Zahlreiche Security-Produkte greifen gefährlich in HTTPS-Verkehr ein

Eine Vielzahl an Antivirus-Suiten und Security-Produkten von zahlreichen Herstellern unterminiert die Sicherheit von HTTPS-Verbindungen und setzt Browser-Nutzern Angriffen aus. Zu diesem Ergebnis kommt die von Experten von Google, Mozilla, Cloudflare und mehreren US-Universitäten durchgeführte und jetzt veröffentlichte Studie “The Security Impact of HTTPS Interception (PDF).

Aufgrund zahlreicher Bemühungen – auch von Google und Mozilla – die Nutzung von HTTPS zu fördern, ist mittlerweile die Hälfte des Web-Traffics derart abgesichert. Allerdings nimmt den Autoren der Studie zufolge nicht nur die Nutzung von HTTPS oder HTTP über TLS zu, sondern greifen auch immer mehr Security-Appliances und Antivirus-Produkte bei ihrer Aufgabe, den Netzwerkverkehr zu untersuchen, auf eine Art und Weise in die TLS-Verbindungen ein, die neue Ansätze für Angriffe ermöglichen.

Dazu trägt insbesondere bei, das die Anbieter die Prüfung nach dem sogenannten “TLS Handshake” vernachlässigen, bei dem Antivirus oder Netzwerk-Appliances die vom Client imitierte TLS-Session terminieren und entschlüsseln, um den darin befindlichen HTTP-Klartext zu untersuchen und dann eine neue TLS-Verbindung zur Ziel-Webseite aufbauen.

Bei der Untersuchung von acht Milliarden TLS-Handshakes, die von den Browsern Chrome, Safari, Internet Explorer und Firefox ausgingen, stellten die Forscher Eingriffe bei 4 Prozent der Verbindungen zu Mozillas Update-Servern für Firefox, 6,2 Prozent der aufgerufenen E-Commerce-Sites und 10,9 Prozent der Verbindungen zu den US-Diensten von Cloudflare fest. Durch diese Eingriffe wurden 97 Prozent der Verbindungen zu den Firefox-Servern, 32 Prozent der Verbindungen zu E-Commerce-Sites und 54 Prozent der Verbindungen zu Cloudflare durch den Eingriff der Security-Produkte weniger sicher. Ein großer Teil nutze zudem schwache Versschlüsselungsalgorithmen und unterstützte nach wie als unsicher geltenden Chiffren.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

“Unsere Studie zeigt, dass Eingriffe in HTTPS erstaunlich weit verbreitet sind und eingreifende Produkte insgesamt einen stark negativen Einfluss auf die Verbindungssicherheit haben. Wir hoffen, dass dieser Zustandsbericht etwas Licht in die Sache bringt und dazu beiträgt, derzeit mangelhafte Produkte zu verbessern, die Diskussion um kürzlich unterbreitete Vorschläge, wie sich sicher in HTTPS-Traffic eingreifen lässt voranbringt und eine Diskussion über langfristige Lösungen anstößt”, schreiben die Autoren der Studie.

Ihnen zufolge führen die Standardeinstellungen bei 11 von 12 getesteten Netzwerk-Appliances dazu, dass ernsthafte Fehler auftreten. Die rühmliche Ausnahme ist der von Symantec angebotene Blue Coat ProxySG 6642. Bei den anderen, getesteten Produkten könnten durch die fehlerhaften Default-Einstellungen zum Beispiel Zertifikate fälschlicherweise als echt validiert werden. Sie stammen unter anderem von A10 Networks, Barracuda Networks, Checkpoint, Cisco, Forcepoint, Fortinet, Juniper, Microsoft und Sophos.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Außerdem führen der Studie zufolge 21 von 26 getesteten Antivirus-Produkten zu einem oder mehreren Sicherheitsproblemen beim Umgang mit HTTPS. Ursprünglich nannten die Forscher in ihrer Arbeit sogar 24 Antivirus-Produkte als fehlerhaft. Inzwischen haben sie aber eingeräumt, dass sie sich bei den drei getesteten und zunächst als fehlerhafte eingestuften G-Data-Produkten getäuscht haben. Bei anderen betroffenen Anbietern hat silicon.de nachgefragt, Antworten stehen aber noch aus.

Daneben erhielten im Test nur noch Avast AV 11 und AV 10 die bestmögliche Bewertung und wurden damit als unbedenklich eingestuft. Schlechter schnitten unter anderem Produkte von AVG, Bitdefender, Bullguard, Dr Web, ESET und Kaspersky ab.

Bei den Security-Produkten von G Data kann die von den US-Forschern bemängelte Prüfung durch Abwahl von “SSL-Verbindungen prüfen” deaktiviert werden. Daher soll die Studie nun aktualisiert werden und gehört G Data neben Avast zu den Herstellern, die den Test bestanden haben (Screenshot: G Data)
Redaktion

Recent Posts

Metaversum: Arbeitsplatz der Zukunft mit dem Mensch im Mittelpunkt

Vom 17. bis 19. Juli findet das größte Event für Tech-Recruiting und Employer Branding auf…

12 Stunden ago

NIS-2-Richtlinie verändert Verantwortung für Domain-Sicherheit

Richtlinie enthält erweiterte und präzisierte Anforderungen und bringt spezifische Verpflichtungen und erhöhte Verantwortlichkeiten für Unternehmen.

13 Stunden ago

Lock-In-Effekte auf dem Cloud-Markt nicht zu unterschätzen

Lizensierungspraktiken auf dem Cloud-Markt begünstigen die Bündelung von Software- und Cloud-Angeboten und führen zu Lock-In-Effekten…

13 Stunden ago

Automobilzulieferer Bosch baut Software-Portfolio stark aus

Eine Vielzahl neuer Software-Lösungen soll domänenübergreifende Funktionen liefern und das Design der Fahrzeugarchitekturen vereinfachen.

17 Stunden ago

EU Cyber Resilience Act: Auswirkungen für die Sicherheit von Produkten und Services

Vor welche Herausforderungen die EU-Verordnung die Unternehmen stellt, erklären Security-Experten von Fortinet im Podcast.

1 Tag ago

Malware-Ranking Juni 2024: RansomHub entthront LockBit3

Global Threat Index von Check Point: RansomHub war die am weitesten verbreitete Ransomware-Gruppe, gefolgt von…

3 Tagen ago