Datenexfiltration

Datenexfiltration ist der Moment, in dem ein Eindringen zu echtem Schaden wird. Ein Angreifer kann Wochen damit verbringen, sich Zugriff zu verschaffen, Rechte auszuweiten und sich durch ein Netzwerk zu bewegen, doch nichts davon kostet das Opfer etwas, solange keine Daten tatsächlich abfließen. Im MITRE ATT&CK-Framework ist die Exfiltration eine eigene Taktik (TA0010): die Menge an Techniken, mit denen Angreifer Daten stehlen, sobald sie gesammelt wurden. Zu verstehen, wie Exfiltration funktioniert, ist sowohl für offensive Tester wichtig, die den Schaden nachweisen müssen, als auch für Verteidiger, die die Daten stoppen müssen, bevor sie das Netz verlassen.

Wie Exfiltration funktioniert

Exfiltration ist selten eine einzelne Aktion. Sie ist meist die letzte Phase einer längeren Operation. Nachdem die laterale Bewegung den Angreifer auf Systeme mit wertvollen Daten gebracht hat, werden die Daten gesammelt, an einem Ort bereitgestellt, zur Verkleinerung komprimiert und zur Verschleierung ihres Inhalts verschlüsselt. Erst dann werden sie übertragen. Dieser Bereitstellungsschritt ist Absicht: Ein einzelnes großes Archiv zu bewegen ist leiser, als Tausende Dateien über das Netzwerk zu kopieren.

Die Übertragung selbst läuft fast immer über einen Kanal, dem das Netzwerk bereits vertraut. Meist ist das die bestehende Command-and-Control-Verbindung, doch Angreifer missbrauchen auch DNS-Abfragen, HTTPS zu Cloud-Speicher, E-Mail oder alternative Protokolle, die Ausgangskontrollen gerne übersehen. Das Ziel ist immer dasselbe: Der Diebstahl soll wie normaler Datenverkehr aussehen.

Häufige Exfiltrationskanäle

Angreifer wählen Kanäle danach, was sich in die Zielumgebung einfügt:

• Über den C2-Kanal: Wiederverwendung der bereits aufgebauten Command-and-Control-Verbindung.
• DNS-Tunneling: Kodierung von Daten in DNS-Abfragen, die viele Netzwerke kaum prüfen.
• Cloud- und Webdienste: Hochladen zu vertrauenswürdigem SaaS-Speicher, Paste-Diensten oder Code-Repositories.
• Alternative Protokolle: Nutzung eines anderen Protokolls als beim C2-Kanal, um die Spur aufzuteilen.

Daten sammeln

→bereitstellen

Bereitstellen und komprimieren

→verschlüsseln

Verschlüsseln

→tunneln

Exfiltration über C2

Ein praxisnahes Beispiel dafür, wie diese Schritte durchgängig automatisiert werden, findest du in unserer Analyse dazu, wie Hacker KI einsetzen, wo Modelle Sammlung und Übertragung mit deutlich weniger menschlichem Aufwand antreiben.

Exfiltration erkennen und stoppen

Da sich Exfiltration in vertrauenswürdigem Verkehr versteckt, hängt die Erkennung davon ab, zu wissen, was normal ist. Verteidiger bilden eine Basislinie aus ausgehendem Volumen, Zielen und Protokollmix und schlagen dann bei Abweichungen Alarm: eine Arbeitsstation, die plötzlich Gigabyte hochlädt, ein DNS-Volumen, das in die Höhe schießt, oder Verbindungen zu einem Host, mit dem zuvor niemand gesprochen hat.

Das Prinzip für Verteidiger ist einfach, auch wenn die Umsetzung schwierig ist: Ein Eindringen ist überlebbar, solange die Daten nicht abfließen. Jede Maßnahme, die die Exfiltration verzögert oder sichtbar macht, gewinnt die Zeit zurück, die nötig ist, um den Angreifer zu erkennen und ihn abzuschneiden, bevor aus einer Kompromittierung ein Datenleck wird.