Fachartikel

Datenexfiltration verhindern

Datendiebstahl ist nicht nur ein Ärgernis, sondern birgt ernste Gefahren für Unternehmen: Die Exfiltration von Netzwerkdaten kann schwere Folgen für Reputation und gar die Business Continuity haben. Es gilt, derartige Aktivitäten frühestmöglich zu erkennen, um Schäden einzudämmen oder bestenfalls zu verhindern. Der Fachartikel erklärt, welche Strategie IT-Verantwortliche dafür ins Auge fassen sollten und warum es dabei wichtig ist, über die eigene Netzwerkgrenze hinauszudenken.
Um das illegale Absaugen von Daten zu verhindern, gilt es schon im Vorfeld auf verräterische Signale zu achten.
Die Cyberkriminalität nimmt seit Jahren stark zu. Dies belegte bereits im Jahr 2020 eine Studie des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (Bitkom): Demnach waren in den beiden Jahren zuvor 75 Prozent aller deutschen Unternehmen von Datendiebstahl, Industriespionage oder Sabotage betroffen, was einen enormen Anstieg dokumentiert. Zum Vergleich: Noch im Jahr 2015 traf es nur jede zweite Firma. Die COVID-19-Pandemie hat das Problem noch weiter verstärkt. So wurden die IT-Infrastrukturen von Unternehmen vor allem durch das zunehmende Remote-Working vermehrt zum Ziel von Cyberattacken. Eine Hauptursache dafür: Im Home Office herrschen in der Regel nicht die gleichen IT-Sicherheitsstandards wie am Arbeitsplatz in der Firma. Dies gilt vor allem für den Schutz vor Bedrohungen aus dem Internet.

Dabei sind die Arten möglicher Angriffe vielfältig: Ob Malware, Ransomware, Spam- / Phishing-Mails, Botnetze, Distributed-Denial-of-Service-Angriffe (DDoS) oder auch Advanced Persistent Threats (APT) – alle denkbaren Spezies können enormen Schaden anrichten. Eines der häufigsten Delikte ist laut der Bitkom-Studie der Datendiebstahl, der oft in Form der Exfiltration auftritt. Dabei werden Daten eines Rechners ohne Erlaubnis auf ein anderes Medium außerhalb der Sphäre des Urhebers transferiert. Dies kann manuell beispielsweise durch einen Mitarbeiter des Unternehmens erfolgen oder – der weit häufigere Fall – durch den automatisierten Zugriff einer Schadsoftware über das Internet oder ein anderes Netzwerk.

Verlust sensibler Daten hat verheerende Folgen
Beim "Credential Stuffing" beispielsweise stehlen Hacker Zugangsdaten von Usern und verkaufen sie an Kriminelle oder nutzen sie selbst, um Zugriff auf fremde Konten zu erhalten. Gelangen sensible Daten auf diese Weise in die Hände Unberechtigter, sind die Folgen meist verheerend: Mögliche Erpressungsversuche können nicht nur zu erheblichen finanziellen Einbußen führen, sondern auch die Fortsetzung des Geschäftsbetriebes eines Unternehmens ernsthaft gefährden. Den Betroffenen wird der Zugriff auf wichtige Informationen verwehrt, was die Geschäftsprozesse stark behindert. Und auch der Verlust von geistigem Eigentum kann schwerwiegende Wettbewerbsnachteile mit sich bringen. Zudem leidet die Reputation der Organisation nach einer solchen Attacke oft langfristig. Dies kommt insbesondere dann zum Tragen, wenn Kundendaten von dem Angriff betroffen sind und sich so der Kreis der Geschädigten noch mehr ausweitet.

Um einer möglichen Datenexfiltration den Schrecken zu nehmen, ist vorausschauendes Verhalten gefragt. Erscheinen entsprechende Aktivitäten erst während des Angriffs oder im Nachgang auf dem Radar, ist es meistens schon zu spät. Um einen größeren Schaden abzuwenden, gilt es, eine drohende Exfiltration bereits im Vorfeld aufzudecken und zu verhindern. Ein Problem dabei: Derartige Aktionen fallen häufig nicht auf, da sie mit legitimen Handlungen vermischt werden. Auch die Kombination mehrerer Techniken wie Verschleierung oder Überlagerung mit anderen Aktivitäten kann die Sichtbarkeit solcher illegalen Datentransfers auf ein Minimum reduzieren.
Netzwerkgeschehen überwachen und Anomalien aufdecken
Licht ins Dunkel bringt eine strategische Vorgehensweise, die das Netzwerkgeschehen kontinuierlich überwacht und dabei auffällige Anomalien allgemeiner Traffic-Muster verlässlich aufspürt. Besonders erfolgversprechend ist diese Taktik, wenn sie in Kombination mit der Identifizierung verdächtiger Netzwerkflüsse oder spezifischer Verhaltensweisen erfolgt. Dabei kann der Transfer sehr großer Datenmengen ein Indikator für eine Exfiltration sein.

Insbesondere lang andauernde, sehr datenintensive Verbindungen wie Streaming oder ein Fernzugriff, bei dem ein Großteil der Daten das Netzwerk verlässt, können auf verdächtige, nicht autorisierte Aktivitäten hinweisen. Werden anomale, ausgehende Datenströme nicht nur identifiziert, sondern auch mit einer neuen, zuvor nicht beobachteten Netzwerkinfrastruktur oder einer Virtual-Private-Server-Instanz in Verbindung gebracht, steigen die Erkennungsraten von Exfiltrationen zusätzlich.

Die genannten Strategien und Maßnahmen haben aber einen entscheidenden Nachteil: Sie können einen illegalen Datentransfer erst dann identifizieren, wenn er bereits stattfindet. IT-Verantwortliche in Unternehmen erhalten dann zwar den Hinweis auf eine Unstimmigkeit und können entsprechend reagieren, um den Schaden zu begrenzen. Dennoch ist der Angriff schon im Gange und hat damit begonnen, sein Unwesen zu treiben. Der effektivere Weg ist es also, eine Exfiltration komplett zu verhindern.

Eindringpfade und vorherige Ereignisse identifizieren
Gelingen kann das beispielsweise mit der sogenannten "Whole of Cyber Kill Chain"-Perspektive hinsichtlich der Überwachung und Verteidigung des Netzwerks. Bei dieser Methode werden mögliche Eindringpfade gesucht und vorherige Ereignisse – wie etwa erster Zugriff, Bewegungen im Netzwerk oder Datensammlungen – identifiziert, und zwar noch bevor die Daten das Netzwerk verlassen. In diesem Zuge findet eine kritische Prüfung statt, welche Voraussetzungen für einen erfolgreichen Angriff vorliegen müssen. Auf dieser Basis lassen sich fundierte Kontrollen sowohl auf dem Host als auch im Netzwerk implementieren, was nicht nur Exfiltrationen, sondern eine Vielzahl anderer Eindringversuche identifiziert und erfolgreich abwehrt.

Die Möglichkeiten zum Erkennen und Bekämpfen von Datenexfiltration besteht nur zu den mit
dem Gefahrenzeichen versehenen Kompromittierungsphasen.


Durch die Erkennung solcher potenzieller Angriffsmechanismen und deren lückenloses Monitoring lässt sich die Wahrscheinlichkeit für einen schädigenden Eingriff ins Netzwerk minimieren. Im Rahmen der Kontrollen sollten nach außen gerichtete Systeme regelmäßig gepatcht und verfügbare Dienste für den externen Zugriff reduziert werden. Zudem ist es wichtig, die in das Netzwerk eingehenden Datenverkehrsarten zu begrenzen und sensible Aktivitäten wie Fernadministration oder Zugriffssitzungen zu überwachen.

Darüber hinaus sollten IT-Verantwortliche die Verteidigungsstrategien mehrschichtig ausgestalten. Dazu gehört es, über die Netzwerkgrenze hinauszudenken und auch die potenziellen, nachfolgenden Aktivitäten eines Angreifers im Auge zu behalten. Dies erfordert eine Überwachung interner Netzwerkverkehrsströme ebenso wie Host-zentrierte Beobachtungen. Von entscheidender Bedeutung ist es hierbei, das Verhalten von Angreifern zu verstehen und deren Techniken zu durchschauen. Für entsprechende Gegenmaßnahmen empfiehlt sich eine Kombination aus Lösungen für Endpoint Defense and Response sowie Network Defense and Response. Diese gewährleisten eine mehrschichtige Erkennung und Überwachung der Systemumgebung und schließen Lücken in der Sichtbarkeit, sodass ein maximaler Schutz vor Angriffen besteht.

Fazit
Die Exfiltration von Daten wird zu einer immer größeren Bedrohung für die Sicherheit von Unternehmensnetzwerken. Um entsprechende Angriffe erfolgreich abzuwehren, sollten IT-Verantwortliche zu einer ganzheitlichen Strategie und mehrschichtigen Maßnahmen greifen. Hierfür ist es nicht ausreichend, verdächtiges Verhalten nur zu erkennen und den Schaden zu begrenzen. Vielmehr erfordert eine effektive Verteidigung die Identifizierung von böswilligen Aktivitäten in allen Phasen des Angriffs. Auf dieser Basis lassen sich wirksame Schutzmaßnahmen im Netzwerk sowie auf dem Host implementieren und dadurch Versuche eines Eindringens frühzeitig unterbinden.
8.09.2021/ln/Olaf Dünnweller, Senior Sales Director Central Europe bei Gigamon

Nachrichten

Nur vermeintlich sicher: Offline-Systeme [17.09.2021]

In Teilen der IT-Welt dominiert die Meinung, dass einige Systeme keinen Endpoint-Schutz benötigen. Diese Einschätzung ist häufig für solche Geräte anzutreffen, die isoliert und nicht mit dem Internet verbunden sind oder keine wichtigen Daten oder Programme erhalten, wie etwa Entwicklungssysteme. Ein Trugschluss, wie Security-Experten von Sophos erläutern. [mehr]

18-TByte-Festplatten dank Mikrowellen-Technologie [16.09.2021]

Toshiba Electronics Europe hat dem Portfolio seiner N300-NAS- und X300-Performance-Festplatten neue 18-TByte-Modelle hinzugefügt. Die beiden neuen Laufwerke arbeiten auf Basis der FC-MAMR-Technologie, die der Hersteller Anfang dieses Jahres angekündigt hat. [mehr]

Tipps & Tools

USB-Speicher mit Zahlenschloss [18.09.2021]

Dass Daten auf USB-Sticks nicht sicher sind, dürfte sich inzwischen herumgesprochen haben. Viele Profis greifen daher zur Verschlüsselung. Allerdings setzt dies oft auch eine entsprechende Software auf dem Zielrechner voraus. Wenn es kein USB-Stick mit eingebautem digitalen Keypad sein soll, bietet sich ein Blick auf das Kryptex-Zahlenschloss an. Mit ihm kommt nur an die Daten, wer den Zahlencode richtig einstellt. [mehr]

Status für Keyboard-Tasten im Blick behalten [17.09.2021]

Häufig ist beim schnellen Arbeiten versehentlich die ein oder andere Sondertaste gedrückt und die Suche nach dem Fehler geht los. Daher lohnt sich ein Blick auf das kostenfreie Tool "TrayStatus", das Ihnen den Status der Spezialtasten wie Rollen, Num, Umschalt, Strg, Alt und weitere im Systemtray übersichtlich anzeigt. Dadurch erkennen Sie sofort, welche Taste Sie unter Umständen wieder in den Ausgangszustand zurückversetzen müssen. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen