Schmuggelt SSL Malware in Ihr Unternehmen?

Wir alle kennen SSL, dieses wichtige kryptografische Tool, das unsere Online-Kommunikation schützt. Es schützt die Kommunikation zwischen den von uns verwendeten Webbrowsern und den Servern, auf denen Websites wie diese gehostet werden. Sie erkennen eine sichere Website am Schlosssymbol oder der Verwendung von HTTPS in der Adresse.

Und im Allgemeinen ist SSL eine gute Sache. Bei allen Transaktionen, bei denen es um finanzielle Informationen geht, wie etwa beim Bankgeschäft oder beim Online-Shopping, wird SSL verwendet, um die Privatsphäre Ihrer Daten zu wahren. Doch in letzter Zeit gibt es Bestrebungen, den gesamten Internetverkehr mit SSL zu sichern , nicht nur den Verkehr, der Benutzername/Passwort-Kombinationen oder Finanzdaten enthält. Schlagzeilenträchtige Nachrichten wie die Enthüllungen von Edward Snowden zur weltweiten Massenüberwachung führen dazu, dass immer mehr Benutzer Verschlüsselung im Internet verlangen, und die Anbieter kommen diesem Wunsch gerne nach.

Deshalb wird es immer häufiger verwendet. Bei den meisten der weltweit beliebtesten Websites wie Google, Amazon und Facebook ist HTTPS, das eine SSL-Verschlüsselung bietet, mittlerweile standardmäßig für den gesamten Datenverkehr aktiviert. Schätzungen zufolge wird bis Ende 2015 mehr als die Hälfte des weltweiten Internetverkehrs verschlüsselt sein. (Das liegt vor allem an Netflix, das für einen großen Anteil des Internetverkehrs verantwortlich ist und auf HTTPS umstellt.)

Obwohl die Verschlüsselung des Internetverkehrs zweifellos einen größeren Teil unserer sensiblen Daten schützt, bringt sie für Unternehmen tatsächlich auch höhere Risiken mit sich. Das liegt daran, dass viele Sicherheitsgeräte in Unternehmen den verschlüsselten Datenverkehr nicht erkennen können und sich Schadsoftware daher unentdeckt einschleichen kann.

Firewalls, Web-Gateways, Intrusion-Prevention-Systeme und mehr können Schwierigkeiten haben, Malware zu erkennen, die über verschlüsselten Datenverkehr eindringt. Für Unternehmen könnte es sich als Albtraum erweisen, wenn Cyberkriminelle in einer vermeintlich sicheren Transaktion Malware verstecken können. Und das funktioniert in beide Richtungen: Schadsoftware kann nicht nur unbemerkt ins System eindringen, sondern auch vertrauliche Informationen in einer verschlüsselten Transaktion an ihren Controller zurücksenden, die von den meisten Sicherheitstools nicht erkannt werden.

Ein Beispiel hierfür ist die Banking-Malware Dyre . Berichten zufolge war diese Schadsoftware in der Lage, Informationen zu stehlen, bevor die Verschlüsselung einsetzte, und sie unter dem Deckmantel legitimer verschlüsselter Daten an den Befehls- und Kontrollserver zurückzusenden. Entscheidend ist, dass die Sitzung durch das angezeigte Vorhängeschloss-Symbol sicher erscheint, im Hintergrund jedoch vertrauliche Daten abgesaugt werden.

Tatsächlich kann jede zwielichtige Website Drive-By-Malware bereitstellen und wenn die Sitzung verschlüsselt ist, können Sicherheitstools weder den tatsächlichen Inhalt des Datenverkehrs noch dessen Ziel ermitteln. Geräte wie der Proxyserver oder das URL-Filter-Gateway sind dafür völlig blind.

Es handelt sich um ein sehr reales Problem, mit dem Unternehmen konfrontiert sind. Zahlen von Gartner zeigen, dass weniger als 20 % der Organisationen, die Firewalls, IPS oder UTM verwenden, SSL-Verkehr entschlüsseln. Das bedeutet, dass im SSL-Verkehr versteckte Schadsoftware diese Sicherheitsplattformen umgehen würde. Gartner behauptet außerdem, dass bis 2017 über 50 % der auf Unternehmen abzielenden Netzwerkangriffe SSL verwenden werden, um die Sicherheitsvorkehrungen zu umgehen.

Wie stellen Unternehmen sicher, dass sie nicht von Malware erwischt werden, die sich im verschlüsselten Datenverkehr versteckt? Die einfache Antwort wäre, den Datenverkehr zu entschlüsseln. Die Frage ist allerdings, wie dies möglich ist, ohne die Privatsphäre zu verletzen oder sensible Daten Angriffen auszusetzen.

Die Frage ist also, welcher Datenverkehr entschlüsselt werden soll. Wenn ein Unternehmen Inhalte an externe Benutzer ausgibt, muss es eine Art Gerät verwenden, um den SSL-Verkehr vom Server auszulagern und dann Schutz in den Verkehrsfluss einzufügen. Dadurch wird das SSL-Protokoll unterbrochen, jedoch auf intelligente Weise: Sie möchten schließlich keine Banking-Sitzung entschlüsseln, eine Facebook-Sitzung jedoch schon.

Die Sicherheitsabteilung muss in der Lage sein, zu verstehen, wohin der Datenverkehr fließt, und dann zu entscheiden, ob er entschlüsselt oder unverändert belassen werden soll. Es bricht SSL, aber auf sichere und intelligente Weise.