Zahlreiche Security-Produkte greifen gefährlich in HTTPS-Verkehr ein

SicherheitSicherheitsmanagement

Die Autoren der Studie “The Security Impact of HTTPS Interception” machen Herstellern schwere Vorwürfe: Zahlreiche Antivirus-Suiten und Security-Appliances greifen ihnen zufolge so in verschlüsselten Datenverkehr ein, dass Ansatzpunkte für Angriffe entstehen.

Eine Vielzahl an Antivirus-Suiten und Security-Produkten von zahlreichen Herstellern unterminiert die Sicherheit von HTTPS-Verbindungen und setzt Browser-Nutzern Angriffen aus. Zu diesem Ergebnis kommt die von Experten von Google, Mozilla, Cloudflare und mehreren US-Universitäten durchgeführte und jetzt veröffentlichte Studie “The Security Impact of HTTPS Interception (PDF).

Aufgrund zahlreicher Bemühungen – auch von Google und Mozilla – die Nutzung von HTTPS zu fördern, ist mittlerweile die Hälfte des Web-Traffics derart abgesichert. Allerdings nimmt den Autoren der Studie zufolge nicht nur die Nutzung von HTTPS oder HTTP über TLS zu, sondern greifen auch immer mehr Security-Appliances und Antivirus-Produkte bei ihrer Aufgabe, den Netzwerkverkehr zu untersuchen, auf eine Art und Weise in die TLS-Verbindungen ein, die neue Ansätze für Angriffe ermöglichen.

HTTPS-Datenverkehr (Bild: Shutterstock)

Dazu trägt insbesondere bei, das die Anbieter die Prüfung nach dem sogenannten “TLS Handshake” vernachlässigen, bei dem Antivirus oder Netzwerk-Appliances die vom Client imitierte TLS-Session terminieren und entschlüsseln, um den darin befindlichen HTTP-Klartext zu untersuchen und dann eine neue TLS-Verbindung zur Ziel-Webseite aufbauen.

Bei der Untersuchung von acht Milliarden TLS-Handshakes, die von den Browsern Chrome, Safari, Internet Explorer und Firefox ausgingen, stellten die Forscher Eingriffe bei 4 Prozent der Verbindungen zu Mozillas Update-Servern für Firefox, 6,2 Prozent der aufgerufenen E-Commerce-Sites und 10,9 Prozent der Verbindungen zu den US-Diensten von Cloudflare fest. Durch diese Eingriffe wurden 97 Prozent der Verbindungen zu den Firefox-Servern, 32 Prozent der Verbindungen zu E-Commerce-Sites und 54 Prozent der Verbindungen zu Cloudflare durch den Eingriff der Security-Produkte weniger sicher. Ein großer Teil nutze zudem schwache Versschlüsselungsalgorithmen und unterstützte nach wie als unsicher geltenden Chiffren.

Ausgewählte Whitepaper

Digitale Transformation: Vier gelungene Beispiele

Unternehmen brauchen eine Strategie die sicherstellt, dass für Nutzer On-Demand-Services mit der erwarteten Performance und Benutzerfreundlichkeit bereitgestellt werden. Die alten, Hardware-basierten IT-Ansätze können das bald nicht mehr leisten. Hier erfahren Sie, wie vier Firmen die digitale Transformation geschafft haben.

“Unsere Studie zeigt, dass Eingriffe in HTTPS erstaunlich weit verbreitet sind und eingreifende Produkte insgesamt einen stark negativen Einfluss auf die Verbindungssicherheit haben. Wir hoffen, dass dieser Zustandsbericht etwas Licht in die Sache bringt und dazu beiträgt, derzeit mangelhafte Produkte zu verbessern, die Diskussion um kürzlich unterbreitete Vorschläge, wie sich sicher in HTTPS-Traffic eingreifen lässt voranbringt und eine Diskussion über langfristige Lösungen anstößt”, schreiben die Autoren der Studie.

Ihnen zufolge führen die Standardeinstellungen bei 11 von 12 getesteten Netzwerk-Appliances dazu, dass ernsthafte Fehler auftreten. Die rühmliche Ausnahme ist der von Symantec angebotene Blue Coat ProxySG 6642. Bei den anderen, getesteten Produkten könnten durch die fehlerhaften Default-Einstellungen zum Beispiel Zertifikate fälschlicherweise als echt validiert werden. Sie stammen unter anderem von A10 Networks, Barracuda Networks, Checkpoint, Cisco, Forcepoint, Fortinet, Juniper, Microsoft und Sophos.

Ausgewähltes Whitepaper

Nutzen und Vorteile der Integration von ECM- und ERP-Software

Ein ECM-System kann besonders dort eine wichtige Ergänzung zu einer bereits bestehenden ERP-Lösung darstellen, wo geschäftsrelevante Dokumente separat abgelegt und mit ERP-Datensätzen verknüpft werden sollen, um Geschäftsprozesse vollständig digital abbilden zu können. Dieses Whitepaper beschreibt die Vorteile an einem konkreten Beispiel.

Außerdem führen der Studie zufolge 21 von 26 getesteten Antivirus-Produkten zu einem oder mehreren Sicherheitsproblemen beim Umgang mit HTTPS. Ursprünglich nannten die Forscher in ihrer Arbeit sogar 24 Antivirus-Produkte als fehlerhaft. Inzwischen haben sie aber eingeräumt, dass sie sich bei den drei getesteten und zunächst als fehlerhafte eingestuften G-Data-Produkten getäuscht haben. Bei anderen betroffenen Anbietern hat silicon.de nachgefragt, Antworten stehen aber noch aus.

Daneben erhielten im Test nur noch Avast AV 11 und AV 10 die bestmögliche Bewertung und wurden damit als unbedenklich eingestuft. Schlechter schnitten unter anderem Produkte von AVG, Bitdefender, Bullguard, Dr Web, ESET und Kaspersky ab.

Bei den Security-Produkten von G Data kann die Prüfung durch Abwahl von "SSL-Verbindungen prüfen" deaktiviert werden (Screenshot: G Data)
Bei den Security-Produkten von G Data kann die von den US-Forschern bemängelte Prüfung durch Abwahl von “SSL-Verbindungen prüfen” deaktiviert werden. Daher soll die Studie nun aktualisiert werden und gehört G Data neben Avast zu den Herstellern, die den Test bestanden haben (Screenshot: G Data)
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen