Im Internet sind Verschlüsselungen ein Muss, da sensible Daten ansonsten einem enormen Risiko ausgesetzt sind. Allerdings kann nun genau dieser verschlüsselte Datenverkehr Unternehmen zum Verhängnis werden, wenn Cyberkriminelle ihn mit Malware infizieren. Mehr Netzwerksichtbarkeit ist dann der Retter in der Not.
Es wirkt so, als hätte Cisco 2018 wirklich einen Blick in die Zukunft geworfen: Damals sagte das Unternehmen voraus, dass Cyberkriminelle ihre Angriffe künftig häufiger mithilfe von Web-Verschlüsselungen verschleiern werden [1]. Diese Einschätzung ist heute bittere Realität, denn 93 Prozent der Malware versteckt sich mittlerweile hinter einer SSL-/TSL-Verschlüsselung. Das hat Watchguard Threat Lab im Rahmen einer Untersuchung herausgefunden [2]. Diese Entwicklung sollte IT- und Security-Entscheidern eigentlich zu denken geben. Allerdings geht aus einer aktuellen Studie hervor, dass gerade mal 21 Prozent von ihnen verschlüsselte Daten genaustens analysieren und somit wissen, welche Daten ihr Netzwerk durchqueren [3].
Im Umkehrschluss vertrauen 79 Prozent der deutschen IT- und Security-Entscheider den vermeintlich sicheren Verschlüsselungsprotokollen und lassen die Daten ungefiltert in den Kern ihrer IT-Umgebung. Bei ihnen entsteht dadurch ein sogenannter Blind Spot. Der Grund dafür ist meist wirtschaftlicher Natur: Die Entschlüsselung, Analyse und Rückverschlüsselung verschlüsselter Daten kostet Unternehmen viel Zeit und Rechenleistung, was sich schließlich in den Ausgaben niederschlägt – Geld, das man lieber anderweitig investieren möchte. Allerdings setzen sie mit dieser Entscheidung sowohl ihre Systeme als auch ihre Daten einem enormen Sicherheitsrisiko aus. Was können sie also tun?
Durchs Hintertürchen. HTTPS-Webseiten sind aus dem Internetalltag nicht mehr wegzudenken, da sie dank SSL- und TLS-Verschlüsselung verhindern, dass unautorisierte Dritte Übertragungsdaten einsehen und/oder manipulieren können. In Sachen Privatsphäre sowie Datenintegrität und -authentizität im Netz haben sich diese Protokolle deshalb als Standard durchgesetzt. Gleichzeitig nutzen Cyberkriminelle dieses Gefühl von Sicherheit skrupellos aus, um Malware zu verbreiten.
Zunächst bauen sie eine Webseite, die das HTTPS-Protokoll samt Verschlüsselungsmechanismen nutzt. Allerdings versehen sie diese mit einem schädlichen Code. Im Anschluss versenden sie authentisch wirkende Phishing-E-Mails an Unternehmen und locken die Empfänger mit einem Link auf die Fake-Webseite. Sobald diese auf der Website landen und die Verschlüsselungsprotokolle aktiv werden, schleicht sich die Malware über den Datenverkehr unbemerkt in das Netzwerk. Da IT- und Security-Entscheider HTTPS bedingungslos vertrauen und die meisten herkömmlichen Sicherheitslösungen den verschlüsselten Datenstrom nicht erfassen und analysieren, ist diese Vorgehensweise fast immer erfolgreich. Das Resultat: Cyberkriminelle können sich innerhalb der Infrastruktur ungehindert austoben, weitere Malware verbreiten, die Kontrolle übernehmen und Daten stehlen.
Neben dem allgegenwärtigen Bedrohungsrisiko durch verschlüsselte Daten kommt erschwerend hinzu, dass Unternehmen aufgrund der steigenden Anzahl neuer Technologien mit immer komplexeren Netzwerken arbeiten. Systeme und Anwendungen erstrecken sich über verschiedene, voneinander getrennte Umgebungen, wodurch Silos entstehen. Dadurch wird die Sichtbarkeit erheblich eingeschränkt. Laut Gigamon können nur 28 Prozent der IT- und Security-Entscheider ihre IT-Umgebung vollständig einsehen. Das wird vor allem auch dann zum Problem, wenn Unternehmen versuchen, andere Sicherheitsarchitekturen wie Zero Trust umzusetzen. Dieses vertrauensbasierte Access-Management-Modell kann zum Beispiel nur dann funktionieren, wenn IT- und Security-Mitarbeitende genau wissen, wo sich welche Daten befinden und wer/was auf diese zugreift.
Das bedeutet: Alle anderen müssen gegen die wachsende Intransparenz vorgehen und für mehr Sichtbarkeit sorgen – und zwar bis hinunter auf die Netzwerkebene.
Sichtbarkeit auf allen Ebenen. Wie bereits erwähnt, können Unternehmen die Gefahren, die mit dem verschlüsselten Datenverkehr in das eigene Netzwerk gelangen, nicht mehr allein mithilfe von Standardsicherheitslösungen bannen. Das liegt unter anderem an den Agents, die so tief im Netzwerk in der Regel keinen Einfluss haben. Umfassende Netzwerksichtbarkeit, die den verschlüsselten Web-Traffic berücksichtigt, ist in diesem Fall unumgänglich.
Eine Decryption-Lösung, die die verschlüsselten Daten entschlüsselt, analysiert und rückverschlüsselt, stellt eine Option dar, um die Inhalte des HTTPS-Traffics zu offenbaren. Da sich dadurch potenzielle Bedrohungen aufdecken lassen, trägt eine solche Lösung zur Cybersicherheit bei. Doch wie bereits angedeutet, handelt es sich dabei um eine umständliche und kostspielige Methode. Eine Network-Visibility-Lösung, die für Transparenz bis auf Netzwerkebene sorgt (Deep Observability), nutzt hingegen andere Mechanismen, um einen Einblick in den verschlüsselten Datenverkehr zu geben und gleichzeitig die Ressourcen zu schonen.
So wird der Datenverkehr während des Application Filterings in riskante und weniger riskante Datenpakete aufgeteilt. Die Entschlüsselung und Analyse von Inhalten aus bekannten, vertrauenswürdigen Quellen entfällt, was die benötigte Rechenleistung reduziert. Ähnlich funktioniert die Deduplizierung, bei der einzigartige Datenpakete priorisiert werden. Daneben gibt es noch eine weitere Monitoring-Methode, die den Entschlüsselungsprozess vollständig umgeht. Precryption-Technologie erfasst automatisch die Daten vor der Verschlüsselung und folglich auch potenzielle Risiken, die sich im Datenverkehr verstecken. Dadurch müssen keine Schlüssel abgefangen oder ausgespäht werden. Außerdem ist in diesem Fall auch keine aufwendige Entschlüsselung mehr notwendig.
Was man nicht sieht, kann man nicht ausmerzen. Gefahren, die sich über Blind Spots ins Netzwerk schleichen, verwandeln sich unweigerlich zu einem extremen Sicherheitsrisiko – vor allem, wenn man diese Blind Spots zu lange vernachlässigt. Web-Verschlüsselungen wie TSL und SSL gehören mittlerweile eindeutig zu den beliebtesten Angriffsvektoren, da Cyberkriminelle hier unauffällig ihre Malware verstecken können. Das bedeutet, dass IT- und Sicherheits-Entscheider eine Network-Visibility-Lösung implementieren müssen, die den verschlüsselten Datenverkehr kosteneffizient analysiert und Bedrohungen bis auf Netzwerkebene sichtbar macht. Zwar wird das Katz-und-Maus-Spiel zwischen Unternehmen und Cyberkriminellen wahrscheinlich nie zu Ende gehen, aber Entscheider können den Akteuren mithilfe von vollständiger Netzwerksichtbarkeit ihr Tun deutlich erschweren.
Ali Moniri,
Senior Sales Engineer
bei Gigamon
[1] https://www.cisco.com/c/dam/global/en_au/assets/pdfs/2018-acr-executive-summary.pdf
[2] https://www.helpnetsecurity.com/2023/04/06/malware-attack-trends-q4-2022/
[3] https://www.gigamon.com/de/resources/resource-library/white-paper/wp-gigamon-survey-hybrid-cloud-security-2023.html