Unternehmen setzen beim Schutz ihres Netzwerks unter anderem verstärkt auf die Verschlüsselung des Datenverkehrs. Kriminelle nutzen diese Entwicklung für ihre Zwecke aus. Sie haben erkannt, dass sie ihre Schadsoftware durch Verschlüsselung vor Abwehrmechanismen verstecken können. Für Unternehmen wird es daher in Zukunft unabdingbar sein, den verschlüsselten Datenverkehr zu überwachen. Dies bringt vielfach aber einige Hürden mit sich.

Die Kommunikation über das Internet ist bereits zum Großteil über das Protokoll TLS (Transport Layer Security – auch bekannt unter der Vorgängerbezeichnung SSL, Secure Sockets Layer) verschlüsselt. Der Hersteller A10 Networks geht davon aus, dass heute rund 60 bis 70 Prozent der Daten im Internet verschlüsselt sind. Bis 2019 rechnen die Marktanalysten von Gartner damit, dass 80 Prozent des Traffics verschlüsselt sein werden. Gründe für den Anstieg sind beispielsweise Sicherheitsanforderungen in Unternehmen, die ihre Netzwerke vor dem Zugriff von außen schützen müssen, aber auch die verstärkte Nutzung von Cloud- oder internetbasierten Services, die ebenfalls auf einem verschlüsselten Datenverkehr beruhen.

Der Anstieg des verschlüsselten Datenverkehrs führt jedoch dazu, dass immer mehr Kriminelle ihre Schadsoftware ebenfalls über das TLS-Protokoll kommunizieren lassen, um auf diese Weise von den Abwehrmaßnahmen der Unternehmen unbemerkt zu bleiben. Die im Juli 2016 veröffentlichte Studie „Uncovering Hidden Threats within Encrypted Traffic“, die das Ponemon-Institut im Auftrag von A10 Networks durchgeführt hat, ergab unter anderem, dass die Hälfte der bekannten Cyberangriffe eine TLS/SSL-Verschlüsselung verwendet hat. Auch der Report „The Rise of SSL-based Threats“ von Zscaler, der auf der Überprüfung des Datenverkehrs in der Cloud des Anbieters von Internetsicherheitsdiensten vom August 2016 bis Januar 2017 beruht, verzeichnet einen kontinuierlichen Anstieg von Malware, die das TLS-Protokoll nutzt.

Unternehmen müssen deshalb in der Lage sein, den verschlüsselten Datenverkehr zu monitoren, um blinden Flecken in ihrem Netzwerk zu vermeiden. „Es ist für Administratoren entscheidend, dass sie Einblicke in verschlüsselten Sessions haben, um die Unternehmenssicherheit, Informationssicherheit und den Schutz von geistigen Eigentum sicherstellen können“, sagt Ananda Rajagopal, Vice President Products bei Gigamon. Um den Datenverkehr überwachen zu können, müssen Unternehmen diesen jedoch zunächst entschlüsseln.

Dies findet laut Rajagopal derzeit auf vier verschiedene Arten statt: in einer Security-Appliance, wie beispielsweise einem Web-Proxy oder einer Firewall, in einem Application Delivery Controller sowie in einer eigenständigen SSL-Entschlüsselungs-Appliance oder einer Monitoring-Plattform.

Bei TLS/SSL-verschlüsselten Traffic wird die Entschlüsselung hauptsächlich durch das „Man in the Middle“-Prinzip realisiert. Das heißt, dass der Anwender mit dem Ver- beziehungsweise Entschlüsselungssystem kommuniziert, das die entschlüsselten Daten an das Security-Tool weiterleitet. Anschließend verschlüsselt es dann wieder den Verkehr in Richtung Internet. Die Entschlüsselung, Analyse und Wiederverschlüsselung führt jedoch oft zu Performance- und Ressourcenproblemen innerhalb der IT-Infrastruktur, etwa wenn die Firewall versucht, die Entschlüsselung vorzunehmen. Der dadurch verursachte Performance-Einbruch bedingt wiederrum, dass die Infrastrukturelemente in ihrer eigentlichen Funktion eingeschränkt sind.

Die „Encrypted Traffic Analytics“-Technik kommt in Ciscos neuer „Catalyst 9000“-Familie erstmals zum Einsatz. Bild: Cisco

Unternehmen sollten bei der Einführung einer solchen Überwachungslösung daher berücksichtigen, wie viel verschlüsselter Datenverkehr im eigenen Netzwerk bereits existiert, erläutert Michael Scheffler, Vice President Central Europe bei A10 Networks. Weiter sei es für sie wichtig zu wissen, welchen Traffic sie überprüfen wollen. Im ersten Schritt fokussieren sich hier viele Unternehmen auf den eingehenden Datenverkehr, um sich so vor Gefahren von außen zu schützen. „Allerdings sollte auch der ausgehende Datenverkehr nicht außer Acht gelassen werden, da Anwender automatisch Verschlüsselungstechniken verwenden, wenn sie beispielsweise Google oder andere Suchmaschinen nutzen“, berichtet Scheffler.

Auch Christian Hirsch, System Engineer bei Ixia, befürwortet ein allumfängliches Sicherheitskonzept innerhalb des Unternehmens. Dabei sollten die Sicherheitsexperten festlegen, welche verschlüsselte Kommunikation ein Risiko darstellt und letztendlich zu untersuchen ist. Dafür bringt er zwei Methoden ins Spiel: Den Verkehr am Endpunkt – also bereits vor der Verschlüsselung – abzugreifen und zu überprüfen oder aber eine intelligente Monitoring-Infrastruktur zu nutzen, die den Datenverkehr über einen inline eingesetzten Packet Broker erhält. Während die erste Methode eine Software sowie die aktuellen Security Policies auf jedem Client oder Server benötigt, eignet sich die zweite Methode auch für den Fall, dass man keine Zugriffsrechte auf dem Endpunkt besitzt. Da die Daten bei der zweiten Variante bereits verschlüsselt sind, muss man sie vor der Zuführung an die Sicherheitsapplikationen noch entschlüsseln, so Hirsch. „Durch den Ansatz, den Verkehr in einem vorgeschalteten Packet Brocker einmalig zu entschlüsseln, anschließend durch die gesamte Sicherheitsinfrastruktur, etwa Firewall, Virenscanner und DLP, zu senden und dann erst wieder zu verschlüsseln, reduziert man das Performance-intensive Ent- und wieder Verschlüsseln von drei- auf einmal. Dies wirkt sich natürlich unmittelbar auf die Anwendungs-Performance aus“, erklärt der System Engineer von Ixia gegenüber LANline.

„Unternehmen sollten den ausgehenden Datenverkehr nicht außer Acht lassen, da Anwender automatisch Verschlüsselungstechniken verwenden, wenn sie beispielsweise Google oder andere Suchmaschinen nutzen“, sagt Michael Scheffler, Vice President Central Europe bei A10 Networks. Bild: A10 Networks

Dennoch kann das „Aufbrechen“ verschlüsselter Kommunikation nach dem „Man in the Middle“-Prinzip zu Überwachungszwecken die Sicherheit sogar gefährden. So veröffentlichte beispielsweise das US-Cert (United States Computer Emergency Readiness Team) im März 2017 die Warnung, dass die Unterbrechung der HTTPS-Verschlüsselung durch Sicherheitssoftware die IT-Security in Unternehmen aushebeln kann. HTTPS sowie andere Protokolle, die TLS zur Verschlüsselung nutzen, verwenden Zertifikate, um eine Identitätskette zu etablieren. Diese zeigt, dass die Verbindung mit einem legitimen Server stattfindet, der durch ein vertrauenswürdiges Zertifikat verifiziert ist. Damit man nach dem „Man in the Middle“-Prinzip eine HTTPS-Inspektion durchführen kann, müssen Administratoren vertrauenswürdige Zertifikate auf den Client-Geräten installieren, um keine Client-Warnungen zu erhalten. Anschließend nutzen Browser und andere Anwenderapplikationen diese Zertifikate, um die durch das Inspektions-Tool verschlüsselten Verbindungen zu validieren.

Schwachstelle hinter dem Monitoring-Tool

Dies kann dazu führen, dass der Client nicht in der Lage ist, das Web-Server-Zertifikat zu verifizieren, da die Protokolle und Schlüssel, die das Security-Tool mit dem Web-Server austauscht, für den Client unsichtbar sein können. Das Client-System hat somit keine Möglichkeit, die HTTPS-Verbindung unabhängig zu validieren. Es kann lediglich die Verbindung zwischen sich selbst und der Entschlüsselungslösung verifizieren und muss sich somit auf die HTTPS-Validation verlassen, die das Monitoring-Tool bereitstellt. Der Bericht „The Security Impact of HTTPS Interception“, auf den sich das US-Cert beruft, hebt weitere Sicherheitsbedenken bezüglich einiger Produkte zur Überwachung von HTTPS hervor und umreißt die Folgen dieser Probleme. Demnach verifizieren einige dieser Tools vor der Entschlüsselung die Zertifikatskette des Servers nicht richtig und leiten die Kundendaten weiter, wodurch sie die Möglichkeit eines „Man in the Middle“-Angriffs von außen bieten. Darüber hinaus leiten sie Fehler bei der Verifizierung der Zertifikatsketten nur selten an den Client weiter, wodurch dieser weiterhin glaubt, dass er die Operationen wie beabsichtigt mit dem richtigen Server durchführt.

Anwender können über die Website badssl.com prüfen, ob ihre HTTPS-Inspektionslösung die Zertifizierungsketten richtig verifiziert. Sie können die Seite aber auch nutzen, um zu kontrollieren, ob ihr Monitoring-Tool eine Verbindung zu Websites erlaubt, die ein Browser oder ein anderer Client andernfalls ablehnen würde. Dies ist beispielsweise der Fall, wenn ein Client-System eine starke Verschlüsselung zur Überwachungslösung nutzt, dieses aber eine Kommunikation zwischen sich selbst und einem Web-Server mit einer veralteten Protokollversion oder schwachen Schlüssel erlaubt. Dann wäre dem Nutzer die Schwachstelle auf der anderen Seite hinter dem Monitoring-Tool nicht bewusst.

Passives Monitoring als neuer Ansatz

Zudem kann das klassische Entschlüsseln von verschlüsselten Verkehr unter Umständen gegen die Unternehmensrichtlinien verstoßen, die eine Ende-zu-Ende-Verschlüsselung vorschreiben. Der Netzwerkhersteller Cisco setzt bei der Überwachung von verschlüsselten Datenverkehr daher auf den Ansatz „Encrypted Traffic Analytics“. Dabei fokussiert sich das Unternehmen auf die Erkennung von Malware-Kommunikation durch passives Monitoring des verschlüsselten Verkehrs, ohne die Verschlüsselungskette zu unterbrechen. „Relevante Metadaten der verschlüsselten Verbindungen – beispielsweise die Sequenz der Paketlängen und deren Ankunftszeiten, die statistische Verteilung von Byte-Werten innerhalb von Paketen und TLS-Parameter der Verbindung – werden per Netflow aus dem Netzwerk extrahiert sowie mit maschinellem Lernen und Cloud-basierter Threat Intelligence korreliert“, erklärt Klaus Lenssen, Chief Security Officer, Head Security & Trust Office bei Cisco Germany, gegenüber LANline das Verfahren.

Die Methode haben die drei Cisco-Mitarbeiter Blake Anderson, Subharthi Paul und David McGrew in ihrer Forschungsarbeit „Deciphering Malware’s Use of TLS (without Decryption)“ im Juli 2016 vorgestellt. Obwohl Schadsoftware ihre Kommunikation über TLS verschlüsselt, legten ihre Daten der analysierten Malware-Familien nahe, dass sich die Nutzung von TLS durch Malware vom Traffic in einem Unternehmensnetzwerk unterscheidet, etwa durch schwache Cipher-Suites. Cisco ist dadurch nach eigenen Angaben in der Lage, auf diese Weise infizierte Hosts, Command and Control Traffic von Botnetzen sowie anderen auffälligen Verkehr zu identifizieren. „Als nicht unwesentliches Nebenprodukt entsteht eine Übersicht der im Unternehmensnetzwerk verwendeten TLS-basierten Sicherheitsprotokolle sowie der darin verwendeten Versionen und ihrer Parameter“, ergänzt Lenssen. Cisco wird die Technik in dem im Juni vorgestellten „Catalyst 9000“-Portfolio zur Verfügung stellen.

„Bei der ‚Encrypted Traffic Analytics‘-Technik werden relevante Metadaten der verschlüsselten Verbindungen – beispielsweise die Sequenz der Paketlängen und deren Ankunftszeiten, die statistische Verteilung von Byte-Werten innerhalb von Paketen und TLS-Parameter der Verbindung – per Netflow aus dem Netzwerk extrahiert“, erklärt Klaus Lenssen, Chief Security Officer, Head Security & Trust Office bei Cisco Germany. Bild: Cisco

Mit der Analyse des verschlüsselten Traffics vermeidet der Netzwerkausrüster ein weiteres rechtliches Problem, das bei der Entschlüsselung der Daten auftreten kann: die Verletzung der Privatsphäre der Nutzer. Bei Ansätzen, die auf die Entschlüsselung des Verkehrs abzielen, gilt es, neben den rechtlichen Anforderungen auch die Privatsphäre gegenüber den Sicherheitsanforderungen abzuwiegen. „Unternehmen müssen immer starke URL-Kategorisierungsmechanismen neben der TLS-Entschlüsselung einsetzen, um Missbrauchsmöglichkeiten einzudämmen“, sagt Gigamons Ananda Rajagopal. Die Sicherheitsexperten sollten zudem darauf achten, dass sie die volle Kontrolle über Ausnahmeregeln in der Entschlüsselungslösung haben.

Michael Scheffler von A10 verortet das Problem eher beim Mitarbeiter. Schließlich macht sich dieser seiner Meinung nach oft sehr wenige Gedanken darüber, welche Daten er etwa bei der Installation von Apps preisgibt. Nutzer, die beispielsweise Whatsapp auf einem unternehmenseigenen Smartphone verwenden, räumen damit Rechte und den vollen Zugriff auf ihre vorhandenen Daten auf dem Smartphone ein. „Unternehmen müssen sich daher fragen, ob das tatsächlich so gewollt ist“, betont Scheffler. „Die Privatsphäre der Anwender ist natürlich sehr wichtig, aber die Unternehmensziele sollten bei geschäftlich genutzten Geräten im Vordergrund stehen.“ Beispielsweise könne das Unternehmen dies mit einer betrieblichen Vereinbarung innerhalb des rechtlichen Rahmens umsetzen, in der klargestellt wird, dass man Inhalte grundsätzlich auf potenzielle Gefahren überprüft.