Was bedeutet SSL-Überprüfung?

Als SSL-Überprüfung wird das Abfangen SSL-verschlüsselter Internetkommunikationen zwischen Client und Server und ihre Untersuchung auf schädliche Inhalte bezeichnet. Die Überprüfung von SSL-Traffic ist mittlerweile unverzichtbar, da die überwiegende Mehrheit des Internet-Traffics – einschließlich schädlicher Inhalte – mit SSL verschlüsselt wird.

Abwägung von Bedenken hinsichtlich SSL-Überprüfung

Warum ist SSL-Überprüfung so wichtig?

Mit der zunehmenden Verbreitung von SaaS- und Cloud-basierten Anwendungen war auch ein starker Anstieg von Volumen und Häufigkeit von Datenübertragungen im Internet zu verzeichnen – und damit auch der Sicherheitsrisiken, denen diese Daten ausgesetzt sind. Verschlüsselung ist daher eine unverzichtbare Voraussetzung, um den Schutz vertraulicher und sensibler Daten zu gewährleisten. Entsprechend verschlüsselt die Mehrzahl der Browser, Web-Server und Cloud-basierten Anwendungen ausgehende Daten und wickelt den Datenaustausch über HTTPS-Verbindungen ab.

Doch nicht nur sensible Daten lassen sich mithilfe von HTTPS-Verschlüsselung verbergen – auch Verbreiter von Malware können sich das Verfahren zunutze machen. Dementsprechend ist es für Organisationen mindestens genauso wichtig, verschlüsselten SSL-Traffic zu überprüfen. Durch die Offenlegung der Inhalte können diese entsprechend den Funden blockiert oder erneut verschlüsselt und weitergeschickt werden.

Zwischen Januar und September 2021 blockierte Zscaler 20,7 Milliarden Bedrohungen über HTTPS. Das entspricht einer Zunahme von mehr als 314 Prozent gegenüber den 6,6 Milliarden blockierten Bedrohungen im Jahr 2020, wobei bereits damals im Vorjahresvergleich ein Anstieg von fast 260 Prozent verzeichnet wurde.

ThreatLabz: Status verschlüsselter Angriffe, 2021

Der Unterschied zwischen SSL und TLS

Bei Secure Sockets Layer (SSL) und Transport Layer Security (TLS) handelt es sich um zwei Arten kryptografischer Protokolle, die die Verschlüsselung und Übertragung von Daten zwischen zwei Punkten regeln. Was ist also der Unterschied?

SSL wurde Mitte der 1990er Jahre vom mittlerweile aufgelösten Unternehmen Netscape entwickelt. 1996 folgte die Veröffentlichung von SSL 3.0. TLS 1.0, das auf einer verbesserten Version von SSL 3.0 beruht, wurde 1999 eingeführt. TLS 1.3, wurde 2018 von der Internet Engineering Task Force (IETF) veröffentlicht und ist zum jetzigen Zeitpunkt die neueste und sicherste Version. Inzwischen wurden die Entwicklung und der Support von SSL eingestellt. 2015 hatte die IETF alle Versionen von SSL für veraltet erklärt. Grund für die Entscheidung waren Schwachstellen, zum Beispiel die Gefahr von Man-in-the-Middle-Angriffen, sowie das Fehlen wesentlicher Sicherheitsfunktionen.

Obwohl sich in den letzten Jahrzehnten viel verändert hat, steht der Begriff „SSL“ außerhalb technischer Kreise nach wie vor stellvertretend für alle Arten von kryptografischen Protokollen. Akronyme wie SSL, TLS, SSL/TLS, HTTPS usw. bezeichnen also ein ähnliches Prinzip und werden häufig synonym verwendet. In diesem Artikel wird bei Bedarf auf Unterschiede hingewiesen.

Vorteile der SSL-Überprüfung

Durch SSL-Überprüfung ergeben sich für Organisationen die folgenden Vorteile zum Schutz ihrer Enduser, Kunden und Daten:

  • Aufspüren von versteckter Malware und Vermeidung von Sicherheitsverletzungen, damit Hacker Sicherheitsmechanismen nicht umgehen können
  • Einblicke in die von den Mitarbeitern gesendeten Daten, die absichtlich oder versehentlich an Ziele außerhalb der Organisation geschickt werden
  • Einhaltung von Compliance-Anforderungen zur Vermeidung von Fehlverhalten durch Mitarbeitende, das eine Gefährdung vertraulicher Daten zur Folge haben könnte
  • Umsetzung einer mehrschichtigen Abwehrstrategie zum Schutz der gesamten Organisation

SSL-Überprüfung als zwingendes Erfordernis

SSL-Überprüfung ist für die Netzwerksicherheit von Organisationen mittlerweile unerlässlich geworden, da der Traffic heute in den allermeisten Fällen verschlüsselt ist – das gilt ebenso für Malware. Einige Analysten auf dem Gebiet der Cybersicherheit ziehen daraus die Schlussfolgerung, dass sich 90 % der Malware bereits in verschlüsselten Kanälen verbergen.

Trotzdem begnügen sich viele Organisationen weiterhin mit einer teilweisen Überprüfung ihres SSL/TLS-verschlüsselten Traffics. Insbesondere der Datenverkehr von vermeintlich vertrauenswürdigen Ausgangspunkten wird immer noch häufig ungeprüft durchgelassen. Das ist vor allem aufgrund der Dynamik des Internets riskant. Websites zum Beispiel bestehen aus dynamischen Inhalten und zeigen Hunderte von Objekten aus verschiedenen Quellen an, wobei jedes einzelne eine potenzielle Bedrohung darstellt.

Gleichzeitig verstecken Malware-Ersteller ihre Exploits immer häufiger mithilfe von Verschlüsselungsmethoden. Da es heute weltweit über 100 Zertifizierungsstellen gibt, können signierte SSL-Zertifikate einfach und kostengünstig erworben werden. Zu jedem Zeitpunkt sind rund 70 % des über die Zscaler Cloud verarbeiteten Datenverkehrs verschlüsselt. Dies unterstreicht zusätzlich, wie wichtig die Fähigkeit zur Überprüfung von SSL-Traffic ist.

Warum wird dann der SSL-Traffic nicht konsequent überprüft? Schlicht und einfach deswegen, weil zur Entschlüsselung, Überprüfung und Wiederverschlüsselung des SSL-Traffics eine enorme Rechenleistung erforderlich ist. Ohne die entsprechenden technischen Voraussetzungen wirkt sich dieser Prozess verheerend auf die Netzwerkperformance aus. Die Mehrzahl der Unternehmen kann es sich nicht leisten, ihre Betriebsabläufe regelmäßig zum Stillstand kommen zu lassen, und hat daher keine andere Wahl, als auf die HTTPS-Überprüfung mit überforderten Appliances zu verzichten.
 

Verschlüsselung als Aspekt der aktuellen Bedrohungslage

Bedingt insbesondere durch wachsende Datenschutzbedenken ist SSL/TLS-Verschlüsselung im Laufe der letzten Jahre mehr und mehr zum Standard avanciert. So sehr diese Entwicklung aus Datenschutzperspektive zu begrüßen ist, hat sich in der Praxis doch erwiesen, dass die technischen Anforderungen die Möglichkeiten vieler Organisationen überfordern. Die teilweise exorbitanten Kosten für die erforderliche Hardware kommen als weiteres Hindernis hinzu. Infolgedessen sind Organisationen oft nicht in der Lage, verschlüsselten Traffic bei großen Datenvolumen zu überprüfen.

Bedrohungsakteure wissen diese Schwäche auszunutzen und verstecken Malware zunehmend im SSL-Traffic. Obwohl Hacker viele Wege gefunden haben, um Systeme zu infiltrieren und Daten zu stehlen, bleibt das Entschlüsseln des Codes schwierig, zeitaufwendig und daher ineffizient. Stattdessen verschlüsseln Betrüger nun selbst Daten, um unentdeckt schädliche Inhalte zu verbreiten, Malware zu verbergen und Angriffe auszuführen.

Jahrelang galt das Schloss neben der URL-Adresse als Symbol für eine sichere Website – inzwischen ist die Sicherheit jedoch nicht mehr garantiert. Der über verschlüsselte Kanäle übertragene Traffic sollte nicht allein aufgrund von digitalen Zertifikaten als vertrauenswürdig eingestuft werden. Einst galt SSL als der ultimative Schutz für Daten, die über das Internet übertragen werden, heute bietet es hingegen Cyberkriminellen die perfekten Bedingungen, um ihren bösartigen Machenschaften nachzugehen.

Im Juni 2020 wurden 96 % der Seiten auf Google Chrome in den USA mit HTTPS-Verschlüsselung geladen.

Google Transparency Report

Wie funktioniert die SSL-Überprüfung?

Es gibt verschiedene Ansätze zur SSL-Entschlüsselung und -Überprüfung. Nachstehend werden die häufigsten Methoden sowie wichtige Überlegungen zu ihrer jeweiligen Funktionsweise erläutert.

SSL-Überprüfung von Zscaler

Die Plattform Zscaler Zero Trust Exchange™ ermöglicht eine vollständige SSL-Überprüfung in großem Maßstab ohne zusätzliche Latenz oder eingeschränkte Kapazität. Durch die Kombination aus SSL-Überprüfung und dem vollständigem Security-Stack von Zscaler aus der Cloud erhalten Unternehmen einen verbesserten Schutz ohne die für Appliances typischen Einschränkungen.

Unbegrenzte Kapazität

Der Service ist in der Lage, den gesamten SSL-Traffic der User innerhalb und außerhalb des Netzwerks zu überprüfen, und lässt sich je nach aktuellem Traffic-Volumen flexibel skalieren.

Effizientere Administration

Zertifikate müssen nicht mehr auf allen Gateways einzeln verwaltet werden. Zertifikate, die in die Zscaler Cloud hochgeladen werden, sind sofort in über 150 Zscaler-Rechenzentren weltweit verfügbar.

Granulare Richtlinienkontrolle

Zusätzlich zur flexiblen Compliance-Durchsetzung besteht die Möglichkeit, verschlüsselten User-Traffic von der Entschlüsselung auszunehmen – etwa bei sensiblen Website-Kategorien wie Gesundheits- oder Bankdaten.

Sicherheit und Schutz vor Bedrohungen

Die Lösung unterstützt die jeweils aktuellen AES/GCM- und DHE-Verschlüsselungen für „Perfect Forward Secrecy“ und ermöglicht so anhaltenden Schutz. Userdaten werden niemals in der Cloud gespeichert.

Vereinfachte Zertifikatsverwaltung

Es können Zscaler oder eigene Zertifikate genutzt werden. Mithilfe der API von Zscaler lassen sich Zertifikate beliebig oft wechseln.

Wie genau der verschlüsselte Datenverkehr ohne Einschränkungen und kostspielige Appliances überprüft werden kann, wird auf der Seite zur Zscaler SSL-Überprüfung erklärt.

Weitere Ressourcen

  • Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

    Whitepaper lesen
  • Sicherer, schneller Internet- und SaaS-Zugriff mit unbegrenzter SSL-Überprüfung

    Zum Datenblatt
  • Warum sollten Unternehmen ihren SSL-Traffic überprüfen?

    Zum Blog