Datenexfiltration, auch als Datenextrusion oder Datenexportierung bekannt, ist Datendiebstahl: die vorsätzliche, unbefugte, verdeckte Übertragung von Daten von einem Computer oder einem anderen Gerät. Die Datenexfiltration kann manuell oder mithilfe von Malware automatisiert werden.
Datenexfiltrations-Angriffe gehören zu den zerstörerischsten und schädlichsten Bedrohungen für die Cybersicherheit und betrifft sowohl normale Benutzer als auch große Unternehmen und Regierungsbehörden.Die Verhinderung von Datenexfiltration und der Schutz von Unternehmensdaten sind daher aus mehreren Gründen von entscheidender Bedeutung:
Aufrechterhaltung der Geschäftskontinuität: Datenexfiltration kann den operativen Betrieb stören, das Vertrauen von Kunden schädigen und zu finanziellen Verlusten führen.
Einhaltung von Vorschriften: In vielen Branchen gibt es spezielle Vorschriften zum Datenschutz und zur Datensicherheit. Datenexfiltration resultiert häufig aus der Nichteinhaltung dieser Vorschriften oder deckt solche auf und kann schwere Strafen und dauerhafte Reputationsschäden nach sich ziehen.
Schutz des geistigen Eigentums: Datenexfiltration kann Geschäftsgeheimnisse, Informationen aus Forschung und Entwicklung sowie andere geschützte Informationen gefährden, die für die Rentabilität und den Wettbewerbsvorteil eines Unternehmens unerlässlich sind.
Sensible Daten sind für Cyberkriminelle ein äußerst wertvolles Ziel. Gestohlene Kundendaten, personenbezogene Daten (Personally Identifiable Information, PII), Sozialversicherungsnummern oder sonstige vertrauliche Informationen werden möglicherweise auf dem Schwarzmarkt verkauft. Die gestohlenen Daten können auch für weitere Cyberangriffe verwendet oder im Rahmen eines Ransomware-Angriffs gegen exorbitante Gebühren erpresst werden.
Gewinnen Sie mit dem Index „IBM Security X-Force® Threat Intelligence“ Einblicke, um sich schneller und effektiver auf Cyberangriffe vorzubereiten und auf sie zu reagieren.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Obwohl sie oft synonym verwendet werden, sind Datenlecks, Datenverletzungen und Datenexfiltration verschiedene, wenn auch verwandte, Konzepte.
Ein Datenleck ist die versehentliche Offenlegung sensibler Daten. Datenlecks können auf eine technische Sicherheitslücke oder einen verfahrenstechnischen Sicherheitsfehler zurückzuführen sein.
Eine Datenschutzverletzung ist ein Sicherheitsvorfall, der zu einem unbefugten Zugriff auf vertrauliche oder sensible Informationen führt. Jemand, der keinen Zugriff auf sensible Daten haben sollte, erhält Zugriff darauf.
Datenexfiltration ist die diskrete Handlung von Datendiebstahl. Jede Datenexfiltration erfordert ein Datenleck oder eine Datenschutzverletzung, aber nicht alle Datenlecks oder Datenschutzverletzungen führen zu einer Datenexfiltration. Beispielsweise kann sich ein Bedrohungsakteur stattdessen dafür entscheiden, die Daten im Rahmen eines Ransomware-Angriffs zu verschlüsseln oder sie zu verwenden, um das E-Mail-Konto einer Führungskraft zu kapern. Dies ist dann solange keine Datenexfiltration, bis die Daten unter der Kontrolle des Angreifers kopiert oder auf ein anderes Speichergerät verschoben werden.
Diese Unterscheidung ist wichtig. Eine Google-Suche nach „Kosten der Datenexfiltration“ zeigt in der Regel allgemeine Informationen über die Kosten von Datenschutzverletzungen, aber nicht viel über die Kosten der Datenexfiltration. Diese beinhalten oft hohe Lösegeldzahlungen, um den Verkauf oder die Freigabe von exfiltrierten Daten zu verhindern, sowie weitere Lösegelder, um mögliche weitere Angriffe zu verhindern.
Normalerweise wird Datenexfiltration durch Folgendes verursacht:
einen externen Angreifer, also einen Hacker, Cyberkriminellen, einen Fremden oder anderen böswilligen Akteur.
eine Bedrohung durch unternehmensinterne Unvorsichtigkeit: ein Mitarbeiter, Geschäftspartner oder ein anderer autorisierter Benutzer gibt Daten frei – ein Fall von menschlichem Versagen oder schlechtem Urteilsvermögen (z. B. wenn jemand auf einen Phishing-Betrug hereinfällt) oder Unkenntnis von Sicherheitskontrollen, Richtlinien und Best Practices. Wenn ein Benutzer beispielsweise sensible Daten auf ein USB-Flash-Laufwerk, eine tragbare Festplatte oder ein anderes unsicheres Gerät überträgt, stellt dies eine Bedrohung dar.
In selteneren Fällen ist die Ursache eine böswillige Bedrohung von innen: ein bösartiger Akteur mit autorisiertem Zugriff auf das Netzwerk, z. B. ein verärgerter Mitarbeiter.
Angreifer von außen und böswillige interne Akteure nutzen unvorsichtige oder schlecht ausgebildete interne Personen sowie technische Sicherheitslücken aus, um auf sensible Daten zuzugreifen und diese zu stehlen.
Social Engineering -Angriffe machen sich die menschliche Psychologie zunutze, um eine Person zu manipulieren oder dazu zu verleiten, ihre eigene Sicherheit oder die Sicherheit ihres Unternehmens zu gefährden.
Die häufigste Art von Social-Engineering-Angriffen ist das Phishing, also die Verwendung von E-Mail-, Text- oder Sprachnachrichten, die sich als vertrauenswürdiger Absender ausgeben und die Nutzer/innen dazu bringen, eine der folgenden Aktionen durchzuführen:
- Malware herunterladen (z. B. Ransomware)
- Links zu bösartigen Webseiten anklicken
- Persönliche Informationen preisgeben (z. B. Anmeldedaten)
- Direkt die Daten aushändigen, die der Angreifer exfiltrieren will
Phishing-Angriffe können von unpersönlichen Massen-Phishing-Nachrichten, die scheinbar von vertrauenswürdigen Marken oder Organisationen stammen, bis hin zu hochgradig personalisierten Angriffen in Form von Spear-Phishing, Whale-Phishing und Business Email Compromise (BEC) reichen. BEC-Angriffe richten sich an bestimmte Personen mit Nachrichten, die den Anschein erwecken, von engen Kollegen oder Autoritätspersonen zu stammen.
Social Engineering kann allerdings weit weniger technisch sein. Ein Social Engineering-Verfahren, das so genannte Baiting, besteht darin, einen mit Malware infizierten USB-Stick an einer Stelle abzulegen, an der ein Benutzer ihn sich holen wird. Ein anderes Verfahren, das so genannte Tailgaiting, besteht darin, einem autorisierten Benutzer in einen Raum oder an einen Ort zu folgen, an dem Daten gespeichert sind.
Bei Exploits einer Sicherheitslücke wird eine Sicherheitsschwachstelle oder eine Lücke in der Hardware, Software oder Firmware eines Systems oder Geräts ausgenutzt. Zero-Day-Exploits nutzen Sicherheitslücken, die Hacker entdecken, bevor Software- oder Gerätehersteller davon wissen oder in der Lage sind, sie zu beheben. Bei DNS-Tunneling werden DNS-Anfragen (Domain Name Service) eingesetzt, um Firewall-Abwehrmechanismen zu umgehen und einen virtuellen Tunnel zum Exfiltrieren vertraulicher Informationen zu schaffen.
Für Einzelpersonen können durch Exfiltration gestohlene Daten kostspielige Folgen haben, wie Identitätsdiebstahl, Kreditkarten- oder Bankbetrug und Erpressung. Für Unternehmen – insbesondere in stark regulierten Branchen wie dem Gesundheits- und Finanzwesen – sind die Folgen um ein Vielfaches kostspieliger. Die folgenden Konsequenzen sind Beispiele dafür, was passieren kann:
Unterbrechungen des Betriebs durch Verlust geschäftskritischer Daten
Verlust des Vertrauens von Kunden oder verlorene Geschäftschancen
Kompromittierung wertvoller Geschäftsgeheimnisse wie Produktentwicklungen/Erfindungen, einzigartige Anwendungscodes oder Herstellungsprozesse
Hohe Bußgelder, Gebühren und andere Sanktionen für Organisationen, die gesetzlich dazu verpflichtet sind, beim Umgang mit sensiblen Kundendaten strenge Datenschutzprotokolle und -vorkehrungen einzuhalten
Folgeangriffe, die durch exfiltrierte Daten ermöglicht wurden
Berichte und Studien zu Kosten, die direkt auf die Datenexfiltration zurückzuführen sind, sind schwer zu finden. Doch die Zahl der Fälle von Datenexfiltration steigt rapide an. Heutzutage sind die meisten Ransomware-Angriffe doppelte Erpressungsangriffe – die Cyberkriminellen verschlüsseln die Daten des Opfers und erpressen sie. Als Nächstes fordern die Cyberkriminellen ein Lösegeld, um die Daten freizugeben (damit das Opfer seinen Geschäftsbetrieb wieder aufnehmen kann) und weitere Lösegelder, um den Verkauf oder die Weitergabe der Daten an Dritte zu verhindern.
Im Jahr 2020 exfiltrierten Cyberkriminelle allein von Microsoft und Facebook Hunderte Millionen Kundendatensätze. 2022 exfiltrierte die Hackergruppe Lapsus$ ein Terabyte sensibler Daten des Chipherstellers Nvidia und ließ den Quellcode für die Deep-Learning-Technologie des Unternehmens durchsickern. Wenn Hacker dem Geld folgen, dann muss bei der Datenexfiltration viel – und immer mehr – zu haben sein.
Unternehmen kombinieren Best Practices und Sicherheitslösungen, um Datenexfiltration zu verhindern.
Schulung zum Sicherheitsbewusstsein. Phishing ist ein weit verbreiteter Angriffsvektor für Datenexfiltration. Die Schulung von Mitarbeitern zur Erkennung von Phishing-Scams kann daher dazu beitragen, Hacking-Versuche mit dem Ziel der Datenexfiltration zu unterbinden. Schulungen für die Vermittlung von Best Practices für die Arbeit remote, Passworthygiene, zur Verwendung persönlicher Geräte am Arbeitsplatz und zur Handhabung/Übertragung/Speicherung von Unternehmensdaten kann Unternehmen dabei helfen, das Risiko von Datenexfiltration zu verringern.
Identitäts- und Zugriffsmanagement (IAM). Mit IAM-Systemen können Unternehmen eine einzige digitale Identität und eine einzige Gruppe von Zugriffsrechten für jeden Nutzer im Netzwerk zuweisen und verwalten. Diese Systeme vereinfachen den Zugang für autorisierte Nutzer und halten gleichzeitig unbefugte Nutzer und Hacker fern. IAM kann die folgenden Technologien kombinieren:
Multi-Faktor-Authentifizierung – bei der neben dem Benutzernamen und dem Passwort mindestens ein weiterer Faktor erforderlich ist
Rollenbasierte Zugriffskontrolle (RBAC) – Zugriffsberechtigungen basierend auf der Rolle des Benutzers im Unternehmen
Adaptive Authentifizierung – Benutzer müssen sich neu authentifizieren, wenn sich der Kontext ändert (z. B. wenn sie das Gerät wechseln oder versuchen, auf besonders sensible Anwendungen oder Daten zuzugreifen).
Single Sign-On – ermöglicht Benutzern, sich einmal mit einem einzigen Satz von Anmeldeinformationen bei einer Sitzung anzumelden und während dieser Sitzung auf mehrere zugehörige lokale oder Cloud-Dienste zuzugreifen, ohne sich erneut anmelden zu müssen.
Data Loss Prevention (DLP). DLP-Lösungen überwachen und untersuchen sensible Daten mit jedem Status – in Ruhe (im Speicher), in Bewegung (Übertragung durch das Netzwerk) und in Verwendung (in Bearbeitung) – auf Anzeichen einer Exfiltration und blockieren die Exfiltration entsprechend. Beispielsweise kann die DLP-Technologie verhindern, dass Daten in einen nicht autorisierten Cloud-Speicherdienst kopiert werden oder von einer nicht autorisierten Anwendung verarbeitet werden (z. B. von einer App, die ein Benutzer aus dem Internet herunterlädt).
Bedrohungserkennungs- und Reaktionstechnologien. Eine wachsende Zahl von Cybersicherheitstechnologien überwacht und analysiert fortlaufend den Netzwerkverkehr und die Benutzeraktivitäten in Unternehmen. Diese Technologien helfen überlasteten Sicherheitsteams, Cyberbedrohungen in Echtzeit oder nahezu in Echtzeit zu erkennen und mit minimalen manuellen Eingriffen zu reagieren. Zu diesen Technologien gehören die folgenden:
Datensicherheitslösungen von IBM werden lokal oder in einer Hybrid Cloud implementiert und helfen Ihnen dabei, Cyberbedrohungen zu untersuchen und zu beheben, Kontrollen in Echtzeit durchzusetzen und die Einhaltung gesetzlicher Vorschriften zu verwalten.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller zu erholen.
Schützen Sie die primären und sekundären Speichersysteme Ihres Unternehmens proaktiv vor Ransomware, menschlichem Versagen, Naturkatastrophen, Sabotage, Hardwarefehlern und anderen Datenverlustrisiken.
Ransomware ist eine Form von Malware. Dabei drohen Angreifer Opfern damit, Daten oder Dateien zu löschen, vorzuenthalten oder dauerhaft verschlüsselt zu lassen, wenn nicht ein Lösegeld gezahlt wird.
Die 17. Ausgabe dieses Berichts präsentiert neueste Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, um Zeit zu sparen und Verluste zu begrenzen.
CISOs, Sicherheitsteams und Führungskräfte: Hier erhalten Sie verwertbare Erkenntnisse, die Ihnen zeigen, wie Angreifer vorgehen und wie Sie Ihr Unternehmen proaktiv schützen können.