Data Leakage Protection & Monitoring: Unverzichtbare Ergänzung für EASM

Zunächst eine kurze Begriffsbestimmung: Data Leakage bezeichnet den ungewollten Abfluss vertraulicher Informationen aus Ihrem Unternehmen – sei es durch Fehlkonfigurationen, kompromittierte Zugangsdaten oder böswillige Insider. Gelangen personenbezogene Daten, Quellcode, Finanzzahlen oder Kundengeheimnisse in die Hände unbefugter Personen, drohen Reputationsschäden, regulatorische Sanktionen, Schadensersatzforderungen und ggf. hohe Forensik- oder Wiederherstellungskosten.

Laut IBM Cost of a Data Breach Report lag der weltweite Durchschnittsschaden von Datensicherheitsvorfällen 2024 bei 4,88 Millionen US-Dollar. Noch gravierender: Im Schnitt dauerte es 258 Tage, bis ein Leak entdeckt und eingedämmt war – das sind fast neun Monate Risiko-Exposition.

Data Leakage Protection vs. Data Loss Prevention

Solche Datenlecks zu verhindern ist Aufgabe von Data Leakage Protection bzw. Prevention. „Data Leakage Prevention“ wird häufig synonym zu „Data Loss Prevention“ (DLP) verwendet, beides bezieht sich dann auf Strategien und Technologien zum Schutz sensibler Daten vor Zugriff und Nutzung durch Unbefugte, Offenlegung oder Zerstörung. Andere nutzen den Begriff „Data Loss Prevention“ als übergreifende Kategorie und nutzen „Data Leakage Protection“ spezifisch für den Schutz von Daten vor Durchsickern nach außen und unbefugten Zugriff.

Aus unserer Sicht ist es sinnvoll, beides stärker zu differenzieren, weil sich sowohl Schutzziele als auch geeignete Methoden klar unterscheiden lassen: „Data Loss Prevention“ verhindert Datenverluste – etwa durch Hardwarefehler, versehentliches Löschen, Cyberangriffe oder menschliches Versagen. Wesentliche Schutzziele sind die Verfügbarkeit und Integrität von Daten und Funktionen; wichtigste Methoden sind geeignete Backup-Strategien, Redundanzen und die Echtzeit-Überwachung der IT-Infrastruktur.

„Data Leakage Protection“ schützt spezifisch gegen die unbefugte Offenlegung von Daten. Wesentliches Schutzziel ist die Vertraulichkeit von Informationen – denn die kann auch dann kompromittiert sein, wenn Verfügbarkeit und Integrität noch gegeben sind. Natürlich gibt es Überschneidungen: Ein Ransomware-Angriff mit „Double Extortion“, also Verschlüsselung der Daten nach vorheriger Ausleitung, bedroht sämtliche Schutzziele auf einmal. Dieser Beitrag beschäftigt sich speziell mit Data Leakage Protection, gerade weil es häufig schwierig ist, Datenlecks festzustellen, wenn alle Systeme noch problemlos funktionieren.

Real-Life-Beispiele: eine kleine Auswahl

Im Mai 2023 kopierten zwei ehemalige Tesla-Mitarbeitende rund 100 GB sensibler Daten – darunter Gehaltsinformationen, Sozialversicherungsnummern und Kontaktdaten von mehr als 75.000 Beschäftigten des E-Autobauers – und spielten sie an die Presse aus, unter anderem an das Handelsblatt („Tesla Files“). Die Informanten warfen Tesla vor, sensible Daten mangelhaft zu schützen. Der Abfluss blieb zunächst unbemerkt, weil die Insider legitime Zugänge nutzten und den Transfer verschleierten. Erst als Journalisten sich mit Auszügen an Tesla wandten, flog das Leak auf.

Einen anderen Autohersteller erwischte es noch schlimmer. Erst im Frühsommer 2023 war herausgekommen, dass aufgrund falsch konfigurierter Cloud-Services bei Toyota Fahrzeug-Ortsdaten von Millionen Kunden sowie persönliche Kundendaten jahrelang frei zugänglich waren. Im November 2023 war zudem die Kreditbank Toyota Financial Services durch die Ransomware-Gruppe „Medusa“ angegriffen worden, die Kundendaten entwendete und teilweise im Darknet veröffentlichte. Im August 2024 tauchten dann 240 Gigabyte mit sensiblen Daten von Toyota in einem anderen Dark­net-Forum auf, die neben Infos über Mitarbeiter und Kunden angeblich auch Details über Finanzen und Verträge, Netzwerkinfrastruktur und sogar Zugangsdaten enthielten. Die Uploader, eine Gang namens ZeroSevenGroup, behaupteten, die Systeme von Toyota Motors North America gehackt zu haben, Toyota selbst sprach von einer Sicherheitslücke bei einem Dienstleister.

Diverse Datenpannen erlitt auch der US-amerikanische Telekommunikationskonzern AT&T. Am 15. Mai 2025 entdeckten Sicherheitsforscher von HackRead 86 Millionen Kundendatensätze von AT&T auf einem russischen Hackerforum, die ab Juni dann auch in anderen Foren zirkulierten. Die Daten enthielten Namen, Geburtsdaten, Anschriften, Telefonnummern, E-Mail-Adressen sowie 44 Millionen Social-Security-Nummern. Zusammen ergeben sie laut HackRead vollständige Identitätsprofile, die für Betrug oder Identitätsdiebstahl missbraucht werden könnten. Die Daten sollen aus einem groß angelegten Angriff auf den Cloud-Dienstleister Snowflake stammen, der schon im Sommer 24 Schlagzeilen gemacht hatte. Allerdings soll AT&T damals für die Löschung der gestohlenen Daten 370.000 Dollar Lösegeld gezahlt haben. Schon 2021 war AT&T bereits Opfer eines Datendiebstahls geworden, von dem 70 Millionen Datensätze betroffen waren. Die Täter (unter dem Namen ShinyHunters) hatten damals eine Million Dollar verlangt. Im März 2024 tauchte dann die komplette Datenbank im Darknet auf. Das aktuelle Datenleck von Mai 2025 ist laut HackRead aber noch deutlich bedrohlicher: deutlich besser strukturiert, informativer und komplett unverschlüsselt.

Ein letztes Beispiel: Im Oktober 2023 wurden auf einem Hackerforum gezielt Datensätze zu einer Million Ashkenazi-Juden sowie zu Hunderttausenden chinesischstämmigen Menschen zum Verkauf angeboten (Quelle: Wired). Wie sich herausstellte, waren bei dem Gentest-Anbieter 23andMe Daten zu fast sieben Millionen Kunden gestohlen worden, darunter neben Namen, Geburtsjahr und Ortsangaben auch Profilbilder und Infos zu ethnischer Herkunft und Familienstammbaum. Im Juni 2025 verurteilte die britische Datenschutzbehörde 23andMe zu einer Strafzahlung von 2,31 Millionen Pfund (2,7 Mio. Euro): Das Unternehmen habe seine Kundendaten nicht ausreichend geschützt, den Datenabfluss zu spät bemerkt und auch danach nicht adäquat reagiert.

Was können Security-Teams daraus lernen?

Die Gründe für Datenabflüsse können vielfältig sein. In den Beispielen reichten sie von unzureichenden Vorkehrungen gegen passwortbezogene Angriffe (wie Credential Stuffing bei 23andMe oder per Infstealer gestohlene Logindaten bei Snowflake) über Cloud-Fehlkonfigurationen oder Insiderjobs bis hin zu ungepatchten Sicherheitslücken bei Dienstleistern.

Standard-DLP-Maßnahmen, selbst fortgeschrittene wie inhaltsbasierte Überwachung von Dateioperationen, Deep Packet Inspection oder Behaviour Monitoring, schützen dabei nur bedingt. Sicherlich hilft eine restriktive Rechtevergabe gegen Insiderangriffe, aber eben nicht in jedem Fall. Auch die Sicherheit externer Dienstleister kann kaum wirksam kontrolliert werden. Oft vergehen viele Monate, bis Datenabflüsse erkannt werden und Maßnahmen ergriffen werden können – Zeit, in der Betrüger bereits erhebliche Folgeschäden anrichten können. So nutzte die russische Ransomware-Gruppe Clop im Mai 2023 eine Zero-Day-Schwachstelle beim Managed-File-Transfer-Dienstleiter MOVEit, um Mitarbeiterdaten von Tausenden MOVEit-Kunden zu stehlen – optimal geeignet für gezieltes Social Engineering. Seit damals wurden immer neue Opfer bekannt, darunter noch im November und Dezember 2024 (mehr als achtzehn Monate nach dem Breach) British Telecom, Amazon, Nokia oder Xerox.

Die zwingende Schlussfolgerung: Dark Web Monitoring ist Pflicht. Denn allen genannten Beispielen ist eines gemeinsam, Die betroffenen Organisationen erfuhren erst von externen Analysten oder Medien, dass ihre Daten im Darknet kursieren – zum Teil Jahre nach deren Abfluss. Mit einem kontinuierlichen Data Leakage Monitoring hätten sie sehr viel schneller reagieren können.

Data Leakage Monitoring ergänzt EASM

Aufgrund der vielfältigen möglichen Ursachen von Datenabflüssen muss sich Data Leakage Protection gleichermaßen auf die externe und interne Angriffsfläche einer Organisation richten. Dabei spielt das Management der externen Angriffsfläche (External Attack Surface Management, EASM) eine herausragende Rolle. Denn nicht zuletzt infolge steigender Komplexität und immer neuer Schwachstellen einerseits und immer ausgefeilteren Angriffsmethoden andererseits sind die sensiblen Daten eines Unternehmens stets in Gefahr, durch externe Akteure kompromittiert zu werden.

Aber auch innerhalb der Netzwerkgrenzen gibt es Schwachstellen – Daten können auch durch menschliche Fehler, Leichtsinn oder böswillige Insider gefährdet werden. Klassische DLP-Lösungen müssen viel Aufwand betreiben, um solchen Datenabflüssen auf die Spur zu kommen, von der Zugangs- und Zugriffskontrolle über die Überwachung bzw. Verhinderung von Datenflüssen etwa auf USB- oder Cloud-Laufwerke bis hin zu Versuchen, sensible Inhalte (Dokumente, Quellcode etc.) zu erkennen – denn problematisch ist bereits eine tagesaktuelle Übersicht, welche schützenswerten Daten im Unternehmen vorhanden sind. Viele Organisationen wollen und können sich das nicht leisten, zumal klassisches DLP längst nicht alle illegitimen Datenzugriffe zuverlässig erkennen und verhindern kann.

Hier ist Data Leakage Monitoring eine sinnvolle Ergänzung. Durch Überwachung der einschlägigen Onlinequellen und Kommunikationskanäle von Hackern erkennen Sie, ob vertrauliche Dokumente und Quellcodes Ihres Unternehmens absichtlich oder unabsichtlich ins Internet, ins Deep Web oder in P2P-Netzwerke gelangt sind, ob durch Hackerangriffe, Insider oder Fehler von Dienstleistern.

Deshalb hat Outpost24 Data Leakage Monitoring in seine EASM-Plattform Outpost24 EASM integriert – übrigens zusammen mit weiteren Threat-Intelligence-Modulen wie der Überwachung des Internets auf Informationen zu geleakten, gestohlenen und verkauften Credentials, des Dark Web auf Aktivitäten im Zusammenhang mit Ihrem Unternehmen und von Web- und sozialen Medien auf die Verwendung Ihrer Marken und geschützten Inhalte (mehr Infos hier). Damit ergänzt Outpost24 den analytischen Fokus von EASM auf die eigenen Systeme durch Informationen, die sich außerhalb der eigenen Netzwerkgrenzen finden lassen – für umfassende Digital Risk Protection.

About the Author

Dr. Michael Richter ist seit 20+ Jahren Leiter Text der B2B-Content-Marketing-Agentur ucm. Er schreibt zu IT-Themen für diverse Branchen, darunter Public Services, Medizin/Pharma und Maschinenbau, mit besonderem Fokus auf Sicherheit (Security & Safety), Cloud und Automatisierung.