Ressourcen > Sicherheit – Glossar > Was bedeutet SSL-Überprüfung?

Was bedeutet SSL-Überprüfung?

Was bedeutet SSL-Überprüfung?

Bei der SSL-Überprüfung wird SSL-verschlüsselte Internetkommunikation zwischen Client und Server abgefangen und auf schädliche Inhalte untersucht. Die Überprüfung von SSL-Traffic ist äußerst wichtig geworden, da die überwiegende Mehrheit des Internet-Traffics, einschließlich schädlicher Inhalte, mit SSL-verschlüsselt ist.

Zscaler ThreatLabZ beobachtete im Jahr 2018 einen Anstieg der über SSL-Kanäle übertragenen Phishing-Angriffe
von 400 % im Vergleich zum Vorjahr. Angreifer nutzen den verschlüsselten Kanal zudem, um Malware einzuschleusen, C&C-Aktivitäten auszuführen und sensible Daten ihrer Opfer abzufangen.

Zscaler™ Cloud Security Insights: Eine Analyse SSL/TLS-basierter Bedrohungen, 2019

Vor- und Nachteile

Das ursprünglich 1994 entwickelte kryptografische Protokoll Secure Sockets Layer (SSL) und dessen Nachfolger Transport Layer Security (TLS) sollten die Kommunikation und den eingehenden Traffic von Organisationen schützen. Angesichts der ständig wachsenden Bedenken in Hinblick auf Datenschutz entwickelte sich in den letzten Jahren ein starker Trend hin zu standardmäßiger Verschlüsselung im Internet. Dies ist zwar ein großer Fortschritt in puncto Datenschutz, bedeutet jedoch auch eine Herausforderung für die IT-Sicherheit. Entschlüsselung, Überprüfung und Wiederverschlüsselung von Traffic sind keine Kleinigkeit und führen bei herkömmlichen Sicherheitsappliances zu erheblichen Leistungseinbußen. Zudem verfügen die meisten Organisationen nicht über die entsprechende Ausrüstung, um verschlüsselten Traffic in großem Umfang zu untersuchen.

Da Betrüger dies wissen, nehmen SSL-basierte Bedrohungen ständig zu. Obwohl Hacker viele Wege gefunden haben, um Systeme zu infiltrieren und Daten zu stehlen, bleibt das Entschlüsseln des Codes schwierig, zeitaufwendig und daher ineffizient. Stattdessen verschlüsseln Betrüger nun selbst Daten, um unentdeckt schädliche Inhalte zu verbreiten, Malware zu verbergen und Angriffe auszuführen.

Jahrelang galt das Schloss neben der URL-Adresse als Symbol für eine sichere Website – inzwischen ist die Sicherheit jedoch nicht mehr garantiert. Der über verschlüsselte Kanäle übertragene Traffic sollte nicht allein aufgrund von digitalen Zertifikaten als vertrauenswürdig eingestuft werden. Einst galt SSL als der ultimative Schutz für Daten, die über das Internet übertragen werden, heute bietet es hingegen Cyberkriminellen die perfekte Bedingungen, um ihren bösartigen Machenschaften nachzugehen.

 
Wir verwenden jetzt in etwa der Hälfte unserer Filialen SSL-Überprüfung und gehen davon aus, dass die Einführung in einigen Monaten abgeschlossen sein wird. Einige Anwendungen für den Einzelhandel lassen sich nicht gut mit der SSL-Überprüfung kombinieren. Wir mussten also sicherstellen, dass der Betrieb nicht beeinträchtigt wird.
Jeff Johnson, Director of Security Operations, AutoNation
Im Juni 2020 wurden 96 % der Seiten auf Google Chrome in den USA mit HTTPS-Verschlüsselung geladen.
Google Transparency Report

Ablauf der SSL-Überprüfung

Verschlüsselter Traffic macht den größten Teil des Traffics in Unternehmen aus, aber viele Organisationen überprüfen nur einen Teil dieses Traffics, sodass der Traffic von Content Delivery Networks (CDNs) und bestimmten „vertrauenswürdigen“ Websites nicht geprüft wird. Dieses Vorgehen ist mitunter riskant, denn Webseiten sind nicht statisch. Auf ihnen werden personalisierte Inhalte dynamisch bereitgestellt, die aus Hunderten von Objekten aus verschiedenen Quellen bestehen können. Jedes dieser Objekte stellt eine potenzielle Bedrohung dar und sollte unabhängig von der Quelle als nicht vertrauenswürdig betrachtet werden.

Gleichzeitig nutzen Cyberkriminelle die Verschlüsselung für ihre Zwecke aus. Mittlerweile ist es einfach (und billig), an ein gültiges SSL-Zertifikat zu kommen, wodurch Betrüger schädliche Inhalte leicht verstecken können. Diese schädlichen Inhalte sind heutzutage so verbreitet, dass innerhalb von sechs Monaten 1,7 Milliarden im SSL-Traffic versteckte Bedrohungen von der Zscaler Cloud blockiert wurden. Wenn verschlüsselter Traffic nicht überprüft wird, kann die steigende Anzahl potenzieller Bedrohungen ungesehen passieren.

Wie zuvor erwähnt sind jedoch viele Rechenzyklen erforderlich, um den SSL-Traffic zu überprüfen – und die Auswirkungen auf die Leistung der Unternehmensinfrastruktur können gravierend sein. Unternehmen können es sich nicht leisten, Business und Workflows zum Stillstand zu bringen. Daher haben sie keine andere Wahl, als die Überprüfung mithilfe von Appliances zu umgehen, die mit den Verarbeitungsanforderungen oder dem erforderlichen Volumen nicht mithalten können.

In dieser Tabelle werden die gängigen Methoden zur Überprüfung des SSL-Traffics und die wichtigsten Überlegungen veranschaulicht.

Methode der SSL-Überprüfung

TAP-Modus

Next Generation Firewall (NGFW)

Proxy

Funktionsweise

Ein einfaches Hardware-Gerät kopiert den gesamten Netzwerk-Traffic zur Offline-Analyse, einschließlich SSL-Überprüfung.

Netzwerkverbindungen durchlaufen eine NGFW-Appliance mit Transparenz auf Paketebene, wodurch die Erkennung von Bedrohungen eingeschränkt wird.

Zwischen Client und Server werden zwei getrennte Verbindungen hergestellt, wobei Datenströme im Netzwerk und Sitzungen vollständig überprüft werden.

Auswirkungen der SSL-Überprüfung

Für Hardware-TAPs benötigt man teure Hardware (z. B. 10G-Netzwerk-TAPs), damit der gesamte Traffic bei voller Übertragungsgeschwindigkeit ohne Datenverlust kopiert wird.

Nur ein geringer Teil der Malware kann entdeckt werden, wodurch Malware segmentiert übertragen wird. Eine zusätzliche Proxy-Funktion muss nachgerüstet werden. In der Regel kommt es zu Leistungseinbußen, wenn zusätzliche Funktionen (z. B. zur Bedrohungsabwehr) genutzt werden.

Mit einem Proxy kann ein ganzes Objekt wiederhergestellt und gescannt werden. Außerdem können schädliche Inhalte über zusätzliche Engines zur Bedrohungserkennung wie Sandbox und DLP entdeckt werden.

Auswirkungen auf diese Methoden, wenn TLS 1.3 verwendet wird

Eine nachträgliche SSL-Überprüfung funktioniert nicht mehr, denn TLS 1.3 setzt „Perfect Forward Secrecy“ voraus, wodurch für jede SSL-Sitzung ein neuer Schlüssel erforderlich ist.

Es kommt zu Leistungseinbußen. Aufgrund der höheren Leistungs- und Skalierungsanforderungen der neuen TLS-1.3-Verschlüsselungen müssen Appliances aktualisiert werden, um die ursprünglich angegebene Leistung zu erreichen.

Appliances müssen aktualisiert werden, um die Leistungs- und Skalierungsanforderungen von TLS 1.3 zu erfüllen.

Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

Whitepaper lesen
Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

Zscalers Security Stack als Service mit unbegrenzter SSL-Überprüfung

Datenblatt lesen
Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

Warum sollten Unternehmen ihren SSL-Traffic überprüfen?

Blog lesen
Verschlüsselung, Privatsphäre und Datenschutz: Ein Balanceakt

Vorgehensweise von Zscaler

Die Cloud-Sicherheitsplattform von Zscaler ermöglicht eine umfassende SSL-Überprüfung ohne Latenzerhöhung und Kapazitätsverlust. Durch Kombinieren der SSL-Überprüfung mit Zscalers vollständigem Security Stack aus der Cloud erhalten Unternehmen einen verbesserten Schutz ohne die Leistungsbeschränkungen von Appliances.

Zscaler führt eine vollständige Analyse ein- und ausgehender Inhalte durch und bietet unbegrenzte Kapazität zur Überprüfung des gesamten Traffics, einschließlich SSL. Alle User – ob innerhalb oder außerhalb des Netzwerks – sind gleichermaßen geschützt.

 

Weitere Ressourcen: