Was ist Datenexfiltration?
Datenexfiltration ist die unbefugte Übertragung von Daten aus den Systemen einer Organisation an einen externen, von einem Angreifer kontrollierten Standort – durch netzwerkbasierte Techniken, physische Medien oder kompromittierte Konten.
Auch bekannt als: data theft, data leakage, data exfil
Datenexfiltration ist oft das Endziel – oder eine Schlüsselphase – eines Cyberangriffs. Angreifer, die Zugang zu internen Systemen erlangt haben, suchen nach hochwertigen Daten: Kundendatensätze, geistiges Eigentum, Zugangsdaten, Finanzdaten und Geschäftsgeheimnisse. Die Exfiltration selbst kann über viele Kanäle erfolgen: verschlüsselte Tunnel zu externen Servern, versteckte Kanäle über DNS oder HTTPS, E-Mail-Weiterleitungsregeln, Uploads in Cloud-Speicher oder sogar physische USB-Sticks.
Moderne Datenexfiltration ist oft langsam und gezielt. Angreifer bereiten Daten in komprimierten oder verschlüsselten Archiven vor, exfiltrieren sie in kleinen Schritten, um Erkennung zu vermeiden, und nutzen legitime Dienste (Cloud-Speicher, Kollaborationstools) als Transfermechanismen. Die zunehmende Verbreitung von Double-Extortion-Ransomware hat die Exfiltration zu einem häufigen Vorläufer von Verschlüsselungsangriffen gemacht, wobei gestohlene Daten als zusätzlicher Hebel für Lösegeldforderungen dienen.
Prävention erfordert eine Defense-in-Depth-Strategie: Netzwerküberwachung und Anomalieerkennung, Data-Loss-Prevention (DLP)-Tools, Endpunkt-Kontrollen, strenge Zugriffsrichtlinien und Verschlüsselung sensibler Daten im Ruhezustand. Ebenso wichtig ist es, die Menge sensibler Daten zu minimieren, die in extrahierbarer Form existieren. Zugangsdaten, API-Schlüssel und Geheimnisse, die als Klartext in E-Mails, Wikis und geteilten Laufwerken gespeichert sind, sind leicht zu greifende Ziele bei der Exfiltration.
Wie Vaulted Datenexfiltration verwendet
Vaulted reduziert direkt das Volumen sensibler Daten, das zur Exfiltration verfügbar ist. Über Vaulted geteilte Geheimnisse werden clientseitig mit AES-256-GCM verschlüsselt, bevor sie den Server erreichen, und der Server behält nie die Entschlüsselungsschlüssel (Zero-Knowledge). Links zerstören sich nach einer begrenzten Anzahl von Views selbst, sodass selbst wenn ein Angreifer den Redis-Speicher des Servers exfiltriert, er nur verschlüsselte Blobs mit automatischem TTL-Ablauf erhält. Im Vergleich zu Geheimnissen, die als Klartext in E-Mail-Archiven oder Slack-Verläufen verbleiben, hinterlässt Vaulted keine persistenten sensiblen Daten, die Angreifer extrahieren könnten.