Sicherheit wird mittlerweile von allen Seiten gefordert. Sei es die Sicherheit im eigenen Land, zuhause oder in der täglichen Kommunikation über das Internet. Fühlen wir uns sicher, können wir getrost weiterleben. Geht es um die tägliche Kommunikation über das Internet, erklingt immer wieder das Stichwort „Verschlüsselung“. Bietet Verschlüsselung tatsächlich Schutz vor neugierigen Langfingern oder vermittelt sie uns lediglich ein Gefühl von Sicherheit und stellt für Cyberkriminelle vielleicht sogar eine verborgene Hintertür dar?

Verschlüsselung einfach erklärt

Die Verschlüsselung von Internetverbindungen scheint längst in der Masse angekommen zu sein: Laut Google sind bereits 80 Prozent aller Webseiten geschützt. Auch viele Messaging-Dienste bauen inzwischen auf verschlüsselte Kommunikation. Doch wie werden Datenströme überhaupt verschlüsselt?   Einfach erklärt: Vielfach taucht bei diesem Thema der Begriff SSL/TLS-Verschlüsselung auf. Was damit gemeint ist, ist Laien nicht unbedingt klar. Hierbei handelt es sich um eine Transportverschlüsselung. Das bedeutet, dass die Daten selbst nicht verschlüsselt werden, aber durch einen verschlüsselten Kanal wandern. Die miteinander kommunizierenden Server einigen sich vor der Nachrichtenübermittlung auf einen Verschlüsselungsstandard, die sogenannte Cipher Suite. Berücksichtigung findet dabei immer der beiderseitig höchste Verschlüsselungsstandard für die Aushandlung. Ziel ist es, dass nur diese beiden Server untereinander Daten austauschen können.   Ob eine Webseite eine solche Transportverschlüsselung anbietet, ist seit der Einführung des sicheren Hypertext-Übertragungsprotokolls leicht zu erkennen: Befindet sich an der Spitze der URL ein „https:“, handelt es sich um eine verschlüsselte Webseite. Weitere Indikatoren sind ein Schloss und die grüne Markierung. Meldet sich zum Beispiel ein Nutzer wie auf dem dargestellten Bild auf einer Webseite an, werden die eingegebenen Daten über einen verschlüsselten Kanal zu dem Zielserver weitergeleitet, welcher die Richtigkeit bzw. die Identität des Nutzers bestätigt.  
Quelle: Amazon.de

Quelle: Amazon.de

 

SSL und TLS – was ist was?

TLS ist der Nachfolger von SSLv3. Die leicht verbesserte Version TLS 1.1 setzte sich jedoch kaum am Markt durch. Die deutlich relevantere Version 1.2, die Hornetsecurity bereits seit Jahren unterstützt, bietet unter anderem mit Perfect Forward Secrecy (PFS) und den entsprechenden Cipher Suites (Ellyptic Curve, Diffie Hellmann) bei entsprechender sicherer Serverkonfiguration einen entscheidenden Security-Mehrwert. Bei Hornetsecurity ist sogar eine Einschränkung der TLS-Kommunikation auf Secure Cipher Suites sowie Trusted Certs möglich, um das Sicherheitsniveau noch einmal zu steigern.   TLS in der Version 1.3 ist derzeit als Working Draft unter https://tools.ietf.org/html/draft-ietf-tls-tls13-11 einsehbar. Voraussichtlich wird diese Version starke Änderungen und Optimierungen in den kryptographischen Hashfunktionen sowie dem Handshaking-Protokoll beinhalten. Es ist aus Security-Sicht wünschenswert, dass die Verbreitung von TLS 1.3 nach finaler Verabschiedung schneller vonstattengehen wird als bei dem seit 2008 vorliegenden TLS 1.2.  

Die Hintertür für Schädlinge?

Über TLS/SSL verschlüsselte Datenströme sind also nicht über Dritte einsehbar, was ja erst einmal Sinn und Zweck ist. Die Kehrseite der Medaille ist jedoch, dass sich auf diese Weise Schadcode unbemerkt übertragen lässt, da eine Analyse auf Malware per se nicht vorgesehen ist.   Um dem entgegen zu wirken, besteht die Möglichkeit des sogenannten SSL-Scannings. Hierbei wird die Verbindung unterbrochen und ein gefälschtes Server-Zertifikat, mit dem sich der Ziel-Server gegenüber dem Server des Nutzers authentifiziert, eingeschleust. Vergleichbar ist dieses Vorgehen mit einer Man-in-the-Middle-Attacke. Das Problem dieser Methode ist daher, dass Dritte den unverschlüsselten Inhalt auslesen können. Damit der Browser dies nicht als Attacke wahrnimmt, ist es nötig, das Stammzertifikat des zur Laufzeit generierten Zertifikats für die angeforderte Seite im Trust Store des Browsers einmalig einzubinden. Dies wird gerade in großen Unternehmen per Softwareverteilung automatisiert durchgeführt. Beim SSL Scanning oder „https aufbrechen“ besteht möglicherweise ein Konflikt zwischen Datensicherheit und Datenschutz. Beabsichtigen Firmen die Nutzung des SSL-Scannings, sollten sie sich daher im Voraus rechtlich absichern.   Vielfach nutzen Unternehmen diese Methode der Analyse verschlüsselter Verbindungen nicht. Einerseits aus Gründen des Datenschutzes, andererseits ist der dafür bisher betriebene Rechenaufwand zu hoch und sehr kostenintensiv. Jedoch konnte der angeführte Overhead (Rechenaufwand), der durch Ver- und Entschlüsselung der Daten sowie Aushandlung der Verbindungsparameter für TLS anfällt, in den letzten Jahren durch gezielte Hard- und Softwaremaßnahmen drastisch reduziert werden.   Lag dieser ursprünglich einmal bei bis zu 20 Prozent, so liegt er heutzutage bei entsprechender Konfiguration etwa auf einem niedrigen einstelligen Prozentbereich beispielsweise in der CPU-Mehrbelastung.   Hardwareseitig sind leistungsstärkere und durch entsprechende Rechenoperationseinheiten (z. B. für AES) ergänzte CPUs gerade im Serverbereich inzwischen Standard, so dass viele Entschlüsselungsoperationen parallel und performant abgearbeitet werden können.   Viele weltweit verbreitete Software-Bibliotheken haben inzwischen eine enorme Beschleunigung bei der Entschlüsselung und Reduktion von Netzwerklatenz implementiert, die bei entsprechender Serverkonfiguration den Overhead merklich reduzieren können.   Die im Webfilter von Hornetsecurity verwendete Webseiten-Kategorisierung stellt eine sichere Alternative für die Analyse durch SSL-Scanning dar. Dabei wird bewusst auf das Aufbrechen des verschlüsselten Kanals verzichtet, da aufgrund der feingranularen Klassifikation der Webseiten das Risiko durch entsprechende Policies minimiert werden kann. Alle Webseiten werden in Kategorien eingeteilt. Als Basis gelten die Inhalte, die sich auf der Webseite befinden und für den Nutzer zugänglich sind. Durch die Zuweisung einer Webseite in eine Kategorie erhält sie eine Art Bewertung. Diese Bewertung gibt darüber Aufschluss, ob es sich um eine unbedenkliche Seite handelt oder nicht. Auf Basis dieser Bewertung und den vorkonfigurierten Policies blockiert der Webfilter-Dienst die angefragte Seite entweder und der Benutzer erhält eine Warnseite oder sie wird ausgeliefert und angezeigt.   Mit Hilfe der Kategorien und weiteren Features lassen sich Compliance-Richtlinien des Unternehmens umsetzen, sowohl auf Nutzer- als auch auf Gruppen- oder Unternehmensebene.  So können Administratoren bestimmte Inhalte sperren oder die Nutzung sozialer Netzwerke nur in der Mittagspause erlauben. Optional bietet Hornetsecurity seinen Kunden als Ergänzung seines umfassenden Webfilterservice zusätzlich SSL-Scanning.  Dies kann der IT-Administrator selbst aktivieren.  

Fazit

Verschlüsselung ist prinzipiell positiv und empfehlenswert. Doch der Sicherheitsaspekt sollte dabei nicht außer Acht gelassen werden, denn verschlüsselte Verbindungen garantieren nicht automatisch auch einen Schutz vor Malware. Verschlüsselung stellt erst dann eine Gefahr für Unternehmen dar, wenn dieser Aspekt kaum bis gar keine Beachtung findet.   Daher ist es ratsam, immer wieder einen Blick hinter die verschlüsselte Verbindung zu werfen und ein wasserdichtes Sicherheitskonzept zu entwickeln. Möglichkeiten für die Absicherung von Webtraffic auch unter Verwendung verschlüsselter Verbindungen bietet die Kategorisierung des Webfilters, ergänzend kann auf Wunsch die Methode des „https aufbrechen“ genutzt werden. Beides bietet Hornetsecurity an. SSL-Scanning setzen die meisten Kunden eher selten ein, da die bereits beschriebene feingranulare Kategorisierung einen deutlichen Mehrwert bringt.  

Neugierig geworden? Weiterführende Informationen: