Datenexfiltration: Was es ist und wie man es verhindern kann

Die Datenexfiltration ist eine der größten - und potenziell kostspieligsten - Bedrohungen für die Cybersicherheit eines jeden Unternehmens. Diese unbefugte Übertragung von Daten aus einem Unternehmen kann auf verschiedene Weise erfolgen, wird aber am häufigsten von Cyberkriminellen durchgeführt. Im Bereich des Datenschutzes beispielsweise war die überwiegende Mehrheit (92 %) der Datenschutzverletzungen im ersten Quartal 2022 auf Cyberangriffe und nicht auf Fehler wie fehlgeleitete E-Mails zurückzuführen, so das Identity Theft Resource Center (ITRC).^[1] Die Gesamtzahl der Kompromittierungen personenbezogener Daten erreichte laut ITRC im Jahr 2021 einen historischen Höchststand, wobei 93 % davon sensible Informationen betrafen.[2]

Die Datenexfiltration - auch als Datendiebstahl, Datenleck oder Datenextrusion bezeichnet - unterscheidet sich von einem herkömmlichen Ransomware-Angriff, bei dem Daten lediglich verschlüsselt werden können. Beide können weitreichende und signifikante Auswirkungen auf ein Unternehmen, seine Lieferanten und seine Kunden haben. Datenverlust kann zu betrieblichen Problemen, finanziellen Verlusten und Rufschädigung führen.

Cyberkriminelle, die eine Datenexfiltration durchführen, haben es auf Daten von hohem Wert abgesehen. Zu den am häufigsten gestohlenen Datentypen bei Datenexfiltrationsangriffen gehören:

• Unternehmens- und Finanzinformationen
• Geistiges Eigentum und Geschäftsgeheimnisse
• Kunden-Datenbanken
• Benutzernamen, Kennwörter und Zugangsdaten
• Persönlich identifizierbare Informationen wie Sozialversicherungsnummern
• Persönliche Finanzinformationen
• Kryptografische Schlüssel
• Software oder proprietäre Algorithmen

Mit den richtigen Richtlinien und Tools wie und den Data Loss Prevention (DLP)-Services von Mimecast können Unternehmen ihren Schutz vor Datenexfiltration erhöhen, ohne den Betrieb oder die Produktivität zu beeinträchtigen.

Wie es zur Datenexfiltration kommt

Die Datenexfiltration kann durch einen Angriff von Außenstehenden oder durch die Bemühungen böswilliger Insider erfolgen. Böswillige können Daten auf verschiedene Weise exfiltrieren: durch digitale Übertragung, durch den Diebstahl physischer Geräte oder Dokumente oder durch einen automatisierten Prozess als Teil eines hartnäckigen Cyberangriffs. Und wie der ITRC-Bericht zeigt, werden diese Cyberangriffe immer komplexer, ausgefeilter - und erfolgreicher.

Einige der gängigsten Techniken zur Datenexfiltration sind:

• Phishing und Social Engineering: Böswillige Akteure können ihre Opfer per E-Mail, SMS, Telefon oder auf andere Weise dazu bringen, ihnen Zugang zu einem Gerät oder Netzwerk zu gewähren. Sie können den Benutzer beispielsweise dazu bringen, Malware herunterzuladen oder seine Anmeldedaten zu übermitteln.
• Malware: Sobald Malware auf ein Gerät aufgespielt wurde, kann sie sich über das Netzwerk eines Unternehmens ausbreiten, wo sie andere Systeme infiltrieren und nach sensiblen Unternehmensdaten suchen kann, die sie exfiltrieren kann. In einigen Fällen kann sich Malware im Netzwerk verstecken und im Laufe der Zeit Daten stehlen.
• E-Mail: Cyberkriminelle können in E-Mail-Systemen gespeicherte Daten wie Kalender, Datenbanken, Dokumente und Bilder stehlen. Sie können die Daten als E-Mail-, Text- oder Dateianhänge exfiltrieren.
• Downloads/Uploads: In der Kategorie der versehentlichen Exfiltration kann jemand auf Daten von einem unsicheren Gerät wie einem Smartphone oder einer externen Festplatte zugreifen, wo sie nicht mehr durch die Cybersicherheitsrichtlinien und -lösungen des Unternehmens geschützt sind. In der Kategorie der böswilligen Insider laden Mitarbeiter oder Auftragnehmer möglicherweise Informationen von einem sicheren Gerät herunter und laden sie dann auf ein externes Gerät wie einen Laptop, ein Smartphone, ein Tablet oder einen USB-Stick hoch.
• Mangelnde Cloud-Hygiene: Wenn autorisierte Benutzer auf unsichere Weise auf Cloud-Dienste zugreifen, können sie bösartigen Akteuren Tür und Tor öffnen, um bösartigen Code zu installieren, Änderungen an virtuellen Maschinen vorzunehmen oder schändliche Anfragen an Cloud-Dienste zu stellen.

Es gibt mehrere Möglichkeiten, wie Cyberkriminelle von der Datenexfiltration profitieren können. Bösewichte können Daten stehlen, um Zugang zu persönlichen oder finanziellen Konten und Insider-Geschäftsinformationen zu erhalten, oder sie können diese Daten auf dem Schwarzmarkt verkaufen. Alternativ können sie auch die Datenexfiltration nutzen, um ihre Ransomware-Bemühungen zu verstärken. Bei einem Ransomware-Angriff verschlüsseln die Cyberkriminellen in der Regel Daten oder machen sie auf andere Weise unzugänglich, bis das Unternehmen des Opfers für die Wiederherstellung des Datenzugriffs zahlt. Doch wie in einem FBI-Alarm vom März 2022 erläutert, kombinieren Ransomware-Banden jetzt Verschlüsselung mit Datendiebstahl.[3] Sie verstärken ihre Bemühungen mit der so genannten doppelten Erpressung, bei der damit gedroht wird, die Daten eines Unternehmens weiterzugeben oder zu verkaufen, wenn keine Zahlung erfolgt.

Lehren aus den jüngsten Angriffen zur Datenexfiltration

Erfolgreiche Angriffe zur Datenexfiltration können katastrophale Folgen haben: Verlust von wertvollem geistigen Eigentum und anderen sensiblen Informationen, kostspielige Maßnahmen zur Reaktion auf Vorfälle, Informationsmissbrauch, Verlust des Kundenvertrauens, Marken- oder Rufschädigung, rechtliche oder behördliche Probleme und hohe Lösegeldzahlungen.

Die folgenden jüngsten Angriffe zur Datenexfiltration verdeutlichen die Gefahren, die entstehen, wenn diese Risiken nicht gemindert werden, und ihre weitreichenden Auswirkungen:

• Kreditkartendaten: Eine Tankstellen- und Convenience-Store-Kette gab im Dezember 2019 bekannt, dass sie Opfer einer neunmonatigen Datenpanne war, bei der Angreifer Schadsoftware zum Diebstahl von Karten auf den Zahlungsverarbeitungssystemen und Zapfsäulen im Geschäft installiert hatten. Im Januar wurden die gestohlenen Kartendaten von mehr als 30 Millionen Kunden des Unternehmens online verkauft.[4]
• Geistiges Eigentum: Ein böswilliger Insider eines multinationalen US-Konzerns lud über acht Jahre hinweg 8.000 geschützte Dateien herunter - darunter wertvolle Geschäftsgeheimnisse -, um ein Konkurrenzunternehmen zu gründen. Der ehemalige Angestellte wurde 2021 zu zwei Jahren Gefängnis verurteilt und zur Zahlung von 1,4 Millionen Dollar Entschädigung verurteilt.[5]
• Devisendaten: Eine Devisenbörse hat 2,3 Millionen Dollar an eine Ransomware-Bande gezahlt, um den Zugriff auf Daten wiederzuerlangen, die bei einem Angriff in der Silvesternacht 2020 verloren gegangen waren. Die Cyberkriminellen hatten sich Zugang zum Netzwerk des Unternehmens verschafft und fünf Gigabyte an Daten exfiltriert.[6]
• Informationen zum Gesundheitswesen: Eine Ransomware-Bande stahl im Jahr 2021 drei Terabyte sensibler Daten von einem Betreiber eines kommunalen Gesundheitszentrums in Seattle, Washington. Die persönlichen Daten von 650.000 Personen wurden später im Dark Web zum Verkauf an den Meistbietenden angeboten. Eine Sammelklage war die Folge.[7]
• Mobile Daten: Im selben Jahr wurden bei einem Angriff auf einen Mobilfunknetzbetreiber die persönlichen Daten von 50 Millionen Kunden des Unternehmens erfolgreich exfiltriert. Eine Sammelklage war die Folge.[8]

Die Datenexfiltration kann per E-Mail oder über verschiedene Internetkanäle erfolgen, z. B. über gefälschte Phishing-Websites, File-Sharing-Websites und Uploads über soziale Medien. Eine zusätzliche Herausforderung ist die Zunahme von Blended Threats, bei denen Cyberangriffe auf Unternehmen über mehrere Kanäle gleichzeitig erfolgen.

Die Cyberkriminellen, die hinter den erfolgreichsten Angriffen zur Datenexfiltration stehen, entwickeln ihre Taktiken ständig weiter, um an höherwertige Daten zu gelangen. Sie werden immer schlauer. "Während sich die meisten Ransomware-Angriffe traditionell auf Geschwindigkeit konzentrierten - was dazu führte, dass große Mengen an nicht wertvollen Informationen verschoben wurden - zeigen unsere aktuellen Untersuchungen, dass Angreifer zunehmend ... sensiblere Daten exfiltrieren", schrieb IDC kürzlich.[9]

So sichern Sie Ihre Daten und verhindern die Datenexfiltration

Datenexfiltration und -verlust sind ein vielschichtiges Risiko, dem mit mehrschichtigen Schutzmaßnahmen begegnet werden muss. Unternehmen sind sowohl durch Angriffe von außen als auch durch Insider-Bedrohungen anfällig für Datenexfiltration und müssen sich gegen beide Arten von Risiken absichern. Trotz der Verbreitung bösartiger Insider-Bedrohungen gaben nur 44 % der Befragten in der Mimecast-Umfrage State of Email Security 2022 an, dass ihre Unternehmen über Systeme zur Überwachung und zum Schutz vor Datenlecks oder Exfiltration in ausgehenden E-Mails verfügen.

Leider ist die Verhinderung der Datenexfiltration nicht so einfach, wie wenn ein Unternehmen alle seine Daten sperrt. Die Unternehmensleistung und die Produktivität der Mitarbeiter im digitalen Zeitalter hängen vom Informationsfluss ab. Daher müssen Unternehmen ein empfindliches Gleichgewicht zwischen dem Schutz ihrer Daten vor dem Risiko der Datenexfiltration und der Gewährleistung der organisatorischen Effizienz finden.

Unternehmen, die das Risiko der Datenexfiltration minimieren möchten, verfolgen einen ganzheitlichen Ansatz, der hochwertige und gefährdete Daten identifiziert, effektive und aktuelle Cybersicherheits-Tools und -Richtlinien implementiert und Mitarbeiter und Partner schult. Einige bewährte Praktiken, die Sie anwenden sollten:

• Durchführung einer Datenrisikobewertung. Unternehmen nutzen Risikobewertungen, um ihre sensibelsten Daten, die größten Bedrohungen für diese Daten, die Wahrscheinlichkeit, dass diese Bedrohungen Wirklichkeit werden, und den Schaden, den eine Datenexfiltration verursachen würde, zu ermitteln. Auf diese Weise können sie die Risiken der Datenexfiltration am besten priorisieren, sich dagegen schützen und darauf vorbereiten.
• Implementieren Sie die Datenverschlüsselung. Die Datenverschlüsselung kann Daten in all ihren Formen schützen und eine unbefugte Nutzung verhindern. (Weitere Informationen finden Sie unter "Data Encryption: Wie man Daten bei der Übertragung, bei der Nutzung und im Ruhezustand schützt.")
• Überwachung des Nutzerverhaltens. Durch die Verfolgung der Benutzeraktivitäten kann sichergestellt werden, dass die Benutzer ordnungsgemäß auf die Daten zugreifen und mit ihnen umgehen. Es gibt Tools zur Analyse von Verhaltensmustern und zur Erkennung abnormaler oder unerwarteter Aktionen, die auf eine böswillige oder unbeabsichtigte Datenexfiltration hindeuten.
• Investieren Sie in Tools für die Cybersicherheit. Eine Reihe von Systemen kann den Schutz vor Datenverlust verstärken. Firewalls der nächsten Generation können den unbefugten Zugriff auf Ressourcen und Systeme mit sensiblen Daten blockieren und Netzwerke auch vor internen Bedrohungen schützen. Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEMs) können dabei helfen, bewegte, genutzte und gespeicherte Daten zu schützen, Endpunkte zu sichern und verdächtige Datenübertragungen zu identifizieren. Intrusion Detection Systeme (IDS) können Netzwerke auf bekannte Bedrohungen und verdächtigen oder bösartigen Datenverkehr überwachen. KI-gestützte E-Mail-Sicherheitslösungen können Social-Engineering-Versuche erkennen und Phishing-E-Mails stoppen, bevor sie die Mitarbeiter erreichen.
• Einführung und Durchsetzung einer BYOD-Richtlinie (Bring Your Own Device). Die Verwendung persönlicher Geräte für die Arbeit birgt ein zusätzliches Risiko der Datenexfiltration. Jedes Unternehmen sollte über eine Richtlinie verfügen, in der festgelegt ist, worauf Benutzer von persönlichen Geräten aus zugreifen können und worauf nicht, und welche Sicherheitskontrollen erforderlich sind.
• Führen Sie regelmäßig Datensicherungen durch. Datensicherungen stellen sicher, dass eine Organisation in der Lage ist, verlorene oder gestohlene Daten bei Bedarf wiederherzustellen. Die Daten sollten regelmäßig gesichert werden.
• Erwägen Sie eine Einschränkung des privilegierten Zugriffs. Der Just-in-Time-Zugriff ist eine neue Praxis, bei der Benutzer nur aus einem bestimmten Grund und für einen begrenzten Zeitraum auf sensible Daten zugreifen können, was dazu beiträgt, das Risiko der Datenexfiltration zu minimieren.
• Ausbildung und Schulung der Mitarbeiter. Die meisten Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen. Es ist wichtig, die Mitarbeiter über Phishing, die Gefahren der Datenübertragung auf ungeschützte Geräte und unsichere Cloud-Speicher sowie über die Probleme mit schwachen Anmeldedaten aufzuklären. Unternehmen sollten rechtzeitig und häufig Schulungen zum Sicherheitsbewusstsein anbieten, um Cyberbedrohungen, die zu einer Datenexfiltration führen können, zu erkennen und darauf zu reagieren. Die Benachrichtigung der Mitarbeiter über Trends bei betrügerischen E-Mails kann zum Beispiel das Risiko der Datenexfiltration verringern.

Da Cyberkriminelle per E-Mail in das Unternehmen eindringen und wertvolle Daten stehlen können - und Insider per E-Mail Daten übertragen können - sind ein mehrschichtiger Schutz und eine DLP-Strategie von entscheidender Bedeutung. Dienste wie der von Mimecast bieten eine zentrale Verwaltung und Echtzeitanwendung flexibler DLP-Sicherheitsrichtlinien. Um potenzielle Datenlecks zu erkennen, scannen solche Lösungen alle ein- und ausgehenden E-Mails mithilfe von Mustervergleichen, Schlüsselwörtern, Datei-Hashes und Wörterbüchern und verschlüsseln dann automatisch sensible oder vertrauliche Daten oder verhindern, dass sie außerhalb des Unternehmens gesendet werden.

Die Quintessenz

Unabhängig davon, ob es sich um einen Fehler eines Mitarbeiters oder einen vorsätzlichen Angriff handelt, kann die Datenexfiltration verheerende Auswirkungen auf ein Unternehmen haben, einschließlich finanzieller Verluste, rechtlicher Schritte, Rufschädigung und Auswirkungen auf die Kunden. Die Verhinderung der Datenextraktion und die Abschwächung der Auswirkungen von Angriffen auf die Datenexfiltration durch einen umfassenden Cybersicherheitsplan sollte eine strategische Priorität sein. Erfahren Sie, wie die DLP-Services von Mimecast zum Schutz der Daten Ihres Unternehmens beitragen können.

^[1] " Datenschutzverletzungen nehmen zu; Opferraten fallen in Q1 2022 ," Identity Theft Resource Center

² " 2021 Annual Data Breach Report Sets New Record for Number of Compromises ," Identity Theft Resource Center

³ " Joint Cybersecurity Advisory: Indicators of Compromise Associated with AvosLocker Ransomware ," FBI

⁴ " Wawa Breach May Have Compromised More Than 30 Million Payment Cards ," Krebs on Security

⁵ " Ehemaliger GE-Ingenieur zu 24 Monaten Haft wegen Verschwörung zum Diebstahl von Geschäftsgeheimnissen verurteilt ," U.S. Department of Justice

⁶ " Travelex hat das Lösegeld bezahlt, die Untersuchung des Einbruchs läuft noch ," CIO Dive

⁷ " Lawsuit Filed in Health Center Data Exfiltration Breach ," GovInfo Security

⁸ " Sammelklagen wegen Datenschutzverletzungen bei T-Mobile ," Law Street

⁹ " Trends bei der Datenexfiltration zeigen die Entwicklung von Ransomware ," IDC