SSL-Verschlüsselung

Gefährliche Täuschungsmanöver

Vor geraumer Zeit entwickelt, um die Sicherheit von digitalen Daten und Datenströmen zu erhöhen, wird die SSL-Verschlüsselung heute für unzählige Konsumgüter eingesetzt. Das Erfolgsmodell hat allerdings auch Angreifer auf den Plan gerufen.

Gefährliche Täuschungsmanöver

Aufgepasst: SSL-Verschlüsselung alleine schützt nicht vor Schwindlern.

Seit Jahren erfinden Cyberkriminelle immer neue Methoden, um Sicherheitstechnologien auszuhebeln. Sie verwenden Phishing-E-Mails, Spoofing, Domain-Squatting, Website-Kopien und eine Vielzahl anderer Techniken, um an die wertvollen persönlichen Identitäten sowie an das Geld ihrer Opfer zu gelangen. Die Verbreitung und der Erfolg der Verschlüsselungstechnologie ist Cyberkriminellen nicht entgangen. Es erstaunt daher nicht, dass sie auch die SSL-Verschlüsselung für ihre Zwecke missbrauchen. 

Eine relativ neue Masche besteht darin, schädlichen Code in verschlüsseltem Format zu versenden, um damit traditionelle Sicherheitsmaßnahmen zu unterlaufen. Dabei setzen die Angreifer auf die Vorgehensweise vieler Unternehmen, die den Inhalt verschlüsselter Datenpakete nicht kontrollieren, um die Privatsphäre der Benutzer zu schützen. Der Schutz dient jedoch vordergründig nicht dem Anwender – sondern dem Angreifer. Neben dem Datenschutz spielt die vorhandene Sicherheitsinfrastruktur eine Rolle: Haben Unternehmen überhaupt die Möglichkeit, den verschlüsselten Datenverkehr auf Schadcode zu überprüfen? Oftmals scheitert ein Durchleuchten verschlüsselter Daten an der Kapazität von Sicherheits-Hardware, denn ein Echtzeitscan der Datenströme erfordert hohe Rechenleistung. Das Ausmaß dieser kriminellen Machenschaften ist schon heute erheblich, so dass Handlungsbedarf besteht. Im Jahr 2019 verzeichnete das Team der Zscaler ThreatLabZ-Researcher fast 300 Millionen Angriffe pro Monat, die hinter verschlüsselten Datenströmen transportiert werden.

Zertifikate auch für schwarze Schafe

Viele Organisationen wägen sich in trügerischer Sicherheit. Sie sind der Meinung, dass sie vor Angriffen auf SSL-verschlüsselte Daten geschützt sind, wenn Public-Key-Infrastruktur (PKI) zum Einsatz kommt. Die Zertifizierungsstellen (Certificate Authority, CA) sind für die Verwaltung und Sicherung der eindeutigen Schlüssel und die Bereitstellung der Zertifikate verantwortlich. Es gibt viele Zertifizierungsstellen, die hervorragende Arbeit leisten und alles versuchen, um eine sichere Kommunikation zu gewährleisten. Die meisten von ihnen haben einen guten Ruf, zuverlässige Prüfungen und Verifizierungsprozesse durchzuführen. Da allerdings jedermann im Prinzip eine PKI-Infrastruktur aufbauen und Zertifikate ausstellen kann, gibt es auch solche Anbieter, die ohne Prüfung Zertifikate auch für schwarze Schafe ausstellen.

Infolgedessen ist es für Cyberkriminelle einfach möglich, verschlüsselte Websites zu erstellen, die zumindest auf den ersten Blick völlig legitim aussehen. Das bedeutet, dass eine digitale Transaktion sicher erscheinen kann, ohne es in Wirklichkeit zu sein. Die SSL/TLS-Verschlüsselung dient dem User als Garantie für Vertraulichkeit und Integrität und sollte Gewissheit geben, dass Daten während der Übertragung nicht eingesehen oder manipuliert werden können. Aber das kleine Schloss (Padlock), das im Browser angezeigt wird, sagt nichts über die Absichten der Person (oder des Systems) aus, mit der kommuniziert wird.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Diese Entwicklungen haben für viele CISOs ein kompliziertes Dilemma geschaffen. Sie müssen zwar keine Entscheidung mehr fällen, ob sie für die Daten auf dem Transportweg Verschlüsselung anwenden sollten oder nicht. Da Verschlüsselung die Sicherheit erheblich erhöht und ohnehin oftmals bereits vorgeschrieben ist, stellt sich für sie diese Frage nicht. Die Herausforderung liegt dafür im eingehenden, verschlüsselten Datenverkehr. Die meisten CISOs sind sich darüber im Klaren, dass die Überprüfung verschlüsselter Daten die Sicherheit durch das Aufspüren von verborgenem Schadcode erhöhen kann. Dennoch halten sie Unsicherheiten hinsichtlich des Datenschutzes von einem Sicherheitsscan ab oder sie verfügen nicht über die performanten Technologien. Unsicherheit in Bezug auf die Rechte der Mitarbeiter hinsichtlich deren Privatsphäre prallt auf die Anforderung der Sicherheit des Unternehmens. Noch zu oft führt die Unsicherheit dazu, dass der Status quo verschlüsselter Daten akzeptiert und die Durchsuchung auf Schadcode nicht durchgeführt wird, obwohl die Sicherheit der Firmendaten auf dem Spiel steht, derer der CISO sich ebenso verpflichtet hat.

Datenschutz ist kein Ausschlusskriterium

Auch die DSGVO trägt zur Unsicherheit bei, so dass viele CISOs die Legitimität von Maßnahmen zum Scannen des verschlüsselten Datenverkehrs in Frage stellen. Die Verordnung legt allerdings nicht fest, welche Präventivmaßnahmen Organisationen durchführen müssen, um als datenschutzkonform zu gelten. Fest steht, dass Unternehmen dafür verantwortlich sind, ihren Mitarbeitern eine sichere digitale Arbeitsumgebung zu bieten. Wenn eine Organisation keinen Einblick hat, welche möglicherweise mit Schadcodeinfizierten Daten in ihre Systeme kommen und welche Auswirkungen diese Malware haben könnten, kommt sie ihrer Verantwortung nicht ausreichend nach, eine sichere (digitale) Arbeitsumgebung zur Verfügung zu stellen.

Bedenken hinsichtlich des Datenschutzes können durch technische Maßnahmen entkräftet werden. Denn während der Untersuchung des Datenverkehrs können die Logs (genauer gesagt, die daraus generierten Dateien) so konfiguriert werden, dass nur Metadaten angezeigt werden und alle Felder mit persönlichen Informationen blockiert sind. Dieser Ansatz liefert ausreichend Informationen für die technische Überprüfung der Daten. Wenn die Prüfung auf einen Vorfall hindeutet, der die Offenlegung der persönlichen Daten rechtfertigt, kann ein Unternehmen einen Prozess einleiten, um Einblick in die verschleierten persönlichen Daten zu erhalten. Dieses Verfahren kommt nur in Ausnahmefällen zur Anwendung, beispielsweise wenn eine Organisation wissen will, wessen Systeme durch einen Hacker-Versuch kompromittiert wurden. Häufig sind Vertreter der Personalabteilung oder der Rechtsabteilung in diesen Vorgang involviert. Diese Vorgehensweise muss in den Datenschutzrichtlinien des Unternehmens festgehalten werden, so dass Mitarbeiter darüber in Kenntnis gesetzt werden

Unternehmen entscheiden sich zunehmend dafür, ihren gesamten Datenverkehr durch eine Sicherheits-cloud zu leiten. Diese Dienste verfügen über die erforderlichen Kapazitäten, große Datenmengen einschließlich verschlüsselter Informationen nahezu in Echtzeit zu scannen, bevor sie an den Anwender weitergeleitet werden. Wird der Vorgang der Schadcode-Untersuchung in der Security Cloud durchgeführt, entfällt die Investition in die intern vorgehaltene Rechenleistung zur Sicherheitsanalyse des Datenverkehrs. Durch die Cloud können Firmen von den Vorteilen der Verschlüsselung profitieren, Vorschriften der DSGVO einhalten und gleichzeitig die Sicherheit der Unternehmensdaten gewährleisten.

Bildquelle: Getty Images / iStock / Getty Images Plus

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok