IT-Teams kommen an der HTTPS-Entschlüsselung nicht mehr vorbeiSpielwiese der Cyber-Kriminellen
23. Februar 2024
Cyber-Kriminelle haben die Handlungsspielräume, die ihnen die HTTPS-Datenübertragung bietet, eindeutig erkannt. Dies belegen Untersuchungen wie der WatchGuard Internet Security Report, aber auch die Analysen anderer Protagonisten im Markt, immer wieder. Selbst wenn das Volumen der spezifischen Gefahren mal höher und mal niedriger ausfällt, kommt der fortlaufenden Entschlüsselung des HTTPS-Verkehrs (TLS/SSL) am Netzwerkperimeter heutzutage entscheidende Bedeutung zu. Unternehmen, die sich vor Malware und anderen Online-Bedrohungen konsequent schützen wollten, sollten dieses Einfallstor unbedingt im Auge behalten.
Malware, die über verschlüsselte Verbindungen eintrifft, hat nicht nur im Hinblick auf Quantität in jüngster Vergangenheit stets neue Rekorde aufgestellt. Gleichzeitig kann sich bei der Abwehr der über diesen Weg reisenden Schadsoftware aufgrund ihrer immer diffizileren „Ausweichmanöver“ nicht unbedingt auf andere Sicherheitsebenen verlassen werden.
Gründe genug, die Funktion der HTTPS-Verschlüsselung bereits im Rahmen der Netzwerkabsicherung via Next-Generation Firewall bzw. UTM-Plattform (Unified Threat Management) zu aktivieren. Dennoch sehen viele IT-Teams mit dem Verweis auf Performance-Einbußen und Zusatzaufwände nach wie vor davon ab – ein Entschluss, der sich leider ganz schnell rächen kann.
Sicherheit vs. Geschwindigkeit
Natürlich erfordert der Prozess der Entschlüsselung und erneuten Verschlüsselung des HTTPS-Datenverkehrs beim Passieren des Gateways Rechenressourcen. Dass diese an anderer Stelle fehlen oder sich auf die Geschwindigkeit der Datenübermittlung in Summe auswirken könnten, ist angesichts neuer, leistungsstarker Generationen von Firewall- oder UTM-Lösungen allerdings kaum noch zu befürchten.
Nicht ganz vom Tisch wischen lässt sich das Aufwandsargument, obwohl auch dieses vor dem Hintergrund der explosionsartigen Zunahme des verschlüsselten Datenverkehrs in den letzten Jahren massiv an Schlagkraft verloren hat. So zeigt eine aktuelle SSL-Auswertung von SerpWatch beispielsweise, dass 95 Prozent der Google-Websites HTTPS verwenden, 99 Prozent der Zeit verbringen Nutzer von Google Chrome mit dem Stöbern auf solchen Seiten.
Nahezu der gesamte Datenverkehr kommt heute verschlüsselt daher und IT-Verantwortliche, die diesen am Sicherheitsgateway unangetastet ziehen lassen, haben keinerlei Kontrolle darüber, was er enthält. Der tote Winkel für eingehende Angriffe wird auf diese Weise immer größer und jedes Unternehmen, das trotz dieser Realität auf HTTPS-Entschlüsselung inklusive damit einhergehender Sicherheitsscans verzichtet, handelt grob fahrlässig.
Der Einsatz der Entschlüsselung ist nicht unbedingt ein Kinderspiel. Vor allem die initiale Aktivierung gestaltet sich in der Regel komplex und kann die Funktionsweise bestimmter Software oder Webanwendungen beeinträchtigen. Um die Vertrauenskette digitaler Zertifikate bei der TLS/SSL-Entschlüsselung sicherzustellen, gilt es, Browsern und Geräten ein eindeutiges, benutzerdefiniertes Root-CA-Zertifikat zuzuordnen, damit diese als vertrauensvoller Vermittler für verschlüsselten Datenverkehr agieren und die Wiederverschlüsselung des Datenverkehrs ausführen können. Das Prozedere kann auf zweierlei Wegen erfolgen, wobei eine Variante deutlich einfacher ist.
Beim schwierigeren Weg kommt ein benutzerdefiniertes Root-CA-Zertifikats (oder eines Proxy-Authority-Zertifikats) zum Tragen. Hierbei ermöglicht die Lösung zur TLS-Entschlüsselung den Export des Zertifikats, welches sich dann für die jeweiligen Clients und Geräte, die der TLS/SSL-Entschlüsselung unterliegen, nutzen lässt.
Der Nachteil besteht darin, dass dieses Zertifikat auf jedem einzelnen Gerät vorhanden sein muss, manchmal sogar an mehreren Stellen (z.B. in Webbrowsern). Per Gruppenrichtlinie können zwar neue Zertifikate auf viele Geräte übertragen werden, aber die Installation des jeweils eindeutigen Zertifikats kann sich bei einer Vielzahl von Geräten und Browsern äußerst herausfordernd gestalten. Deutlich weniger Aufwand haben in der Regel Unternehmen, die Windows (oder Azure) Active Directory einsetzen und über ein Enterprise CA-Zertifikat für ihre Domäne verfügen.
Statt der mühsamen Verteilung an mehrere Geräte lässt sich das Zertifikat zielgerichtet auf das Produkt importieren, dem alle Geräte bereits vertrauen. Mit dieser einfacheren Methode können die meisten IT-Teams die Entschlüsselung in wenigen Stunden einrichten, mit Testzeiten von weniger als einem Tag.
Allerdings kristallisieren sich in dem Zusammenhang nicht selten zusätzliche Herausforderungen heraus, die Anpassung erfordern. Denn die TLS-Entschlüsselungsmethode funktioniert nur auf Geräten, die eine gewisse Kontrolle zur Zertifikatsverwaltung zulassen. Bei einigen IoT-Geräten im Netzwerk ist dies eventuell nicht der Fall. Für solche müssen im Zuge der TLS/SSL-Prüfung Ausnahmeregelungen getroffen werden.
Die häufigsten Probleme treten bei Websites, Anwendungen und Programmen auf, die zusätzliche TLS/SSL-Schutzmechanismen – wie HTTP Strict-Transport-Security (HSTS), Certificate Pinning oder programmspezifische Implementierungen – nutzen, um Man-in-the-Middle-Angriffe (MitM) zu verhindern. Diese zwingen Browser oder Geräte dazu, nur das Originalzertifikat der Website oder Domäne zu akzeptieren. Andere Optionen sind nicht möglich, ohne beim Entschlüsseln die Vertrauenskette zu brechen.
Der Nutzen der Entschlüsselung
Aller Komplexität, die unter Umständen mit der HTTPS-Entschlüsselung einhergeht, zum Trotz: Der Aufwand lohnt sich. So sind Sicherheitsteams bei aktivierter Entschlüsselung überhaupt erst in der Lage, bösartige Websites, die Botnet-Trojaner verbreiten, zu blockieren und Datenverkehr, der auf Command-and-Control-Strukturen (C2) hinweist, auszumachen.
Allein mithilfe der üblichen Erkennungsdienste für Netzwerk-Malware werden Unternehmen dieser Bedrohungen nicht Herr. Zwar lassen sich Domänen und IPs auch unabhängig von einer aktivierten Entschlüsselung blockieren, jedoch setzen alle Systeme zur Aufdeckung von C2-Kommunikation in neue Richtungen TLS/SSL-Entschlüsselung voraus.
Per Entschlüsselung können Unternehmen ebenso feststellen, ob möglicherweise ungewollt personenbezogene Daten (PII) oder Kreditkarteninformationen über ihr Netzwerk abfließen. Ohne diese Funktionalität entfalten klassische Dienste für Data Loss Prevention keinerlei Wirkung. Nur durch Entschlüsselung oder gegebenenfalls den Einsatz eines spezifischen Produkts für Endpoint Data Leakage Protection lässt sich verhindern, dass Organisationen solchen Szenarios komplett machtlos gegenüberstehen.
HTTPS-Entschlüsselung als Standard etablieren
Damit eine moderne, mehrschichtige Verteidigungsstrategie im Bereich der Cybersicherheit effektiv funktioniert, ist es wichtig, alle Register zu ziehen. Von Malware, die bereits auf Netzwerkebene abgefangen werden kann, geht kein Risiko mehr aus und Unternehmen müssen nicht länger nur darauf vertrauen, dass der Bedrohung am Endpunkt der Garaus gemacht wird.
Mit anderen Worten: Das Fehlen von Entschlüsselung und Scanning am Perimeter geht nicht zuletzt zulasten anderer Sicherheitsebenen. Um maximalen Schutz sicherzustellen, sollte jede sich bietende Möglichkeit zur Risikominimierung genutzt werden. HTTPS-Entschlüsselung ist ein wichtiges Puzzleteil der Abwehrkette und sollte daher in jedem Unternehmen zum Pflichtprogramm gehören.
Corey Nachreiner ist Chief Security Officer bei WatchGuard Technologies.
