Schutz von Know-how und Interna vor Datenexfiltration

Organisationen jeglicher Art verfügen über schützenswertes, teils geheimes Wissen. Es kann sich dabei etwa um interne Anweisungen, Kontakte, Verträge, Forschungsergebnisse, Code oder Details zu Prototypen handeln. Derlei sensitive Daten können etwa im Rahmen von Industriespionage durch andere Staaten oder (ausländische) Konkurrenzunternehmen ins Visier von Angreifern geraten.

Projektsteckbrief

Ansprechpartner:

Prof. Dr. Steffen Wendzel
Hochschule Worms
E-Mail: wendzel@hs-worms.de

Zahlreiche Hersteller bieten dabei mehr oder minder ausgefeilte Produkte an, die eine sogenannte Datenexfiltration, also das Ausschleusen sensitiver Daten an Unbefugte, verhindern sollen.

Während die auf dem Markt verfügbaren Schutzssysteme sich eher mit einfachen Verfahren der Datenexfiltration befassen, widmet sich die Forschung ausgefeilten und kaum detektierbaren Methoden. Derlei Forschung zur Datenexfiltration galt über viele Jahre als ein eher akademischer Gegenstand fernab der tatsächlichen Unternehmenspraxis. Mit der Zunahme von Angriffen auf IT-Systeme im großen Stil und dem Aufkommen besonders ausgefeilter und akribisch vorbereiteter Angriffe (Advanced Persistent Threads, APT) hat sich dies jedoch geändert. APTs werden teils über Monate vorbereitet und schrittweise umgesetzt, bis schließlich eine langfristige und unbemerkte Exfiltration sensitiver Daten aus einer Organisation ermöglicht wird. Der Personal- und Mitteleinsatz für APTs kann dabei sehr hoch ausfallen.

Datenexfiltration wird zunehmend durch Schadsoftware durchgeführt, die in der Lage ist, die Exfiltration möglichst unsichtbar erscheinen zu lassen. Die hierfür eingesetzte Technologie nennt sich Steganographie (gr. steganos und graphein = verdeckt schreiben). Die Anwendung von Steganographie ist bereits seit dem Altertum bekannt. So gibt es etwa Methoden, um Nachrichten mit unsichtbarer Tinte auf Papier zu schreiben, geheime Informationen in den Noten von Kompositionen zu verbergen sowie viele ausgefallene Ansätze. Insbesondere in den beiden Weltkriegen wurden zahlreiche neue Methoden ersonnen, wie Nachrichten für den Gegner unsichtbar übertragen werden können. Eine sehr bekannte Methode aus der Kriegszeit sind Mikrodots, die eine Nachricht auf die Größe eines Satzpunktes verkleinern. Der Satzpunkt wird in einem unscheinbar erscheinenden Text untergebracht und fällt somit nicht auf. In den 1980er Jahren erschienen schließlich die ersten Verfahren zur digitalen Nutzung von Steganographie; dabei wurden Nachrichten in Bilddateien oder Audiodateien versteckt; später wurden selbstverständlich auch Online-Streams verwendet. Die sich heute auf dem Vormarsch befindliche Netzwerksteganographie versteckt Daten hingegen in Netzwerkübertragungen. Netzwerksteganographie ermöglicht eine relativ konstante sowie großvolumige Exfiltration von Daten. Derartige Techniken werden von auf dem Markt verfügbaren Schutzssystemen kaum detektiert, weshalb eine Datenexfiltration auch langfristig unentdeckt bleiben kann und auch dazu führen kann, dass ein Industriespion gigabyteweise vertrauenswürdige Daten erhält.

Forschung und Lehre an der Hochschule Worms
Prof. Steffen Wendzel von der Hochschule Worms forscht daher an Ansätzen, die zur mittel- und langfristigen Reduzierung von Datenexfiltration beitragen. Wendzel arbeitet seit über zehn Jahren auf den Gebieten der Netzwerksteganographie und der unerlaubten Datenexfiltration. Gemeinsam mit den Partnern der Europol EC3 Initiative Criminal Use of Information Hiding (CUIng) forscht er daran, den Einsatz von Netzwerksteganographie durch Malware zu untersuchen. Für die dabei identifizierten Versteckmethoden werden in internationalen Teams Gegenmaßnahmen entwickelt, die nach und nach unter Laborbedingungen erprobt werden. Das dabei gewonnene Know-how wird der wissenschaftlichen Community verfügbar gemacht und dient der Entwicklung neuer Produkte im Kampf gegen Datenexfiltration.

Das in der CUIng-Initiative erarbeitete Know-how wurde bereits auf ersten Workshops und in Schulungen für Experten aus Industrie und Polizei verfügbar gemacht. Ferner wird das entsprechende Know-how durch die Hochschule Worms in der Lehre an Studierende vermittelt. Durch die Kombination aktueller Forschung mit einem starken Praxisbezug werden die Absolventen für Unternehmen vorbereitet, die eigene Lösungen zum Schutz vor Datenexfiltration auf den Markt bringen möchten.

Neue Versteckverfahren zeichnen sich ab
Aktuelle Trends der Versteckverfahren werfen allerdings eine Fülle neuer Probleme auf. So kann Schadsoftware etwa dafür sorgen, dass eine angewandte Versteckmethode von einem Moment auf den anderen geändert wird. Würde ein Administrator beispielsweise entdecken, dass Daten auf eine bestimmte Weise exfiltriert werden, so könnte er die zugehörige Verbindung zwar ggf. unterbinden, die Schadsoftware könnte ihr Verfahren allerdings anpassen, sollte sie feststellen, dass Daten nicht mehr korrekt übertragen werden. Genutzt wird Steganographie dabei nicht nur für die Exfiltration von Daten aus Organisationen heraus, sondern auch für die verdeckte Steuerung ganzer Botnetze, also Schadsoftwarenetze. Diese Botnetze bestehen teils aus mehreren hunderttausend gehackten Computern, die auf Befehl eines Hackers hin die Onlinedienste von Unternehmen lahmlegen können. Auch derlei Szenarien werden an der Hochschule Worms erforscht.

Datenexfiltration kann vielfältig sein
Eine Exfiltration vertrauenswürdiger Daten kann auch innerhalb eines Netzwerks erfolgen, etwa unerlaubt zwischen zwei Abteilungen oder zwischen dem Computer eines Wissenschaftlers und dem eines Praktikanten. Auch können Daten, die vermeintlich sicher in einer Cloud abgelegt wurden, „Opfer“ von Datenexfiltration werden.

Wie sich herausgestellt hat, ist Netzwerksteganographie zudem problematisch, wenn Kriminalfälle aufgedeckt oder nachgewiesen werden müssen. Die forensische Rekonstruktion steganographischer Datenübertragungen steckt noch in den Kinderschuhen und entsprechende Produkte sind praktisch nicht verfügbar. Dies erschwert insbesondere die Polizeiarbeit. Durch die enge Zusammenarbeit mit europäischen Polizeibehörden arbeitet die Hochschule Worms auch an Lösungen für dieses Problem.

 

Bildnachweis: Foto/Hochschule Worms