Sicherheitsrisiko SSL – wie sich moderne Malware versteckt

Cyberattacken: was wir bis jetzt gesehen haben, ist nur die Spitze des Eisbergs. Die des unverschlüsselten, offenen und gut einsehbaren Datenverkehrs. Doch es gibt noch die andere Seite: die verschlüsselte Seite – SSL. Sie wird in der Regel nicht gescannt und birgt jede Menge Risiken. SaaS-Scanner-Anbieters Zscaler plaudert aus dem täglichen Scan-Nähkästchen.

Größtes Hindernis bei SSL-Kommunikation ist das Thema Geschwindigkeit: Schon der Datenverkehr mit 512 oder 1024 Bit-Verschlüsselung bremst die Geschwindigkeit der Übertragung um etwa 74 Prozent im Vergleich zur unverschlüsselten Übertragung (lt. NSS Labs -Studie). Wird mit dem üblichen 2048 Bit verschlüsselt, liegt die Leistungseinbuße bei bis zu 81 Prozent.  Noch schlimmer ist es mit einem Proxy-Server (zur Studie als PDF). Kein Wunder also, dass deshalb häufig auf das Scannen von SSL-Daten verzichtet – denn schneller wird die Datenübertragung damit nicht.
Für Banken und Versicherer heißt das: entweder Leistungseinbußen in Kauf nehmen oder in Technologien investieren, um den verschlüsselten Datenverkehr unter die Lupe zu nehmen. Die Alternative: Finanzdienstleister blieben auf einem Auge blind – in diesem Fall in Bezug auf den HTTPS-Traffic – das wäre tollkühn und entspricht sicher nicht den Anforderungen der Finanzaufsicht.
Derzeit sind etwa 25 Prozent des gesamten über das Internet abgewickelten Datenverkehrs SSL-verschlüsselt. Und dieser Traffic wird kaum auf darin verborgene Schadsoftware gescannt. Das bedeutet: ein Viertel des gesamten Datenverkehrs hat das Potenzial Malware direkt und ohne große Umstände ins Zentrum des Unternehmens zu befördern. Ein gefundenes Fressen für die Entwickler von Malware und Schadcode, die zunehmend SSL nutzen.

SSL muss gescannt werden

Bereits 16 Prozent des vom Anbieter Zscaler geblockten Malware-Traffics verbirgt sich in SSL-verschlüsseltem Datenverkehr: ZeroAccess-Attacken, Bitcoin-Mining- und Kazy-Trojaner waren ebenso unter den aufgespürten Schädlingen, wie Black Holes, aktuelle Ransomware und Backdoors. Und alle wurden durch SSL-Traffic transportiert:
 46 Prozent der blockierten Malware war HTTP-basiert
 31Prozent war HTTPS-basiert
 und erstaunliche 23% waren eine Mixtur aus beiden.

In Summe haben 54 Prozent des Malware-Traffics in diesem Beispiel SSL-verschlüsselten Datenverkehr benutzt um sogenannte Advanced Persistent Threats an ihr Ziel zu bringen.

Funktionsweise komplexer Bedrohungen

Was an der Oberfläche wie ein gutartiges Programm aussieht, kann sich im Netzwerk als Büchse der Pandora erweisen. Ein Beispiel dafür deckte Zscaler kürzlich bei einem Fortune 500-Unternehmen mit einer Attacke auf, die unter dem Namen „Dr. Watson“ bekannt geworden ist. Ursprünglich handelte es sich um ein HTTP-basiertes Programm, das aus einer vertrauenswürdigen Quelle zu stammen schien, und dem der Zutritt ins Netzwerk gewährt wurde. Einmal dort angekommen, begann der Trojaner weitere Malware-Bestandteile aus einer DropBox herunterzuladen. Dabei benutzte er SSL-Verschlüsselung um seine illegalen Aktivitäten wirksam zu verschleiern.

APT kommt über SSL

Will man komplexe Attacken wie APTs wirksam abwehren, sind es im wesentlichen drei Schritte zu berücksichtigen: schützen, aufdecken, beseitigen.  Dabei gelten fünf Punkte:

1. Malware kommt über SSL. Es handelt sich um real existierende Bedrohungen.
2. SSL-verschlüsselter Datenverkehr muss auf Malware gesannt werden. Dazu muss in Netzwerkinfrastruktur investieren werden. 
3. Respektvoller Umgang mit der Privatsphäre und dem Datenschutz der Mitarbeiter durch aktive Kommunikation. Wenn Unternehmen ihren Mitarbeitern bis zu einem gewissen Grad gestatten die Unternehmensinfrastruktur auch für private Zwecke zu nutzen – und es wäre veraltet dies nicht zu tun – dann heißt das zugleich auch die Privatsphäre bis zu einem gewissen Grad zu respektieren. Das heißt aber nicht, dass dies zu Lasten der Sicherheit gehen darf. Aktive Information der Mitarbeiter tut Not über die Bedeutung, wirklich den gesamten Datenverkehr zu überwachen und worin die Vorteile für beide Parteien liegen.
4. Es gibt eine Reihe von Webseiten, die als vertraulich eingestuft werden können, beispielsweise solche zum Onlinebanking. Man kann also eine Whitelist für den Teil des SSL-Traffic anlegen, der als aus einer vertrauenswürdigen Quelle stammt.
5. Und – diese eingerichteten Whitelists müssen regelmäßig überprüft werden, um sicher zu gehen, dass es sich immer noch um vertrauenswürdige Quellen handelt.

SSL dient nur dazu Datenverkehr zu verschlüsseln. SSL kann nicht garantieren, dass es sich um „sauberen“ Datenverkehr handelt. Ist die Datenquelle entweder bösartig oder kompromittiert, haben auch Banken, Sparkassen und Versicherer definitiv ein Problem. SSL-verschlüsselten Datenverkehr zu untersuchen ist kompliziert, aber nicht unmöglich. Eine Private Cloud-basierte Sicherheitslösung kann dabei helfen, den Datenverkehr ohne Performance-Einbußen zu scannen und zeitgleich granulare Sicherheitsregeln zu erlauben.