Prognosebericht 2026 adressiert. Compliance-Dashboards: Vorgefertigte Reports ordnen Kontrollen spezifischen regulatorischen Rahmenwerken zu – HIPAA, DSGVO, CMMC, FedRAMP, SOX, PCI DSS, FISMA, ITAR und weitere – und liefern auf Abruf prüffähige Nachweise.

Das Ergebnis ist die Auflösung des DSPM-Paradoxons. Der DSPM-Bericht, der ungeschützte sensible Daten meldet, wird mit einem Behebungsnachweis kombiniert, der zeigt, wann diese Daten in gesteuerten Speicher migriert wurden, welche Verschlüsselung angewendet wurde, wer Zugriff hat und welche Aufbewahrungsrichtlinie nun gilt. Der DSPM-Scan-Bericht ist nicht mehr das belastendste Dokument im Rechtsstreit, sondern der erste Teil einer verteidigungsfähigen Antwort – ergänzt um den Audit-Trail, der das Handeln des Unternehmens nachweist.

Was Unternehmen jetzt tun sollten – ohne alles abzuriegeln

Unternehmen, die DSPM einführen oder den nächsten Schritt planen, sollten die folgenden Maßnahmen als sequenzielles Programm und nicht als Checkliste betrachten.

Erstens: Behandeln Sie den DSPM-Scan-Bericht ab Abschluss als juristisches Dokument. Alles, was DSPM meldet, ist nun tatsächliches Wissen. Erstellen Sie einen Behebungszeitplan, der an die Risikoklassifizierung gekoppelt ist – Tage für Hochrisikodaten, Wochen für mittlere, Monate für weniger kritische Kategorien – und dokumentieren Sie jede Behebungsmaßnahme entlang dieses Zeitplans. Die rechtliche Logik ist eindeutig: Wissen um ein Risiko ohne Behebung ist das klassische Beispiel für Fahrlässigkeit.

Zweitens: Prüfen Sie die Lücke zwischen Discovery und Governance. Identifizieren Sie, welche DSPM-Erkenntnisse in automatisierte Richtliniendurchsetzung einfließen und welche manuell per Ticket bearbeitet werden. Der Prognosebericht 2026 fand heraus, dass 25 % der Unternehmen weiterhin auf manuelle oder periodische Compliance-Prozesse setzen – in einer Umgebung, die kontinuierliche Nachweise verlangt, ist das eine kritische Lücke.

Drittens: Konsolidieren Sie die Datenbewegungsoberfläche. 61 % der Unternehmen haben fragmentierte Datenbewegungs-Infrastrukturen über E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare und APIs hinweg. Jeder Fragment ist eine eigene Richtliniendomäne und ein eigenes Log-Format. Die Konsolidierung in eine einzige Governance-Schicht ist Voraussetzung für prüffähige Audit-Trails.

Viertens: Erweitern Sie die Governance-Schicht auf KI-Datenzugriff. KI-Agenten sind mittlerweile die am schnellsten wachsenden Konsumenten sensibler Unternehmensdaten. Laut Prognosebericht 2026 können 78 % der Unternehmen keine Daten validieren, die in KI-Trainingspipelines gelangen, und 60 % können einen fehlverhaltenden KI-Agenten nicht schnell beenden. Discovery ohne KI-bewusste Governance lässt den aktivsten Datenkonsumenten im Unternehmen außerhalb der Kontrolle.

Fünftens: Integrieren Sie Audit-Trails in Echtzeit mit SIEM und Compliance-Reporting. Der 2026 Thales Data Threat Report dokumentiert, dass nur 33 % der Unternehmen genau wissen, wo ihre Daten gespeichert sind. Echtzeitfähige, manipulationssichere Audit-Trails, die SIEM direkt versorgen, sind der operative Mechanismus, um von periodischen zu kontinuierlichen Nachweisen zu gelangen.

Sechstens: Behandeln Sie den Datenaustausch mit Drittparteien als eigenständige Governance-Oberfläche. Der Kiteworks Prognosebericht 2026 fand heraus, dass 89 % der Unternehmen nie Incident Response mit Drittanbietern geübt haben. DSPM kann identifizieren, welche Partner welche sensiblen Daten halten; nur gesteuerte Austauschkanäle und gemeinsame Incident-Response-Playbooks machen diesen Austausch im Ernstfall verteidigungsfähig.

Das Zeitfenster für Maßnahmen schließt sich. Regulierungsbehörden, Klägeranwälte und Auditoren bewegen sich auf dieselbe Erwartung zu: prüffähige, kontinuierliche Kontrolle über sensible Daten – keine periodischen Momentaufnahmen. Unternehmen, die DSPM als Ziel betrachtet haben, werden feststellen, dass sich das Ziel verschoben hat.