Was ist Datenexfiltration?

Datenexfiltration, auch bekannt als Datenextrusion oder Datendiebstahl, ist die unbefugte Übertragung von Daten aus einem System oder Netzwerk. Diese kann sowohl manuell durch Insider als auch automatisiert durch Malware erfolgen. Datenexfiltration zählt zu den gravierendsten Bedrohungen für die Cybersicherheit, da sie wertvolle und oft vertrauliche Informationen wie Kunden- und Finanzdaten betrifft. Ein Angriff kann enorme finanzielle Verluste sowie erhebliche Schäden für den Ruf eines Unternehmens oder einer Behörde nach sich ziehen.

Arten von Datenexfiltration

  1. Manuelle Datenexfiltration:
    Dies geschieht häufig durch Insider, die Daten per E-Mail, über tragbare Geräte wie USB-Sticks oder durch den Upload auf externe Cloud-Dienste weitergeben. Auch einzelne Angreifer können sensible Daten manuell stehlen, in dem sie Sicherheitslücken ausnutzen, um über einen geeigneten Kanal Daten zu exfiltrieren.
  2. Automatisierte Datenexfiltration:
    Hierbei nutzen Angreifer Malware, um sensible Daten kontinuierlich zu sammeln und diese an einen externen Server zu senden.

Wie erfolgt eine Datenexfiltration?

Datenexfiltration kann durch verschiedene Techniken realisiert werden, darunter die Manipulation von Netzwerkprotokollen wie HTTP und DNS sowie durch die Nutzung von Timing Channels. Diese Methoden machen sich Schwachstellen in Netzwerken zunutze, um unbemerkt sensible Daten zu stehlen. Oft beginnt eine Exfiltration durch Social Engineering oder die Ausnutzung von Sicherheitslücken in Systemen.

Exfiltration über HTTP/HTTPS

  1. Versteckte Datenübertragung:
    Angreifer tarnen gestohlene Daten als regulären HTTP-Traffic, um Firewalls und andere Sicherheitsmaßnahmen zu umgehen. Ein Beispiel wäre das Einbetten von sensiblen Daten in Bilder, die dan via Browser heruntergeladen werden. In den Logs sieht es dann so aus, als würde der Nutzer nur Bilder herunterladen, die vermutlich auf einer Website eingebettet sind.
  2. Nutzung offener HTTP-Verbindungen:
    Schwach gesicherte HTTP-Verbindungen können ausgenutzt werden, um sensible Daten in kleineren Paketen unbemerkt zu übertragen.
  3. Nutzung vertrauenswürdiger Verbindungen:
    Viele Firewalls werden so konfiguriert, dass sie die große Mehrheit an HTTP-Traffic unterbinden - Ausnahmen sind recht häufig Verbindungen zu Cloud-Anbieter - speziell AWS oder Google.
  4. Nutzung von POST:
    Statt Daten über die URL bzw. den Pfad zu übertragen können Angreifer auch POST-Requests nutzen, um Daten zu übertragen. Hierbei hat man oft den Fall, dass die Daten nicht wirklich geloggt werden. In schwach geschützten Umgebungen ohne DLP ist das oft eine sehr gute Wahl.

Exfiltration über DNS

  1. DNS-Tunneling:
    Hierbei verwenden Angreifer das DNS-Protokoll, um einen Tunnel für die Übertragung von Daten an einen externen Server zu etablieren. Wohingegen HTTP und andere Protokolle von Firewalls blockiert werden, ist DNS verhältnismäßig selten blockiert.
  2. DNS-Exfiltration mit geringem Durchsatz:
    Durch das langsame und kontinuierliche Versenden kleiner Datenpakete über DNS-Anfragen bleibt der Angriff oft lange unentdeckt.

Exfiltration über FTP/FTPS

  1. FTP-Übertragung:
    Bevor aufwendige Methoden, wie DNS verwendet werden, testen Angreifer oft die Verfügbarkeit von FTP bzw. FTPS. Dieses einfache Protokoll erlaubt es einfach große Mengen an Daten auf einen externen Server zu kopieren.

Exfiltration über SMB

  1. Server Message Block:
    Auch dieses Protokoll eignet sich gut um Daten von Server A auf Server B zu schieben und sollte entsprechend blockiert oder überwacht werden.

Exfiltration unter Zuhilfenahme von VPNs

  1. Verschlüsselte Verbindungen:
    VPN-Verbindungen sind in der Regel stark verschlüsselt und erlauben es Angreifern, Daten unbemerkt zu exfiltrieren. Die Daten sind dabei verschlüsselt und schwer einsehbar/analysierbar - was ein Vorteil ist, wenn DLP-Lösungen eingesetzt werden.

Blinde Extraktion über sleep() (oder vergleichbare Funktionen)

  1. Timings:
    Hat man direkt Zugriff auf die Ausgabe (was z.B. bei Webapplikationen der Fall ist), kann aber via HTTP oder DNS nichts extrahieren, hat aber die Möglichkeit Befehle auszuführen, kann man über sleep() oder ähnliche Funktionen Daten extrahieren. Hierbei definiert man den eingeschleusten Code so, dass er lange braucht, wenn das erste Zeichen "a" ist. Dieser Prozess dauert recht lange und ist aufwendig, aber es ist möglich.

Hackern finden in der Regel immer einen guten Weg Daten zu stehlen. Einige der wichtigsten Protokolle wurden hier genannt - es gibt jedoch noch viele weitere Möglichkeiten: SSH, ICMP, SMTP wären die bekannteren.

Wie lässt sich Datenexfiltration verhindern?

Um Datenexfiltration effektiv zu verhindern, setzen Unternehmen auf eine Kombination aus technischen Maßnahmen und Mitarbeiterschulungen. Da die meisten Exfiltrationen durch menschliches Fehlverhalten oder Phishing-Angriffe verursacht werden, ist die Schulung der Mitarbeiter ein entscheidender Schutzmechanismus. Zudem spielen Technologien wie Data Loss Prevention (DLP) und das Identitäts- und Zugriffsmanagement (IAM) eine zentrale Rolle beim Schutz sensibler Daten.

Schutzmaßnahmen

  1. Data Loss Prevention (DLP):
    DLP-Lösungen überwachen den Datenverkehr und verhindern, dass sensible Daten unbefugt das Netzwerk verlassen.
  2. Identitäts- und Zugriffsmanagement (IAM):
    Mit IAM-Systemen wird der Zugriff auf sensible Daten streng kontrolliert, sodass nur autorisierte Personen diese einsehen oder übertragen können.

Relevantes zu Datenexfiltration

Mehr Informationsmaterial

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema Datenexfiltration? Schreib uns!

Damian Strobel
Wir können für Sie prüfen, ob Ihre Applikationen und Systeme Datenexfiltration zulassen.