Plädoyer für das Scannen des verschlüsselten Datenverkehrs 7 Mythen zum TLS-Scanning

Autor / Redakteur: Marc Lueck / Peter Schmitz

Die Annahme, dass verschlüsselter Datenverkehr in einer digitalen Welt sicher ist, ist ein weit verbreitetes Missverständnis. Die TLS-Verschlüsselung wurde zwar entwickelt, um den Datenverkehr vor neugierigen Blicken zu schützen, doch leider missbrauchen Angreifer dieses Vertrauen für ihre Zwecke. Eine Organisation, die den TLS-Verkehr nicht inspiziert, setzt sich unnötigen Risiken aus.

Firmen zum Thema

Die Bedrohung durch verschlüsselte Malware macht die TLS-Inspektion zu einem unverzichtbaren Bestandteil der Cybersicherheit jedes modernen Unternehmens.
Die Bedrohung durch verschlüsselte Malware macht die TLS-Inspektion zu einem unverzichtbaren Bestandteil der Cybersicherheit jedes modernen Unternehmens.
(Bild: gemeinfrei / Pixabay )

Cyberkriminelle nutzen verschlüsselten Datenverkehr, um ihre Angriffe zu verschleiern, wodurch der Einsatz von Verschlüsselung zu einer potenziellen Bedrohung wird. Wenn Unternehmen diesen Datenverkehr nicht auf Schadcode überprüfen, laden sie Cyberkriminelle im Grunde ein. Dennoch sieht sich die IT-Abteilung mit Vorbehalten konfrontiert, wenn sie sich für das Scannen des verschlüsselten Datenverkehrs einsetzen.

Privilegierte Daten müssen insbesondere bei deren Übertragung geschützt werden und die Verschlüsselung ist immer noch die praktischste Möglichkeit für den geforderten Schutz. Gehen Daten verloren, die mit branchenüblichen TLS-Verschlüsselungsprotokollen verschlüsselt sind, können sie von externen Angreifern praktisch nicht entschlüsselt werden. Verschlüsselung hilft auch dabei, Vertrauen aufzubauen und Anonymität zu wahren. Diese Kombination macht die TLS-Verschlüsselung ideal für den Schutz der Kommunikation über das Internet - vom einfachen Web-Browsing bis hin zu E-Commerce-Einkäufen – und erfüllt dabei die beiden scheinbar gegensätzlichen Aufgaben. Dennoch hat die Verschlüsselung auch Schattenseiten, wenn sie von Malwareakteuren für ihre Zwecke missbraucht wird.

Wie funktioniert Verschlüsselung?

Die Secure Sockets Layer (SSL)-Verschlüsselung und ihr Nachfolger Transport Layer Security (TLS) etablieren sichere Tunnel zwischen einem Browser und einer Zielseite unter Verwendung eines von einer dritten Partei validierten „Public-Key“-Zertifikats. Diese Zertifikate und die damit aufgebauten Beziehungen schaffen eine Reihe von miteinander verbundenen „Chain of Trusts“. Wenn ein Unternehmen ein solches Zertifikat von einem vom Browser anerkannten Vertrauensanbieter (z. B. Verisign, Thawte) erwirbt, wird dieses Unternehmen zu einem vertrauenswürdigen Mitglied dieser Kette. Surft ein Mitarbeiter auf einer TLS-geschützten Website, tauschen der Browser und die Website Anmeldeinformationen (das Zertifikat) und Parameter aus, so dass die nachfolgende Kommunikation verschlüsselt ist.

Cyberkriminelle wissen, dass TLS-Verschlüsselung der Industriestandard zum Schutz von Daten bei der Übertragung ist. Sie wissen auch, dass Unternehmen den Großteil ihres verschlüsselten Datenverkehrs immer noch nicht scannen und nutzen daher diesen Kanal als bevorzugtes Transportmittel für Malware. Wie der aktuelle „State of Encrypted Attack Report“ zeigt, blockierte die Zscaler Cloud zwischen Januar und September 2020 erstaunliche 6,6 Milliarden Sicherheitsbedrohungen, die sich im verschlüsselten Datenverkehr versteckten. Das sind im Durchschnitt 733 Millionen blockierte Bedrohungen pro Monat. Dieser Durchschnittswert ist ein Anstieg von fast 260 Prozent gegenüber 2019, als die Zero Trust Exchange durchschnittlich 283 Millionen Bedrohungen pro Monat blockierte, die im verschlüsselten Datenverkehr versteckt waren. Diese Zahlen zeigen das enorme Risiko, das von verschlüsseltem Datenverkehr ausgeht, sobald er ungeprüft in ein Unternehmensnetzwerk gelangt. Daher sollte TLS-Scanning eine Schlüsselkomponente der Sicherheitsverteidigung jeder Organisation sein.

Unternehmen, die sich dafür entscheiden, ihren verschlüsselten Datenverkehr nicht zu scannen, verwenden oft falsche Begründungen für ihre Entscheidung. Hier sind einige der häufigsten Einwände gegen das Scannen, die Unwahrheiten über Verschlüsselung aufrechterhalten:

Mythos 1: Mein Unternehmen ist nicht gefährdet

Unternehmen scannen ihren Datenverkehr nicht, weil sie sich der Gefahren nicht bewusst sind, der sie sich dadurch aussetzen. Sie sollten die Augen nicht mehr davor verschließen, dass ein Großteil des Internetverkehrs - bis zu 86% aller Daten in der Zscaler Zero Trust Exchange - verschlüsselt transportiert werden. Angreifer machen keinen Unterschied zwischen großen oder kleinen Organisationen - sie suchen nach leichten Zielen. Unabhängig von der Sensibilität der Daten oder dem Wert des geistigen Eigentums kann der Forstbestand des Unternehmens oder sein Ruf auf dem Spiel stehen, sobald es einem Ransomware-, Malware- oder Phishing-Angriff ausgesetzt ist. Angesichts der professionalisierten Cyberkriminalität ist es heute nicht mehr die Frage, ob ein Unternehmen angegriffen wird, sondern wann. Ignoriert die Geschäftsleitung diese Gefahr durch mangelnde Schutzmaßnahmen sind Arbeitsplätze gefährdet. Es gilt vielmehr ein Verständnis dafür zu entwickeln, wie das Unternehmen vor den Risiken der im Datenverkehr versteckten Malware geschützt werden kann.

Mythos 2: Verschlüsselter Datenverkehr darf aus Datenschutzgründen nicht aufgebrochen werden

Das Aufbrechen von verschlüsseltem Datenverkehr kann persönliche Informationen zugänglich machen, aber das ist nicht der beabsichtigte Zweck von TLS-Scanning. Unternehmen müssen zwischen dem Risikomanagement und der Wahrung der Privatsphäre einen Balanceakt vollziehen. Die TLS-Inspektion wird eingesetzt, um potenzielle Bedrohungen zu identifizieren, die sich im verschlüsselten Datenverkehr verstecken. Um Bedrohungen zu identifizieren, entschlüsselt ein Inspektionsvorgang die Daten. Es vergleicht sie mit einer Reihe von Malware-Signaturen, die als schädlich bekannt sind, und untersucht den Datenstrom, um das Bedrohungsrisiko zu ermitteln, z. B. ob Malware eindringt oder Unternehmensdaten unzulässigerweise nach außen gelangen. Wenn die Daten keine Bedrohung darstellen und keinen Schadcode enthalten, werden sie neu verpackt und können ihren Weg fortsetzen. Auf diese Weise durchgeführt, verletzt die TLS-Inspektion weder die Privatsphäre der Mitarbeiter, da die Daten mit niemandem geteilt werden, noch verletzt sie die individuellen Datenschutzrechte.

Auch datenschutzrechtliche Bestimmungen unterstützen diese Argumentation. Europäische Gesetzgebungen wie die DSGVO, die britische Network and Information Systems Regulation 2018 (NIS) und das Telekommunikationsgesetz (TKG) wurden eingeführt, um sicherzustellen, dass Organisationen personenbezogene Daten schützen und gleichzeitig den freien und fairen Zugang zum Internet bewahren. In der Praxis sorgen diese Vorschriften für ein Gleichgewicht zwischen den Rechten des Einzelnen und den Anforderungen, die Unternehmen zum Schutz von Systemen und Daten umsetzen. So verlangt das TKG beispielsweise, dass Unternehmen schützende technische Vorkehrungen treffen, um Datenverluste zu verhindern und Angriffe von außen abzuwehren. Die NIS besagt ausdrücklich, dass eine Organisation über angemessene Sicherheitsmaßnahmen verfügen muss, um sicherzustellen, dass Systeme und die darin enthaltenen Daten nicht kompromittiert werden können, während Artikel 5 f der DSGVO besagt, dass diese Organisationen „Daten ... in einer Weise verarbeiten müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet“, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen.

Mythos 3: Online-Anonymität wird nicht mehr gewährleistet

Anonymität ist ein wichtiger Bestandteil des Internets, aber in einer Unternehmensumgebung muss sie ihre Grenzen haben. Mitarbeiter erwarten, dass das Surfen im Internet für ihre Kollegen, das Management und sogar für die Sicherheitsteams des Unternehmens anonym ist. Zumindest so lange, bis ein Risiko oder eine Bedrohung dazu führt, dass ein Unternehmen diese Anonymität aufheben muss. Nur wenn eine reale Gefahr besteht, hat ein Unternehmen das Recht, darauf zu reagieren, aber das muss in der Acceptable Use Policy (AUP) eines Unternehmens dokumentiert sein, die in den Arbeitsvertrag des Mitarbeiters aufgenommen wird. Aus den Richtlinien muss klar hervorgehen, dass die Internetnutzung über Firmengeräte oder -netzwerke nur dann gestattet werden darf, wenn der Mitarbeiter dem zugestimmt hat (typischerweise zu Beginn des Arbeitsverhältnisses).

Kann die Anonymität in einem sicheren Tunnel gewahrt werden, wenn verschlüsselte Bedrohungen sowohl für den einzelnen Benutzer als auch für das größere Unternehmen eine solche Gefahr darstellen? Die Bekämpfung des Risikos destruktiver verschlüsselter Bedrohungen beginnt mit der TLS-Datenprüfung. Ein Unternehmen hat die institutionelle und rechtliche Verpflichtung, seine Vermögenswerte zu schützen. Ein Teil davon ist der Schutz der Kommunikation seiner Mitarbeiter. Um TLS-Daten zu inspizieren, muss das Unternehmen die Vertrauenskette der Kommunikation effektiv umleiten, indem es sie mit einem Tunnel zwischen Browser und Inspektionsvorgang und einem weiteren Tunnel zwischen Inspektionsgerät und Ziel unterbricht. Angesichts des Ausmaßes der Sicherheitsrisiken ist eine TLS-Inspektion äußerst sinnvoll. Kein Unternehmen kann ohne eine umfassende Inspektion des verschlüsselten Datenverkehrs sowohl die Datenschutz- als auch die Sicherheitsanforderungen des TKG, der NIS und der DSGVO erfüllen - geschweige denn seine Mitarbeiter und Unternehmensinteressen schützen.

Mythos 4: Ein harter Kampf mit den Datenschutzbeauftragten

Einige Datenschützer und Rechtsanwälte verstehen die vorhandenen technischen Lösungen möglicherweise nicht vollständig und verfügen auch nicht über das entsprechende Know-how zur Beurteilung, ob die Sicherheitsmaßnahmen angesichts des Risikos für ihr Unternehmen angemessen sind. Ihr Einwand könnte in der Tat auf den ersten Blick die schwierigste Hürde sein, die es zu überwinden gilt. Es gibt jedoch ein paar einfache Regeln, wie die Rechtsabteilung einbezogen werden kann, um zu einem einvernehmlichen Ergebnis zu kommen.

Um die Einwände der Datenschutzbeauftragten zu überwinden oder gar nicht erst aufkommen zu lassen, kommt es vor allem auf die Kommunikation an. Sie müssen ein klares Verständnis von der Sensibilität der Daten und den Kontrollmechanismen haben, die zum Schutz dieser sensiblen Informationen eingesetzt werden. Daher muss diese Funktion von Anfang an einbezogen werden, wenn eine IT-Organisation eine Sicherheitslösung evaluiert, die 100 Prozent des verschlüsselten Datenverkehrs scannen kann.

Mythos 5: Betriebsräte verhindern die Überwachung von Mitarbeitern

Betriebsräte und Gewerkschaften haben möglicherweise ähnliche Einwände wie juristische Teams, wenn es um die Überwachung von Mitarbeitern am Arbeitsplatz geht. Aufklärung ist auch hier wichtig, um transparent zu machen, wie TLS-Scanning tatsächlich funktioniert und warum eine solche Lösung erforderlich ist. Gewerkschaften und Betriebsräte müssen überzeugt werden, dass es nicht um die Kontrolle jedes einzelnen Mitarbeiters geht, sondern um den Schutz der Unternehmensdaten im Kampf gegen das Eindringen von Malware in ein Firmennetzwerk. Die Aufklärung über die technischen Details des TLS-Scannens kann helfen.

Wenn der Datenverkehr entschlüsselt wird, um nach unerwünschten bösartigen Aktivitäten zu suchen, werden die Protokolle verschleiert und anonymisiert und können daher nicht direkt mit einer Person in Verbindung gebracht werden. Die Daten sollten während des Scanvorgangs niemals auf einer Festplatte gespeichert werden: Sobald die Datenprüfung abgeschlossen ist, wird der Datenfluss ungehindert fortgesetzt, wobei über das Protokoll der Transaktion selbst hinaus keine Aufzeichnungen über die Quelldaten erhalten bleiben. Nur im Falle eines kritischen Sicherheitsvorfalls kann es erforderlich sein, einen genaueren Blick auf die Daten zu werfen.

TLS-Scanning ist also kein „Big Brother is watching you“-Mechanismus, sondern ein Mittel zum Schutz und der Benutzer muss in den AUP dahingehend aufgeklärt werden, welcher Verkehr gescannt wird. Die Acceptable Use Policies müssen von allen Mitarbeitern explizit akzeptiert werden, üblicherweise über den Arbeitsvertrag. Dieser Vertrag muss den Prozess der Benachrichtigung enthalten, welche Daten geprüft werden. Auf der Grundlage dieser Informationen kann jeder Mitarbeiter eine Entscheidung darüber treffen, welche Webseiten er bei der Nutzung der Internetressourcen des Unternehmens benutzen möchte.

Mythos 6: Die Technologie skaliert nicht für ein umfängliches Scannen des Datenverkehrs

Selbst die IT-Abteilung könnte Einwände gegen das Scannen des gesamten verschlüsselten Internetverkehrs vorbringen. Herkömmliche Sicherheitstools, wie Next Generation Firewalls, bieten nicht die nötige Leistung und Kapazität, um den gesamten Datenverkehr zu entschlüsseln, zu untersuchen und wieder zu verschlüsseln. Diese Hardware wurde nicht für eine tiefe Inhaltsprüfung konzipiert. Der Versuch, den gesamten TLS-Verkehr zu inspizieren, würde den Datenstrom beeinträchtigen und die Produktivität zum Erliegen bringen. Deshalb lassen viele Unternehmen zumindest einen Teil ihres verschlüsselten Datenverkehrs ungeprüft passieren, um die Einschränkungen ihrer bestehenden Hardware-Infrastruktur zu umgehen. Den gesamten Datenverkehr mit herkömmlichen hardwarebasierten Sicherheitsgeräten zu scannen, würde bedeuten, dass die IT-Teams damit beschäftigt wären, ihre bestehende Infrastruktur an allen Internet-Breakout-Punkten aufzurüsten. Das ist nicht nur komplex, sondern auch kostenintensiv. In der Realität werden diese Organisationen nicht zugeben, dass ihre Infrastrukturen nicht an die Anforderungen der modernen Arbeitsweise angepasst sind.

Natürlich gibt es herkömmliche hardwarebasierte Technologie mit entsprechender Kapazität, aber die hat ihren Preis und skaliert nicht ohne weiteres mit dem Volumen des internetbezogenen Datenverkehrs und dessen Spitzen in der heutigen digitalen Welt. Cloud-basierte Lösungen sind gute Alternativen, die die Fähigkeit zur Skalierung und die nötige Flexibilität bieten, insbesondere wenn ein Cloud-basierter Sicherheitsproxy für eine tiefe Inhaltsprüfung Inline konzipiert wurde.

Mythos 7: Eine Frage des Vertrauens: Überprüfungen dürfen nicht Dritten überlassen werden

Vertrauen ist einer der schwierigsten Teile der Sicherheit - wem oder was vertrauen Unternehmen, warum vertrauen sie Anbietern, und vor allem, wie validieren und messen sie dieses Vertrauen? In der Vergangenheit vertrauten die Sicherheitsexperten dem Gerät, dass sie anfassen konnten. Sie befand sich innerhalb ihrer Grenzen, sie konnten die Ausgabe greifbar machen und der Anbietername schaffte Vertrauen. Leider trifft dies heute, wo die Anzahl und das damit verbundene Risiko von Schwachstellen und Exploits auch auf die Lieferkette zunimmt, immer weniger zu.

Oberflächlich betrachtet scheint ein Cloud-basierter Dienst eine höhere Messlatte eines Vertrauensvorschusses zu benötigen. In der Realität können diese Anbieter ihre Auditergebnisse mit dem Unternehmen teilen, ihre Compliance demonstrieren und durch einen offenen und transparenten Dialog Vertrauen aufzubauen. Darüber hinaus muss ein Cloud-Service dieses Vertrauen jeden Tag aufrechterhalten und sich dadurch bewähren. Am Ende dieser Überlegungen sollte ein zweistufiger Ansatz stehen. Es geht darum die Hardware realistischer einzuschätzen und eine Vertrauensbeziehung zu einer dritten Partei, wie einem Cloud- Service Provider, aufzubauen.

Aufräumen mit den Mythen

Unternehmen dürfen sich nicht von Vorbehalten lenken lassen, wenn es um die Sicherheit ihrer Daten geht. Die Bedrohung durch verschlüsselte Malware macht die TLS-Inspektion zu einem unverzichtbaren Bestandteil der Cybersicherheit jedes modernen Unternehmens. Allerdings müssen Organisationen ihre Sicherheitsanforderungen mit den Datenschutzrechten ihrer Mitarbeiter in Einklang bringen. Eine Organisation, die den TLS-Verkehr nicht inspiziert, setzt sich unnötigen Risiken aus, einschließlich der Preisgabe von personenbezogenen Daten, gestohlenem geistigen Eigentum, Industriespionage oder sogar Ransomware-Infektionen.

Über den Autor: Marc Lueck ist EMEA CISO bei Zscaler.

(ID:47354302)