Der Großteil des Datenverkehrs im Internet ist zum Schutz und zur Sicherheit von Informationen mittlerweile verschlüsselt. Das Problem: Auch Hacker nutzen die Verschlüsselung, um schädliche Malware unbemerkt durch die Netzwerkabwehr zu schleusen. Abhilfe schaffen Methoden wie SSL/TLS-Inspection oder Encrypted Traffic Analysis. Damit können Firmen verschlüsselt übertragene Daten auf bösartige Software untersuchen.

Im Zeitalter von Internet und Cloud gibt es eine zentrale Sicherheitsmaßnahme – die Verschlüsselung der in der Cloud gespeicherten Daten sowie der Daten während der Übertragung. Dabei kommt meist das Protokoll TLS (Transport Layer Security) zum Einsatz, auch unter der Vorgängerbezeichnung SSL (Secure Sockets Layer) bekannt. Die Analysten von Omdia schätzen im „Market Radar: Next-Generation Firewall Platforms, January 2020“, dass 70 bis 80 Prozent des eingehenden Netzwerkverkehrs von Unternehmen heute verschlüsselt sind. Das entspricht einem Anstieg von rund 20 Prozent im Vergleich zu vor drei Jahren. Den Telemetrie-Daten von Mozilla zufolge nutzen heute 70 Prozent aller Websites SSL-Verschlüsselung, erkennbar am Schloss in der Ecke des Browsers oder am „https“ in der Internet-Adresse.

Verschlüsselung bietet aber auch der „dunklen Seite“ neue Möglichkeiten. Viele Hacker nutzen SSL/TLS, um ihre Aktivitäten und Bewegungen im Netzwerk zu verschleiern und Systeme oder Anwendungen mit unbemerkt eingeschleustem Schadcode anzugreifen. In dieser gekapselten Form ist die bösartige Software für angegriffene Unternehmen nur schwer erkennbar. Grundsätzlich gilt: Wenn Unternehmen nicht sehen können, was in ihr Netzwerk gelangt, können sie es nicht schützen. Um katastrophale Folgen zu vermeiden, sollten Firmen diesen verschlüsselten Datenverkehr überprüfen, damit keine Malware in ihr Netzwerk gelangt und auch keine eigenen Daten unkontrolliert aus dem Netzwerk abfließen.

Verschlüsselten Traffic untersuchen

Doch das ist häufig nicht der Fall. Viele Firmen untersuchen den verschlüsselten Traffic nicht oder nur unzureichend. Das zeigt eine Untersuchung von Flowmon und IDG Connect.  Demnach sehen zwar 99 Prozent der befragten IT-Manager verschlüsselten Netzwerkverkehr als Quelle von Sicherheitsrisiken, aber zwei Drittel der Unternehmen scheitern, ihre Vermögenswerte vor internen und externen Bedrohungen zu schützen, die SSL/TLS missbrauchen.

Die beiden größten Hindernisse bei der Entschlüsselung des Netzwerkverkehrs durch SSL-Inspection sind die Angst vor Datenschutzverletzungen (36 Prozent) und die Sorge um Leistungsverschlechterung (29 Prozent). Mit SSL/TLS-Inspection sind Firmen in der Lage, verschlüsselten Datenverkehr zu entschlüsseln, klassifizieren und zu kontrollieren. Eine andere Methode, um verschlüsselten Traffic zu analysieren, ist Encrypted Traffic Analysis. Dabei ist es nicht notwendig, die Daten temporär zu entschlüsseln. Hier eine kurze Beschreibung der beiden Ansätze.

TLS/SSL-Inspection

Next-Generation Firewalls (NGFW) wie die FortiGate-Highend-Serie unseres Partners Fortinet untersuchen mit Hilfe von SSL/TLS-Inspection die mit TLS 1.3 verschlüsselte Kommunikation auf Malware. Dazu muss die Firewall die Daten im Klartext analysieren. Die verschlüsselten Daten werden daher zunächst entschlüsselt, analysiert und schließlich wieder verschlüsselt über eine zweite TLS/SSL-Verbindung zum Zielrechner geschickt. Die Firewall agiert damit als „Man in the Middle“ zwischen dem Server etwa einer Website und dem Client im Unternehmen, entschlüsselt den Traffic und prüft diesen auf Malware. Da die Ent- und Wiederverschlüsselung von HTTPS-Datenverkehr ein sehr rechenintensiver Prozess ist, verfügen die FortiGate NGFs über spezielle Security-Prozessoren, um die Leistung nicht zu beeinträchtigen. Zudem ist es notwendig, genau zu prüfen, welche Daten entschlüsselt werden dürfen, um mit der DSGVO konform zu gehen und die Compliance zu wahren.

Entscheidend für die Sicherheit sind hier die Zertifikate. Die Firewall benötigt ein vertrauenswürdiges Certificate-Authority (CA)-Zertifikat, damit der Browser die Unterbrechung des verschlüsselten Datenflusses durch die Firewall akzeptiert. Sonst gibt der Browser eine Warnung aus, weil er ja nicht mehr das originale Server-Zertifikat sieht, sondern eine von der Firewall signierte Version. Zudem ist es auch möglich, den Scan des verschlüsselten Traffics von der Firewall auf den Client zu verlagern, um eine End-to-End-Verschlüsselung zu gewährleisten. Sobald dort eine potenzielle Bedrohung entdeckt wird, sendet der Endpoint eine Meldung an die Firewall, dass diese die Verbindungen des Clients ins Internet unterbrechen soll.

Encrypted Traffic Analysis

Ein anderer Ansatz ist Encrypted Traffic Analysis, mit dem sich verschlüsselt übertragene Daten auf virtuelle Schädlinge untersuchen lassen, ohne die Daten vorher entschlüsseln zu müssen. Unser Partner Juniper Networks bietet diese Funktion für die Juniper Advanced Threat Prevention (ATP)-Cloud und die Firewalls der SRX-Serie an. Um Anomalien im verschlüsselten Datenverkehr zu erkennen, kommt hier Machine Learning zum Einsatz. Vergleichsgröße ist eine definierte Baseline der normalen Web- und Netzwerkaktivität für jeden Netzwerk-Host.

Um Anomalien im Verkehrsmuster zu erkennen, analysiert die Lösung Telemetriedaten und Metadaten, die von den zu transportierenden Informationen unabhängig sind. Dazu gehören zum Beispiel Informationen wie Paketlänge oder Zeiten. Zudem werden noch weitere Daten korreliert. Über passives Monitoring erkennt Encrypted Traffic Analysis verdächtige Datenflüsse im verschlüsselten Traffic. Nur diese werden anschließend entschlüsselt und blockiert – damit bleibt auch der Datenschutz gewährleistet.

Fazit: Entschlüsseln mit Augenmaß

Encrypted Traffic Analysis überwacht den Netzwerkverkehr und beschränkt die Entschlüsselung nur auf kritische Datenströme. Doch auch mit SSL/TLS-Inspection lässt sich die DSGVO-Compliance wahren, wenn sie mit der passenden Lösung richtig umgesetzt wird. Es geht um Entschlüsselung mit Augenmaß: Firmen sollten nicht alle Daten per se entschlüsseln, sondern die Daten vorher entsprechend ihres Risikos klassifizieren und Hochrisikokategorien definieren, auf denen der Fokus liegen soll. Das können beispielsweise neu registrierte Domains sowie kürzlich infizierte oder nicht kategorisierte Websites sein. Zudem lässt sich auch die Verbindung zu Websites mit abgelaufenen Zertifikaten, nicht vertrauenswürdigen Zertifikaten oder selbstsignierten Zertifikaten blockieren. Damit werden die Nutzer effektiv geschützt, ohne den Datenverkehr entschlüsseln zu müssen.