Bestehen Bedenken im Hinblick auf VPN-Sicherheitslücken? Erfahren Sie, wie Sie von unserem VPN-Migrationsangebot inklusive 60 Tagen kostenlosem Service profitieren können.

Sprechen Sie mit einem Experten

Was bedeutet SSL-Überprüfung?

Als SSL-Überprüfung wird das Abfangen SSL-verschlüsselter Internetkommunikationen zwischen Client und Server und ihre Untersuchung auf schädliche Inhalte bezeichnet. Die Überprüfung von SSL-Traffic ist mittlerweile unverzichtbar, da die überwiegende Mehrheit des Internet-Traffics – einschließlich schädlicher Inhalte – mit SSL verschlüsselt wird.

Abwägung von Bedenken hinsichtlich SSL-Überprüfung

Warum ist SSL-Überprüfung so wichtig?

Mit der zunehmenden Verbreitung von SaaS- und Cloud-basierten Anwendungen war auch ein starker Anstieg von Volumen und Häufigkeit von Datenübertragungen im Internet zu verzeichnen – und damit auch der Sicherheitsrisiken, denen diese Daten ausgesetzt sind. Verschlüsselung ist daher eine unverzichtbare Voraussetzung, um den Schutz vertraulicher und sensibler Daten zu gewährleisten. Entsprechend verschlüsselt die Mehrzahl der Browser, Web-Server und Cloud-basierten Anwendungen ausgehende Daten und wickelt den Datenaustausch über HTTPS-Verbindungen ab.

Doch nicht nur sensible Daten lassen sich mithilfe von HTTPS-Verschlüsselung verbergen – auch Verbreiter von Malware können sich das Verfahren zunutze machen. Dementsprechend ist es für Organisationen mindestens genauso wichtig, verschlüsselten SSL-Traffic zu überprüfen. Durch die Offenlegung der Inhalte können diese entsprechend den Funden blockiert oder erneut verschlüsselt und weitergeschickt werden.

Zwischen Oktober 2022 und September 2023 blockierte die Zscaler Cloud 29,8 Milliarden in verschlüsseltem Traffic (SSL/TLS) eingebettete Angriffe. Das entspricht einem Anstieg von 24,3 % gegenüber 2022, was wiederum 20 % mehr Angriffe als im Vorjahr waren.

zscaler threatLabz

Der Unterschied zwischen SSL und TLS

Bei Secure Sockets Layer (SSL) und Transport Layer Security (TLS) handelt es sich um zwei Arten kryptografischer Protokolle, die die Verschlüsselung und Übertragung von Daten zwischen zwei Punkten regeln. Was ist also der Unterschied?

SSL wurde Mitte der 1990er Jahre vom mittlerweile aufgelösten Unternehmen Netscape entwickelt. 1996 folgte die Veröffentlichung von SSL 3.0. TLS 1.0, das auf einer verbesserten Version von SSL 3.0 beruht, wurde 1999 eingeführt. TLS 1.3, wurde 2018 von der Internet Engineering Task Force (IETF) veröffentlicht und ist zum jetzigen Zeitpunkt die neueste und sicherste Version. Inzwischen wurden die Entwicklung und der Support von SSL eingestellt. 2015 hatte die IETF alle Versionen von SSL für veraltet erklärt. Grund für die Entscheidung waren Schwachstellen, zum Beispiel die Gefahr von Man-in-the-Middle-Angriffen, sowie das Fehlen wesentlicher Sicherheitsfunktionen.

Obwohl sich in den letzten Jahrzehnten viel verändert hat, steht der Begriff „SSL“ außerhalb technischer Kreise nach wie vor stellvertretend für alle Arten von kryptografischen Protokollen. Akronyme wie SSL, TLS, SSL/TLS, HTTPS usw. bezeichnen also ein ähnliches Prinzip und werden häufig synonym verwendet. In diesem Artikel wird bei Bedarf auf Unterschiede hingewiesen.

Vorteile der SSL-Überprüfung

Durch SSL-Überprüfung ergeben sich für Organisationen die folgenden Vorteile zum Schutz ihrer Enduser, Kunden und Daten:

  • Aufspüren von versteckter Malware und Vermeidung von Sicherheitsverletzungen, damit Hacker Sicherheitsmechanismen nicht umgehen können
  • Einblicke in die von den Mitarbeitern gesendeten Daten, die absichtlich oder versehentlich an Ziele außerhalb der Organisation geschickt werden
  • Einhaltung von Compliance-Anforderungen zur Vermeidung von Fehlverhalten durch Mitarbeitende, das eine Gefährdung vertraulicher Daten zur Folge haben könnte
  • Umsetzung einer mehrschichtigen Abwehrstrategie zum Schutz der gesamten Organisation

SSL-Überprüfung als zwingendes Erfordernis

SSL-Überprüfung ist für die Netzwerksicherheit von Organisationen mittlerweile unerlässlich geworden, da der Traffic heute in den allermeisten Fällen verschlüsselt ist – das gilt ebenso für Malware. Einige Analysten auf dem Gebiet der Cybersicherheit ziehen daraus die Schlussfolgerung, dass sich 90 % der Malware bereits in verschlüsselten Kanälen verbergen.

Trotzdem begnügen sich viele Organisationen weiterhin mit einer teilweisen Überprüfung ihres SSL/TLS-verschlüsselten Traffics. Insbesondere der Datenverkehr von vermeintlich vertrauenswürdigen Ausgangspunkten wird immer noch häufig ungeprüft durchgelassen. Das ist vor allem aufgrund der Dynamik des Internets riskant. Websites zum Beispiel bestehen aus dynamischen Inhalten und zeigen Hunderte von Objekten aus verschiedenen Quellen an, wobei jedes einzelne eine potenzielle Bedrohung darstellt.

Gleichzeitig verstecken Malware-Ersteller ihre Exploits immer häufiger mithilfe von Verschlüsselungsmethoden. Da es heute weltweit über 100 Zertifizierungsstellen gibt, können signierte SSL-Zertifikate einfach und kostengünstig erworben werden. Zu jedem Zeitpunkt sind rund 70 % des über die Zscaler Cloud verarbeiteten Datenverkehrs verschlüsselt. Dies unterstreicht zusätzlich, wie wichtig die Fähigkeit zur Überprüfung von SSL-Traffic ist.

Warum wird dann der SSL-Traffic nicht konsequent überprüft? Schlicht und einfach deswegen, weil zur Entschlüsselung, Überprüfung und Wiederverschlüsselung des SSL-Traffics eine enorme Rechenleistung erforderlich ist. Ohne die entsprechenden technischen Voraussetzungen wirkt sich dieser Prozess verheerend auf die Netzwerkperformance aus. Die Mehrzahl der Unternehmen kann es sich nicht leisten, ihre Betriebsabläufe regelmäßig zum Stillstand kommen zu lassen, und hat daher keine andere Wahl, als auf die HTTPS-Überprüfung mit überforderten Appliances zu verzichten.
 

Verschlüsselung als Aspekt der aktuellen Bedrohungslage

Bedingt insbesondere durch wachsende Datenschutzbedenken ist SSL/TLS-Verschlüsselung im Laufe der letzten Jahre mehr und mehr zum Standard avanciert. So sehr diese Entwicklung aus Datenschutzperspektive zu begrüßen ist, hat sich in der Praxis doch erwiesen, dass die technischen Anforderungen die Möglichkeiten vieler Organisationen überfordern. Die teilweise exorbitanten Kosten für die erforderliche Hardware kommen als weiteres Hindernis hinzu. Infolgedessen sind Organisationen oft nicht in der Lage, verschlüsselten Traffic bei großen Datenvolumen zu überprüfen.

Bedrohungsakteure wissen diese Schwäche auszunutzen und verstecken Malware zunehmend im SSL-Traffic. Obwohl Hacker viele Wege gefunden haben, um Systeme zu infiltrieren und Daten zu stehlen, bleibt das Entschlüsseln des Codes schwierig, zeitaufwendig und daher ineffizient. Stattdessen verschlüsseln Betrüger nun selbst Daten, um unentdeckt schädliche Inhalte zu verbreiten, Malware zu verbergen und Angriffe auszuführen.

Jahrelang galt das Schloss neben der URL-Adresse als Symbol für eine sichere Website – inzwischen ist die Sicherheit jedoch nicht mehr garantiert. Der über verschlüsselte Kanäle übertragene Traffic sollte nicht allein aufgrund von digitalen Zertifikaten als vertrauenswürdig eingestuft werden. Einst galt SSL als der ultimative Schutz für Daten, die über das Internet übertragen werden, heute bietet es hingegen Cyberkriminellen die perfekten Bedingungen, um ihren bösartigen Machenschaften nachzugehen.

Im Juni 2020 wurden 96 % der Seiten auf Google Chrome in den USA mit HTTPS-Verschlüsselung geladen.

Google Transparency Report

Wie funktioniert die SSL-Überprüfung?

Es gibt verschiedene Ansätze zur SSL-Entschlüsselung und -Überprüfung. Nachstehend werden die häufigsten Methoden sowie wichtige Überlegungen zu ihrer jeweiligen Funktionsweise erläutert.

Methode der SSL-Überprüfung

Funktionsweise

  • Firewall der nächsten Generation (NGFW)

    Netzwerkverbindungen durchlaufen eine NGFW mit Transparenz auf Paketebene, wodurch die Erkennung von Bedrohungen eingeschränkt wird.

  • Proxy

    Zwischen Client und Server werden zwei getrennte Verbindungen hergestellt, wobei Datenströme im Netzwerk und Sitzungen vollständig überprüft werden.

Auswirkungen der SSL-Überprüfung

  • Firewall der nächsten Generation (NGFW)

    Nur ein geringer Teil der Malware kann durch NGFWs entdeckt werden, wodurch Malware segmentiert übertragen wird. Sie erfordern zusätzliche Proxy-Funktionen und in der Regel kommt es zu Leistungseinbußen, wenn zusätzliche Funktionen, z. B. zur Bedrohungsabwehr, genutzt werden.

  • Proxy

    Ganze Objekte können wiederhergestellt und gescannt werden. Außerdem können schädliche Inhalte über zusätzliche Engines zur Bedrohungserkennung wie Sandbox und DLP entdeckt werden.

Auswirkungen auf diese Methoden, wenn TLS 1.3 verwendet wird

  • Firewall der nächsten Generation (NGFW)

    Die höheren Performance- und Skalierungsanforderungen von Verschlüsselungen mit TLS 1.3 sorgen für einen Leistungsabfall und machen ein Hardware-Upgrade notwendig.

  • Proxy

    Im Falle eines Cloud-Proxys, der als Service bereitgestellt wird, ist auf Kundenseite keine Appliance-Aktualisierung erforderlich, damit die Anforderungen an Performance und Skalierung von TLS 1.3 erfüllt sind.

Zur konkreten Veranschaulichung wird hier kurz erläutert, wie die SSL-Überprüfung mit der Zscaler-Plattform abläuft:

  1. Ein Benutzer öffnet einen Browser und sendet eine HTTPS-Anfrage.

  2. Der Zscaler-Service fängt die HTTPS-Anfrage ab. Über einen separaten SSL-Tunnel sendet der Service seine eigene HTTPS-Anfrage an den Zielserver und führt SSL-Verhandlungen durch.

  3. Der Zielserver sendet sein Zertifikat mit dem öffentlichen Schlüssel an den Zscaler-Service.

  4. Zscaler-Service und Zielserver schließen eine SSL-Vereinbarung ab. Anwendungsdaten und nachfolgende Nachrichten werden über den SSL-Tunnel gesendet.

  5. Der Zscaler-Service führt SSL-Verhandlungen mit dem Browser des Users durch. Der Browser erhält das Zwischenzertifikat von Zscaler oder den benutzerdefinierten intermediären Root-Zugang Ihrer Organisation sowie ein von der Zertifizierungsstelle von Zscaler signiertes Serverzertifikat. Der Browser validiert die Zertifikatkette im Zertifikatspeicher des Browsers.

  6. Zscaler-Service und Browser schließen eine SSL-Vereinbarung ab. Anwendungsdaten und nachfolgende Nachrichten werden über den SSL-Tunnel gesendet.

SSL-Überprüfung von Zscaler

Die Plattform Zscaler Zero Trust Exchange™ ermöglicht eine vollständige SSL-Überprüfung in großem Maßstab ohne zusätzliche Latenz oder eingeschränkte Kapazität. Durch die Kombination aus SSL-Überprüfung und dem vollständigem Security-Stack von Zscaler aus der Cloud erhalten Unternehmen einen verbesserten Schutz ohne die für Appliances typischen Einschränkungen.

Unbegrenzte Kapazität

Der Service ist in der Lage, den gesamten SSL-Traffic der User innerhalb und außerhalb des Netzwerks zu überprüfen, und lässt sich je nach aktuellem Traffic-Volumen flexibel skalieren.

Effizientere Administration

Zertifikate müssen nicht mehr auf allen Gateways einzeln verwaltet werden. Zertifikate, die in die Zscaler Cloud hochgeladen werden, sind sofort in über 150 Zscaler-Rechenzentren weltweit verfügbar.

Granulare Richtlinienkontrolle

Zusätzlich zur flexiblen Compliance-Durchsetzung besteht die Möglichkeit, verschlüsselten User-Traffic von der Entschlüsselung auszunehmen – etwa bei sensiblen Website-Kategorien wie Gesundheits- oder Bankdaten.

Sicherheit und Schutz vor Bedrohungen

Die Lösung unterstützt die jeweils aktuellen AES/GCM- und DHE-Verschlüsselungen für „Perfect Forward Secrecy“ und ermöglicht so anhaltenden Schutz. Userdaten werden niemals in der Cloud gespeichert.

Vereinfachte Zertifikatsverwaltung

Es können Zscaler oder eigene Zertifikate genutzt werden. Mithilfe der API von Zscaler lassen sich Zertifikate beliebig oft wechseln.

Wie genau der verschlüsselte Datenverkehr ohne Einschränkungen und kostspielige Appliances überprüft werden kann, wird auf der Seite zur Zscaler SSL-Überprüfung erklärt.

Empfohlene Ressourcen

  • Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

    Whitepaper lesen
  • Sicherer, schneller Internet- und SaaS-Zugriff mit unbegrenzter SSL-Überprüfung

    Zum Datenblatt
  • Warum sollten Unternehmen ihren SSL-Traffic überprüfen?

    Zum Blog