Data Exfiltration

Laut Techopedia findet eine Datenexfiltration statt, wenn Daten von einem Server oder dem Computer einer Person unberechtigt kopiert, übertragen oder abgerufen werden. Unternehmen mit sensiblen Daten sind durch diese Art von Angriffen besonders gefährdet, sei es durch externe Bedrohungsakteure oder vertrauenswürdige Insider.

Versehentliche und böswillige Bedrohungsvorfälle durch Insider gehören zu den Hauptursachen für Data Exfiltration. Bei böswilligen Insider-Bedrohungen handelt es sich um vertrauenswürdige Personen, die einem Unternehmen oder einer Organisation absichtlich Schaden zufügen wollen, um sich selbst (oder jemand anderem) Vorteile zu verschaffen. Es ist jedoch wichtig hervorzuheben, dass zwei von drei Bedrohungsvorfällen durch Insider versehentlich verursacht werden. Wenn die Untersuchung dieser Fehler zu viel Zeit in Anspruch nimmt, kann sich dies jedoch als ebenso kostspielig für das Unternehmen erweisen.

Die Exfiltration von Daten gehört heute zu den größten Sorgen von Unternehmen: Laut einer aktuellen Studie von McAfee haben 61 Prozent der Sicherheitsexperten in ihrem aktuellen Unternehmen eine Datenverletzung erlebt. Mit strengeren Compliance-Vorschriften rund um den Datenschutz, wie GDPR und dem California Consumer Privacy Act, ist die Bedeutung für die Meldung von Fällen von Data Exfiltration zudem deutlich gestiegen.

Laut der oben genannten Studie von McAfee sind die häufigsten Methoden zur Datenexfiltration in Unternehmen:

• Datenbank-Lecks
• Netzwerkverkehr
• Dateifreigaben
• Firmen-E-Mails

Cloud-Apps und Datenbanken

Ein aktueller Bericht von CA Technologies über Insider-Bedrohungen bezeichnet Datenbanken als die am stärksten gefährdeten IT-Ressourcen, noch vor Dateiservern, Cloud-Apps und mobilen Geräten. Da die darin enthaltenen Daten so wertvoll sind, werden Datenbanken häufig sowohl von Insidern als auch von externen Angreifern ins Visier genommen.

Wechseldatenträger

Wechseldatenträger sind ein weiterer gängiger Vektor. Selbst im Zeitalter des allgegenwärtigen Cloud-Speichers sind Datenexfiltrationsmethoden der alten Schule wie Flash-Laufwerke immer noch allgegenwärtig. Auch wenn es unrealistisch ist, die Verwendung von USB-Sticks in jedem Unternehmen komplett zu verbieten, müssen die Mitarbeitenden die Risiken verstehen und sich an die Richtlinien für den Datenzugriff und die Speicherung halten.

Während Dateifreigaben die Liste der Datenexfiltrationsmethoden in Nordamerika anführen, sind USB-Laufwerke die primären Exfiltrationsvektoren in APAC und Europa.

Versehentliche Insider-Bedrohungen

Neben Benutzern mit böswilligen Absichten sind versehentliche Insider-Bedrohungen eine Hauptursache für Datenexfiltration. Phishing-E-Mails und Social-Engineering-Angriffe sind nach wie vor ein probates Mittel für Hacker, um an Unternehmensdaten zu gelangen. Darüber hinaus sind schwache oder wiederverwendete Passwörter oder eine fehlende Multi-Faktor-Authentifizierung häufige Schwachstellen, nach denen Hacker suchen, um in das Konto eines Benutzers einzudringen. Oft ist das Bewusstsein für Cybersicherheit die beste Verteidigung in diesen Szenarien. Die Exfiltration von E-Mail-Daten wurde in der Studie von McAfee ebenfalls als häufige Insider-Bedrohungen genannt.

Datenmissbrauch

Laut einem aktuellen Verizon-Bericht zu Insider-Bedrohungen, ist Datenmissbrauch eine weitere Hauptursache für Datenexfiltration. Im Gegensatz zu der versehentlichen Bedrohung kann es zu Datenmissbrauch kommen, wenn Benutzer absichtlich oder unabsichtlich versuchen, Sicherheitskontrollen oder Richtlinien zu umgehen. Eine unbeabsichtigte Data Exfiltration findet zum Beispiel statt, wenn Mitarbeitende eine nicht genehmigte Software für die Arbeit mit einem Drittanbieter verwenden, weil sie schneller oder einfacher zu benutzen ist.

Mitarbeitende können sensible Unternehmensdaten auf ganz unterschiedliche Weise aus dem Unternehmen ausschleusen, z. B. über persönliche E-Mail-Konten, Cloud-Speicher, Drucker, Websites zur Dateifreigabe, Tastenkombinationen und mehr. Es ist für ein Unternehmen oftmals schwierig, legitime Benutzeraktivitäten von böswilligen Aktivitäten zu unterscheiden, daher ist ein System notwendig, das relevanten Kontext zu den Benutzeraktionen liefert.

Um die Exfiltration von Daten zu verhindern, setzen viele Unternehmen auf traditionelle Sicherheitsmaßnahmen wie Data Loss Prevention (DLP)-Lösungen. Diese Tools sind in bestimmten Anwendungsfällen effektiv, greifen bei der Erkennung von Datenexfiltration jedoch oft zu kurz.

Beispielsweise werden Enterprise DLP-Lösungen in der Regel von Unternehmen eingerichtet, um Verletzungen der Datennutzungsrichtlinien zu erkennen und Datenverluste zu verhindern. Die Implementierung beinhaltet einen umfangreichen Datenerkennungs- und Klassifizierungsprozess, um sensible Daten zu finden, zu kategorisieren und zu verstehen. Da sich die Anforderungen oftmals ändern, müssen diese Einstellungen fortlaufend verwaltet werden. Dies erfordert von den Teams eine Feinabstimmung ihrer Richtlinienregeln, um sicherzustellen, dass die Quellen und Definitionen rund um die sensiblen Daten ordnungsgemäß aktualisiert werden.

Tatsächlich sind diese DLP-Lösungen für Unternehmen schwer einzurichten und zu verwalten. Zudem belasten sie die Endgeräte und sind für die Benutzer frustrierend. Die umfangreiche Datenermittlung und -klassifizierung ist für viele Unternehmen mit geringen Ressourcen eine Herausforderung, und wenn neue Technologien zum Unternehmen hinzukommen, können diese durch die Maschen fallen, wenn die DLP-Lösung nicht ordnungsgemäß gewartet wird. Hinzu kommt, dass Benutzer es umgehen können, wenn es ihre Produktivität behindert. Diese Systeme sind oft darauf angewiesen, dass Endbenutzer die Dokumente klassifizieren oder mit Tags versehen, und es kommt vor, dass Mitarbeitende absichtlich irreführende Tags hinzufügen, um sich die Freiheit der autorisierten Nutzung zu erhalten.

Als Alternative oder Ergänzung sollten Unternehmen eine spezielle Lösung für das Management von Insider-Bedrohungen einsetzen, um die Exfiltration von Daten zu verhindern. Im Gegensatz zu DLP-Lösungen setzt die Insider Threat Management-Plattform von Proofpoint auf eine Kombination aus Benutzer- und Datenaktivitätsüberwachung. Während DLPs und andere Tools sich nur auf die Daten konzentrieren, kann die Überwachung der Benutzeraktivitäten dabei helfen, den Kontext zu verstehen, wer was, wann und warum macht.

Viele traditionelle Sicherheitsmaßnahmen sind nach außen gerichtet. Eine Lösung zur Überwachung von Benutzer- und Datenaktivitäten erkennt daher potenziell verdächtige Benutzeraktionen, die andere Lösungen möglicherweise nicht erkennen... bis es zu spät ist. Da Insider-Bedrohungen per Definition innerhalb des Perimeters stattfinden, bleiben sie oft unentdeckt, es sei denn, das Sicherheitsteam hat Einblick in die Benutzeraktivitäten und kann im Kontext mit anderen Daten beweisen, ob ein Vorfall unbeabsichtigt oder bösartig ist. Eine Plattform wie Proofpoint Insider Threat Management macht Teams schnell auf eine potenzielle Insider-Bedrohung aufmerksam und liefert eine Zeitleiste der Benutzeraktivitäten sowie eine detaillierte Videowiedergabe, um die Untersuchung zu beschleunigen.

Unternehmen können es sich nicht länger leisten, ihre Datenschätze ungeschützt zu lassen. Sie müssen lernen, wie sie die häufigsten Bedrohungen durch Datenexfiltration verhindern und welche Richtlinien und Schulungen sie implementieren können, um unbeabsichtigte Bedrohungen einzudämmen. Zudem müssen sie eine dedizierte Lösung für das Management von Insider-Bedrohungen einsetzen, damit sie den richtigen Kontext für einen potenziellen Vorfall erhalten. Sie können die Sandbox-Umgebung von Proofpoint gerne testen (Download oder Installation ist nicht erforderlich) und Sie werden sehen, wie einfach es sein kann, Data Exfiltration in Ihrem Unternehmen zu erkennen und zu stoppen.