Exfiltration: Präventive Maßnahmen zum Schutz sensibler Daten, Nicolas Bretthauer
Nicolas Bretthauer
Kurzfassung
Die Bedeutung des Schutzes vor Erpressung mittels gestohlener Daten nimmt neben der Erpressung durch Ransomware stetig zu. So verzeichnet das Bundeskriminalamt (BKA) – unter anderem begründet durch die ansteigende Digitalisierung der Gesellschaft bei verstärkter Anonymisierung im Netz – einen Anstieg von Cyber-Straftaten in seiner jährlichen Polizeilichen Kriminalstatistik (PKS). Im Bundeslagebild Cybercrime 2021 wird für das Berichtsjahr 2021 ein signifikanter Anstieg der Fallzahlen nach dem dort in Ansatz gebrachten cyberspezifischen Summenschlüssel mit 12,2 % gegenüber dem Vorjahr angegeben. Sofern eine Erpressung nicht mittels einer Verschlüsselung der Unternehmensdaten über eine Ransomware erfolgt – beispielsweise, wenn ein gutes Backupkonzept vorliegt, sondern mittels gestohlener Daten aus den Unternehmen, erhöht diese Art des Angriffs den Druck auf Unternehmen, sich zusätzlich auch vor Datendiebstahl zu schützen. Somit ergibt sich auch für kleine und mittelständische Unternehmen die Notwendigkeit, für ausreichenden Schutz ihrer Informationen zu sorgen und den unautorisierten Transfer sensibler Daten zu verhindern. Damit ist der nicht autorisierte Transfer sensibler Daten gemeint, wie von z.B. personenbezogenen Daten, Erfindungen, Prozesswissen, Finanzdaten oder Strategiedaten. In diesem Kontext bedeutet Exfiltration das Herausschleusen und Infiltration das Einschleusen von Daten (wobei der Begriff Exfiltration dem militärischen Kontext entlehnt wurde). Ziel dieser Arbeit ist zum einen die Erstellung eines Überblicks geeigneter Maßnahmen, um der Exfiltration sensibler Daten vorzubeugen. Zum anderen werden Maßnahmen dargestellt, die nach einem Datenverlust durch unautorisierten Diebstahl – unter anderem zur Schadensbegrenzung – ergriffen werden können. Anhand eines Beispielszenarios werden entsprechende Konzepte erstellt, um adäquate Maßnahmen hinsichtlich des erzielbaren Schutzniveaus darzustellen und auf ihre Wirtschaftlichkeit hin zu bewerten. Die jeweiligen Maßnahmen werden hinsichtlich ihrer Implementierungskomplexität betrachtet. Des Weiteren werden Reaktionsmöglichkeiten beschrieben, die kleinen bis mittelständischen Unternehmen nach Datenabfluss zur Verfügung stehen.
Schlagwörter: Datenexfiltration, sensible Daten, Schutzmaßnahmen, Informationssicherheit, IT-Sicherheit
Abstract
The importance of protection against extortion by means of stolen data is steadily increasing alongside extortion by ransomware. For example, the German Federal Criminal Police Office (BKA) has recorded an increase in cybercrimes in its annual police crime statistics (PKS), partly due to the growing digitization of society and increased anonymization online. In the Federal Situation Report Cybercrime 2021, a significant increase of 12.2% in the number of cases compared to the previous year is indicated for the reporting year 2021 according to the cyber-specific aggregate key used there. If blackmail is not carried out by encrypting company data via ransomware - for example, if a good backup concept is in place – but by means of stolen data from companies, this type of attack increases the pressure on companies to also protect themselves against data theft. Thus, there is also a need for small and medium-sized companies to ensure sufficient protection of their information and to prevent the unauthorized transfer of sensitive data. This refers to the unauthorized transfer of sensitive data, such as personal data, inventions, process knowledge, financial data or strategy data. In this context, exfiltration means smuggling out data and infiltration means smuggling in data (borrowing the term exfiltration from the military context). The aim of this paper is firstly to provide an overview of suitable measures to prevent the exfiltration of sensitive data. On the other hand, measures are presented that can be taken after a data loss due to unauthorized theft - among other things, to limit the damage. Based on an example scenario, corresponding concepts are created in order to present adequate measures with regard to the achievable level of protection and to evaluate their cost-effectiveness. The respective measures are considered with regard to their implementation complexity. Furthermore, reaction options are described that are available to small to medium-sized companies after data leakage.
Keywords: Data exfiltration, sensitive data, couter measures, information security, IT security