Sicherheitsreport

SSL-Verschlüsselung - Risiko statt Sicherheit?

Anfang April haben die Telekom, Freenet, Web.de und GMX ihre Webmail-Angebote für Privatnutzer auf SSL-Verschlüsselung umgestellt. Auch für Firmen ist SSL einer der wichtigsten Punkte auf der IT-Management-Agenda. So nutzen zum Beispiel Microsoft Sharepoint, Salesforce.com, SAP, Oracle, Cisco WebEx oder Google Business Applications standardmäßig das SSL-Protokoll. Doch ist die Technologie wirklich sicher?

Risiko statt Sicherheit?

© alphaspirit - shutterstock.de

Risiko statt Sicherheit?

Um mehr als 20 Prozent wird der SSL-Traffic in den nächsten Jahren steigen. Inzwischen läuft bereits ein Viertel bis ein Drittel des Datenverkehrs in Unternehmen über diese Verschlüsselungstechnologie, in einigen Branchen wie Finanz- oder Gesundheitswesen bis zu 70 Prozent. Entsprechend sicher fühlen sich die Firmen, doch tatsächlich können viele Sicherheitslösungen wie Firewalls, Anti-Malware, Compliance-Tools, Unified-Threat-Management- oder Intrusion-Detection/Prevention-Systeme verschlüsselte Daten nicht lesen und schleusen sie ungeprüft durch. So sehen sie nur die Spitze des Eisbergs und der Großteil der Daten bleibt sozusagen unter der Sichtlinie.

Risikofaktor SSL

Dies öffnet ein Einfallstor für Schadsoftware. So haben bereits einige Trojaner wie Gameover, Shylock, Spyeye, Cridex oder Zeus diesen Weg über den SSL-verschlüsselten Datenverkehr genommen, um Unternehmensnetze zu infiltrieren. Dies wird dann erst am Schaden festgestellt, der dadurch entsteht. Dabei brauchen fast 75 Prozent der Angriffe nur wenige Sekunden oder Minuten, um ein Netzwerk zu befallen, aber ebenso fast drei Viertel werden erst nach Wochen, Monaten oder sogar Jahren entdeckt.

Die SSL-Verschlüsselung ist zwar recht aufwendig und wird nur von wenigen Schadprogrammen tatsächlich genutzt. Doch gerade 80 Prozent der ausgeklügelten und hochspezialisierten Malware, die sogenannten Advanced Persistent Threats (APT), verwenden sie. Entsprechend müssen sich die Firmen über ebenso ausgeklügelte und spezialisierte Sicherheitslösungen schützen. Eine solche Advanced Threat Protection (ATP) überprüft auch die per SSL verschlüsselten Daten auf Schadsoftware.

SSL-fähige Lösungen führen aber häufig zu einem großen Performance-Problem. Die Ent- und Wiederverschlüsselung der Daten erfordert hohe Rechenkapazitäten, die nicht nur die Geschwindigkeit des Datenverkehrs oft spürbar verlangsamen. So wird in bestimmten Fällen gar zum Abschalten der SSL-Funktion geraten, wodurch jedoch die Sicherheitsprüfungen entfallen.

Daher sollten Unternehmen spezielle Appliances einsetzen, die mit hoher Performance SSL-Daten entschlüsseln und wieder verschlüsseln, ohne das Netzwerk zu belasten. Dabei lassen sie sich sogar in Reihe schalten, wodurch sich die Leistung proportional erhöht, ohne teure Upgrades für die restliche Sicherheitsinfrastruktur zu erfordern.

Praktische Lösung

Das aktuelle Security-Policy-Enforcement der meisten Unternehmen ist nicht in der Lage, die SSL-verschlüsselten Inhalte der Daten zu prüfen. Dagegen leiten SSL-Visibility-Lösungen die entschlüsselten Daten zur Überprüfung an Sicherheitslösungen wie Malware-Prevention-Systeme (Sandbox) beziehungsweise NG-Firewall-, Intrusion-Detection- oder Data-Loss-Prevention-Systeme weiter. Diese blockieren dann unerwünschten und schadhaften Datenverkehr.

Sind die Inhalte dagegen in Ordnung, werden sie an die SSL-Appliance zurückgeleitet und dort erneut verschlüsselt und an den Empfänger übertragen. Entsprechend müssen diese Lösungen nicht nur leistungsfähig, zuverlässig, skalierbar sowie einfach installierbar und gut zu managen und nutzbar sein. Sie sollten auch eine hohe Kompatibilität mit möglichst vielen verschiedenen IT-Security-Lösungen aufweisen. Und sie haben nicht nur Web-, sondern auch FTP- und Mail-Traffic zu überwachen.

Robert Arandjelovic

© Robert Arandjelovic

Der Autor:Robert Arandjelovic,Director Product Marketing bei Blue Coat

Mehr zum Thema

Interview
Interview

Security-Experte Stefan Haunß spricht über die größten Risiken beim mobilen Surfen und gibt Tipps, mit denen sich Nutzer vor Angriffen schützen…
Hacker,DDOS,Firewall,Cyberwar,Cyber,Cyber-Attack,Angriff,Internet,PC
DDoS-Attacken auf Firmen

41 Prozent der Firmen weltweit wurden durch DDoS-Attacken gestört. Am Ende jeder Attacke steht ein Ausfall der Systeme.
Palo Alto Networks zeigt Sicherheitsrisiken im Android-Speicher
Android-Smartphones unsicher

Untersuchungen des Sicherheitsunternehmens Palo Alto Networks zeigen ein hohes Sicherheitsrisiko bei über 90 Prozent der Android-Apps.
E-Mail-Schutz

Das Bayerischen Landesamt für Datenschutzaufsicht hat bei einem automatischen Testverfahren bei etwa einem Drittel der geprüften Firmen…
it-sa Logo
Sicherheitsmesse in Nürnberg

Auf der it-sa in Nürnberg präsentieren Aussteller Erfindungen, mit denen sich Unternehmen effektiv vor Cyberkriminalität schützen können.