Die verschlüsselte Gefahr

Sicherheitsrisiken im SSL-Datenverkehr

Mathias Widler ist Vice President Central EMEA bei ThousandEyes.
SSL-Verschlüsselung ist nicht das Allheilmittel gegen das Ausspionieren. Es gibt hier noch einiges zu tun, zum Beispiel beim der Untersuchung der zu verschlüsselnden Daten auf Schadsoftware.

Man muss nicht gleich das Bild des Armageddon bemühen, um die Dimensionen der aktuellen Cyberattacken zu illustrieren. Dennoch häufen sich seit Anfang dieses Jahres die Schlagzeilen zu Attacken, die für die Angreifer erfolgreich verlaufen. In einem sind sich die Experten aus den unterschiedlichen Lagern einig: was wir bis jetzt gesehen haben, ist nicht mehr als die Spitze des Eisbergs an noch bevorstehenden Attacken.

Hinter den Schlagzeilen steckt besonders ausgefeilte Malware. Was ist der Grund dafür, dass sie es sowohl an die Spitze der Prioritätenliste der wichtigsten Bedrohungen als auch in die Schlagzeilen geschafft hat? Diese Art Malware agiert ausgesprochen klug und wenn sie am Zielort angekommen ist lässt sie sich kaum noch beherrschen. Immer häufiger ist sie zusätzlich verschlüsselt.

Das eigentliche Problem

In praktisch jedem Unternehmen gibt es zwei Arten von Datenverkehr: denjenigen, der überprüft wird und dazu den nicht gescannten. Für den Datenverkehr der nicht auf Sicherheitsrisiken geprüft wird gibt es mehrere Gründe: die Performanz des Netzwerks, Skalierbarkeit und Kosten.

Firmen, die auch den SSL-verschlüsselten Datenverkehr inspizieren, büßen durchschnittlich 74 Prozent an Performanz ein.
Firmen, die auch den SSL-verschlüsselten Datenverkehr inspizieren, büßen durchschnittlich 74 Prozent an Performanz ein.
Foto: Maksym Yemelyanov - Fotolia.com

In einer von den NSS Labs veröffentlichten Studie hat man beispielsweise herausgefunden, dass Firmen, die auch den SSL-verschlüsselten Datenverkehr inspizieren durchschnittlich 74% an Performanz einbüßen, wenn mit 512 beziehungsweise 1024 Bit verschlüsselt wird; wird mit dem derzeitigen Industriestandard, also mit 2048 Bit verschlüsselt, liegen die Leistungseinbußen sogar bei bis zu 81%. Bei der Performance für den Proxy sieht es noch schlimmer aus.

Die meisten Unternehmen stehen dementsprechend vor der Entscheidung, solche Leistungseinbußen in Kauf zu nehmen oder in Technologien zu investieren, um auch den verschlüsselten Datenverkehr unter die Lupe zu nehmen. Oder sie entscheiden sich auf einem Auge blind zu sein - in diesem Fall in Bezug auf den HTTPS-Traffic. Letzteres hat sich in der Vergangenheit als praktikable Strategie erwiesen. Angesichts der heutigen Gefahrenlage mutet sie eher tollkühn an.

Noch einiges zu tun bei SSL

Derzeit sind etwa 25% des gesamten über das Internet abgewickelten Datenverkehrs auch SSL-verschlüsselt. Und es sieht so aus als würde dieser Traffic nur zu einem geringen Teil im Hinblick auf darin verborgene Schadsoftware gescannt. Sei es, weil die eingesetzten Sicherheitstools dafür nicht geeignet sind, oder weil die erforderliche Bandbreite nicht zur Verfügung steht.

Malware ist keinesfalls auf dem Rückzug.
Malware ist keinesfalls auf dem Rückzug.
Foto: Zscaler

Die dadurch für Unternehmen entstehende Gefahr lässt sich durch ein Bild illustrieren. Von vier Personen, die an die virtuelle Unternehmenstür klopfen, werden drei gründlich gefilzt. Aber einem Besucher unter ihnen gelingt es ungehindert ins Innere zu gelangen. Die Statistiken sprechen dazu eine deutliche Sprache, denn ein Viertel des gesamten Datenverkehrs hat das Potenzial Malware direkt und ohne große Umstände ins Zentrum des Unternehmens zu befördern. Und Prognosen gehen davon aus, dass diese Zahlen Jahr um Jahr 20% ansteigen. Entwickler von Malware und Schadcode setzten zunehmend auf den verschlüsselten und ungescannten Datenverkehr, um ihre Schädlinge in Unternehmen einzuschleusen.

16% des von Zscaler geblockten Malware-Traffics verbirgt sich in SSL-verschlüsseltem Datenverkehr. Man könnte jetzt fälschlicherweise davon ausgehen, dass sich hierbei um eher harmlose Varianten von Schadcode handelt. Leider ist genau das Gegenteil der Fall: ZeroAccess-Attacken, Bitcoin-Mining- und Kazy-Trojaner waren ebenso unter den aufgespürten Schädlingen, wie Black Holes, aktuelle Ransomware und Backdoors. Und alle wurden durch SSL-Traffic transportiert.

Auch einen weiteren Aspekt sollte man nicht unberücksichtigt lassen und das sind Sandboxing-Umgebungen. Sandboxing gestattet es binären Code zu transportieren, um zu untersuchen, ob sich der Code normal verhält oder gegen Regeln verstößt, die ihn als potenziell bösartig identifizieren könnten. Die Zscaler-Statistiken für April, die aus solch einer isolierten Umgebung stammen, haben folgendes ergeben:

  • 46% der blockierten Malware war HTTP-basiert

  • 31% war HTTPS-basiert

  • und erstaunliche 23% waren eine Mixtur aus beiden.

In Summe haben 54% des Malware-Traffics in diesem Beispiel SSL-verschlüsselten Datenverkehr benutzt um sogenannte Advanced Persistent Threats an ihr Ziel zu bringen.

Komplexe Bedrohungen und wie sie funktionieren

Ganz offensichtlich ist das, was durch die Vordertüre kommt, nur die eine Seite des Problems. Was an der Oberfläche wie ein gutartiges Programm aussieht, kann sich an geeigneter Stelle im Netzwerk schnell als Büchse der Pandora erweisen. Ein Beispiel dafür deckte Zscaler kürzlich bei einem Fortune 500-Unternehmen mit einer Attacke auf, die unter dem Namen "Dr. Watson" bekannt geworden ist. Ursprünglich handelte es sich um ein HTTP-basiertes Programm, das aus einer vertrauenswürdigen Quelle, in diesem Falle Dropbox, zu stammen schien, und dem der Zutritt ins Netzwerk gewährt wurde. Einmal sicher dort angekommen, begann der Trojaner sofort damit weitere Malware-Bestandteile aus DropBox herunterzuladen. Dabei benutzte er SSL-Verschlüsselung um seine illegalen Aktivitäten wirksam zu verschleiern.

Zeit, hinter die Fassade zu schauen

Will man komplexe Attacken wie APTs wirksam abwehren, sind es im wesentlichen drei Schritte, die Unternehmen berücksichtigen sollten: schützen, aufdecken, beseitigen. Wir konzentrieren uns auf Maßnahmen gegen Attacken, die sich primär über SSL-verschlüsselten Datenverkehr Zugang zum Netzwerk verschaffen.

Es gilt 5 Punkte zu berücksichtigen:

  • Auch wenn sich diese Erkenntnis noch nicht flächendeckend durchgesetzt hat, in Sachen Malware über SSL wird es Zeit den Kopf aus dem Sand zu nehmen. Es handelt sich um real existierende Bedrohungen. Hat man das ein Mal akzeptiert, kann man damit beginnen wirksame Gegenmaßnahmen zu planen anstatt noch länger zu ignorieren, welche Fracht sich über den verschlüsselten Datenstrom gleich mit ins Netzwerk geholt werden kann.

  • Pläne sind das eine, Budgets das andere. Unternehmen sollten davon ausgehen, dass sie in der einen oder anderen Weise in die Netzwerkinfrastruktur investieren müssen. Wenn sie nicht eklatante Kompromisse bei der Performanz eingehen wollen, ist das der einzige Weg auch den SSL-verschlüsselten Datenverkehr im Hinblick auf Malware zu überprüfen.

  • Respektvoller Umgang mit der Privatsphäre und dem Datenschutz der Mitarbeiter durch aktive Kommunikation. Beides sind keine unumstrittenen Themen. Wenn Unternehmen ihren Mitarbeitern bis zu einem gewissen Grad gestatten die Unternehmensinfrastruktur auch für private Zwecke zu nutzen - und es wäre veraltet dies nicht zu tun - dann heißt das zugleich auch die Privatsphäre bis zu einem gewissen Grad zu respektieren. Das heißt aber nicht, dass dies zu Lasten der Sicherheit gehen darf. Aktive Information der Mitarbeiter tut Not über die Bedeutung, wirklich den gesamten Datenverkehr zu überwachen und worin die Vorteile für beide Parteien liegen: für das Unternehmen als Ganzes und für die persönlichen Belange des Einzelnen. Ist ein System einmal kompromittiert gilt das potenziell genauso für das des Mitarbeiters.

  • Ist der Dialog darüber erst ein Mal eröffnet, wird es eine Reihe von Webseiten geben, die als vertraulich eingestuft werden können, beispielsweise solche zum Onlinebanking. Man kann also eine Whitelist anlegen für den Teil des SSL-Traffic, der, als aus einer vertrauenswürdigen Quelle stammend, passieren darf. Solche Listen haben zwei Vorteile. Unternehmen respektieren somit die private Kommunikation der Mitarbeiter einerseits, andererseits senken sie das Volumen des Datenverkehrs, der zu überprüfen ist. Das muss nicht notwendigerweise in einen aufwendigen Prozess münden. Es gibt mittlerweile Technologien, die solche Prozesse automatisieren.

  • Und noch ein letzter Tipp: auch diese einmal eingerichteten Whitelists müssen regelmäßig überprüft werden, um sicher zu gehen, dass es sich immer noch um vertrauenswürdige Quellen handelt.

SSL dient nur dazu Datenverkehr zu verschlüsseln. SSL kann nicht garantieren, dass es sich um "sauberen" Datenverkehr handelt. Ist die Datenquelle entweder bösartig oder kompromittiert, haben Unternehmen definitiv ein Problem. SSL-verschlüsselten Datenverkehr zu untersuchen ist kompliziert, aber nicht unmöglich. Die Frage ist schlussendlich, ob man nur die Türen verriegelt oder nicht vielleicht besser auch alle offenen Fenster schließt. Eine Cloud-basierte Sicherheitslösung kann dabei helfen, den Datenverkehr ohne Performanz-Einbußen zu scannen und zeitgleich granulare Sicherheitsregeln zu erlauben. (rw)

Zur Startseite