Zahlreiche Security-Produkte greifen gefährlich in HTTPS-Verkehr ein

HTTPS-Datenverkehr (Bild: Shutterstock)

Die Autoren der Studie “The Security Impact of HTTPS Interception” machen Herstellern schwere Vorwürfe: Zahlreiche Antivirus-Suiten und Security-Appliances greifen ihnen zufolge so in verschlüsselten Datenverkehr ein, dass Ansatzpunkte für Angriffe entstehen.

Eine Vielzahl an Antivirus-Suiten und Security-Produkten von zahlreichen Herstellern unterminiert die Sicherheit von HTTPS-Verbindungen und setzt Browser-Nutzern Angriffen aus. Zu diesem Ergebnis kommt die von Experten von Google, Mozilla, Cloudflare und mehreren US-Universitäten durchgeführte und jetzt veröffentlichte Studie “The Security Impact of HTTPS Interception (PDF).

Aufgrund zahlreicher Bemühungen – auch von Google und Mozilla – die Nutzung von HTTPS zu fördern, ist mittlerweile die Hälfte des Web-Traffics derart abgesichert. Allerdings nimmt den Autoren der Studie zufolge nicht nur die Nutzung von HTTPS oder HTTP über TLS zu, sondern greifen auch immer mehr Security-Appliances und Antivirus-Produkte bei ihrer Aufgabe, den Netzwerkverkehr zu untersuchen, auf eine Art und Weise in die TLS-Verbindungen ein, die neue Ansätze für Angriffe ermöglichen.

HTTPS-Datenverkehr (Bild: Shutterstock)

Dazu trägt insbesondere bei, das die Anbieter die Prüfung nach dem sogenannten “TLS Handshake” vernachlässigen, bei dem Antivirus oder Netzwerk-Appliances die vom Client imitierte TLS-Session terminieren und entschlüsseln, um den darin befindlichen HTTP-Klartext zu untersuchen und dann eine neue TLS-Verbindung zur Ziel-Webseite aufbauen.

Bei der Untersuchung von acht Milliarden TLS-Handshakes, die von den Browsern Chrome, Safari, Internet Explorer und Firefox ausgingen, stellten die Forscher Eingriffe bei 4 Prozent der Verbindungen zu Mozillas Update-Servern für Firefox, 6,2 Prozent der aufgerufenen E-Commerce-Sites und 10,9 Prozent der Verbindungen zu den US-Diensten von Cloudflare fest. Durch diese Eingriffe wurden 97 Prozent der Verbindungen zu den Firefox-Servern, 32 Prozent der Verbindungen zu E-Commerce-Sites und 54 Prozent der Verbindungen zu Cloudflare durch den Eingriff der Security-Produkte weniger sicher. Ein großer Teil nutze zudem schwache Versschlüsselungsalgorithmen und unterstützte nach wie als unsicher geltenden Chiffren.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

“Unsere Studie zeigt, dass Eingriffe in HTTPS erstaunlich weit verbreitet sind und eingreifende Produkte insgesamt einen stark negativen Einfluss auf die Verbindungssicherheit haben. Wir hoffen, dass dieser Zustandsbericht etwas Licht in die Sache bringt und dazu beiträgt, derzeit mangelhafte Produkte zu verbessern, die Diskussion um kürzlich unterbreitete Vorschläge, wie sich sicher in HTTPS-Traffic eingreifen lässt voranbringt und eine Diskussion über langfristige Lösungen anstößt”, schreiben die Autoren der Studie.

Ihnen zufolge führen die Standardeinstellungen bei 11 von 12 getesteten Netzwerk-Appliances dazu, dass ernsthafte Fehler auftreten. Die rühmliche Ausnahme ist der von Symantec angebotene Blue Coat ProxySG 6642. Bei den anderen, getesteten Produkten könnten durch die fehlerhaften Default-Einstellungen zum Beispiel Zertifikate fälschlicherweise als echt validiert werden. Sie stammen unter anderem von A10 Networks, Barracuda Networks, Checkpoint, Cisco, Forcepoint, Fortinet, Juniper, Microsoft und Sophos.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Außerdem führen der Studie zufolge 21 von 26 getesteten Antivirus-Produkten zu einem oder mehreren Sicherheitsproblemen beim Umgang mit HTTPS. Ursprünglich nannten die Forscher in ihrer Arbeit sogar 24 Antivirus-Produkte als fehlerhaft. Inzwischen haben sie aber eingeräumt, dass sie sich bei den drei getesteten und zunächst als fehlerhafte eingestuften G-Data-Produkten getäuscht haben. Bei anderen betroffenen Anbietern hat silicon.de nachgefragt, Antworten stehen aber noch aus.

Daneben erhielten im Test nur noch Avast AV 11 und AV 10 die bestmögliche Bewertung und wurden damit als unbedenklich eingestuft. Schlechter schnitten unter anderem Produkte von AVG, Bitdefender, Bullguard, Dr Web, ESET und Kaspersky ab.

Bei den Security-Produkten von G Data kann die Prüfung durch Abwahl von "SSL-Verbindungen prüfen" deaktiviert werden (Screenshot: G Data)
Bei den Security-Produkten von G Data kann die von den US-Forschern bemängelte Prüfung durch Abwahl von “SSL-Verbindungen prüfen” deaktiviert werden. Daher soll die Studie nun aktualisiert werden und gehört G Data neben Avast zu den Herstellern, die den Test bestanden haben (Screenshot: G Data)