Verschlüsselung – die versteckte Gefahr für Unternehmen

Der Sicherheit wegen steigt die Verschlüsselung von Web-Inhalten stetig an. Laut Google sind bereits 80 Prozent aller Webseiten verschlüsselt, die Zscaler-Cloud registriert mehr als 60 Prozent verschlüsselten Datenverkehr im Internet. Kein Wunder, denn die Verschlüsselung von Webseiten ist einfach zu bewerkstelligen und suggeriert Sicherheit.

SSL- oder TLS-verschlüsselte Datenströme vermitteln Unternehmen allerdings lediglich ein Gefühl vermeintlich sicherer Daten, die durch das Internet geschickt werden. Die Realität sieht anders aus, wie der Halbjahres-Threat-Report 2017 der ThreatLabZ-Sicherheitsspezialisten belegt. Allein in den letzten sechs Monaten verdoppelte sich die Anzahl an schädlichen Inhalten, die hinter der Verschlüsselung verborgen in Unternehmensnetze eindringen konnten.

Der Hauptgrund für die Verschlüsselung ist, dass Informationen zwischen Webserver und Anwender privat verschickt werden, ohne dass die Datenströme einsehbar sind. Und genau hier beginnt das Sicherheitsdilemma. Denn hinter Datenverkehr, der nicht für eine Malware-Untersuchung aufgebrochen wird, gelangt Schadcode unbemerkt in Unternehmen. Die Tendenz ist rasant steigend: hinter 8,4 Millionen täglich blockierter SSL/TLS-Web-Anfragen in der Sicherheits-Cloud verbargen sich 600.000 Advanced Threats. Das Schadcodeaufkommen hat sich damit allein in den letzten sechs Monaten mehr als verdoppelt. Gezählt wurden laut ThreatLabZ-Report beispielsweise 12.000 Angriffe von Phishing-Seiten pro Tag, die vertrauliche Informationen abgreifen, ebenso wie Banking Trojaner, Ransomware oder Info-Stealer-Trojaner.

Auf den Punkt gebracht bedeutet das, dass mit Verschlüsselung eine versteckte Gefahr für Unternehmen einhergeht. Auch wenn Unternehmen Security-Racks am Unternehmensperimeter stapeln und hohe Sicherheitsstandards auffahren, ist eine Infektion möglich, wenn verschlüsselte Datenströme nicht aufgebrochen und auf Schadcode untersucht werden. Die Schlussfolgerung liegt nahe, dass Datenströme nicht untersucht werden. Angesichts der enormen Bedrohungslage stellt sich die Frage, warum Unternehmen hier nur zögerlich agieren.

Die Performance zur SSL/TLS-Untersuchung fehlt

Schadcode kann an Hardware-basierten Perimeter-Sicherheitslösungen vorbeigeschleust werden, da diese angesichts der Zunahme des verschlüsselten Datenverkehrs nicht mit der notwendigen Leistungsfähigkeit aufwarten, um flächendeckende Malware-Untersuchungen zu bewerkstelligen. Die Architektur der Sicherheits-Hardware wurde oftmals bereits vor 15 Jahren entwickelt. Damals existierten nicht nur völlig andere Rahmenbedingungen hinsichtlich des Internet-Datenverkehrs, es herrschte in den Unternehmen generell auch weniger Traffic ins Internet vor. Auch der SSL-verschlüsselte Verkehr war kaum vorhanden, sodass nur ein Bruchteil der Webseiten zur Sicherheitsinspektion aufgebrochen werden musste.

Hinzu kommt, dass sich der Verschlüsselungsmechanismus zu Gunsten höherer Sicherheit gewandelt hat. Waren bis vor wenigen Jahren noch 1024-Bit-Chiffren angesagt, so sind heute 2048-Bit-Schlüssel der Standard. Damit hat sich der Aufwand der Untersuchung nicht, wie es auf den ersten Blick scheint, verdoppelt, sondern um das Achtfache gesteigert. Denn diese stärke Verschlüsselung benötigt den achtfachen Rechenaufwand, um sie zu entschlüsseln.

Zusammen mit zehnmal so viel Datenverkehr ins Internet und dem rasanten Anstieg des verschlüsselten Traffics müssten herkömmliche Sicherheits-Appliances deutlich aufgestockt oder der Perimeterschutz um SSL-Decryption-Appliances erweitert werden, um mit der erforderlichen Leistung aufzuwarten. Damit ist ein erheblicher Kostenfaktor und Administrationsaufwand verbunden. Angesichts der Kostenexplosion ist es nicht verwunderlich, dass kein breites SSL-Scanning betrieben wird.

Datensicherheit versus Datenschutz

Zu den technischen Limitierungen treten organisatorische Bedenken der Datenschützer. Einerseits kann die Hardware nicht mit den geänderten Anforderungen Schritt halten, andererseits stemmen sich die Betriebsräte aus Gründen des Datenschutzes gegen die Untersuchung des verschlüsselten Datenverkehrs. Sie befürchten eine Überwachung der Mitarbeiter, wenn die SSL/TLS-Verschlüsselung am Perimeter zur Untersuchung aufgebrochen wird.

Die Datenschutzbeauftragten des Bundes und der Länder haben 2013 entschieden, dass eine end-to-end-Verschlüsselung aufgrund des Datenschutzes grundsätzlich geboten ist. Aus Sicht der Datenschutzbeauftragten kann die Vertraulichkeit, Integrität und Authentizität nur durch kryptographische Verfahren gesichert werden. Allerdings steht eine solche SSL-Verschlüsselung nicht gleichzeitig für „sauberen“ Datenverkehr, wie die Zscaler ThreatLabZ-Studie zeigt.

Und hier beginnt der Zwiespalt, denn die Privatsphäre der Mitarbeiter steht dem Schutz des geistigen Eigentums der Unternehmen gegenüber. Durch den Einsatz von SSL-Scanning wird ein verschlüsselter Datentransfer temporär aufgebrochen und damit entschlüsselt, bevor er durch Sicherheitstechnologie zur Erkennung von Schadsoftware untersucht und anschließend wieder verschlüsselt wird. Durch diese Vorgehensweise ist eine durchgehende end-to-end-Verschlüsselung nicht mehr gegeben.

Allerdings muss einem Unternehmen unter Berücksichtigung datenschutzrechtlicher Aspekte zugestanden werden, konkrete Internetgefahren zu minimieren. Auch die Datenschutzgrundverordnung verweist darauf, dass Unternehmen “State of the Art”-Technologien einsetzen müssen, um den neuen Rahmenbedingungen an den Datenschutz ab 2018 Rechnung zu tragen.

SSL-Scanning ist eine Möglichkeit, den Internet-Datenverkehr auf schadhaften Inhalt wie Viren, Phishing, Advanced Threats oder Botnets zu untersuchen und damit ein Abfließen geistigen Eigentums zu unterbinden. Ein überzeugendes Argument, wenn man bedenkt, dass durch Spionage nicht nur Schäden in Millionenhöhe verursacht werden, sondern auch die wirtschaftliche Existenz von Unternehmen bedroht wird.

Unternehmen tun gut daran, die Anforderungen des Betriebsrats mit den geschäftlichen Anforderungen nach Sicherheit in Einklang zu bringen. Um den Zielkonflikt rechtskonform hinsichtlich des Datenschutzes zu bewältigen, müssen Unternehmen entsprechende Vorkehrungen treffen. Die Kommunikation mit Mitarbeitern ist notwendig.

Die IT-Abteilung steht ihrerseits vor der Herausforderung, einen Security-Lösungsansatz zu wählen, der performant genug ist, die SSL-Entschlüsselung und das Scanning auf Malware so zu bewältigen, dass die Anwender keine Leistungseinbußen beim Internetzugriff bemerken. Die Ausbreitung SSL/TLS basierter Malware-Attacken spricht eine deutliche Sprache und zeigt, dass hier Handlungsbedarf besteht.