Mehr als sichere Dateitransfers: Daten schützen im Zeitalter von Copy-&-Paste-Exfiltration

Während Unternehmen ihre Dateitransfers immer besser absichern, entstehen neue Risiken durch Datenabfluss per Copy & Paste über Browser-Erweiterungen und GenAI-Anwendungen.

Ihre Dateitransfer-Infrastruktur ist hervorragend abgesichert. Daten werden während der Übertragung verschlüsselt. Daten werden verschlüsselt gespeichert. Moderne Kryptografie auf Basis von OpenSSL 3.0 ist im Einsatz. Sie nutzen Progress MOVEit Cloud und erfüllen sämtliche Compliance-Anforderungen – von HIPAA über PCI-DSS bis hin zu SOC 2. Ihre Audit-Protokolle sind manipulationssicher und Ihre Netzwerksegmentierung könnte selbst erfahrene CISOs begeistern.

Währenddessen hat ein Marketing-Mitarbeiter gerade Ihre gesamte Kundendatenbank in ChatGPT eingefügt, um „die Formatierung zu bereinigen“. Über eine Browser-Erweiterung, die niemand genehmigt hat. Mit Zugangsdaten, die Single Sign-on umgehen. Und ohne eine einzige Spur in Ihrem DLP-System zu hinterlassen.

Herzlichen Glückwunsch. Sie haben eine Festung gebaut – mit einer offenen Nebentür.

Willkommen im Zeitalter der Copy-&-Paste-Exfiltration. Die Bedrohung hat sich vom Dateisystem in die Zwischenablage verlagert, während Sicherheitsteams noch über Firewall-Regeln diskutieren.

Die Transparenzlücke, über die niemand spricht

68 % aller Anmeldungen bei Unternehmensanwendungen erfolgen ohne SSO. Nicht, weil Ihr Identity Provider versagt hätte – sondern weil die Anwendungen, die Mitarbeiter tatsächlich nutzen, nie in Ihre Identitätsinfrastruktur integriert wurden.

Der Grund ist oft banal: Viele SaaS-Anbieter stellen SSO erst in ihren teuersten Tarifstufen bereit – häufig zum Zwei- bis Dreifachen des Basispakets. Dieses Vorgehen ist so verbreitet, dass die Branche dafür sogar einen eigenen Begriff geprägt hat: die „SSO Tax“. Benötigt das Marketing heute ein neues Projektmanagement-Tool und kann nicht sechs Wochen auf Beschaffung und Freigabe warten, wird häufig die günstigere Team-Lizenz ohne SSO gewählt. Jede Anmeldung in diesem Tool findet anschließend außerhalb Ihres Identity Providers statt – eine Zugangslücke, die oft lange unbemerkt bestehen bleibt.

Reality Check: Verlässt ein Mitarbeiter das Unternehmen, wird sein Active-Directory-Konto meist innerhalb weniger Minuten deaktiviert. Sein Zugang zu einem inoffiziell beschafften Projektmanagement-Tool? Der kann sechs Monate später noch aktiv sein und weiterhin Anmeldungen akzeptieren.

Das Ponemon Institute schätzt die jährlichen Kosten insiderbezogener Sicherheitsvorfälle auf 17,4 Millionen US-Dollar. Verwaiste Benutzerkonten gehören dabei zu den wesentlichen Risikofaktoren. Prüfen Sie einmal Ihren Identity Provider: In wie vielen Anwendungen melden sich Benutzer ohne SSO an? Die tatsächliche Zahl dürfte höher sein als erwartet.

Der Browser als neue Angriffsfläche

War Dateitransfer-Sicherheit das große Thema von 2015, sind Browser-Erweiterungen inzwischen zu einem der größten Sicherheitsrisiken geworden. 99 % aller Unternehmensanwender nutzen mindestens eine Browser-Erweiterung. 53 % dieser Erweiterungen können auf sensible Daten zugreifen, darunter Cookies, Passwörter und Seiteninhalte. Weitere 26 % werden außerhalb offizieller Stores installiert – offenbar weil selbst die Prüfmechanismen der Browser-Anbieter manchen Anwendern noch zu restriktiv erscheinen.

Browser-Erweiterungen können Daten bereits vor der Verschlüsselung abfangen. Verfügt eine Erweiterung über die Berechtigung „webRequest“, lassen sich Authentifizierungstoken, Session-Cookies und POST-Daten auslesen, bevor TLS überhaupt ins Spiel kommt.

Der PDF-Konverter, den Sie vor einem Jahr installiert haben? Vor drei Tagen wurde er aktualisiert. Die neue Version leitet nun sämtliche Formulareingaben an einen Command-and-Control-Server weiter. Die DarkSpectre-Kampagne betraf auf diesem Weg 8,8 Millionen Nutzer – über Jahre hinweg nahezu unbemerkt, während sich viele Unternehmen auf Phishing-Simulationen konzentrierten.

Ihr Netzwerkperimeter erkennt diese Aktivitäten nicht. Ihre Endpoint-DLP-Lösung ebenfalls nicht. Prüfen Sie deshalb regelmäßig Ihre Browser-Erweiterungen – jede sideloaded Erweiterung sollte so lange als potenzielles Risiko betrachtet werden, bis ihre Vertrauenswürdigkeit nachgewiesen ist.

Copy & Paste: Der Datenabfluss, den niemand eingeplant hat

Traditionelle DLP-Lösungen wurden für Dateien entwickelt. Uploads prüfen. USB-Sticks blockieren. E-Mail-Anhänge überwachen. Sinnvolle Sicherheitsmaßnahmen für das Jahr 2010. Doch laut dem Browser Security Report 2025 von LayerX hat Copy & Paste den klassischen Dateitransfer inzwischen als wichtigsten Kanal für den Datenabfluss in Unternehmen überholt.

Die Methode ist nahezu unsichtbar. Es wird keine Datei erstellt. Kein Download ausgelöst. Daten wandern direkt aus einer Unternehmensanwendung oder Datenbank in einen GenAI-Prompt und werden dort möglicherweise Teil eines öffentlichen KI-Modells. Ihre Geschäftsgeheimnisse helfen damit eventuell anderen Nutzern dabei, bessere Antworten oder E-Mails zu erstellen.

Unbequeme Wahrheit: 77 % der Mitarbeiter kopieren Daten in KI-Prompts, und 82 % nutzen dafür private Konten. Damit findet ein Großteil sensibler Datenübertragungen in einem Bereich statt, den klassische Sicherheitslösungen oft nicht vollständig erfassen können.

Während traditionelle DLP-Lösungen die Eingangstür bewachen, verlassen Daten das Unternehmen unter Umständen über einen ganz anderen Weg – unbemerkt und ohne aussagekräftige Protokollierung.

Wo Managed File Transfer seinen Mehrwert zeigt

Die Lücke zwischen den Bereichen, die Unternehmen absichern, und den Bereichen, über die tatsächlich Daten verloren gehen, war selten größer als heute. Das bedeutet jedoch nicht, dass Managed File Transfer (MFT) an Bedeutung verloren hat. Im Gegenteil: MFT löst eine klar definierte Herausforderung weiterhin äußerst zuverlässig.

MOVEit Ad-Hoc Transfer integriert sich direkt in Microsoft Outlook. Fügt ein Anwender eine Datei hinzu, wird er aufgefordert, diese sicher über MOVEit statt per SMTP zu versenden. Der Empfänger erhält dabei einen sicheren Download-Link anstelle der Datei selbst. Zugriffe werden protokolliert, Links können widerrufen werden und Dateien laufen automatisch ab. Auf diese Weise wird unsicheres Benutzerverhalten durch eine kontrollierte Alternative ersetzt.

Das MOVEit Gateway verfolgt zudem einen anderen Sicherheitsansatz als klassische Architekturen. Anstatt den Dateitransfer-Server in der DMZ zu platzieren, fungiert das Gateway als Proxy, während der eigentliche MOVEit-Server und die übertragenen Daten hinter der internen Firewall verbleiben. Selbst wenn Angreifer Zugriff auf das Gateway erlangen, erhalten sie weder Zugriff auf die gespeicherten Daten noch auf Schlüssel oder interne Systeme.

Was Compliance heute wirklich verlangt

Die manipulationssicheren Audit-Protokolle von MOVEit erfassen Datei-Uploads, Downloads, Löschvorgänge und Anmeldungen. Die zugrunde liegende Kryptografie schützt jede Datei mit einem eigenen Schlüssel. Aus Sicht klassischer Dateiübertragungen werden damit zentrale Compliance-Anforderungen erfüllt.

Doch moderne Compliance geht weiter. Prüfer interessieren sich zunehmend auch für Datenabflusswege, die außerhalb der klassischen Dateitransfers liegen. Wenn die Frage lautet: „Wie verhindern Sie, dass Mitarbeiter personenbezogene Daten in nicht genehmigte KI-Anwendungen kopieren?“, reicht ein Verweis auf Sensibilisierungsschulungen oft nicht aus. Und ein „Wir vertrauen unseren Mitarbeitern“ überzeugt Auditoren in der Regel noch weniger.

MOVEit kann Dateien in Echtzeit an Content-Scanning- und Antivirus-Lösungen übergeben und so dateibasierte Bedrohungen identifizieren. Was diese Prüfmechanismen jedoch nicht sehen können, sind Vorgänge innerhalb eines Browser-Tabs. Genau deshalb benötigen Unternehmen beide Schutzebenen: Governance für Dateitransfers und zusätzliche Kontrollen für Browser und GenAI-Anwendungen.

Wenn Risiken und Sicherheitsmaßnahmen nicht zusammenpassen

Wer Marketing-Broschüren mit denselben Sicherheitsmaßnahmen behandelt wie ACH-Zahlungsdateien, handelt nicht automatisch besonders sorgfältig. Häufig werden dadurch Budgets für Risiken eingesetzt, die vergleichsweise geringe Auswirkungen hätten, während relevantere Bedrohungen unzureichend betrachtet werden.

Wichtige Erkenntnis: Die Sicherheitsarchitektur, die Sie heute aufbauen, beeinflusst, ob Sie morgen Auditoren Ihre Compliance-Strategie erläutern – oder ob Auditoren dem Vorstand Ihre Compliance-Mängel erklären. Nur eines dieser Gespräche endet ohne unangenehme Konsequenzen.

MFT-Plattformen wie /moveitMOVEit helfen Unternehmen dabei, besonders kritische Dateiübertragungen abzusichern – also Übertragungen mit hohem Geschäftsrisiko, großem Datenvolumen oder regulatorischen Anforderungen. Browserbasierte Exfiltration und Copy-&-Paste-Vorgänge stellen eine andere Art von Risiko dar: Einzelne Vorfälle fallen oft kleiner aus, treten dafür jedoch deutlich häufiger auf und hinterlassen nur wenige Spuren.

Es handelt sich nicht um konkurrierende Herausforderungen, sondern um unterschiedliche Angriffspfade. Unternehmen mit einer erfolgreichen Sicherheitsstrategie sichern deshalb beide Bereiche gleichermaßen ab, anstatt sie gegeneinander abzuwägen.

Der richtige Weg nach vorn

Die Risiken klassischer Dateiübertragungen sind nicht verschwunden. Sie sind lediglich nicht mehr die einzigen Risiken, die Aufmerksamkeit verdienen. Die Zwischenablage ist zu einem potenziellen Exfiltrationskanal geworden. Der Browser ist heute ein sicherheitskritischer Endpunkt. Die Sicherheitsgrenze Ihres Unternehmens endet nicht mehr an der Firewall – sie umfasst inzwischen jeden Browser-Tab, den Mitarbeiter geöffnet haben.

Klassische DLP-Lösungen können viele Copy-&-Paste-Vorgänge nicht vollständig erfassen. Das Konzept „ChatGPT einfach an der Firewall blockieren“ funktioniert spätestens dann nicht mehr, wenn Mitarbeiter private Geräte oder mobile Hotspots verwenden. Und wer sensible Dokumente immer noch als passwortgeschützte PDF per E-Mail versendet – idealerweise geschützt durch das Geburtsdatum des Empfängers – bewegt sich nur einen kleinen Fehler von einer möglichen Meldepflicht entfernt.

Denken Sie an das eingangs beschriebene Beispiel des Mitarbeiters, der vertrauliche Kundendaten in ChatGPT einfügt. Kein MFT-System kann diesen Vorgang verhindern, denn er findet innerhalb eines Browser-Tabs und über die Zwischenablage statt. Hier sind Browser-Sicherheitslösungen und moderne DLP-Kontrollen gefragt.

Was /moveit/ad-hocMOVEit Ad-Hoc Transfer hingegen adressiert, ist die andere Hälfte dieser Herausforderung: Anwender erhalten einen einfachen, kontrollierten und sicheren Weg, Dateien auszutauschen, anstatt auf unsichere Alternativen zurückzugreifen. Denn Sicherheitsmaßnahmen werden langfristig nur dann genutzt, wenn sie einfacher sind als die Umgehungslösung.

Die Dateitransfers lassen sich mit MFT kontrollieren. Die Zwischenablage benötigt zusätzliche Browser- und DLP-Kontrollen. Erst das Zusammenspiel beider Ansätze schafft eine zeitgemäße Sicherheitsarchitektur.

Die entscheidende Frage lautet daher nicht, ob Sie Dateitransfers oder Browser absichern sollten. Die entscheidende Frage lautet, ob Ihre Sicherheitsstrategie beide Risiken abdeckt – bevor ein Auditor Sie fragt, warum sie das nicht tut.

Erfahren Sie, wie die MOVEit MFT-Plattform Ihnen mehr Transparenz und Kontrolle über klassische Dateiübertragungen sowie moderne Datenabflussrisiken bieten kann.

Die in diesem Beitrag bereitgestellten Informationen stellen keine Rechtsberatung dar und sind auch nicht als solche gedacht. Unternehmen sollten bei rechtlichen oder regulatorischen Fragestellungen ihre eigenen Rechtsberater konsultieren. Leser sollten Entscheidungen nicht ausschließlich auf Grundlage der hier enthaltenen Informationen treffen oder unterlassen, ohne zuvor rechtlichen Rat für ihre jeweilige Situation und Rechtsordnung einzuholen.