28.11.2017 Den blinden Fleck überwinden

Risikofaktor Verschlüsselung

Von: Rainer M. Richter*

Verschlüsselter Datenverkehr spielt dem Datenschutz und der Sicherheit digitaler Identitäten in die Karten. Was jedoch tun, wenn sich Malware unbemerkt in der verschlüsselten Übertragung eingenistet hat?

Risikofaktor Verschlüsselung

Nicht immer befindet man sich beim verschlüsselten Datenverkehr auf der sicheren Seite.

Verschlüsselter Datenverkehr im Internet hat in den letzten Jahren rasant zugenommen. Laut einer Analyse von Google bieten mittlerweile 71 der hundert beliebtesten Webseiten HTTPS an. In Deutschland sind zudem rund 70 Prozent des Windows-Traffics verschlüsselt. Die zunehmende Verschlüsselung der Datenübertragung ist ohne Zweifel eine wichtige Errungenschaft in Sachen Privatsphäre und Datenschutz im Netz und bereitet doch gleichzeitig neue Probleme. Denn die Verschlüsselung kann von Cyber-Kriminellen auch als Versteck für Schadcode wie Ransomware missbraucht werden. Diesen „blinden Fleck“ müssen Unternehmen zu überwinden wissen, wenn sie vor in ein- und ausgehender Kommunikation versteckten Hackerangriffen sicher sein wollen.

Bei der Umstellung auf Verschlüsselungsprotokolle stehen vor allem Datenschutz, Authentifizierung und Integrität im Mittelpunkt. Denn eine Absicherung der Kommunikation zwischen internen und externen Servern ist in Zeiten der zunehmenden Digitalisierung, massenhaft gefälschter Webseiten und der Ära der „Fake News“ wichtiger denn je. Nichtsdestotrotz hat Verschlüsselung auch einen Nachteil, denn Unternehmen fällt es schwer, zu identifizieren, was sich tatsächlich in dem verschlüsselten Datenverkehr verbirgt. Die Erkennung von bösartigem Datenverkehr wird so deutlich erschwert.

Verschlüsselte Kanäle als Malware-Verstecke

Problematisch ist, dass die verschlüsselten Kanäle für versteckte Command- und Control-Kanäle missbraucht werden können, die es einem Angreifer ermöglichen, das anvisierte System zu übernehmen. Über den gleichen Kanal können sie außerdem bösartigen Payload herunterladen sowie spezielle Werkzeuge installieren, um ihren Angriff weiter auszubauen. Auf diese Weise eignen sich verschlüsselte Kanäle insbesondere zum Abgreifen wertvoller sensibler Daten. Kurz gesagt können Angreifer ihre schadhafte Kommunikation hinter dem „Rauschen“ des legitimen verschlüsselten Traffics relativ einfach verstecken.

Das Entschlüsselungsdilemma

Für Unternehmen bedeutet verschlüsselter Datenverkehr deshalb letztlich ein Dilemma. Sie können den verschlüsselten Traffic entweder „ignorieren“ und die Privatsphäre der Kommunikation gänzlich wahren, oder sie entscheiden sich dafür, die Sicherheitskette zu unterbrechen und „Man-in-the-Middle"-Kontrollen einzusetzen, die die Kommunikation entschlüsseln, überprüfen und dann neu verschlüsseln. Ersteres ist und bleibt ein Risiko, auch wenn eine bewusst unkontrolliert Weiterleitung des Traffics vor allem bei sensibler Kommunikation wie z.B. bei Bank-Transaktionen durchaus Sinn macht. Andererseits wird bei „Man-in-the-Middle"-Kontrollen nicht nur der Datenschutz missachtet, sondern die Kontrollmechanismen selbst eröffnen weitere Angriffsmöglichkeiten für Hacker, die sich darüber bewusst sind, dass diese Geräte Zugriff auf ansonsten verschlüsselte Informationen haben. Ein weiterer Negativpunkt ist, dass es zu einer Verzögerung des Datenverkehrs kommen kann, insbesondere dann, wenn die „Man-in-the-Middle"-Kontrolle versucht, große Datenmengen aus mehreren Kanälen parallel zu bewältigen.

Dieses Dilemma kann nur gelöst werden, wenn der Traffic bereits an seinem Ursprung, d.h. bevor er ver- oder entschlüsselt wird, ausgiebig analysiert wird. Kurzum: Am Endpunkt – egal ob Server, Desktop oder Laptop – braucht es mehr Sichtbarkeit.

Verhaltensbasierte Detection und Automation


Unternehmensverantwortliche, die sich in Zeiten zunehmender Verschlüsselung vor den damit verbundenen und nicht zu unterschätzenden Cyber-Risiken schützen möchten, müssen ihren Endpunktschutz an diesen Herausforderungen ausrichten. Anders als herkömmliche Endpunktlösungen, die nach wie vor eine signaturbasierte Erkennung bekannter Bedrohungen fokussieren, kann sogenannte Next-Generation-Endpunkttechnologie diese Herausforderung meistern. Dabei basieren die innovativen Lösungen aktuell auf Ansätzen wie dynamischer Verhaltensanalyse, maschinellem Lernen und intelligenter Automatisierung.

Da sie schadhaften Code anhand seines Verhaltens bei der Ausführung erkennen und automatisch blockieren, ermöglichen sie den Sicherheitsverantwortlichen, zeitnah und wirksam zwischen böswilligem und echtem Datenverkehr zu unterscheiden und die Verweilzeit von ersterem auf das absolute Minimum zu begrenzen. Auch neuartige und unbekannte Malware-Varianten bleiben so nicht unentdeckt. Und da hier keine Entschlüsselung notwendig ist, kommt es auch nicht zu negativen Beeinträchtigungen des Datentransports. Diese Vorgehensweise kann Unternehmen zudem verschiedene Möglichkeiten für sogenanntes „Cyber Threat Hunting“, d.h. die Verfolgung von Cyber-Bedrohungen, bieten. Denn je mehr Datenverkehr analysiert wird, desto erfolgreicher können schädliche Verhaltensweisen identifiziert und in bestehende Sicherheitsdatenbanken eingespeist werden und desto effektiver wird die Cyber-Abwehr auf lange Sicht.

* Der Autor Rainer M. Richter ist Director Central & Eastern Europe bei dem Sicherheitsanbieter Sentinel One.

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH