Was ist Insider-Datenexfiltration?

Datenexfiltration ist das unbefugte Kopieren, Übertragen oder Abrufen von Daten von einem Unternehmenscomputer oder -server. Dies kann von verschiedenen Akteuren durchgeführt werden: von Außenstehenden durch Malware- oder Phishing-Angriffe, die zu Datenverletzungen führen können, von böswilligen Insidern, die dem Unternehmen zum eigenen oder fremden Vorteil Schaden zufügen wollen, oder von unvorsichtigen Insidern, die Daten versehentlich durchsickern lassen. Meistens handelt es sich bei der Datenexfiltration um einen absichtlichen Versuch, sich sensible und wertvolle Daten anzueignen.

Laut dem Securonix Insider Threat Report 2020, in dem über 300 bestätigte Sicherheitsvorfälle mit Insidern analysiert wurden, waren 60 % der Insider-Bedrohungen auf Mitarbeiter zurückzuführen, die das Unternehmen verlassen wollten. Personen, gekündigt haben oder wurden, begannen in der Regel zwei bis acht Wochen vor ihrem Ausscheiden aus dem Unternehmen mit dem Diebstahl von Daten.

Die meisten Insider-Sicherheitsvorfälle betrafen mit 28,3 % Pharmaunternehmen, dicht gefolgt von Finanzinstituten mit 27,7 %. Intellektuelles Eigentum, das für Mitbewerber und Erpresser interessant ist, wurde in diesen Branchen als besonders wertvoll und verwundbar hervorgehoben. 62 % der von Insidern begangenen bösartigen Aktivitäten betrafen die Exfiltration sensibler Daten, definiert als vertrauliche oder geschäftskritische Daten. Weitere 19 % entfielen auf den Missbrauch von Privilegien, 9,5 % auf die Aggregation von Daten und 5,1 % auf die Sabotage von Infrastrukturen.

Arten der Datenexfiltration

Es gibt verschiedene Möglichkeiten, wie Daten vor Ort von böswilligen Insidern exfiltriert werden. Die häufigste Methode, die 44 % der von Securonix in ihrem Bericht untersuchten Fälle ausmacht, sind ausgehende E-Mails. Legitime Benutzer hängen Dateien mit sensiblen Daten an E-Mails an und senden sie an ihre privaten E-Mail-Konten. Sie können auch sensible Informationen per Copy-Paste direkt in den Text von E-Mails einfügen oder vertrauliche interne Kommunikation an eigene E-Mail-Adressen oder die der Konkurrenz weiterleiten.

Die zweitbeliebteste Methode der Datenexfiltration ist das Hochladen sensibler Daten auf Cloud-Speicher-Websites.  Informationen können von Cloud-Speichern exfiltriert werden, wenn Daten auf unsichere oder falsch konfigurierte Dienste hochgeladen werden. Insbesondere Fehlkonfigurationen sind eine häufige Ursache für Datenlecks, wenn hochgeladene Dateien versehentlich der Öffentlichkeit zugänglich gemacht werden. Böswillige Insider können Dienste auch absichtlich falsch konfigurieren, um unbefugten Dritten Zugriff zu gewähren oder Dateien für sich selbst von einem persönlichen Gerät aus zugänglich zu machen. Das Hochladen sensibler Informationen von Firmencomputern auf persönliche Cloud-Laufwerke ist ebenfalls eine häufig verwendete Datenexfiltrationsmethode.

Eine weitere gängige Datenexfiltrationsmethode ist die Verwendung von nicht autorisierten Wechseldatenträgern, um vertrauliche Dateien zu kopieren. Insider können sensible Daten aus dem Unternehmensnetzwerk herunterladen und lokal auf ihrem Arbeitsgerät speichern. Diese Dateien können dann leicht auf USBs oder andere Wechseldatenträger kopiert werden, die an den Computer angeschlossen sind. Diese Technik ermöglicht es Mitarbeitern, Daten zu stehlen, ohne dass eine Internet- oder Netzwerkverbindung erforderlich ist. Indem sie ihre Geräte offline nehmen, können Insider sogar manchmal die Sicherheitsrichtlinien umgehen, die gegen diese Art von Datendiebstahl bestehen.

Verhinderung von Datenexfiltration

Die Klassifizierung sensibler Daten ist für eine effektive Erkennung von Bedrohungen durch Datenexfiltration unerlässlich. Während die meisten Unternehmen Datenkategorien wie persönlich identifizierbare Informationen (PII), die unter Datenschutzgesetzen wie DSGVO, HIPAA oder PCI DSS geschützt sind, als sensibel kennzeichnen, lassen sie andere Datenkategorien, die im Kontext ihrer Branche als sensibel gelten könnten, oft außer Acht.

Daher ist es wichtig, dass Unternehmen die von ihnen produzierten Daten bewerten und herausfinden, welche Kategorien für ihren Geschäftsbetrieb entscheidend sind und welche geschützt werden müssen, um ihren Wettbewerbsvorteil zu sichern. Sobald diese Datentypen kategorisiert sind, können Unternehmen Sicherheitsmaßnahmen ergreifen, um sie zu schützen.

Data Loss Prevention (DLP)-Lösungen, die es ermöglichen, sensible Daten auf der Grundlage der Anforderungen eines Unternehmens zu definieren, können als Teil von Cybersecurity-Strategien eingesetzt werden, um die Datensicherheit zu gewährleisten. DLP-Tools werden mit vordefinierten Profilen für gängige Arten geschützter Daten wie PII und geistiges Eigentum geliefert, ermöglichen aber auch anpassbare Richtlinien, die den Anforderungen eines bestimmten Unternehmens entsprechen. Sobald sensible Daten definiert sind, überwachen und kontrollieren DLP-Lösungen deren Übertragung und Verwendung.

Durch die Überwachung sensibler Daten und die Protokollierung aller Versuche, gegen die Richtlinien zu verstoßen, ermöglichen DLP-Tools den Sicherheitsteams, verdächtige Benutzeraktivitäten zu erkennen und Mitarbeiter zu identifizieren, die in böser Absicht handeln. DLP-Technologie ist besonders nützlich gegen die beiden beliebtesten Datenexfiltrationstechniken: Sie kann die Übertragung von Dateien mit sensiblen Informationen an persönliche E-Mail-Adressen oder Cloud-Speicherdienste blockieren und sogar verhindern, dass vertrauliche Informationen in den Textkörper einer E-Mail kopiert werden.

Wenn sie auf dem Endpunkt angewendet werden, können DLP-Lösungen wie Endpoint Protector auch sicherstellen, dass ihre Richtlinien auf einem Arbeitscomputer aktiv bleiben, unabhängig davon, ob er sich im Büro befindet, per Fernzugriff genutzt wird und ob er mit dem Internet verbunden ist oder nicht.

Fazit:

Die Exfiltration von Daten durch Insider ist eine reale Bedrohung für die Datensicherheit von Unternehmen. Und diese Unternehmen die ihre wertvollsten Daten schützen wollen, müssen nach Möglichkeiten suchen, diese Bedro. Dies kann sich zwar als schwierige Aufgabe erweisen, da es sich um Insider mit privilegiertem Zugang zu vertraulichen Informationen handelt, aber Tools wie DLP-Lösungen können Unternehmen helfen, Datendiebstahl durch Exfiltration zu vermeiden.

guest
0 Comments
Inline Feedbacks
View all comments