Was bedeutet Datenexfiltration?

von Ivan Vinogradov, Security Analyst

Datenexfiltration ist eine Praxis, um wertvolle Informationen aus einem Unternehmen zu einem böswilligen Zweck unentdeckt auszuschleusen. Diese Methode ist vermutlich aufgrund ihrer Aufführung im MITRE ATT&CK-Framework bekannt geworden. Es gibt viele Methoden, um Daten aus einem Unternehmen zu exfiltrieren, und MITRE dokumentiert nahezu alle.

Es gibt eine Vielzahl von Gründen, warum Angreifer Daten stehlen. Es ist in der Tat kein Zufall, dass fast alle Angreifer – insbesondere im Unternehmensumfeld – dies am Ende in irgendeiner Form auch tun. Die Gründe dafür liegen auf der Hand und lassen sich anhand von Industriespionage und Wirtschaftsspionage einfach erklären: Forschungsergebnisse, Geschäftsgeheimnisse und verschiedene andere Informationen sind für Konkurrenten wertvoll. Noch häufiger kommt es vor, dass staatliche und regierungsnahe Bedrohungsakteure damit die Wettbewerbsfähigkeit heimischer Unternehmen steigern möchten.

Daraus lässt sich auch ableiten, dass diese Informationen im Allgemeinen auch für fast jeden opportunistischen Angreifer wertvoll sind, der bereit ist, gegen die Gesetzgebung zu verstoßen. Auch wenn sie diese Daten nicht selbst nutzen können, können sie sie verkaufen oder für andere Zwecke nutzen. Dies gilt nicht nur für Geschäftsdaten, sondern für viele Informationen, die man für relativ harmlos halten könnte – seien es Logdaten oder E-Mail-Listen.

Dies bringt uns zu einem weiteren Grund, warum Daten ausgeschleust werden. Oft beabsichtigen Angreifer nicht, ein bestimmtes Unternehmen zu kompromittieren, zu schädigen oder eine weitreichende Cyberattacke zu starten. Stattdessen handelt es sich oftmals nur um einen Schritt in Richtung eines größeren strategischen Ziels. Daher können sich geschäftskritische Daten, die beispielsweise von einem Lieferanten eines potenziellen Ziels oder von einem Mitarbeiter eines möglichen Ziels stammen, für die langfristige Operation eines Angreifers von unschätzbarem Wert erweisen.

Der Datentyp Nummer eins, nach denen Angreifer suchen, sind Anmeldeinformationen aller Art – am häufigsten sind es Passwörter, kryptografische Schlüssel und Zertifikate. Der Diebstahl von Anmeldeinformationen ist unter Angreifern heute gängige Praxis und eine bevorzugte Methode, um schnell und direkt auf Daten und Ressourcen eines Unternehmens zugreifen zu können. Dafür gibt es hervorragende Beispiele aus der Praxis – alle Beispiele, von den Sony-Hacks bis hin zu den NSA-Leaks, bestätigen die Vorliebe von Angreifern, Anmeldeinformationen aller Art abzugreifen.

Weitere wichtige Datentypen, die bei Angriffen auf kommerzielle Organisationen vorzugsweise entwendet werden, sind sensible, geschäftskritische Informationen. Dabei handelt es sich oft um interne Korrespondenz, geheime Forschungsinformationen und nicht veröffentlichte Finanzdaten eines Unternehmens. Je nach Ziel des Angreifers kann dies dem Unternehmen direkt schaden oder dem Angreifer eine Form von finanziellem oder anderem Nutzen erbringen. Letztes wird zunehmend mit Ransomware-Angriffen umgesetzt.

Die Exfiltration muss kein rein digitaler Prozess sein – oft geschieht dies auch über die physische Weitergabe von Informationen. In der Tat könnte ein unerfahrener Insider mit böswilligen Absichten dies durchaus als praktikablen Weg betrachten, um mit seiner Tat davonzukommen – insbesondere, wenn er davon ausgeht, die Daten persönlich weiterzugeben. Wenn man einen Insider als potenzielle Quelle für eine Datenexfiltration betrachtet, wächst die Bedrohung durch den Insider proportional zu seinen Berechtigungen. Administratoren sind, wie in den meisten Fällen, aufgrund ihres uneingeschränkten Zugriffs auf Ressourcen die größte Bedrohung innerhalb eines Unternehmens.

Die primären Methoden, die Bedrohungsakteure für die Datenexfiltration nutzen, sind automatisiert und stützen sich häufig – jedoch nicht immer – auf etablierte Protokolle für die Datenübertragung wie FTP, HTTP und E-Mail. Seit mehreren Jahren nutzen mehr und mehr Unternehmen Cloud-Storage. Deshalb sollten diese Unternehmen auch in Erwägung ziehen, in Cloud-Sicherheitslösungen zu investieren oder die Möglichkeit deaktivieren, Cloud-Storage innerhalb des Unternehmens zu nutzen. Letztlich sollte man an dieser Stelle auch die immer noch vorhandene Exfiltration über einen C2-Kanal erwähnen.

Es gibt auch komplexere Exfiltrationsmethoden – beispielsweise über Protokolle, die typischerweise nicht für den direkten Datentransfer vorgesehen sind, oder über Webanwendungen, die ebenfalls oft kompromittiert werden.

Mit einigen organisatorischer Maßnahmen lässt sich die Gefahr der Datenexfiltration gezielt vorbeugen. Dazu zählen unter anderem folgende Ratschläge:

• • Die Begrenzung der Zahl und der Art der Softwareanwendungen, die Nutzer auf ihren Arbeitsplatzrechnern installieren können, ist eine einfache und effektive Lösung, um einer Datenexfiltration vorzubeugen. Dies kann verhindern, dass Anwender böswillig oder unfreiwillig schadhaft handeln. Zudem beschränkt dies die Möglichkeit, dass Bedrohungsakteure verschiedene, gängige Kommunikationskanäle für eine Datenexfiltration nutzen. Dies umfasst alles – von persönlichen VPN-Services über Instant Messaging bis hin zu P2P-Filesharing.

 

• • Benutzerkonten zu überprüfen und sicherzustellen, dass die Authentifizierungsdaten ausreichend sicher sind, ist ein immer wiederkehrender Ratschlag, den Sie nicht außer Acht lassen sollten. Auch wenn die Änderung von Passwörtern immer wieder kontrovers diskutiert wird, ist es hilfreich. Stellen Sie sich vor, dass Ihre Anmeldedaten in irgendeinem Darknet-Forum kursieren und darauf warten, dass irgendjemand sie kaufen und nutzen möchte.

 

• • Sie sollten sich auch des Werts und des Standorts Ihrer wichtigsten Ressourcen bewusst sein – sowohl physisch als auch in Bezug auf die Netzwerktopologie. Auch im Fall einer Kompromittierung sollten Sie Ihre geschäftskritischen Daten schnell identifizieren und feststellen können, wer wann auf diese Informationen zugegriffen hat. So können Sie einem komplizierten Incident-Response-Prozess viele Schritte voraus sein.

 

• • Letztlich ist eine umfassende Überwachung hilfreich, um eine Datenexfiltration zu erkennen. Viele moderne SIEM-Lösungen bieten Regeln zur Erkennung einer Datenexfiltration und können um Endpoint-Monitoring-Tools sowie Logdaten aus Sicherheits- und Compliance-Software ergänzt werden.

 

Alles in Allem ist die Datenexfiltration kein Ziel oder ein Angriff an sich, sondern Teil einer Abfolge von Aktionen, die auf die Kompromittierung eines Ziels abzielen. Die gute Nachricht ist, dass zwischen dieser Bedrohung und anderen ein hohes Maß an Synchronität besteht. Somit ist der Schutz von Datenexfiltration eine Frage des Know-hows und erfordert nicht notwendigerweise zusätzliche Ressourcen.

Grundlegende Sicherheitspraktiken wie die Dokumentation und gute Organisation Ihres Netzwerks, die regelmäßige Änderung von Passwörtern oder zumindest die Sicherstellung, dass diese ausreichend komplex sind, sowie die Aufklärung der Mitarbeiter stellen sicher, dass Sie das Risiko einer Datenexfiltration deutlich senken können.