Heartbleed-Angriffe auf SSL-Verschlüsselung

Secure Sockets Layer: Schutz oder Gefahr?

Bislang gilt die SSL-Verschlüsselung (Secure Sockets Layer) als Standardmethode zum Schutz geschäftskritischer und persönlicher Daten. Doch Medienberichte über Fehler in den Protokollen haben Unternehmen aufgeschreckt – die jüngsten Heartbleed-Attacken lassen grüßen.

Darüber hinaus können viele Sicherheitslösungen SSL-verschlüsselten Datentransfer nicht prüfen, so dass Schadprogrammen Tür und Tor geöffnet wird.

Der sogenannte Heartbleed Bug hat erstmals einer größeren Öffentlichkeit die Verwundbarkeit der SSL-Verschlüsselung aufgezeigt. Durch einen Programmierfehler bei der Kontrolle des Speicherzugriffs einer mit OpenSSL gesicherten Verbindung war es einem Angreifer möglich, bis zu 64 KByte am Server auszulesen. Konkret bedeutet dies, dass er die geheimen Schlüssel eines Serverzertifikats, Nutzernamen, Passörter und verschlüsselte Daten wie E-Mails ausspionieren konnte – trotz aktiver SSL-Verschlüsselung und ohne Spuren auf dem Server zu hinterlassen. Diese Möglichkeit konnten Tests nachweisen.

Nicht nur die Provider der verschlüsselten Dienste, auch ihre Unternehmenskunden waren auf diese Lücke offensichtlich in keiner Weise vorbereitet. Zu groß scheint das Vertrauen in die Sicherheit der Technologie gewesen zu sein. Schließlich haben sich fast alle Unternehmen durch eine konsequente Nutzung der SSL-Verschlüsselung vor dem Auslesen ihrer Geschäftsinformationen schützen wollen. Und dieses Protokoll wird inzwischen standardmäßig auch von Anwendungen wie Enterprise Resource Management (ERP), Datenbanken und Collaboration-Tools, sowie den meisten E-Mail-Servern eingesetzt.

Warnzeichen waren gegeben

Es konnten sich bereits einige Trojaner wie Gameover, Shylock, Spyeye, Cridex oder Zeus in SSL-verschlüsselten Datenverkehr einnisten, um unbemerkt Unternehmensnetzwerke zu infiltrieren. Dies liegt daran, dass viele Sicherheitslösungen keine verschlüsselten Daten entziffern können und daher ungeprüft weiterleiten. Darunter fallen unter anderem Anti-Virus- und Anti-Malware-Programme, Firewalls, Intrusion Detection/Prevention-Systeme, Unified Threat Management oder Compliance-Tools. Wird der SSL-Verkehr aber nicht untersucht, können natürlich auch keine darin versteckten Schadprogramme entdeckt werden. Entsprechend wird der Befall erst am Schaden festgestellt, der dadurch entsteht.

Doch wie groß ist die Gefahr konkret? Bislang nutzt nur ein kleiner Teil der Malware die SSL-Verschlüsselung als Tarnkappe. Dies liegt einerseits daran, dass die Technologie recht aufwendig ist und sich derzeit nur für ausgeklügelte und hochspezialisierte Angriffe lohnt. Doch laut Gartner werden bis 2017 schon 50 Prozent aller Netzwerkangriffe über Verschlüsselung geführt werden, während diese Quote momentan fünf Prozent beträgt. Zusätzlich ist zu erwarten, dass in Zukunft so genannte Exploit Kits entwickelt werden, die eine einfache, günstige Ausnutzung der SSL-Technologie ermöglichen.

Andererseits setzten bislang nur vergleichsweise wenig Unternehmen SSL-Verschlüsselung für bestimmte sensible Anwendungen ein. In den vergangenen Jahren ist die Nutzungsrate aber stark gestiegen. Gemäß Marktauguren verschlüsseln bereits heute circa 25 Prozent aller Unternehmen ihren Webverkehr über dieses Protokoll. In Branchen mit vielen oder sehr sensiblen Daten, wie Gesundheits- oder Finanzwesen, liegt die Prozentzahl sogar höher. Und die Wachstumsrate der SSL-verschlüsselten Daten beträgt in den kommenden Jahren jeweils 20 Prozent. Denn mit SSL, den meisten Anwendern bislang nur in Zusammenhang mit der https-Anzeige im Browser bekannt, werden viele weitere Protokolle neben HTTP verschlüsselt. Dazu zählen FTP, XMPP, NNTP, ICQ sowie Mail-Protokolle wie SMTP, POP oder IMAP.

Das Geschäft absichern

Obwohl die meisten Websites die Schwachstellen von Heartbleed in ihren Servern inzwischen zwar gepatched haben, sind andere diesen Angriffen aber noch immer ausgesetzt. Für viele Netzwerk- und Sicherheitsprodukte gibt es derzeit einfach noch keine Patches. Aufgrund der Vielzahl an angreifbaren Produkten und Geräten – die Spanne reicht von Servern, Laptops, Smartphones und Tablets, die OpenSSL-Software verwenden – wird das Risiko für Unternehmen daher sicherlich noch einige Zeit bestehen.

Es sind also ebenso ausgeklügelte wie spezialisierte Sicherheitslösungen notwendig, um Unternehmen zu schützen. Eine Advanced Threat Protection (ATP)-Architektur mit SSL-Visibility überprüft die per SSL verschlüsselten Daten auf Schadsoftware. Dabei muss sie sehr schnell wirksam sein, denn fast 84 Prozent der Angriffe benötigen nur wenige Sekunden, Minuten oder Stunden, um ein Netzwerk zu befallen. Ohne entsprechenden Schutz werden fast drei Viertel davon erst nach Wochen, Monaten oder sogar Jahren entdeckt. Gleichzeitig darf die Untersuchung des SSL-Datenverkehrs aber nicht zu verzögerten Datenübertragungen führen, um die Effizienz der Arbeitsprozesse und die Reaktionsgeschwindigkeit des Unternehmens nicht zu gefährden.

Gerade daran scheitern jedoch viele ATP-Lösungen. Die Ent- und Wiederverschlüsselung der Daten erfordert nämlich hohe Rechenkapazitäten. Ohne entsprechende Ressourcen oder Technologien reduziert sich die Geschwindigkeit des Datenverkehrs meist spürbar. Dann kommen Mails verzögert an, Internetseiten reagieren nur langsam und der FTP-Server benötigt eine gefühlte Ewigkeit. Dies führt nicht nur zu Verzögerungen in den Geschäftstätigkeiten, sondern auch zu Unzufriedenheit bei den Mitarbeitern. Viele Unternehmen schalten daher die SSL-Funktion ab oder wenden sie auf nur einen geringen Teil des Datenverkehrs an, wodurch jedoch die Sicherheitsprüfungen entfallen oder nicht umfassend gewährleistet sind. Zudem geben manche traditionelle Perimeter Sicherheits-Produkte zwar einen Überblick über den SSL-Datenverkehr, allerdings wird dabei ihre Fähigkeit, verschlüsselte Angriffe zu blockieren bevor diese auf gespeicherte Daten zugreifen, deutliche eingeschränkt.

Spezielle Sicherheits-Appliances

Inzwischen sind spezielle Appliances erhältlich, die mit hoher Geschwindigkeit SSL-Daten entschlüsseln und wieder verschlüsseln, ohne Ressourcen im Netzwerk zu benötigen. Sie können sogar in Reihe geschaltet werden. Dadurch erhöht sich die Performance proportional und es sind keine aufwändigen Aktualisierungen für die restliche Sicherheitsinfrastruktur nötig.

Diese SSL-Visibility-Lösungen führen selbst keine Sicherheitsprüfungen durch, sondern dienen vornehmlich zur Ent- und Verschlüsselung, Außerdem leiten sie den SSL-Verkehr sicher an andere Sicherheitsanwendungen wie Next Generation Firewalls, Malware-Prevention-Systeme (Sandbox), Intrusion-Detection- oder Data Loss Prevention-Systeme weiter. Diese blockieren dann die im Datenverkehr enthaltenen Schadprogramme. Der einwandfreie Traffic wird an die SSL-Appliance zurückgeleitet und nach Verschlüsselung an den Empfänger gesendet.

SSL-Visibility-Lösungen sollten daher nicht nur performant, hochverfügbar, skalierbar sowie einfach zu installieren und zu verwalten sein. Sie haben auch mit vielen verschiedenen IT-Security-Lösungen zusammenzuarbeiten. Außerdem müssen sie Web-, FTP- und Mail-Traffic entziffern, um wirklich alle in SSL versteckten Schadprogramme zu enttarnen.

So erkennt, blockt und protokolliert beispielsweise die SSL Visibility Appliance von Blue Coat Heartbleed-Angriffe automatisch, sodass Unternehmen geschützt werden. Die Lösung fängt bisher als eine der wenigen verschlüsselte Angriffe automatisch ab, bevor diese kritische Systeme wie Server oder Endgeräte erreichen. Dabei bietet die Anwendung laut Hersteller den Unternehmen einen Schutz, bis alle Schwachstellen gepachted sind – und zwar als Teil der Advanced-Threat-Protection-Lifecycle-Abwehr von Blue Coat, die das Netz sichert, indem sie die Lücken zwischen den täglichen Sicherheitsoperationen und der Vorfallanalyse schließt. Indem die Lifecycle-Abwehr vor bekannten Bedrohungen schützt sowie unbekannte Bedrohungen rechtzeitig erkennt, analysiert und abwehrt, soll Unternehmen ein umfassender Schutz vor fortschrittlichen Angriffen geboten werden.

Bildquelle: Evi Hartmann/Pixelio.de

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok