Block, Warn, Mask, Audit — und wann welcher Modus passt

Vier Schutzmodi, vier Reaktionen. Eine pragmatische Entscheidungshilfe pro Datentyp und Domain.

Ein Allow/Deny-Modell ist die einfachste Regelwerk — und in der Praxis fast immer falsch. Warum? Weil sensible Daten Kontext haben.

Eine IBAN in Ihrer internen Buchhaltungs-App? Kein Problem. Dieselbe IBAN in einem öffentlichen KI-Chat? Grobes Problem. Dieselbe IBAN in einem genehmigten KI-Tool mit DLP-Schutz? Vertretbar.

Vier Modi geben Ihnen den Spielraum, den die Realität verlangt.

Block — wenn der Schaden irreversibel wäre.

Verwenden Sie Block sparsam. Nur dort, wo der Schaden nicht rückgängig zu machen ist.

Beispiele: Authentifizierungs-Tokens, Lohndaten, Mandantenstammdaten in nicht autorisierten Tools. Die Aktion wird gestoppt. Der Vorfall wird protokolliert.

Vorsicht: Wer alles blockt, erzieht Mitarbeiter dazu, Wege außerhalb des Browsers zu suchen. WhatsApp. E-Mail. USB-Stick.

Warn — wenn der Kontext entscheidend ist.

Eine kontextuelle Warnung erscheint. Die Person kann fortfahren oder abbrechen.

Ideal für Grenzfälle. Kundennamen, die in legitimen Workflows vorkommen — aber auch in anderen Kontexten problematisch sein können. Die Entscheidung bleibt beim Menschen.

Mask — wenn der Workflow weiterlaufen soll.

Sensible Werte werden vor der Übermittlung durch Tokens ersetzt.

Der Prompt funktioniert. Das Modell bekommt die Struktur — ohne die Inhalte zu sehen. IBAN wird zu [IBAN], Name zu [NAME].

Mask ist der unterschätzteste Modus. Er löst die meisten realen Konflikte zwischen Produktivität und Schutz.

Audit — wenn Sie zuerst verstehen wollen.

Aktionen laufen normal weiter. Sie werden protokolliert.

Audit ist ideal für die ersten zwei Wochen jedes neuen Anwendungsfalls. Sie sammeln Daten, bevor Sie eingreifen. Sie verstehen Muster, bevor Sie Regeln setzen.

Starten Sie immer mit Audit. Dann: Mask für Routinefälle. Dann: Warn für Grenzfälle. Dann: Block für kritische Fälle.