Blind-Spots in der Cyber-Abwehr

Die 5 häufigsten Missverständnisse über SSL/TLS-Verschlüsslung

| Autor / Redakteur: Michael Scheffler* / Ulrike Ostler

Michael Scheffler von A10 Networks räumt mit einigen der häufigsten Missverständnisse über SSL/TLS-Verschlüsslung auf.
Michael Scheffler von A10 Networks räumt mit einigen der häufigsten Missverständnisse über SSL/TLS-Verschlüsslung auf. (Bild: gemeinfrei: haalkab/Pixabay / CC0)

Täglich schwingt sich die schiere Menge an Internet-Traffic, der durch SSL/TLS-Verschlüsslung gesichert wird, zu schwindelerregenden Höhen auf. Nach aktuellen Schätzungen nutzen beinahe 70 Prozent des Traffics SSL-Verschlüsselung und davon wiederum 86 Prozent nutzen fortschrittliche Verschlüsselungsverfahren wie Elliptische Kurven-Kryptografie (Elliptical Curve Cryptography, ECC) oder Perfect Forward Secrecy (PFS).

Klar, keiner will potentiell sensible Informationen völlig ungeschützt durch den Äther jagen.

Nun wächst zu allem Überfluss auch das Internet of Things (IoT) rasant weiter. Das Analystenhaus IHS Technology orakelt in seinem Whitepaper „(IoT platforms: enabling the Internet of Things“, dass die Anzahl an IoT-Geräten in den nächsten drei Jahren die 30,7-Milliarden-Marke knacken könnte. Es kommen also immer mehr intelligente Helferlein ins Netzwerk, die die schnelle Verarbeitung von verschlüsseltem Traffic erfordern. Schließlich sind Feeds von Überwachungskameras oder Sensordaten von Energie-Anbietern sensible Informationen, die nicht in fremde Hände gelangen sollten.

Aufteilung der Verschlüsselungsverfahren
Aufteilung der Verschlüsselungsverfahren (Bild: A10 Networks: https://www.a10networks.com/blog/advanced-ssl-encrypted-traffic-processing)

Auf der anderen Seite entdecken auch immer mehr Cyber-Kriminelle die Vorzüge von SSL/TLS für sich. Sie versuchen, ihre Malware versteckt in verschlüsseltem Traffic an den Sicherheits-Maßnahmen der Unternehmen vorbei in deren Netzwerke zu schmuggeln. Darum sollten die IT-Verantwortlichen dafür sorgen, dass all der verschlüsselte Traffic in sicheren Umgebungen entschlüsselt, auf Gefahren hin untersucht, wieder verschlüsselt und weitergesendet wird – diesen Prozess wird als „SSL-Inspektion“ bezeichnet. Dieser Rechenaufwand wiederum kann unter Umständen arg an der Performance und Verfügbarkeit zehren.

Das Dilemma

Ein Dilemma zwischen Sicherheit und Performance zeichnet sich also ab, bei dem eigentlich keines von beidem einem Kompromiss unterworfen werden darf. Kein Wunder, dass die IT-Verantwortlichen vieler Unternehmen ihre Stirn in tiefe Falten werfen angesichts einer drohenden „Verschlüsselungs-Krise“.

Neben der Notwendigkeit für Verschlüsselung wird auch die freiwillige Verwendung aktiv vorangetrieben. So erhalten Webseiten mit Verschlüsselung bessere Page-Rankings bei der Google-Suche und wenn eine App keine ATS-Unterstützung bietet, kann sich das negativ auf das Listing im Apple App Store auswirken. Wenn Unternehmen sich also überhaupt nicht mit den Chancen und Herausforderungen von verschlüsseltem Traffic befassen, kann sich das direkt auf deren Umsatz auswirken.

Dennoch entscheiden sich viele Unternehmen dafür, die Achilles-Ferse der Blind-Spots in der Cyber-Abwehr in Form von Malware in verschlüsselten Traffic zu ignorieren. Ohne entsprechende Inspektions-Mechanismen können Angreifer unerkannt in das Unternehmensnetz eindringen! Warum also dieses kalkulierte Risiko? – Weil es eine ganze Reihe von Missverständnissen bei verschlüsselten Traffic gibt.

Es ist also höchste Zeit mit ein paar dieser Irrtümer aufzuräumen:

Irrtum 1: SSL ist kompliziert, langsam, seine Inspektion verbraucht Unmengen an Ressourcen und bringt neue Risiken für das Netzwerk mit sich.

Fakt:

Tatsächlich ist es heute für SSL-Prozessoren möglich, Geschwindigkeiten von bis zu 44.000 SSL-Verbindungen pro Sekunde (CPS) für Dateigrößen von 128 Byte zu erreichen. Durch die Verwendung von Application Delivery- und Server Load Balancing-Technologie kann die rechenintensive SSL/TLS-Verarbeitung von den Web-Servern abgezogen werden um SSL-Traffic schneller zu verarbeiten.

Irrtum 2: Wir erwarten keinerlei Anstieg beim gesamten SSL-Traffic.

Fakt:

Einige Anwender geben an, dass sich durch die Verwendung von Traffic-intensiven Anwendungen wie Office 365 ihr SSL-Traffic beinahe verdoppelt hat. Die Einführung neuer Business-Tools braucht ein besseres Verständnis neuer Anforderungen an das Netzwerk – und eine noch größere Notwendigkeit den Traffic, der in das Netzwerk kommt, genau unter die Lupe zu nehmen. Führt man sich nun wieder die kommende Flut an Traffic von IoT-Geräten, der den Unternehmen sehr nahe kommen und der verarbeitet werden will, wird der Druck für rasche und sichere Verarbeitung dieses Traffics umso höher.

Irrtum 3: Ich weiß schon längst, was mit unserem Netzwerk-Traffic passiert.

Fakt:

In der Realität haben viele IT-Fachleute keine konkrete Vorstellung davon, wie viel verschlüsselter Traffic sich tatsächlich in ihrem Netzwerk befindet, bis sie Lösungen zur SSL/TLS-Verschlüsselung installieren. Das gilt speziell für solche, die Protokolle jenseits von HTTPS unterstützen und SSL/TLS an nicht standardisierten Ports entdecken können. In Szenarios mit hohem Durchsatz und hohen Verbindungsraten kann SSL/TLS für Unternehmen eine Absicherung ihrer E-Mail-Plattform gewähren und eine buchstäblicher „Ransomware-Killer“ werden.

Irrtum 4: Ich habe schon eine Verschlüsselungs-Lösung und brauche daher keine dedizierte Appliance.

Fakt:

Während viele Komplettpaket-Lösungen zwar verschlüsselten Traffic verarbeiten können, geschieht das meist auf Kosten der Performance. Kann Sicherheit wirklich für Performance geopfert werden, oder umgekehrt? Eine dedizierte Appliance für SSL-Verschlüsselung übernimmt die Last der Verarbeitung von den anderen Appliances, sodass es erst gar nicht zu Performanceeinbußen kommt.

Irrtum 5: Wir müssen doch nur den Zugriff auf unseriöse Webseiten blockieren, und schon haben wir kein Problem.

Fakt:

Es gibt zahlreiche Beispiele für Exploits seriöser Webseiten, Cross-Site-Scripting und Schadsoftware – in Form von Adware. All das ist weit verbreitet auf Webseiten, die Mitarbeiter tagtäglich während ganz normalen Aktivitäten besuchen. Dazu muss auch noch das zusätzlichen Risiko bedacht werde, das mobile Mitarbeiter bringen. Es braucht lediglich Mobilgeräte von Mitarbeitern im Büro, die Anwendungen mit schwachen Sicherheitsfunktionen haben, um Schadsoftware in das Unternehmensnetzwerk zu bringen. Schlechter Traffic kommt nicht von unseriösen Webseiten allein! Es ist wichtig eine Verschlüsselungs-Lösung im Einsatz zu haben, die das Netzwerk von allen Seiten absichert.

* Michael Scheffler ist Vice President Central Europe bei A10 Networks.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44785454 / Software)