Was ist Datenexfiltration?
Die Datenexfiltration ist der Diebstahl oder die unbefugte Übertragung von Daten von einem Gerät oder aus einem Netzwerk. Laut dem MITRE ATT&CK-Framework „bündeln Angreifer erfasste Daten oft in Paketen, um bei der Datenübertragung nicht aufzufallen. Das kann auch Komprimierung und Verschlüsselung beinhalten“.
Wie kommt es zu Datenexfiltration?
Eine Datenexfiltration kann auf Außenstehende zurückzuführen sein, die in das Netzwerk eindringen, um Benutzer-Anmeldedaten, geistiges Eigentum oder Unternehmensgeheimnisse zu stehlen. Angriffe durch Außenstehende beginnen oft mit der Einschleusung von Malware auf Endgeräte wie Computer oder Mobilgeräte mit Verbindung zum Unternehmensnetzwerk. Die Malware exfiltriert die Daten auf einen externen Server, den der Angreifer kontrolliert, woraufhin e Angreifer die Daten verkaufen oder veröffentlichen kann.
Es kann auch zu einer Datenexfiltration kommen, wenn Insider Daten aus dem Netzwerk übertragen, beispielsweise indem sie sie per E-Mail an eine unternehmensfremde E-Mail-Adresse senden oder sie in einen ungesicherten Cloud-Speicherdienst oder in ein SaaS-Produkt kopieren. Das muss keine bösen Absichten haben: Die Mitarbeiter möchten einfach nur ihre Aufgaben erledigen, setzen die Daten aber Risiken aus, weil sie sie aus der Aufsicht des Sicherheitsteams und dem Geltungsbereich von Unternehmensrichtlinien entfernen.
CrowdStrike Global Threat Report 2024: Kurzfassung
Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.
Jetzt herunterladenGängige Techniken für die Datenexfiltration
Social Engineering
Social Engineering ist eine der häufigsten Methoden zur Exfiltration von Daten. Dabei geben sich Angreifer als legitime Mitarbeiter oder Partner aus und bringen Benutzer dazu, sensible Informationen oder Anmeldedaten weiterzugeben. Der Angreifer kann sich beispielsweise als Helpdesk-Mitarbeiter ausgeben, um Benutzer dann um vertrauliche Daten wie seinen Benutzernamen und sein Kennwort zu bitten.
Eine verbreitete Art von Social-Engineering-Angriff ist Phishing. Dabei sendet der Angreifer Benutzern eine E-Mail, die von einer legitimen Quelle (z. B. der Personalabteilung) zu stammen scheint und den Empfänger zum Klicken auf einen Link auffordert. Dieser Link führt zu einer gefälschten Website, die genau so aussieht wie das offizielle Personalverwaltungsportal. Diese gefälschte Website wurde möglicherweise speziell für die Erfassung von Anmeldedaten eingerichtet oder der Website-Code enthält ein schädliches Skript, das einen Keylogger oder andere Malware installiert, die dann für die nächste Phase des Phishing-Angriffs verwendet wird.
Anwenderfehler
Unvorsichtige Insider laden oft sensible Unternehmensdaten von sicheren Unternehmensgeräten auf ihre privaten Geräte herunter, die nicht durch die Netzwerksicherheitslösungen oder -richtlinien ihres Arbeitgebers geschützt werden. Stattdessen sind die Daten dann entweder komplett ungeschützt oder der Schutz ist auf das beschränkt, was Sicherheitstools für Privatanwender bieten. In dieser Situation umfasst die Datenexfiltration unter Umständen nicht nur das Verschieben von Dateien, sondern möglicherweise auch Bildschirm-Screenshots und Gesprächsaufzeichnungen, die mit dem Smartphone erstellt wurden.
Insider-Bedrohung durch Uploads auf externe Geräte
Böswillige Insider sind zwar seltener als unvorsichtige Mitarbeiter, können aber deutlich mehr Schaden anrichten. Ein böswilliger Insider kann mit legitimen Anmeldedaten über einen sehr langen Zeitraum schädliche Aktivitäten ausführen, die mitunter erst sehr spät oder gar nicht bemerkt werden. Da die Anmeldedaten dieses Benutzers legitim sind, fällt sein Datenexfiltrationsangriff nicht auf, sofern er nicht Unmengen an wertvollen Daten verschiebt oder versucht, ohne entsprechende Zugriffsrechte auf Systemkomponenten zuzugreifen. Böswillige Insider laden typischerweise Daten von einem vertrauenswürdigen Gerät auf ein privates Gerät oder einen USB-Stick herunter und übertragen sie dann auf ein externes Gerät (z. B. in einen Speicherdienst im Dark Web), um sie anschließend zu verkaufen oder zu verteilen.
So können Sie Datenexfiltration verhindern
Die Statistiken zu dem Zeitraum, der bis zur Erkennung einer Datenkompromittierung vergeht, sind alarmierend. Leider sind Datenexfiltrationen nur schwer zu erkennen – insbesondere wenn die vom Angreifer angewendete Datenexfiltrationstechnik zum normalem Netzwerkverkehr gehört.
Die wirksamste Schutzmaßnahme für Unternehmen ist zugleich auch die schwierigste: die Schulung der Mitarbeiter. Natürlich tun viele Unternehmen dies bereits in Form regelmäßiger obligatorischer Schulungen zur Sicherheitssensibilisierung, doch viele Mitarbeiter unterschätzen nach wie vor die Wahrscheinlichkeit eines solchen Angriffs. Arbeitgeber müssen daher im gesamten Unternehmen eine Sicherheitskultur etablieren, bevor sie darauf vertrauen können, dass ihre Mitarbeiter tatsächlich die erste Verteidigungslinie bilden.
BYOD-Richtlinien (Bring Your Own Device) zur Nutzung privater Geräte sollten etabliert und allen Mitarbeitern verdeutlicht werden. Gerade in jüngster Zeit verwenden viele Mitarbeiter durch die Verbreitung von Remote-Arbeitsmodellen ihre privaten Geräte, um auf wertvolle Daten zuzugreifen – von Gaming-Systemen für Kinder bis zu Windows 8-Towern. Die Überwachung des Netzwerks zur Feststellung der angemeldeten Benutzer und der dabei verwendeten Geräte ist nicht nur wichtig, um Datenkompromittierungen zu verhindern. Zusätzlich lassen sich auf diese Weise auch die Interaktionen der Benutzer mit dem Netzwerk nachvollziehen und besser für die Zukunft planen.
Zur Eindämmung von Insider-Bedrohungen – ob durch Fahrlässigkeit oder mit böser Absicht – bedarf es einer effektiven Rechteverwaltung. Das bedeutet zum einen, dass Berechtigungen nach dem Least-Privilege-Prinzip gewährt werden sollten. Zum anderen sollten die Berechtigungen dynamisch verwaltet werden, sodass der Zugang entzogen wird, sobald ein Mitarbeiter keinen triftigen Grund für den Zugriff auf ein sensibles System mehr hat. Außerdem müssen die Berechtigungen ehemaliger Mitarbeiter systematisch und unmittelbar nach Verlassen des Unternehmens entzogen werden – und nicht erst nach einer oder zwei Wochen, wenn gerade ein wenig Zeit für die Bereinigung alter Konten übrig ist.
