So notwendig und sicher verschlüsselter Datenverkehr im Internet auch ist – das Risiko, sich darüber Malware einzufangen, hat kritische Ausmaße angenommen. Die Entschlüsselung von Datenpaketen könnte Abhilfe schaffen, birgt jedoch weitere Herausforderungen, vor allem aus Datenschutz-Sicht. Dabei gibt es einen unkomplizierten und risikofreien Weg, verschlüsselte Web-Daten genauer unter die Lupe zu nehmen.
Verfügen Sicherheitsteams nicht über den notwendigen Einblick in alle Daten, die ihr Netzwerk passieren, setzen sie sich einem hohen, sehr kostspieligen Sicherheitsrisiko aus.
(Bild: Borin - stock.adobe.com)
Im Internet gelten die SSL- und TLS-Verschlüsselungen als absoluter Standard für eine sichere Datenübertragung. Sie verhindern, dass Dritte den Datenverkehr, in dem sich unter Umständen auch sensible Informationen befinden, weder einsehen noch manipulieren können. Auf diese Weise sollen Privatsphäre, Authentizität und Datenintegrität gewahrt werden. Das schließt sowohl die Client-to-Client- und Client-to-Server- als auch die Server-to-Server-Kommunikation ein.
Im Grunde handelt es sich also um eine sehr wichtige Methode, Daten sicher von A nach B zu transportieren. Trotzdem ist diese Ende-zu-Ende-Verschlüsselung besonders für Netzwerkverantwortliche ein Dorn im Auge. Denn viele von ihnen sind ebenfalls nicht in der Lage, einen Blick in den HTTPS-Traffic zu werfen. Dadurch entsteht ein „toter Winkel“ im Netzwerk, in dem sich allerlei Cyber-Bedrohungen verstecken können.
Verschlüsselter Datenverkehr als Trojanisches Pferd
Stellen wir uns vor, ein Mitarbeiter erhält eine authentisch wirkende E-Mail mit einem Link von einer Kollegin. In der Nachricht bittet die vermeintliche Versenderin ihn darum, die verlinkte Webseite zu besuchen und gibt dafür einen legitimen Grund an. Obendrein sieht die Seite auf den ersten Blick echt aus und nutzt sogar ein HTTPS-Protokoll. Der Mitarbeiter ist dank TLS-Verschlüsselung also auf der sicheren Seite, oder? In diesem Beispiel haben Cyber-Kriminelle weder Kosten noch Mühen gescheut, um einen vertrauenswürdigen Kontext zu schaffen und Schad-Software über den verschlüsselten Datenverkehr unerkannt an den Sicherheits-Tools des Unternehmens vorbeizuschleusen. Dieser Traffic ist in der Regel von ihrer Analyse ausgeschlossen und kann sich ungehindert durch das Netzwerk bewegen. Auf diesem Weg verbreiten Cyber-Kriminelle Malware, starten Phishing-Angriffe und stehlen sensible Daten.
Diese Vorgehensweise ist mittlerweile gar nicht mehr so selten. Watchguard Threat Lab hat herausgefunden, dass sich inzwischen 93 Prozent der Malware hinter einer SSL- oder TLS-Verschlüsselung verstecken. Das Bedrohungsrisiko ist also hoch und allgegenwärtig. Jedoch scheinen nur wenige IT- und Security-Entscheider in Deutschland aktiv Maßnahmen dagegen zu ergreifen. Laut einer aktuellen Gigamon-Umfrage (pdf) wissen nur 21 Prozent von ihnen genau, was sich in dem verschlüsselten Traffic befindet, der sich durch ihre Netzwerkinfrastruktur bewegt. Wie lässt sich dieses Problem am effektivsten eindämmen?
Sichtbarkeit für Sicherheit
Wie bereits angedeutet, entzieht sich verschlüsselter Datenverkehr den ansonsten wachsamen Blicken herkömmlicher Sicherheitslösungen. Das liegt unter anderem daran, dass die meisten Agents so tief im Netzwerk einfach nicht mehr greifen. Damit Unternehmen jedoch Konzepte wie Zero Trust vollständig und erfolgreich umsetzen können, brauchen sie unbedingt das Wissen aus dem verschlüsselten Web-Traffic.
Eine Lösung stellen dedizierte Decryption Tools dar, welche die Daten entschlüsseln und analysieren. Diese Methode macht den HTTPS-Traffic zwar transparent, wodurch das Sicherheitsniveau steigt, bringt aber einige Nachteile mit sich. Zum einen investieren Unternehmen viel Zeit, Rechenleistung und Geld in die Decodierung, Analyse und Rückverschlüsselung des Datenverkehrs. Zum anderen könnte die Entschlüsselung zu einem Verstoß gegen geltende Datenschutzgesetze führen – zum Beispiel gegen Artikel 32 EU-DSGVO, wenn es sich um personenbezogene Daten handelt. Zudem trägt eine solche Lösung, wenn sie in großen Netzwerken mit hohem Traffic-Volumen zum Einsatz kommt, zur ohnehin schon wachsenden IT-Komplexität in Unternehmen bei. Demnach muss es einen anderen Weg geben, verschlüsselten Datenverkehr zu überprüfen und zu analysieren, ohne Ressourcen und Compliance aufs Spiel setzen zu müssen.
Eine Visibility-Lösung, die Sichtbarkeit bis hinunter auf Netzwerkebene zulässt (Deep Observability), sollte zusätzlich über eine Funktion verfügen, die das Monitoring verschlüsselter Daten automatisiert und risikofrei durchführt. Sie erfasst den Datenverkehr vor der Verschlüsselung, wodurch keine Schlüssel abgefangen oder ausgespäht und keine teure Entschlüsselung vorgenommen werden muss. Auf diese Weise deckt das System verborgene Bedrohungen auf, ohne die Verschlüsselung sensibler Informationen zu aufzuheben und Datenschutzverstöße zu riskieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Weitere Möglichkeiten, um der Gefahr in der Verschlüsselung Herr zu werden und gleichzeitig die Rechenressourcen zu optimieren: Application Filtering und Deduplizierung. Beim Application Filtering wird zwischen riskantem und weniger riskantem Datenverkehr unterschieden. Daten von bekannten, vertrauenswürdigen Quellen werden im Zuge dessen vor der einer Decodierung herausgefiltert, wodurch das Verarbeitungsvolumen sinkt. Bei der Deduplizierung werden hingegen nur einzigartige Datenpakete entschlüsselt, was ebenfalls die Rechenleistung reduziert. Trotzdem gehen diese Funktionen einer Entschlüsselung kodierter Daten voraus, was, wie oben bereits erwähnt, nicht dem Datenschutz dienlich ist, sondern sich vielmehr für die Reduzierung von Kosten eignet.
Fazit
Das Katz-und-Maus-Spiel zwischen Cyber-Kriminellen und Unternehmen nimmt laufend neue Dimensionen an. Umso wichtiger ist es, dass letztere eine robuste Sicherheitsarchitektur aufbauen, um sich den neuen Geschützen der Cyber-Crime-Szene stellen zu können. Aktuell ist zu beobachten, dass Cyber-Kriminelle immer häufiger verschlüsselten Datenverkehr nutzen, um Schad-Software in Unternehmensnetzwerke zu schleusen und an sensible Daten zu gelangen. Das Zauberwort für diese Herausforderung heißt „Sichtbarkeit“. Verfügen Sicherheitsteams nicht über den notwendigen Einblick in alle Daten, die ihr Netzwerk passieren, setzen sie sich einem hohen, sehr kostspieligen Sicherheitsrisiko aus. Technologien, die die Inhalte verschlüsselter Daten analysieren, ohne sie mühsam zu entschlüsseln oder sich gar der Gefahr eines Datenschutzverstoßes auszusetzen, sind daher ein absolutes Muss für jede Sicherheitsstrategie.
Über den Autor: Ali Moniri ist Senior Sales Engineer bei Gigamon Deutschland.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/99/b3/99b3d12e0be508609d016e29539d12c4/0112523155.jpeg "Die Sophos Firewall bietet eine effiziente und effektive TLS Inspection, ohne dabei die Leistung zu beeinträchtigen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")