Eine Frage der Perspektive:

Was ist ein Ingress- und Egress-Datenverkehr?

| Autor / Redakteur: Otto Geißler / Ulrike Ostler

Der Datenausgang ist ein regulärer Bestandteil der Netzwerkaktivität, kann jedoch eine Bedrohung für Unternehmen darstellen, wenn vertrauliche Daten an nicht autorisierte Empfänger weitergeleitet werden.
Der Datenausgang ist ein regulärer Bestandteil der Netzwerkaktivität, kann jedoch eine Bedrohung für Unternehmen darstellen, wenn vertrauliche Daten an nicht autorisierte Empfänger weitergeleitet werden. (Bild: © djama - stock.adob.com)

Ingress-Datenverkehr ist Netzwerk-Traffic, der von außerhalb der Netzwerk-Router stammt und zu einem Ziel innerhalb des Netzwerks führt. Wogegen der Egress-Datenverkehr innerhalb eines Netzwerks beginnt und über seine Router auf einen Ort außerhalb des Netzwerks gerichtet ist.

Heute sind fast alle Internetwerke mit einem externen Netzwerk, dem Internet oder einem autonomen System verbunden. Die vielfältige Konnektivität und Kommunikation zwischen ihnen erzeugt Datenpakete, die in und aus dem Netzwerk fließen. Ein Ingress-Datenverkehr ist der gesamte Datenverkehr, der an einem entfernten und externen Standort oder in einem Netzwerk außerhalb des Host-Netzwerks initiiert wird. Dieser eingehende Datenverkehr ist immer auf ein Segment oder einen Knoten gerichtet, der im Host-Netzwerk installiert ist.

Wenn Benutzer über das Internet auf eine Website, Anwendung oder ein Dienstprogramm zugreifen, fließt der Ingress-Datenverkehr in Richtung des Systems dieses Benutzers, da die Entität, auf die der Benutzer zugegriffen hat, in einem externen Netzwerk gehostet wird. Der Egress-Datenverkehr ist die Umkehrung des Ingress-Datenverkehrs. Ausgang ist, dass der gesamte Datenverkehr auf ein externes Netzwerk gerichtet ist und von innerhalb des Host-Netzwerks stammt.

Ingress- oder Egress-Datenverkehr?

Zur Verdeutlichung stelle man sich einen Router vor, wo auf der einen Seite des Routers das Wide Area Network (WAN) liegt und auf der anderen das Local Area Network (LAN). Bei einem Ingress-Datenverkehr kommt der Verkehr wie bei einer eingehenden E-Mail auf den Router zu und betritt das LAN des Unternehmens, bevor sie an den Empfänger übermittelt wird.

Wenn dagegen beispielsweise Daten in das Internet hochgeladen werden, verlassen sie das lokale Netzwerk (LAN). Das ist bei einer ausgehenden E-Mail-Nachricht der Fall, die als Egress-Datenverkehr bezeichnet wird. Das heißt, eine E-Mail kommt von der Workstation eines Benutzers über die LAN-Router des Unternehmens, bevor sie über das Internet an ihren endgültigen Bestimmungsort geführt wird.

Weitere Beispiele für gängige Kanäle des Egress-Datenverkehrs: Cloud-Uploads, FTP- bzw. HTTP-Übertragungen oder Dateien, die auf einen externen Speicher wie zum Beispiel Wechselmedien (USB, CD, DVD, externe Festplatten) verschoben werden.

Bedrohungen beim Datenausgang

Der Egress-Datenverkehr kann jedoch eine Bedrohung für Unternehmen darstellen, wenn vertrauliche Daten an nicht autorisierte Empfänger weitergeleitet werden. Bei einer Ausgangsfilterung wird der Ausgangsverkehr überwacht, um rechtzeitig Anzeichen von böswilligen Aktivitäten zu erkennen. Wenn böswillige Aktivitäten vermutet oder entdeckt werden, können Übertragungen blockiert werden, um so den Verlust vertraulicher Daten zu verhindern.

Sensible, firmeneigene oder leicht monetarisierbare Informationen werden von Cyberkriminellen, Konkurrenten, Nationalstaaten und böswilligen Insidern in hohem Maße als Ziel für den Datenaustausch verwendet. Dies geschieht über verschiedene Datenexfiltrationstechniken, die zum Verlust, Diebstahl oder zur Offenlegung vertraulicher Daten führen können.

Ein Teil des Datenausgangsmanagements besteht nun darin, herauszufinden, wo sich sensible Daten befinden und wo sie das Netzwerk verlassen. Dies wird auch als Datenerkennung und Netzwerküberwachung bezeichnet. Beide Aktionen sind erforderlich, um die Datenausgangspunkte in den Systemen zu sichern.

Datenausgangsmanagement verhindert Datenverlust

Hierzu empfiehlt es sich, eine Richtlinie zur Durchsetzung von Nutzung und Datenausgang zu erstellen. Dafür sollten Stakeholder einbezogen werden, um akzeptable Nutzungsrichtlinien zu definieren. Denn es sollte eine profunde Richtlinie sein, die die Ressourcen des Unternehmens schützt.

Ergänzt um eine Liste genehmigter, über das Internet zugänglicher Dienste für den Zugriff und Umgang mit sensiblen Daten. Des Weiteren müssen Firewall-Regeln implementiert werden, um das Eindringen in böswillige oder nicht autorisierte Ziele zu verhindern. Wobei eine Netzwerk-Firewall als eine von mehreren Verteidigungslinien gegen Bedrohungen fungiert. Dies ist ein Ausgangspunkt, an dem sichergestellt wird, dass der Datenausgang nicht ohne ausdrückliche Genehmigung erfolgt.

Eine Kombination aus Datenerkennung, Klassifizierung und Data Loss Prevention (DLP) ermöglicht es Unternehmen, in Erfahrung zu bringen, welche vertraulichen Daten sie an welchem Ort aufbewahren, um gleichzeitig sicherzustellen können, dass sie vor unbefugtem Verlust oder unbefugtem Zugriff geschützt sind.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46189709 / Definitionen)