Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Glossar

Exfiltration

Exfiltration ist das gezielte Herausschleusen von Daten durch Angreifer. Bei modernen Ransomware-Angriffen geschieht sie häufig vor der Verschlüsselung und ist die Grundlage für Double-Extortion-Drohungen.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurzdefinition

Exfiltration ist die unautorisierte Übertragung von Daten aus einem internen System nach außen.

Einfach erklärt

Angreifer kopieren Daten heimlich aus einem Netzwerk auf eigene Server. Erst danach lösen sie sichtbare Effekte wie eine Verschlüsselung aus. Das gestohlene Material dient anschließend als Druckmittel - selbst wenn Backups vorhanden sind.

Technische Einordnung

Exfiltration nutzt häufig legitime Werkzeuge und Protokolle, um nicht aufzufallen: HTTPS-Verbindungen zu Cloud-Speichern, Tools wie rclone, MEGAcmd oder FTP-Clients, getarnte Pakete in DNS oder ICMP, Komprimierung in RAR/7z. Häufig laufen Übertragungen in kleinen Tranchen und außerhalb der Arbeitszeit, um in normalen Netzlasten unterzugehen.

Vorgelagert sind oft Reconnaissance-Schritte: Angreifer kartieren das Netzwerk, identifizieren wertvolle Dateifreigaben und sammeln Zugangsdaten, bevor sie gezielt exfiltrieren.

Beispiel im Kontext BKA-Trojaner

Der klassische BKA-Trojaner war primär ein Sperr- und Einschüchterungswerkzeug ohne nennenswerte Exfiltration. Moderne Nachfolger setzen dagegen massiv auf Datendiebstahl: sensible Dokumente, Personaldaten oder Kundendaten werden vor der Verschlüsselung kopiert und später zur Erpressung eingesetzt.

Abgrenzung zu ähnlichen Begriffen

  • Datenleck: Sammelbegriff, auch ohne aktiven Angriff (z. B. Fehlkonfiguration).
  • Datendiebstahl: häufig synonym verwendet, betont das kriminelle Motiv.
  • Spionage: gezielt auf bestimmte Inhalte oder Ziele ausgerichtet.
  • Double Extortion: Geschäftsmodell, das Exfiltration mit Verschlüsselung kombiniert.
  • Verschlüsselung durch Ransomware: blockiert den Zugriff auf Daten, transportiert sie aber nicht nach außen.

Direkter Vergleich

  • Exfiltration vs. Verschlüsselung: Exfiltration kopiert Daten heraus, Verschlüsselung sperrt sie ein. Moderne Ransomware macht beides.
  • Exfiltration vs. Datenleck: Ein Datenleck kann auch durch Fehlkonfiguration entstehen; Exfiltration ist die gezielte Variante durch Angreifer.
  • Exfiltration vs. Backup-Wiederherstellung: Ein Backup bringt eigene Daten zurück, ändert aber nichts daran, dass Kopien beim Angreifer liegen - auch ein Decryptor hilft hier nicht.
  • Exfiltration vs. Screenlocker: Ein Screenlocker macht den Angriff sofort sichtbar; Exfiltration läuft bewusst unauffällig.

Siehe auch

Relevanz für Privatpersonen

Privatpersonen sind eher indirekt betroffen, etwa wenn ihre Daten bei einem Anbieter exfiltriert werden. Persönliche Konsequenzen reichen von Identitätsdiebstahl über gezieltes Phishing bis zu Erpressungsversuchen auf Basis veröffentlichter Daten. Wichtig ist es, betroffene Konten zeitnah zu sichern und Passwörter zu ändern.

Relevanz für Unternehmen

Für Unternehmen ist Exfiltration eines der schwerwiegendsten Szenarien. Sie kann meldepflichtige Datenschutzvorfälle nach DSGVO auslösen, Reputationsschäden verursachen und vertragliche Folgen haben. Backups allein schützen davor nicht - notwendig sind zusätzlich Zugriffstrennung, Monitoring von ausgehenden Datenflüssen sowie Datenklassifizierung.

Typische Missverständnisse

  • "Solange wir Backups haben, ist alles in Ordnung" - falsch: Backups verhindern keinen Datenabfluss.
  • "Wir würden bemerken, wenn jemand Daten herauskopiert" - moderne Exfiltration nutzt unauffällige Wege und legitime Tools.
  • "Verschlüsselung im Netzwerk schützt vor Exfiltration" - nur eingeschränkt; mit kompromittierten Zugängen sehen Angreifer Daten in entschlüsselter Form.

Häufige Fragen

Warum ist Exfiltration so gefährlich?

Weil sie unabhängig von der Verschlüsselung Druck erzeugt. Angreifer drohen mit Veröffentlichung oder Weitergabe - das wirkt auch dann, wenn das Unternehmen seine Systeme über Backups wiederherstellen kann.

Wie wird Exfiltration erkannt?

Indikatoren sind ungewöhnlich hohe ausgehende Datenmengen, Verbindungen zu unbekannten Servern oder verdächtige Tools wie rclone und MEGA-Clients. Erkennung gehört in den Aufgabenbereich von SIEM, EDR und gut konfigurierten Firewalls.

Hilft Verschlüsselung der eigenen Daten gegen Exfiltration?

Nur eingeschränkt. Wenn Angreifer bereits berechtigten Zugriff erlangt haben, können sie Daten in entschlüsselter Form sehen. Wichtig sind zusätzliche Maßnahmen wie Zugriffstrennung, Monitoring und Datenklassifizierung.

Was ist der Unterschied zwischen Exfiltration und Verschlüsselung?

Exfiltration ist das Kopieren von Daten nach außen, Verschlüsselung blockiert deren Nutzung im Netzwerk. Moderne Ransomware-Angriffe kombinieren beides (Double Extortion).