Transport Layer Security
SSL - beliebt, aber gefährlich
Heartbleed zeigt: SSL ist verletzlich
"Heartbleed", die schwerwiegendste Sicherheitslücke seit Langem, zeigt jedoch, dass auch das SSL/TLS-Protokoll nicht unantastbar ist. Angreifer finden trotz aller Vorkehrungen immer Wege und Möglichkeiten, unbemerkt Inhalte aus dem Arbeitsspeicher auszulesen und damit auf sensible Daten zuzugreifen. Auch im Apple-Betriebssystem iOS konnten Hacker eine Lücke in der SSL-verschlüsselten Kommunikation ausnutzen ("GoToFail"). So untergraben sie die gesamte Sicherheit eines Systems, wenn die Lücke nicht sofort durch ein Patch geschlossen wird. Nichtsdestotrotz ist SSL heutzutage die sicherste Methode für IP-Kommunikation. Heartbleed und GoToFail müssen jedoch als wichtige Hinweise darauf verstanden werden, dass SSL-verschlüsselter Datenverkehr keine hundertprozentige Immunität gegen Angriffe gewährt.
Foto: Blue Coat
Ein weiterer entscheidender Malus steckt gerade in der Stärke von SSL. Der Umstand nämlich, dass nur Absender und Empfänger die Inhalte lesen können, führt dazu, dass die derart abgesicherten Datenpakete auch die Sicherheitssperren, die das Unternehmensnetzwerk schützen sollen, unkontrolliert passieren können. Viele Sicherheitslösungen wie Firewalls und Intrusion-Detection/Prevention-Systeme können die verschlüsselten Daten nicht lesen und schleusen sie ungeprüft durch. Unter dem Deckmantel SSL können Kriminelle Schadsoftware in Unternehmenssysteme einschleusen, und vertrauliche Daten können unentdeckt versendet werden. Laut einer Schätzung Gartners werden bis 2017 mehr als die Hälfte aller Angriffe auf Unternehmen über einen solchen verschlüsselten Weg geführt werden. Zurzeit liegt diese Quote bei gerade einmal fünf Prozent.
Abhilfe schaffen
Festzustellen, ob sich in einer SSL-verschlüsselten Datei Schadsoftware verbirgt, kann das aktuelle Security-Policy-Enforcement vieler Unternehmen nicht leisten. Dazu bedarf es einer modernen "Advanced Threat Protection" (ATP). Eine solche SSL-Visibility-Lösung leitet dazu die entschlüsselten Daten zur Überprüfung an Sicherheitslösungen wie Malware-Prevention-Systeme beziehungsweise Next-Generation-Firewall-, Intrusion-Detection- oder Data-Loss-Prevention-Systeme weiter. Diese blockieren dann unerwünschten und schadhaften Datenverkehr. Sind die Inhalte hingegen in Ordnung, werden sie an die SSL-Appliance zurückgeleitet und dort erneut verschlüsselt und an den Empfänger übertragen.
Bleibt die Frage, wie es um die Vertraulichkeit und Integrität der betroffenen Daten bestellt ist, wenn sie zwar per SSL übertragen, auf dem Transportweg durch die ATP aber trotzdem ausgelesen werden können. Es wird gerade dann "kribbelig", wenn es um Gehälter, Pensionen oder gesundheitliche Themen geht.
Ein eindeutige Antwort gibt es nicht: Sicherheit ist nicht mehr nur ein technologisches Problem, das mit Technologie gelöst werden kann. Vielmehr sind es menschliche Überlegungen, die zu einer strategischen Antwort führen müssen. Bevor Unternehmen in Technologie oder Personal investieren, sollten sie ihre Rechts- und Personalabteilungen sowie ihre Mitarbeiter ins Boot holen, um zu verstehen, was auf dem Spiel steht und was man für die Sicherheit im Unternehmen tun kann. Nur dann kann eine Strategie für verschlüsselten Datenverkehr definiert werden. Danach sollten Unternehmen technologische Lösungen finden, die es ermöglichen, ihre eigene Sicherheitsstrategie zu nutzen und gleichzeitig ihre Leistungsfähigkeit beizubehalten. (sh/hal)
- Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ... - Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert. - Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll. - Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen. - Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden. - Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht. - Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle. - Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift. - Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!