Ressourcen > Sicherheit – Glossar > Was bedeutet SSL-Überprüfung?

Was bedeutet SSL-Überprüfung?

 

Begriffsklärung: SSL-Überprüfung

Als SSL-Überprüfung wird das Abfangen SSL-verschlüsselter Internetkommunikationen zwischen Client und Server und ihre Untersuchung auf schädliche Inhalte bezeichnet. Die Überprüfung von SSL-Traffic ist mittlerweile unverzichtbar, da die überwiegende Mehrheit des Internet-Traffics – einschließlich schädlicher Inhalte – mit SSL verschlüsselt wird.

Die SSL-verschlüsselten Daten müssen erst entschlüsselt werden, damit sie wieder lesbar sind. Diese zusätzliche Sicherheitsschicht trägt zum Schutz vertraulicher Daten bei, kann jedoch auch zu bösartigen Zwecken ausgenutzt werden: Bedrohungsakteure können darin schädliche Kommunikationen verstecken, die für Phishing, Datenexfiltration, Distributed Denial of Service (DDoS) und andere Cyberangriffe verwendet werden.

SSL-Verschlüsselung ist also ein zweischneidiges Schwert, das zwar einerseits Schutz für vertrauliche Daten gewährleistet, andererseits aber auch Bedrohungen unbemerkt ins Netzwerk transportieren kann. Daher müssen Organisationen unbedingt über die Möglichkeit verfügen, SSL-Traffic zu entschlüsseln und seinen Inhalt vollständig zu überprüfen, um zu entscheiden, ob er blockiert oder wieder verschlüsselt und an sein Ziel weitergeleitet werden soll.

Zwischen Januar und September 2021 blockierte Zscaler 20,7 Milliarden Bedrohungen über HTTPS. Das entspricht einer Zunahme von mehr als 314 Prozent gegenüber den 6,6 Milliarden blockierten Bedrohungen im Jahr 2020, wobei bereits damals im Vorjahresvergleich ein Anstieg von fast 260 Prozent verzeichnet wurde.

ThreatLabz: Status verschlüsselter Angriffe, 2021

Der Unterschied zwischen SSL und TLS

Bei Secure Sockets Layer (SSL) und Transport Layer Security (TLS) handelt es sich um zwei Arten von kryptografischen Protokollen, die die Verschlüsselung und Übertragung von Daten zwischen zwei Punkten regeln. Was ist also der Unterschied?

SSL wurde Mitte der 1990er Jahre vom mittlerweile aufgelösten Unternehmen Netscape entwickelt. 1996 folgte die Veröffentlichung von SSL 3.0. TLS 1.0, das auf einer verbesserten Version von SSL 3.0 beruht, wurde 1999 eingeführt. TLS 1.3, wurde 2018 von der Internet Engineering Task Force (IETF) veröffentlicht und ist zum jetzigen Zeitpunkt die neueste und sicherste Version. Inzwischen wurden die Entwicklung und der Support von SSL eingestellt. 2015 hatte die IETF alle Versionen von SSL für veraltet erklärt. Grund waren Schwachstellen, zum Beispiel Man-in-the-Middle-Angriffe, sowie das Fehlen wesentlicher Sicherheitsfunktionen.

Obwohl sich in den letzten Jahrzehnten viel verändert hat, gilt der Begriff „SSL“ außerhalb von technischen Kreisen nach wie vor als Synonym für kryptografische Protokolle. Akronyme wie SSL, TLS, SSL/TLS, HTTPS usw. stehen also meistens für ein und dasselbe Prinzip und werden häufig synonym verwendet. In diesem Artikel wird bei Bedarf auf Unterschiede hingewiesen.

 

Vorteile der SSL-Überprüfung

SSL-Zertifikate sollen Vertrauen und Zuverlässigkeit vermitteln. Zunehmend wird dieses Vertrauen jedoch von Cyberkriminellen untergraben, die sich die Stärken der Verschlüsselung zunutze machen, um Malware und andere Bedrohungen in verschlüsselten Daten und Kanälen zu verstecken. Um die Sicherheit von Endusern, Kunden und Daten gewährleisten zu können, müssen heutige Organisationen daher unbedingt eine effektive SSL-Überprüfung implementieren.

Organisationen, die SSL-Überprüfung einsetzen, profitieren gleich von mehreren Vorteilen:

  • Erkennen von versteckter Malware und Vermeidung von Sicherheitsverletzungen unter Umgehung der Kontrollmechanismen
  • Einblicke in den ausgehenden Traffic, den Mitarbeiter absichtlich oder versehentlich an externe Ziele schicken, und Unterstützung angemessener Maßnahmen
  • Einhaltung von Compliance-Anforderungen durch Vermeiden von Fehlverhalten seitens der Mitarbeiter, das eine Gefährdung vertraulicher Daten zur Folge haben könnte
  • Umsetzung einer mehrschichtigen Abwehrstrategie zum Schutz der gesamten Organisation

Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

Whitepaper lesen
Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

Zscalers Security Stack als Service mit unbegrenzter SSL-Überprüfung

Datenblatt lesen
Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

Warum sollten Unternehmen ihren SSL-Traffic überprüfen?

Zum Blogbeitrag
Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

SSL-Überprüfung als zwingendes Erfordernis

Der Großteil des Traffics wird inzwischen verschlüsselt – nach Einschätzung mancher Cybersicherheitsanalysten einschließlich 90 % aller Malware.

Mit der zunehmenden Verbreitung von SaaS- und Cloud-basierten Anwendungen war auch ein starker Anstieg von Volumen und Häufigkeit von Datenübertragungen im Internet zu verzeichnen – und damit auch der Sicherheitsrisiken, denen diese Daten ausgesetzt sind. Verschlüsselung ist daher eine unverzichtbare Voraussetzung, um den Schutz vertraulicher und sensibler Daten zu gewährleisten. Entsprechend verschlüsselt die Mehrzahl der Browser, Web-Server und Cloud-basierten Anwendungen ausgehende Daten und wickelt den Datenaustausch über HTTPS-Verbindungen ab.

Trotzdem begnügen sich viele Organisationen weiterhin mit einer teilweisen Überprüfung ihres SSL/TLS-verschlüsselten Traffics. Insbesondere der Datenverkehr von vermeintlich vertrauenswürdigen Ausgangspunkten wird immer noch häufig ungeprüft durchgelassen. Das ist vor allem aufgrund der Dynamik des Internets riskant. Websites zum Beispiel beziehen ihre Inhalte oft aus mehreren Quellen und zeigen Hunderte von Objekten an, wobei jedes einzelne eine potenzielle Bedrohung darstellt.

Gleichzeitig verstecken Malware-Ersteller ihre Exploits immer häufiger mithilfe von Verschlüsselungsmethoden. Da es heute weltweit über 100 Zertifizierungsstellen gibt, können signierte SSL-Zertifikate einfach und kostengünstig erworben werden. Rund 70 % des gesamten Datenverkehrs, der über die Zscaler Cloud verarbeitet wird, ist verschlüsselt. Daran zeigt sich, wie wichtig die Möglichkeit zur Entschlüsselung des ein- und ausgehenden SSL-Traffics ist.

Warum wird dann der SSL-Traffic nicht konsequent überprüft? Schlicht und einfach deswegen, weil zur Entschlüsselung, Überprüfung und Wiederverschlüsselung des SSL-Traffics eine enorme Rechenleistung erforderlich ist. Ohne die entsprechenden technischen Voraussetzungen wirkt sich dieser Prozess verheerend auf die Netzwerkperformance aus. Die Mehrzahl der Unternehmen kann es sich nicht leisten, ihre Betriebsabläufe regelmäßig zum Stillstand kommen zu lassen, und hat daher keine andere Wahl, als auf die HTTPS-Überprüfung mit überforderten Appliances zu verzichten.
 

 

Verschlüsselung als Aspekt der aktuellen Bedrohungslage

Bedingt insbesondere durch wachsende Datenschutzbedenken ist SSL/TLS-Verschlüsselung im Laufe der letzten Jahre mehr und mehr zum Standard avanciert. So sehr diese Entwicklung aus Datenschutzperspektive zu begrüßen ist, hat sich in der Praxis doch erwiesen, dass die technischen Anforderungen die Möglichkeiten vieler Organisationen überfordern. Die teilweise exorbitanten Kosten für die erforderliche Hardware kommen als weiteres Hindernis hinzu. Infolgedessen sind Organisationen oft nicht in der Lage, verschlüsselten Traffic bei großen Datenvolumen zu überprüfen.

Bedrohungsakteuren wissen diese Schwäche auszunutzen und verstecken Malware zunehmend im SSL-Traffic. Das Risiko liegt also weniger darin, dass die Verschlüsselung ihren Zweck nicht erfüllt. Tatsächlich stellt die Entschlüsselung von SSL/TLS-Code Hacker immer noch vor große Herausforderungen – dafür können sie sich mit zahlreichen anderen Mitteln unbefugten Zugriff auf Systeme verschaffen und Daten stehlen. Im Gegenteil machen sich Cyberkriminelle den Trend zur SSL-Verschlüsselung gerade deswegen zunutze, weil er ihnen so effektive Möglichkeiten bietet, Malware und andere schädliche Inhalte unbemerkt auszuliefern.

 

Ein digitales Zertifikat ist heute kein Garant für Sicherheit mehr

Jahrelang galt das Schloss neben der URL-Adresse als Symbol für eine sichere Website – inzwischen ist die Sicherheit jedoch nicht mehr garantiert. Der über verschlüsselte Kanäle übertragene Traffic sollte nicht allein aufgrund von digitalen Zertifikaten als vertrauenswürdig eingestuft werden. SSL wird heute allzu oft als weitere Waffe im Arsenal von Cyberkriminellen missbraucht und kann daher keinen zuverlässigen Schutz mehr für Daten gewährleisten, die im Internet übertragen werden.

 

Wie läuft SSL-Überprüfung ab?

Zum Abfangen, Entschlüsseln und Überprüfen von SSL-Traffic werden unterschiedliche Methoden mit je eigenen Konfigurationsanforderungen eingesetzt. Auch bei der Verarbeitung von SSL-Verbindungen bestehen gewisse Unterschiede. Die gängigsten Ansätze werden hier kurz erläutert.

Methode der SSL-Überprüfung

TAP-Modus (Terminal Access Point)

Firewall der nächsten Generation (NGFW)

Proxy

Funktionsweise

Ein einfaches Hardware-Gerät kopiert den gesamten Netzwerk-Traffic zur Offline-Analyse, einschließlich SSL-Überprüfung.

Netzwerkverbindungen durchlaufen eine NGFW mit Transparenz auf Paketebene, wodurch die Erkennung von Bedrohungen eingeschränkt wird.

Zwischen Client und Server werden zwei getrennte Verbindungen hergestellt, wobei alle Datenströme im Netzwerk und Sitzungen vollständig überprüft werden.

Auswirkungen der SSL-Überprüfung

Es wird teure Hardware benötigt (z. B. 10G-Netzwerk-TAPs), damit der gesamte Traffic bei voller Übertragungsgeschwindigkeit ohne Datenverlust kopiert wird.

Da NGFWs nur einen geringen Anteil der Malware erkennen, gelingt es Bedrohungsakteuren allzu oft, sie segmentiert auszuliefern. Sie müssen durch zusätzliche Proxy-Funktionen ergänzt werden. Bei der Aktivierung von Kernfunktionen, z. B. zur Bedrohungsabwehr, kommt es schnell zu Leistungseinbußen.

Ganze Objekte können wiederhergestellt und über zusätzliche Engines zur Bedrohungserkennung wie Sandbox und DLP gescannt werden.

Auswirkungen auf diese Methoden, wenn TLS 1.3 verwendet wird

Eine nachträgliche SSL-Überprüfung funktioniert aufgrund der „Perfect Forward Secrecy“ nicht mehr, die für jede SSL-Sitzung einen neuen Schlüssel erfordert.

Die höheren Performance- und Skalierungsanforderungen von Verschlüsselungen mit TLS 1.3 verursachen Leistungsabfälle, die durch ein Hardware-Upgrade behoben werden müssen.

Im Falle eines Cloud-Proxys, der als Service bereitgestellt wird, ist auf Kundenseite keine Appliance-Aktualisierung erforderlich, damit die Anforderungen an Performance und Skalierung von TLS 1.3 erfüllt sind.

Zur konkreten Veranschaulichung wird hier kurz erläutert, wie die SSL-Überprüfung mit der Zscaler-Plattform abläuft:

  1. Ein Benutzer öffnet einen Browser und sendet eine HTTPS-Anfrage.

  2. Der Zscaler-Service fängt die HTTPS-Anfrage ab. Über einen separaten SSL-Tunnel sendet der Service seine eigene HTTPS-Anfrage an den Zielserver und führt SSL-Verhandlungen durch.

  3. Der Zielserver sendet sein Zertifikat mit dem öffentlichen Schlüssel an den Zscaler-Service.

  4. Zscaler-Service und Zielserver schließen eine SSL-Vereinbarung ab. Anwendungsdaten und nachfolgende Nachrichten werden über den SSL-Tunnel gesendet.

  5. Der Zscaler-Service führt SSL-Verhandlungen mit dem Browser des Users durch. Der Browser erhält das Zwischenzertifikat von Zscaler oder den benutzerdefinierten intermediären Root-Zugang Ihrer Organisation sowie ein von der Zertifizierungsstelle von Zscaler signiertes Serverzertifikat. Der Browser validiert die Zertifikatkette im Zertifikatspeicher des Browsers.

  6. Zscaler-Service und Browser schließen eine SSL-Vereinbarung ab. Anwendungsdaten und nachfolgende Nachrichten werden über den SSL-Tunnel gesendet.

 

SSL-Überprüfung von Zscaler

Die Zscaler Zero Trust Exchange™ stellt eine vollständige SSL-Überprüfung als native Funktion unseres Cloud-basierten Security-Stacks bereit und gewährleistet dadurch erstklassige agile und unbegrenzt skalierbare Cloud-Sicherheit ohne die Einschränkungen von Legacy-Appliances.

SSL-Überprüfung mit der weltweit größten Security-Cloud bietet Organisationen eine Reihe von Vorteilen:

Unbegrenzte Kapazität
Der Service ist in der Lage, den gesamten SSL-Traffic der User innerhalb und außerhalb des Netzwerks zu überprüfen, und lässt sich je nach aktuellem Traffic-Volumen flexibel skalieren.

Effizientere Verwaltung
Zertifikate müssen nicht mehr auf allen Gateways einzeln verwaltet werden. Zertifikate, die in die Zscaler Cloud hochgeladen werden, sind sofort in über 150 Zscaler-Rechenzentren weltweit verfügbar.

Granulare Policy-Control
Zusätzlich zur flexiblen Compliance-Durchsetzung besteht die Möglichkeit, verschlüsselten User-Traffic von der Entschlüsselung auszunehmen – etwa bei sensiblen Website-Kategorien wie Gesundheits- oder Bankdaten.

Sicherheit
Die Lösung unterstützt die jeweils aktuellen AES/GCM- und DHE-Verschlüsselungen für „Perfect Forward Secrecy“ und ermöglicht so anhaltenden Schutz.  Userdaten werden niemals in der Cloud gespeichert.

Vereinfachtes Zertifikatsmanagement
Es können Zertifikate von Zscaler oder eigene genutzt werden. Mithilfe der API von Zscaler lassen sich Zertifikate beliebig oft wechseln.

 

Wie der verschlüsselte Traffic ohne Einschränkungen und kostspielige Appliances überprüft werden kann, wird auf der Seite zur SSL-Überprüfung von Zscaler erklärt.