Cyberattacken stellen eine massive Bedrohung für Unternehmen dar. Auch in Deutschland werden Daten durch schädliche Angriffe immer öfter erfolgreich abgegriffen. Um Datenexfiltration zu verhindern, müssen Unternehmen die frühe Phase des Angriffs erkennen und der Gefahr vorbeugen, statt erst zu reagieren, wenn die Täter bereits ins Netzwerk eingedrungen sind. Im Folgenden wird analysiert, welche Schritte für eine erfolgreiche Schadensabwehr nötig sind.
Wie die jüngsten Spionageangriffe durch die Hacker-Software Pegasus und der weltweite REvil-Kaseya-Angriff belegen, nehmen Cyberangriffe seit Jahren stark zu – insbesondere seit Beginn der Corona-Pandemie. Das belegt auch der Cyberthreat-Defense-Report der CyberEdge-Group: Cyberkriminelle haben die Krisensituation für sich genutzt. 86 Prozent der befragten Unternehmen im Jahr 2021 wurden in den vergangenen zwölf Monaten mindestens einmal Opfer einer erfolgreichen Cyberattacke – so viele wie noch nie. Auch deutsche Unternehmen waren verstärkt Ziel der Angriffe, 91,5 Prozent der Befragten gaben an, Ziel eines Angriffs gewesen zu sein. Gemeinsam mit China liegt Deutschland damit auf dem zweiten Platz der Länder, in denen Angreifer erfolgreich in Organisationen eingedrungen sind. Für Unternehmen bedeutet ein schädliches Eindringen in das Netzwerk nicht nur den bloßen Verlust von Daten, sondern häufig langfristige Auswirkungen auf Finanzen und Ansehen. In Folge der Exfiltration von Daten, also dem nicht autorisierten Transfer von Daten eines Netzwerks, nutzen die Täter die gestohlenen Informationen etwa, um das Unternehmen zu erpressen. Sind durch den Angriff zudem Kundendaten betroffen, weitet sich der Kreis der Opfer aus und es kann zu erheblichen Einbußen der Reputation kommen. Für Unternehmen ist daher zentral, dass Netzwerk effektiv zu verteidigen und darüber hinaus die nachfolgenden Aktionen des Angreifers abzudecken. Dabei sind zahlreiche Schritte und vielschichtige Methoden zu beachten, die im Folgenden detailliert analysiert werden.

Ziel der Angreifer hat sich gewandelt

Datenexfiltration ist eine Form böswilliger Cyberoperationen. Bei dieser Art des Angriffs verschaffen sich Akteure, etwa mithilfe einer Schadsoftware, Zugang zu sensiblen Daten. Jedoch hat sich das Ziel der Angreifer im Laufe der Zeit gewandelt. Wurden diese früher von staatlichen Akteuren oder anderen Auftraggebern herangezogen, um bestimmte Unternehmen gezielt auszuspionieren und Innovationen zu stehlen, geht es heute weniger um die Vorteile für den Angreifer selbst. Die Cyberattacken zielen mittlerweile nicht mehr darauf ab, die gestohlenen Daten für eigene Zwecke zu nutzen, sondern dem Opfer mithilfe der gewonnenen Informationen Schaden zuzufügen. Da Unternehmen die Offenlegung ihrer Daten fürchten, bietet sich für Täter die Gelegenheit, hohe Geldsummen zu erpressen. Exfiltration wird demnach mittlerweile aus monetären oder hacktivistischen Gründen betrieben. Für Netzwerkeigentümer, -betreiber und -verteidiger bedeutet dieser Wandel, dass sie für ausreichende Kontrollen sorgen müssen, um böswillige Angriffe zu erkennen, einzudämmen oder in Anbetracht der potenziellen Kosten ganz zu unterbinden.

Exfiltration hat vielfältige Auswirkungen

Im Bereich der Cybersicherheit gibt es zahlreiche Gefahrenquellen, die sofort drastische Folgen mit sich ziehen, etwa ein virulenter Ransomware-Vorfall. Trotzdem darf die Exfiltration von Daten nicht unterschätzt werden: Neben unmittelbaren Auswirkungen kann der Verlust sensibler Daten auch langfristig Gefahren bergen.

Dabei sind drei Hauptrisiken von zentraler Bedeutung: der Verlust von sensiblen Daten oder geistigem Eigentum, Rufschädigung und Erpressung. Ersteres kann Unternehmen im Wettbewerb mit Konkurrenten zurückwerfen. Werden zudem Kunden- oder Klienten-Daten abgegriffen, können regulatorische Maßnahmen, Vertrauensverlust der Kunden und somit eine Beeinträchtigung der Beziehungen die Folgen sein. Gelangt der Vorfall an die Öffentlichkeit, kann es zu einer langfristigen Rufschädigung kommen. Das Unternehmen ist gezwungen, verstärkte Öffentlichkeitsarbeit zu betreiben, um dem Image-Verlust entgegenzuwirken. Rufschädigung stellt insofern ein bedeutendes Risiko dar, dass ein Ruf zwar schnell zerstört, aber nur mühsam wieder aufgebaut werden kann. Das dritte zentrale Risiko ist die Erpressung durch Cyber-Kriminelle.

Die Risiken, die mit Datenverlusten oder Exfiltrationsereignissen verbunden sind, haben also beträchtliche Auswirkungen auf das Unternehmen und dessen Beziehungen. Hinzu kommt, dass die Quantifizierung und die Zeitspanne bis zur Manifestation der Folgen kaum abzuschätzen sind. Durch den Diebstahl von geistigem Eigentum kann das Unternehmen noch Jahre oder Jahrzehnte nach dem eigentlichen Vorfall getroffen werden. Reputationsverluste wiederum sind schwer zu messen und können kaum ausgeglichen werden. Vor dem Hintergrund der Zunahme an Hackerangriffen und der gewandelten Zielsetzung der Angreifer wird die Datenexfiltration künftig an Bedeutung gewinnen und akutere Folgen für Unternehmen haben als bisher. Für einen Schutz der Daten des Unternehmens ist es zwingend notwendig, dassNetzwerkverteidiger und -betreiber ihre Verteidigungsmaßnahmen so ausrichten, dass diese Angriffe schnellstmöglich erkannt und bestenfalls sogar verhindert werden können.

Exfiltrationsaktivitäten frühzeitig identifizieren

Bei der Exfiltration werden große Datenmengen zu neuen oder unbekannten Quellen verschoben. Das kann entweder durch einen direkten physischen Zugang zum Computer oder den Einsatz von Schadsoftware geschehen. Anders als man meinen würde, ist es allerdings nicht einfach, diese Bewegung zu erkennen. Nötig dafür ist eine Kombination aus Netzwerksichtbarkeit und aktiver Netzwerküberwachung. Ist beides nicht im nötigen Umfang vorhanden, erlangen Unternehmen keinen Einblick in die böswilligen Verhaltensweisen oder nehmen zwar Aktivitäten wahr, erkennen aber die Absicht dahinter nicht. Durch die Fehleinschätzung der Angriffe als legitime Aktivitäten entsteht ein erhebliches „Rauschen“ bei der Erkennung.

Doch selbst wenn Unternehmen ausreichend Einblicke in ihr Netzwerk haben, ist das Erkennen der Angreifer eine Herausforderung. Mit Techniken wie der Verschleierung oder der Überlagerung durch andere Aktivitäten versuchen diese, die Sichtbarkeit zu minimieren und sich somit einer Aufdeckung zu entziehen. Möglich ist dies etwa durch folgende Techniken:

• Verwendung von legitimen Drittanbieterdiensten wie z. B. Cloud-Backup-Systemen oder webbasiertem Speicher als Ziel für durchgesickerte Daten. Die Beispiele reichen von gängigen Produkten wie Google Drive und Dropbox bis hin zu spezielleren Produkten eines Ökosystems wie beispielsweise im Zusammenhang mit dem Mega.io-Dienst.
• Datenverkehr über Nicht-HTTP-Dienste tunneln oder alternative Protokolle für große Datenübertragungen verwenden, die möglicherweise nicht mit demselben Maß an Sorgfalt überwacht werden.
• Aufteilung der Daten in kleinere Stücke für die Exfiltration, um zu vermeiden, dass abnormal große Datenströme das Netzwerk verlassen.

Zwar erschweren diese Techniken das Aufspüren der Angreifer, machen sie allerdings nicht unmöglich. Wird die Überwachung der allgemeinen Traffic-Muster-Anomalien gemeinsam mit einer spezifischen Identifizierung bestimmter Techniken oder Verhaltensweisen eingesetzt, können Attacken erkannt werden. Der Zugriff auf Datasets wie den Netzwerk-Flow ermöglicht dies sogar dann, wenn die Daten verschlüsselt sind oder der Einblick in die Netzwerkaktivitäten eingeschränkt ist.

Die Identifizierung verdächtiger Netzwerk-Flows ist eine zuverlässige Methode, um Exfiltrationsaktivitäten zu identifizieren. Dabei spielt neben der Suche nach großen Datenströmen die Identifizierung der Richtungsabhängigkeit und des Upload-/Download-Verhältnisses eine große Rolle. Die Einschätzung, ob ein Datenstrom als „groß“ angesehen werden kann, hängt natürlich von den üblichen Größenordnungen innerhalb des überwachten Netzwerks ab. Große Datenströme sind ein Hinweis auf verdächtige Handlungen, da sie auf datenintensive Verbindungen wie Streaming, Fernzugriff oder ähnliche Aktivitäten hindeuten. Durch Hinzuziehen der Richtungsabhängigkeit und des Upload-/Download-Verhältnisses kann identifiziert werden, ob die Daten das Netzwerk verlassen. Ist das beim Großteil der Daten (80-90 Prozent) der Fall, deutet dies auf eine große Upload-Sitzung hin. Da es solche Sitzungen auch im legalen Unternehmenskontext gibt, ist im nächsten Schritt eine genauere Prüfung dieser Aktivitäten nötig. Neben schädlichen Angriffen könnten nämlich auch die gemeinsame Nutzung großer Projektdateien einen entsprechend großen Datenfluss erzeugen.

Die Effektivität des beschriebenen Vorgehens kann verstärkt werden, wenn ein analytischer Ansatz für Netzwerkverbindungen hinzugezogen wird. Somit werden die nicht-autorisierten ausgehenden Datenströme nicht nur identifiziert, sondern zudem die mit ihnen verbundene Netzwerkinfrastruktur analysiert. So kann die Verknüpfung eines verdächtigen ausgehenden Datenflusses mit einer neuen Netzwerkinfrastruktur oder einer Virtual Private Server (VPS)-Instanz verdächtige Aktivitäten aufdecken. Dieses Verfahren kann auch auf nicht standardmäßige Verbindungen (wie FTP oder andere Protokolle) zu unbekannten oder nicht vertrauenswürdigen Bestimmungsorten angewendet werden, um potenzielle Exfiltrationsaktivitäten zu ermitteln.

Mit Kombination dieser Strategien steht Unternehmen eine effektive Methode zur Verfügung, um Exfiltrationsereignisse aufzudecken. Sie können Exfiltration identifizieren, wenn oder kurz nachdem sie stattgefunden hat. Unternehmen haben durch die schnelle Erkennung die Möglichkeit, Reaktions- und Schadenbegrenzungsmaßnahmen zu ergreifen, wodurch die Zeit des unentdeckten Angriffs und die Zeitspanne bis zur ersten Reaktion verringert werden können. Im Umkehrschluss bedeutet dies allerdings, dass dem Angreifer ein Eindringen in das Netzwerk gelungen ist, weshalb sich der beschriebene Ansatz ausschließlich auf einen bereits erfolgreichen Angriff bezieht. Um Schaden vollkommen abzuwenden, ist es daher nötig, eine Exfiltration überhaupt zu verhindern.

Mit der „Whole of Kill Chain“-Verteidigung Angriffe frühzeitig verhindern

Um Exfiltration vollständig zu verhindern, muss eine „Whole of Cyber Kill Chain“-Perspektive verfolgt werden. Diese bezieht sich auf den Ablauf eines typischen Cyberangriffs und versucht, im Kontext der Netzwerküberwachung und -verteidigung bereits die ersten Schritte des Angreifers zu unterbinden. Damit dies gelingt, suchen Verteidiger nach übergreifenden Pfaden und Abhängigkeiten, über die Angreifer ins Netzwerk gelangen und Daten aus dem Netzwerk geschleust werden könnten. Notwendige Wegbereiter beziehen sich etwa auf den ersten Zugriff, laterale Bewegungen, Datensammlung und die Datenbereitstellung.

Durch die Übernahme der Perspektive des Angreifers und der kritischen Untersuchung der nötigen Voraussetzungen für ein böswilliges Eindringen können neue Sicherheitsvorkehrungen abgeleitet werden. So kann eine Implementierung von allgemeineren Kontrollen auf dem Host und im Netzwerk nicht nur Exfiltrationsoperationen, sondern eine Vielzahl von Eindringungsversuchen abwehren. Durch die Identifizierung der wahrscheinlichen Eindringmechanismen des Angreifers und deren genaue Überwachung verringert sich die Wahrscheinlichkeit eines erfolgreichen Zugriffs durch einen Bedrohungsakteur. Die eingeführten Kontrollen reduzieren zudem die Angriffsfläche erheblich. Solche Kontrollen sind vor allem das Patchen von nach außen gerichteten Systemen, die Reduzierung von für den externen Zugriff verfügbaren Services, die Begrenzung der in das Netzwerk eingehenden Trafficarten und das Monitoring sensibler Aktivitäten wie Fernadministration oder -zugriffssitzungen.

Viele Unternehmen konzentrieren sich auf diese Schritte, um das Angriffsrisiko zu reduzieren. Jedoch erfordert eine echte, mehrstufige Verteidigung, dass man über die Netzwerkgrenze hinausgeht, um auch die nachfolgenden Aktionen des Angreifers abzudecken. Dem Angreifer stehen nahezu unbegrenzte mögliche anfängliche Zugriffsmechanismen zur Verfügung, zudem kann er Systeme oder Benutzer unterwandern, selbst wenn Elemente gepatcht oder anderweitig überwacht werden. Daher muss sich die Verteidigung auch auf interne Netzwerkverkehrsströme und Host-Items ausdehnen. Verteidiger müssen Techniken für laterale Bewegungen und deren Artefakte sowohl im Netzwerk als auch im Host-Verhalten identifizieren.

Während die zunehmende Einführung von EDR-Produkten (Endpoint Defense and Response) hostzentrierte Beobachtungen abdeckt, sind Investitionen in die Sichtbarkeit und Überwachung des Ost-West-Traffics unerlässlich, um das Eindringen von Angreifern in geschützte Netzwerke zu erfassen. Verteidiger müssen Techniken für laterale Bewegungen und deren Artefakte sowohl im Netzwerk als auch im Host-Verhalten identifizieren. Wenn diese Elemente zusammen implementiert werden, können sie sicherstellen, dass gegnerische Operationen abgedeckt werden, die von opportunistischen kriminellen Akteuren über gezielt vorgehende Hacktivisten bis hin zu staatlich gesponserten Bedrohungen reichen.

Für den Schutz der Daten und sensiblen Informationen eines Unternehmens müssen Verteidigungskräfte das Verhalten und die Tendenzen des Angreifers verstehen, um zu identifizieren, wie der Gegner vorgeht und welche Techniken für den Versuch des Eindringens genutzt werden. Sind diese Punkte festgestellt, muss eine Kombination aus EDR und Netzwerkverteidigung und -reaktion (NDR – Network Detection and Response) eingesetzt werden, um eine mehrstufigeErkennung und Überwachung zu gewährleisten und potenzielle Lücken in der Sichtbarkeit zu schließen, die Angreifer möglicherweise zu ihrem Vorteil zu nutzen versuchen.

Fazit

Cyber-Bedrohungen schließen immer häufiger die Exfiltration von Daten ein. Zahlreiche Akteure, von Kriminellen über Hacktivisten bis hin zu staatlich gelenkten Eindringlingen, nehmen sich sensible Daten von Unternehmen als Ziel, um diese zu erpressen. Durch die Anwendung und Überwachung von starken Netzwerkkontrollen können Verteidiger und Asset-Besitzer sicherstellen, dass solche Verhaltensweisen so früh wie möglich erkannt werden. So können Unternehmen schnell auf den Angriff reagieren und mögliche Schäden begrenzen.

Verteidiger können sich nicht nur auf die Erkennung anomaler ausgehender Datenströme konzentrieren: Stattdessen erfordert eine robuste Verteidigung die Identifizierung von gegnerischen Aktionen in allen Phasen der Angriffe. Eine Reaktion ist daher nicht erst erforderlich, wenn der Angreifer bereits ins Netzwerk eingedrungen ist, sondern schon im Vorfeld. Sobald dies verstanden ist, können Schutzmaßnahmen im Netzwerk und auf dem Host implementiert werden, um jeden Schritt des Eindringens abzudecken. Nur durch diesen stabilen, in die Tiefe gehenden Abwehransatz können Verteidiger nicht nur das Bewusstsein für potenzielle böswillige Aktivitäten sicherstellen, sondern auch die Unterbindung oder Unterbrechung eines Eindringens ermöglichen, wenn die Aktionen frühzeitig im Lebenszyklus des Angreifers erkannt werden. Die Verteidigung gegen moderne Cyber-Bedrohungen, von Ransomware-Operationen bis hin zur Datenexfiltration zu verschiedenen Zwecken, ist zwar weder einfach noch kostengünstig, aber notwendig, um sicherzustellen, dass die Verteidiger mit der sich schnell entwickelnden Bedrohungslandschaft Schritt halten.