Was passiert bei einem Data Breach wirklich?

ByteSociety

2/23/20264 min read

Was passiert bei einem Data Breach wirklich?

Wenn ein Data Breach öffentlich wird, liest man meist nur das Ergebnis:

"X Millionen Datensätze gestohlen."

Was selten erklärt wird, ist der technische Ablauf dahinter.

Ein Data Breach ist kein einzelner Hack.
Er ist eine Kette aus Initial Access, Eskalation, interner Bewegung, Datensuche und letztlich Exfiltration.

Und diese Kette wiederholt sich, unabhängig davon, ob es sich um einen Mittelständler oder um Konzene wie Equifax, Target oder Colonial Pipeline handelt.

Die Realität in Zahlen

Ein paar Kennzahlen zeigen, wie strukturiert und wiederkehrend Data Breaches ablaufen:

- Laut dem IBM Cost of Data Breach Report 2023 lag die durchschnittliche globale Schadenshöhe bei rund 4,45 Millionen USD pro Vorfall.

- Die durchschnittliche "Dwell Time", also die Zeit, die ein Angreifer unentdeckt im Netzwerk bleibt, liegt nach Studie häufig zwischen 100 und 200 Tagen.

- Ein Großteil moderner Breaches beginnt nicht mit Zero Day Exploits, sondern mit kompromittierten Identitäten oder ungepatchten Edge-Systemen.

Diese Zahlen zeigen:

Data Breaches sind keine Ausnahmen. Sie sind systematische Probleme.

Phase 1 - Initial Access: Identität oder Exploit

Ein Data Breach beginnt fast immer mit einem Einstiegspunkt.

Technisch lassen sich zwei Hauptkategorien unterscheiden:

  1. 1. Identitätsbasierter Zugang

    Hier wird kein System direkt "gehackt", sondern eine gültige Identität missbraucht.

    Typische Methoden:

    - Phishing
    - Passwortspraying
    - Credential Stuffing
    - MFA-Fatigue
    - Token Theft

    Technisch sieht das wie ein normaler Login aus.
    Ein erfolgreicher Authentifizierungsvorgang erzeugt:

    - einen Session Token
    - einen gültigen Kerberos oder OAuth-Grant
    - Zugriff entsprechend der Rolle

    Das System erkennt keinen Unterschied zwischen legitimer Nutzung und Missbrauch.


    2. Exploit basierter Zugang

    Hier wird eine Schwachstelle direkt ausgenutzt.

    Beispiele aus der Praxis:

  2. - Der Breach bei Equafix (2017) begann durch eine ungepatchte Apache-Struts-Schwachstelle (CVE-2017-5638)
    - Mehrere Ransomware-Vorfälle der letzten Jahre starteten über ungepatchte VPN-Appliances.
    - Webanwendungen mit SQL Injection oder Remote Code Execution dienen regelmäßig als Einstiegspunkt.

    Technisch bedeutet das:

    - Ein speziell präparierter Request trifft auf einen verwundbaren Dienst.
    - Der Server führt fremden Code aus
    - Eine Webshell oder Reverse Shell wird etabliert

    Ab diesem Moment besitzt der Angreifer Systemzugriff.

Phase 2 - Foothold und Persistenz

Nach dem ersten Zugriff wird dieser stabilisiert

Je nach Einstiegspunkt geschieht das unterschiedlich:

- Bei Webservern: Webshell oder Backdoor
- Bei Windows-Systemen: Scheduled Tasks oder neue Dienste
- Bei Cloud-Konten: OAuth App Registrations oder API-Keys

Ziel ist nicht sofortiger Diebstahl, sondern dauerhafte Präsenz.


Phase 3 - Privilege Escalation

Ein einzelner Benutzer oder ein einzelnes System ist selten ausreichend.

Jetzt beginnt die Eskalation.

Typische Mechanismen:

- Lokale Privilege Escalation Exploits
- Missbrauch unsicherer Service-Berechtigungen
- Credential Dumping (z.B. Zugriff auf LSASS)
- Kerberoasting in Active Directory
- IAM Role Escalation in Cloud Umgebungen

Wenn administrative Rechte erlangt werden, verändert sich die Lage fundamental.

Der Angreifer besitzt nun:

- Zugriff auf mehrere Systeme
- Zugriff auf zentrale Server
- potenziell Domain-weite Kontrolle

Phase 4 - Lateral Movement



Die Ausbreitung erfolgt über legitime Protokolle:

- SMB
- RDP
- WinRM
- SSH
- Datenbankverbindungen

Beim Target Breach im Jahre 2013 nutzten Angreifer kompromittierte Zugangsdaten eines Dienstleisters, um sich im internen Netzwerk zu bewegen.
Von dort gelangten sie in das Kassensystem Netzwerk.

Technisch entstehen dabei Spuren wie:

- Administrator Logins von ungewöhnlichen Hosts
- Service Creation Events
- ungewöhnliche Kerberos Ticket Anfragen
- interne Datenbankabfragen außerhalb normaler Zeiten

Doch jedes dieser Ereignisse kann isoliert betrachtet legitim erscheinen.

Phase 5 - Discovery und Datenlokalisierung

Ein Breach ist strategisch.

Angreifer suchen gezielt nach:

- Kundendatenbanken
- personenbezogene Informationen
- Finanzdaten
- geistigem Eigentum
- Backup-Systemen

In modernen Umgebungen betrifft das häufig auch:
- Cloud Storage Backups
- SharePoint oder OneDrive
- API-basierte Datenquellen

Bei vielen Vorfällen - etwa bei Marriott International (Starwood Breach) - wurden große Mengen personenbezogener Daten über Jahre hinweg abgegriffen, bevor der Vorfall entdeckt wurde.



Phase 6 - Datenaggregation und Exfiltration


Bevor Daten exfiltriert werden, werden sie vorbereitet:

- Komprimierung
- Archivierung
- Verschlüsselung
- Staging in temporären Verzeichnissen

Der eigentliche Datenabfluss erfolgt meist über:

- HTTPS
- SFTP
- Cloud Storage APIs
- DNS Tunneling

Da HTTPS verschlüsselt ist, sieht Netzwerk Monitoring oft nur normalen Webverkehr über Port 443.

Ohne Egress-Kontrolle oder Volumenanalyse bleibt dieser Schritt unentdeckt.

Warum Data Breaches so lange unentdeckt bleiben

Der Kern des Problems ist nicht die technische Raffinesse.

Sondern Legitimität.

Angreifer nutzen:

- echte Accounts
- echte Adminrechte
- echte Protokolle
- echte Tools

Es gibt keinen spektakulären Moment.

Es gibt eine Reihe normal wirkender Aktionen.

Erst wenn diese Aktionen korreliert werden, entsteht ein Muster.

Fehlt diese Korrelation, bleibt der Breach gefühlt unsichtbar.

Der Unterschied zwischen Kompromittierung und Data Breach


Nicht jede kompromittierung führt zu einem Data Breach.

Ein Breach liegt vor wenn:

- Daten kopiert wurden
- Daten das Unternehmen verlassen haben
- Sensible oder personenbezogene Informationen betroffen sind.

Ab diesem Moment greifen regulatorische Anforderungen wie DSGVO Meldepflichten.

Fazit


Ein Data Breach ist das Ergebnis mehrerer technischer Phasen:

- Initial Access (Identität oder Exploit)
- Persistenz
- Privilege Escalation
- Lateral Movement
- Discovery
- Exfiltration

Bekannte Fälle zeigen:

Ob es sich um Equifax, Target oder Marriott International handelt, die Muster sind wiederkehrend.

Der Unterschied liegt nicht im Ablauf.

Sondern darin, ob die Organisation:

- Logs besitzt
- Identitäten überwacht
- Netzwerkbewegungen korreliert
- und Anomalien erkennt

Ein Angreifer muss nur einmal erfolgreich sein.
Ein Verteidiger muss die Kette verstehen.

Und genau darin liegt der Unterschied zu einem Sicherheitsvorfall und einer Katastrophe.

Vernetzen wir uns

Du hast Fragen zu einem Projekt, möchtest dich über IT oder Cybersecurity austauschen oder einfach Kontakt aufnehmen?

Ich freue mich über Nachrichten, Feedback und spannende Gespräche.

Kontakt aufnehmen ➜

Ein Ort für Technik, Neugier und echte Projekte.

© 2026 ByteSociety. All rights reserved.