Datenexfiltration

Support Hero Banner

Was ist Datenexfiltration?

Datenexfiltration ist die unbefugte Beseitigung von sensiblen Daten aus einem Unternehmen durch Cyberkriminelle mit der Absicht, das Unternehmen zu erpressen oder öffentlich in Verlegenheit zu bringen. Die auch als Ransomware 3.0 bezeichnete Exfiltration von Daten vergrößert den Aktionsradius eines Ransomware-Angriffs, da bösartige Akteure über die Verschlüsselung von Produktionsdaten (Ransomware 1.0) und die Sperrung von Produktions- und Backup-Daten (Ransomware 2.0) hinausgehen und wertvolle Daten verschlüsseln und stehlen. Häufig sind das personenbezogene Daten von Kunden oder geschützte Gesundheitsdaten, die im Dark Web veröffentlicht oder gewinnbringend verkauft werden, wenn das betroffene Unternehmen nicht zur Zahlung von Lösegeld bereit ist.

Warum ist es wichtig, Datenexfiltration zu verstehen?

Aufgrund der damit verbundenen Risiken müssen Unternehmen über Techniken und Methoden der Datenexfiltration sowie über Lösungen zur Verhinderung und Erkennung von Datenexfiltration Bescheid wissen. Falls bösartige Akteure unbefugten Parteien außerhalb des Unternehmens sensible Informationen zur Verfügung stellen, könnten diese Daten missbraucht werden und Kunden, Mitarbeitern oder Partnern sowie dem Unternehmen einen nicht wiedergutzumachenden Schaden zufügen.

Ransomware ist für Cyberkriminelle eine beliebte Profitquelle geworden. Laut des FortiGuard Labs-Berichts hat diese Art des Cyberangriffs zwischen Juli 2020 und Juni 2021 eine Zunahme um 1.070 % erlebt. Da Unternehmen gelernt haben, sich gegen Ransomware zu wehren, sind die bösartigen Akteure kreativer geworden. Deshalb müssen Unternehmen ihre IT-Umgebungen jetzt vor immer böswilligeren Angriffen schützen. Dazu gehört auch die Verbreitung von Malware, die es auf Backup-Daten, Datensicherungssysteme und Produktionsdaten abgesehen hat und diese verschlüsselt, um nicht nur Backups zu zerstören, sondern auch Daten gewinnbringend zu stehlen oder zu exfiltrieren. Angegriffene Unternehmen werden aufgefordert, ein Lösegeld zu zahlen, damit ihre Daten nicht öffentlich freigelegt werden.

Wie kommt es zur Datenexfiltration?

Cyberkriminelle, insbesondere Ransomware-Angreifer, sowie Mitarbeiter, die in böser Absicht auf sensible Daten zugreifen, sind die häufigsten Ursachen für die Datenexfiltration. Diese bösartigen Akteure haben es in der Regel auf IT-Systeme mit hoher Anfälligkeit und geringen Patching-Raten abgesehen, zu denen häufig Datenbanken, Dateifreigaben und Netzwerk-Traffic gehören.

Welche Kontrollen können beim Schutz vor Datenexfiltration helfen?

Datenexfiltration ist die unbefugte Beseitigung von sensiblen Daten aus einem Unternehmen durch eine Person oder Entität mit bösartiger Absicht. Je schneller ein Eindringling entdeckt wird, desto geringer ist der Schaden für das Unternehmen – und desto weniger Nächte und Wochenenden müssen IT- und Sicherheitsexperten rund um die Uhr an der Wiederherstellung arbeiten.

Unternehmen können die Vorteile von modernem Datenmanagement mit umfassender Datensicherheit, Erkennung von Datenexfiltration und Überwachungsfunktionen nutzen, um den Aktionsradius von Ransomware zu verringern. Zu den wichtigsten Technologien, über die Unternehmen verfügen sollten, gehören die Folgenden:

  • Künstliche Intelligenz/Maschinelles Lernen (KI/ML)  Automatisierungsfunktionen, die Muster abgleichen und Warnungen mit Anomalien ausgeben, sodass IT-Teams Erkenntnisse gewinnen und Lösegeldzahlungen verhindern können.
  • Verschlüsselung  Standardmäßige AES-256-Verschlüsselung für Daten, die übertragen werden oder sich im Ruhezustand befinden, die sicherstellt, dass Daten nicht zur missbräuchlichen Verwendung eingesehen werden können.
  • Multifaktor-Authentifizierung (MFA)  Ein mehrstufiger Verifizierungsprozess zur Authentifizierung, wobei Personen ihre Identität sowohl mit etwas, das sie „wissen“ (z. B. Passwort oder Sicherheitsfrage) als auch mit etwas, das sie „haben“ (z. B. ein Handy) nachweisen müssen, um Datenverluste zu verhindern.
  • Rollenbasierte Zugriffskontrollen (RBAC) Die Gewährung eines mitarbeiterspezifischen Mindestzugriffs auf alle die Unternehmensdaten, die für die Ausführung einer bestimmten Aufgabe erforderlich sind, und die gleichzeitige Verteilung kritischer Datenprozesse und -funktionen auf IT-Rollen, um zu verhindern, dass ein einzelner Administrator (oder Insider) ein ganzes Unternehmen gefährdet.

Was sind typische Beispiele für Datenexfiltration?

Zu den gängigen Beispielen für die Datenexfiltration gehören Lecks in Datenbanken und Dateifreigaben sowie die Abzweigung des Netzwerk-Traffics durch bösartige Akteure.

Wie können Sie Datenexfiltration erkennen?

Es ist schwierig zu erkennen, wann ein böswilliger Akteur die Absicht hat, Daten zu exfiltrieren. Anstelle von menschlichem Sicherheitspersonal können IT-Abteilungen allerdings eine Next-Gen Data Management-Lösung einsetzen, deren Funktionen den normalen Systembetrieb kontinuierlich überwachen und anormale Benutzeraktivitäten aufspüren. So können Unregelmäßigkeiten, die auf einen Ransomware-Angriff hindeuten, schnell erkannt werden.

Zusammen mit den Warnmeldungen signalisieren diese Funktionen nicht nur potenzielle Gefahren, sondern können auch Abhilfemaßnahmen einleiten. Durch die Anomalieerkennung in nahezu Echtzeit sind IT-Teams in der Lage, Verschlüsselungsangriffe und Angriffe zur Datenexfiltration schnell zu entdecken, was dazu beiträgt, den Aktionsradius von Ransomware zu minimieren.

Sind Schutzmaßnahmen gegen die Datenexfiltration notwendig?

Laut Cybersecurity Ventures werden die weltweiten Kosten für Ransomware-Schäden – sprich Umsatz- und Produktivitätsverluste sowie Wiederherstellungskosten – bis 2031 auf über 265 Milliarden US-Dollar geschätzt. Obwohl die Datenexfiltration nicht zwingend eine Ransomware-Technik ist, wird sie schnell zu einer sehr beliebten Technik. Lösungen wie Next-Gen Data Management unterstützen Teams besser beim Schutz ihrer Daten vor Ransomware-Angreifern, die versuchen, Daten zu stehlen und mit großem Gewinn weiterzuverkaufen, sofern die Opfer kein Lösegeld für die Wiederherstellung der Daten zahlen.

Was bedeutet „Exfil“?

Der Begriff „Exfil“ stammt aus dem militärischen Bereich und bezeichnet den heimlichen Abzug einer Person (z. B. eines Geheimdienstmitarbeiters, Soldaten usw.) aus einem vom Feind kontrollierten Gebiet. In der IT ist er zum Synonym für Ransomware und die heimliche, unrechtmäßige Entfernung von Daten aus einem Computer, Netzwerk oder einem anderen IT-System (Exfiltration) geworden, mit der Absicht, Lösegeld für die Daten zu verlangen.

Wozu dient DLP?

DLP (Data Loss Prevention) bzw. Datenverlustprävention kann sowohl eine Strategie als auch eine Lösung sein, um die Daten eines Unternehmens zu schützen und den unerlaubten Zugriff auf diese Daten zu verhindern.

Was bedeutet DLP in Bezug auf Sicherheit?

DLP bezieht sich typischerweise auf Technologien, die sensible Daten (PII (Personally Identifiable Information), PCI (Payment Card Industry), PHI (Protected Health Information), IP (Intellectual Property)) auf unbefugte Übertragung überwachen. DLP-Lösungen überwachen Dateisysteme und gewährleisten, dass klassifizierte oder sensible Daten nicht außerhalb des Unternehmens versendet oder auf Wechselmedien kopiert werden, die gegen die Sicherheitsrichtlinien des Unternehmens verstoßen würden.

Wie stehlen Kriminelle Daten?

Die Angreifer verschaffen sich wie folgt Zugang zu Daten, um sie zu stehlen oder zu exfiltrieren und dann Lösegeld zu erpressen:

  • Ausnutzung ungepatchter Systeme, insbesondere veralteter Softwareprodukte wie ältere Versionen von Datensicherungsinfrastrukturen, Dateifreigaben, Datenbanken, Betriebssystemen und Browsern
  • Kompromittierte Nutzeranmeldedaten, die entstehen können, wenn jemand versehentlich seine Anmeldedaten an eine andere Person weitergibt, wenn sich jemand von außerhalb des Unternehmens in ein System einhackt oder wenn ein autorisierter Mitarbeiter in böser Absicht Administratorrechte ausnutzt

Dem letzten Szenario, auch bekannt als Insider-Bedrohung, können Unternehmen entgegenwirken, indem sie Mechanismen wie die WORM-Technologie (Write Once, Read Many) einsetzen. Sie ermöglicht die Erstellung und Anwendung einer zeitlich begrenzten Sperre für Daten durch Richtlinien und deren Zuweisung an ausgewählte Aufgaben, um die Unveränderlichkeit gesicherter Daten zu verbessern. Einmal eingerichtet, können weder Sicherheitsbeauftragte noch die Sicherheitsadministratoren die Richtlinien ändern oder löschen, sodass potenzielle Angriffe von Mitarbeitern von innen vereitelt werden.

Was ist Insider-Datenexfiltration?

Cyberkriminelle sind nicht nur außerhalb des eigenen Unternehmens zu finden. Manchmal arbeiten Menschen mit bösartigen Absichten im Unternehmen selbst. Wenn sie unbefugten Parteien außerhalb des Unternehmens sensible Informationen zur Verfügung stellen und sie dem Unternehmen erst nach Zahlung eines Lösegelds zurückgeben, wird das Insider-Datenexfiltration genannt.

Cohesity und Datenexfiltration

Unternehmen brauchen Daten und die aus ihnen gewonnenen wertvollen Erkenntnisse, um im Wettbewerb bestehen zu können. Angesichts des exponentiellen Datenwachstums wird es für IT-Teams jedoch immer unmöglicher zu wissen, worauf es ankommt, da ältere Datenmanagementprodukte keinen effektiven Musterabgleich und keine Datenklassifizierung durchführen können. 

Die Next-Gen Data Management-Lösung von Cohesity ist ein wirksames Mittel gegen Datenexfiltration und hilft Unternehmen, die Zahlung von Lösegeld zu verweigern. Sie basiert auf künstlicher Intelligenz und Erkenntnissen des maschinellen Lernens (KI/ML), die Unternehmen bei der genaueren Erkennung von Abweichungen und der Reduzierung von Fehlalarmen unterstützen, ohne dass zusätzliches Personal erforderlich ist. 

IT-Unternehmen können die in die Cohesity-Plattform integrierten robusten Datensicherheitsfunktionen wie Verschlüsselung, MFA, RBAC, Quorum und mehr nutzen, um Cyberkriminelle abzuschrecken und vor Insider-Bedrohungen zu schützen. Sie können auch von den KI/ML-Techniken profitieren, die Cohesity für den Abgleich mit „bekannten guten“ Datensätzen einsetzt, und dies zudem effektiver und effizienter tun, da „bekannte sensible Daten“ abgeglichen und an den KI/ML-Algorithmus zurückgegeben werden.

You may also like

esg thumbnail
Käuferleitfaden

Ransomware-Bereitschaft: Ein ausführlicher Bewertungsleitfaden

Mehr dazu
Ransomware Protection for M365
Käuferleitfaden

Schutz vor Ransomware für Microsoft 365

Mehr dazu
X
Icon ionic ios-globe

Sie sehen gleich englische Inhalte. Möchten Sie fortfahren?

Zeigen Sie diese Warnung nicht mehr an

Icon ionic ios-globe

Sie sehen gleich englische Inhalte. Möchten Sie fortfahren?

Zeigen Sie diese Warnung nicht mehr an