Ressourcen > Sicherheit – Glossar > Was ist die SSL-Entschlüsselung?

Was ist die SSL-Entschlüsselung?

SSL-Entschlüsselung – die Definition

Die SSL-Entschlüsselung dient zur Decodierung von verschlüsseltem Datenverkehr, damit er im Rahmen einer umfassenden SSL-Überprüfung auf Cyberbedrohungen kontrolliert werden kann. Dieses Verfahren ist für die Netzwerksicherheit von Organisationen mittlerweile unerlässlich geworden, da der Traffic heute in den allermeisten Fällen verschlüsselt ist – das gilt ebenso für Malware. Einige Analysten auf dem Gebiet der Cybersicherheit ziehen daraus die Schlussfolgerung, dass sich 90 % der Malware bereits in verschlüsselten Kanälen verbirgt.

Aufgrund wachsender Beliebtheit von Cloud- und SaaS-Applikationen werden immer mehr Dateien und Datenfolgen mindestens einmal über das Internet gesendet. Sind diese Daten vertraulich oder sensibel, können sie ein Angriffsziel darstellen. Dieses Risiko macht deutlich, wie wichtig die Verschlüsselung zum Schutz von Personen und Daten ist. Die meisten Browser, Websites und Cloud-basierten Anwendungen verschlüsseln daher auch ausgehende Daten und wickeln den Datenaustausch über verschlüsselte Verbindungen ab.

Doch nicht nur sensible Daten lassen sich mithilfe von Verschlüsselung verbergen – auch Verbreiter von Malware können sich das Verfahren zunutze machen. Dementsprechend ist es für Organisationen mindestens genauso wichtig, verschlüsselten SSL-Traffic auch wieder entschlüsseln zu können. Durch die Offenlegung der Inhalte können diese überprüft und entsprechend den Funden blockiert oder erneut verschlüsselt und weitergeschickt werden.

 

Der Unterschied zwischen SSL und TLS

Bei Secure Sockets Layer (SSL) und Transport Layer Security (TLS) handelt es sich um zwei Arten kryptografischer Protokolle, die die Verschlüsselung und Übertragung von Daten zwischen zwei Punkten regeln. Was ist also der Unterschied?

SSL wurde Mitte der 1990er Jahre vom mittlerweile aufgelösten Unternehmen Netscape entwickelt. 1996 folgte die Veröffentlichung von SSL 3.0. TLS 1.0, das auf einer verbesserten Version von SSL 3.0 beruht, wurde 1999 eingeführt. TLS 1.3, wurde 2018 von der Internet Engineering Task Force (IETF) veröffentlicht und ist zum jetzigen Zeitpunkt die neueste und sicherste Version. Inzwischen wurden die Entwicklung und der Support von SSL eingestellt. 2015 hatte die IETF alle Versionen von SSL für veraltet erklärt. Grund für die Entscheidung waren Schwachstellen, zum Beispiel die Gefahr von Man-in-the-Middle-Angriffen, sowie das Fehlen wesentlicher Sicherheitsfunktionen.

Obwohl sich in den letzten Jahrzehnten viel verändert hat, steht der Begriff „SSL“ außerhalb technischer Kreise nach wie vor stellvertretend für alle Arten von kryptografischen Protokollen. Akronyme wie SSL, TLS, SSL/TLS, HTTPS usw. bezeichnen also ein ähnliches Prinzip und werden häufig synonym verwendet. In diesem Artikel wird bei Bedarf auf Unterschiede hingewiesen.

Vorteile der SSL-Entschlüsselung

Durch SSL-Entschlüsselung und -Überprüfung ergeben sich für Organisationen die folgenden Vorteile zum Schutz ihrer Enduser, Kunden und Daten:

  • Aufspüren von versteckter Malware und Vermeidung von Sicherheitsverletzungen, damit Hacker Sicherheitsmechanismen nicht umgehen können
  • Gewinnen von Einblicken in die von den Mitarbeitern gesendeten Daten , die absichtlich oder versehentlich an Ziele außerhalb der Organisation geschickt werden
  • Einhaltung von Compliance-Anforderungen zur Vermeidung von Fehlverhalten durch Mitarbeitende, das eine Gefährdung vertraulicher Daten zur Folge haben könnte
  • Umsetzung einer mehrschichtigen Abwehrstrategie zum Schutz des gesamten Unternehmens

Zwischen Januar und September 2021 blockierte Zscaler 20,7 Milliarden Bedrohungen über HTTPS. Das entspricht einer Zunahme von mehr als 314 Prozent gegenüber den 6,6 Milliarden blockierten Bedrohungen im Jahr 2020, wobei bereits damals im Vorjahresvergleich ein Anstieg von fast 260 Prozent verzeichnet wurde.

ThreatLabz: Status verschlüsselter Angriffe, 2021

Warum SSL-Entschlüsselung notwendig ist

Obwohl ein Großteil des Traffics heute verschlüsselt ist, führen viele Organisationen nur teilweise Kontrollen durch. Der Traffic von Content Delivery Networks (CDNs) und bestimmten „vertrauenswürdigen“ Websites bleibt oft ungeprüft. Dieses Vorgehen ist mitunter riskant, denn Webseiten sind nicht statisch, sondern enthalten dynamische Inhalte, die aus Hunderten von Objekten aus verschiedenen Quellen bestehen können. Jedes dieser Objekte stellt eine potenzielle Bedrohung dar und sollte unabhängig von der Quelle als nicht vertrauenswürdig betrachtet werden.

Gleichzeitig verstecken Malware-Ersteller ihre Exploits immer häufiger mithilfe von Verschlüsselungsmethoden. Da es heute weltweit mehr als 100 Zertifizierungsstellen gibt, können SSL-Zertifikate einfach und kostengünstig erworben werden. Zu jedem Zeitpunkt sind rund 70 % des über die Zscaler Cloud verarbeiteten Datenverkehrs verschlüsselt. Dies unterstreicht zusätzlich, wie wichtig die Fähigkeit zur Entschlüsselung von SSL-Traffic ist.

Warum also wird der SSL-Traffic nicht konsequent überprüft? Das hat den einfachen Grund, dass sehr viel Rechenleistung nötig ist, um SSL-Datenverkehr zu entschlüsseln, zu überprüfen und erneut zu verschlüsseln. Ohne die entsprechenden technischen Voraussetzungen kann sich dieser Prozess somit verheerend auf die Netzwerkperformance auswirken. Die meisten Unternehmen können es sich nicht leisten, Business und Workflows zum Stillstand zu bringen. Daher haben sie keine andere Wahl, als die Überprüfung mithilfe von Appliances zu umgehen, die mit dem Bedarf an Verarbeitungsleistung oder dem erforderlichen Volumen nicht mithalten können.
 

Wie SSL-Entschlüsselung funktioniert

Es gibt verschiedene Ansätze zur SSL-Entschlüsselung und -Überprüfung. Nachstehend werden die häufigsten Methoden sowie wichtige Überlegungen zu ihrer jeweiligen Funktionsweise erläutert.

Methode der SSL-Überprüfung

TAP-Modus (Terminal Access Point)

Firewall der nächsten Generation (NGFW)

Proxy

Funktionsweise

Ein einfaches Hardware-Gerät kopiert den gesamten Netzwerk-Traffic zur Offline-Analyse, einschließlich SSL-Überprüfung.

Netzwerkverbindungen durchlaufen eine NGFW mit Transparenz auf Paketebene, wodurch die Erkennung von Bedrohungen eingeschränkt wird.

Zwischen Client und Server werden zwei getrennte Verbindungen hergestellt, wobei Datenströme im Netzwerk und Sitzungen vollständig überprüft werden.

Auswirkungen der SSL-Überprüfung

Es wird teure Hardware benötigt (z. B. 10G-Netzwerk-TAPs), damit der gesamte Traffic bei voller Übertragungsgeschwindigkeit ohne Datenverlust kopiert wird.

Nur ein geringer Teil der Malware kann durch NGFWs entdeckt werden, wodurch Malware segmentiert übertragen wird. Sie erfordern zusätzliche Proxy-Funktionen und in der Regel kommt es zu Leistungseinbußen, wenn zusätzliche Funktionen, z. B. zur Bedrohungsabwehr, genutzt werden.

Ganze Objekte können wiederhergestellt und gescannt werden. Außerdem können schädliche Inhalte über zusätzliche Engines zur Bedrohungserkennung wie Sandbox und DLP entdeckt werden.

Auswirkungen durch die Einführung von TLS 1.3

Eine nachträgliche SSL-Überprüfung funktioniert aufgrund der „Perfect Forward Secrecy“ nicht mehr, die für jede SSL-Sitzung einen neuen Schlüssel erfordert.

Die höheren Performance- und Skalierungsanforderungen von Verschlüsselungen mit TLS 1.3 sorgen für einen Leistungsabfall und machen ein Hardware-Upgrade notwendig.

Im Falle eines Cloud-Proxys, der als Service bereitgestellt wird, ist auf Kundenseite keine Appliance-Aktualisierung erforderlich, damit die Anforderungen an Performance und Skalierung von TLS 1.3 erfüllt sind.

Best Practices für die SSL-Entschlüsselung

Die Notwendigkeit für die Einführung von Methoden zur SSL-Entschlüsselung und -Überprüfung in Organisationen ist heute kaum noch zu leugnen. Trotzdem gibt es bei der Bereitstellung einer SSL-Überprüfung einige wichtige technische und allgemeine Aspekte zu beachten:

  • Zunächst empfiehlt sich ein probeweiser Betrieb an einem begrenzten Standort oder in einem Testlabor. So können sich die beteiligten Mitarbeiter mit der Funktion vertraut machen und es kann sichergestellt werden, dass die Technologie wie beabsichtigt funktioniert – noch vor einer Einführung im größeren Maßstab.
  • Um übermäßig viele Troubleshooting-Anfragen zu vermeiden, sollten die Enduser über das neue Verfahren zur SSL-Überprüfung informiert werden. Hierzu bietet sich ein Hinweis in den Enduser-Benachrichtigungen an.
  • (Optional) Beim Definieren einer Richtlinie für die SSL-Überprüfung können diejenigen URLs, URL-Kategorien, Cloud-Applikationen und Cloud-Applikations-Kategorien aufgelistet werden, bei denen SSL-Transaktionen nicht entschlüsselt werden.
  • Zunächst sollte die Überprüfung nur für Risikokategorien aktiviert werden, also etwa pornographische Inhalte, Glücksspiel oder Datenschutz- und Haftungsrisiken. Sobald möglich wird die Überprüfung für alle URL-Kategorien aktiviert – mit Ausnahme der Bereiche Finanzen und Gesundheit, wenn eine Kontrolle dieser Datenkategorien aus Datenschutzgründen nicht gewünscht ist.
  • Des Weiteren sollten Anwendungen berücksichtigt werden, die nur ein bestimmtes Client-Zertifikat akzeptieren (Certificate Pinning). Diese Anwendungen sind eventuell nicht für die SSL-Überprüfung geeignet, weshalb sie auf einer Blacklist für die SSL-Entschlüsselung stehen sollten.
  • Die User-Authentifizierung muss aktiviert werden, damit die SSL-Überprüfung User-Richtlinien anwenden kann.

Auswirkungen der SSL-Überprüfung auf den Datenschutz

Grundsätzlich ist die SSL-Entschlüsselung und -Überprüfung ein Verfahren, das die Sicherheit drastisch verbessert. Das bedeutet jedoch nicht, dass die Entschlüsselung des gesamten Traffics in jedem Fall empfehlenswert ist. Je nach Branche, Standort sowie den geltenden Gesetzen und Vorschriften darf bestimmter Traffic nicht entschlüsselt werden, etwa bei Gesundheits- oder Finanzdaten. Hier müssen Filter und Richtlinien vorgeschaltet sein, um den Schutz dieser Verbindungen zu gewährleisten.

Im Sinne der Risikominimierung und des Datenschutzes sollten Unternehmen in Bereichen, wo keine rechtlichen Bedenken bestehen, den SSL-Datenverkehr jedoch weitestmöglich überprüfen.

Zscaler und SSL-Entschlüsselung

Die Plattform Zscaler Zero Trust Exchange™ ermöglicht eine vollständige SSL-Überprüfung in großem Maßstab ohne zusätzliche Latenz oder eingeschränkte Kapazität. Durch die Kombination aus SSL-Überprüfung und dem vollständigem Security-Stack von Zscaler aus der Cloud erhalten Unternehmen einen verbesserten Schutz ohne die für Appliances typischen Einschränkungen.

Unbegrenzte Kapazität
Der Service ist in der Lage, den gesamten SSL-Traffic der User innerhalb und außerhalb des Netzwerks zu überprüfen und lässt sich je nach Traffic-Situation flexibel skalieren.

Schlankere Administration
Zertifikate müssen nicht mehr über alle Gateways hinweg einzeln verwaltet werden. In die Zscaler Cloud hochgeladene Zertifikate sind sofort in über 150 Zscaler-Rechenzentren weltweit verfügbar.

Granulare Policy-Control
Zusätzlich zur flexiblen Compliance-Durchsetzung besteht die Möglichkeit, verschlüsselten User-Traffic von der Überprüfung auszunehmen – etwa bei sensiblen Website-Kategorien wie Gesundheits- oder Bankdaten.

Sicherheit
Die Lösung unterstützt die neuesten AES/GCM- und DHE-Verschlüsselungen für „Perfect Forward Secrecy“ und ermöglicht somit anhaltenden Schutz. Userdaten werden niemals in der Cloud gespeichert.

Vereinfachtes Zertifikatsmanagement
Es können Zertifikate von Zscaler oder eigene genutzt werden. Mithilfe der API von Zscaler lassen sich Zertifikate beliebig oft wechseln.

 

Wie genau der verschlüsselte Datenverkehr ohne Einschränkungen und kostspielige Appliances überprüft werden kann, wird auf der Seite zur Zscaler SSL-Überprüfung erklärt.

Weitere Ressourcen

Weitere Informationen zur SSL-Entschlüsselung und -Überprüfung sind in den folgenden Quellen zu finden: