Die Verschlüsselung von Internet-Traffic mit SSL (Secure Sockets Layer) und dem Nachfolger TLS (Transport Layer Security) gilt weltweit als Standard für die sichere Datenübertragung. Sie verhindert durch die Ende-zu-Ende Verschlüsselung, dass Informationen im Datenstrom nicht ungewollt einsehbar sind. Entsprechend wird heutzutage die überwältigende Mehrheit des Internet-Verkehrs verschlüsselt.
Problematisch daran ist, dass sich auch Cyberkriminelle die Verschlüsselung zunutze machen, um Malware und andere Bedrohungen unerkannt zu transportieren. Deswegen ist ein digitales Zertifikat keine Garantie mehr für die Vertrauenswürdigkeit des Datenverkehrs, der durch verschlüsselte Kanäle übertragen wird.
Cyberattacken häufen sich
Der jüngste „State of Encrypted Attack Report 2020“ zeigt, welches Ausmaß diese Bedrohung mittlerweile angenommen hat. Im Vergleich zum Vorjahresreport wurde in der globalen Sicherheitscloud von Zscaler von Januar bis September 2020 ein Anstieg von hinter SSL/TLS verborgenem Schadcode um 260 Prozent festgestellt.
In diesem Zeitraum wurden 6,6 Milliarden Sicherheitsbedrohungen abgewehrt, die über verschlüsselten Traffic transportiert wurden. Das entspricht durchschnittlich 733 Millionen geblockten Bedrohungen im Monat. Cyberkriminelle haben heute ausgeklügelte Angriffsketten entwickelt, die mit einer harmlos aussehenden Phishing-E-Mail beginnen, in der sich Malware oder eine andere Bedrohung verbirgt.
Sobald der entsprechende Link von einem nichtsahnenden User angeklickt wird, geht der Angriff in die nächste Phase über, in der Malware installiert wird, die anschließend zur Exfiltration wertvoller Unternehmensdaten führen kann.
Entwicklung des SSL-Traffics
Bei der Mehrzahl der Unternehmen hat sich die Erkenntnis durchgesetzt, dass die Verschlüsselung von Daten bei der Übertragung erforderlich ist, um sie vor unbefugten Blicken zu schützen. Der Report zeigte, dass der prozentuale Anteil des verschlüsselten Traffics im Bildungswesen am höchsten ist, gefolgt von der Fertigungsbranche an zweiter Stelle und dem Finanz- und Gesundheitswesen. Branchenübergreifend lag der Anteil des verschlüsselten Traffics im Analysezeitraum von Januar bis September 2020 bei durchschnittlich 75 Prozent und erreichte Höchstwerte von über 80 Prozent.
Auch wenn das Gesundheitswesen das beliebteste Angriffsziel durch verschlüsselt transportierte Malware ist mit 25,5 Prozent der Angriffe ist, gefolgt von der Finanz-/Versicherungsindustrie mit 18,3 Prozent rangierte die Fertigungsbranche bereits an dritter Stelle in der Gunst der Angreifer (17,4 Prozent).
Für das produzierende Gewerbe besteht also wie für alle anderen Branchen Handlungsbedarf in Punkto Verbesserung der Sicherheit. In dem Bereich der Herstellungsindustrie sind es insbesondere Produktionsumgebungen, die an das Internet angebunden sind oder auf die Anbindung vorbereitet werden, deren Sicherheitsinfrastruktur mit bedacht werden muss. Viele Maschinen, die mit veralteten SCADA-Protokollen laufen, sind plötzlich gegenüber dem Internet exponiert, obwohl sie dafür ursprünglich nicht ausgelegt waren.
Für Unternehmen bedeutet das, dass die Absicherung dieser Operational Technology (OT) in die Digitalisierungsstrategie eingebunden werden muss, denn das Verharren in eingespielte Verhaltensweisen kann Unternehmen teuer zu stehen kommen.
Woher kommt die Gefahr im verschlüsselten Datenverkehr?
Die Untersuchung von verschlüsseltem Traffic ist für Unternehmen aller Größen und Branchen eine unverzichtbare Komponente ihrer Sicherheits- und Abwehrstrategie. Herkömmliche, lokal installierte Sicherheitstools, wie Next-Generation Firewalls, bieten in aller Regel nicht die erforderliche Leistungsfähigkeit und Kapazität zur effektiven Entschlüsselung, Untersuchung und Wiederverschlüsselung des gesamten Traffics.
Allein der Versuch, den gesamten SSL-Traffic zu durchleuchten, würde die Performance der Infrastruktur und damit auch die Gesamtproduktivität eines Betriebs lahmlegen. Deswegen lassen viele Unternehmen ihren verschlüsselten Traffic zumindest teilweise ohne Untersuchung passieren. Dies betrifft insbesondere den Datenverkehr von Cloud-Anbietern und aus anderen als „vertrauenswürdig“ eingestuften Quellen.
Das ist ein fatales Manko. Unternehmen, die nicht den gesamten verschlüsselten Traffic überwachen, sind anfällig für darin verborgene Phishing-Angriffe und Malware, wie beispielsweise Ransomware mit potenziell verheerenden Auswirkungen.
Beoobachtete Angriffsmuster
Folgende Angriffsmuster konnten im Untersuchungszeitraum gehäuft beobachtet werden. Angreifer missbrauchen das Vertrauen der Anwender in bekannte Marken, wie Microsoft, Google oder Netflix. Dazu kommen zunehmend sogenanntes Domain Squatting und homographe Attacken zum Einsatz, um bekannte Webseiten mit pixelgenauen Nachbildungen zu imitieren.
Hierbei setzten die Angreifer auf die Flüchtigkeit der Anwender, denen entgeht, dass die URLs gefälschter Webseiten dem Original ähnlich sehen, wie beispielsweise die Domains gmali.com und app1e.com verdeutlichen. Die sich hinter diesen Buchstabendrehern oder vertauschten Zeichen verbergenden Seiten können fast ununterscheidbar zu den echten Webseiten aussehen und da diese Domains standardmäßig SSL/TLS-Verschlüsselung verwenden, könnten diese Angriffe herkömmliche Sicherheitskontrollen leicht umgehen. Gelangt ein Anwender auf derart gefälschte Webseiten, werden von dort Anmeldeinformationen und andere sensible, personenbezogene Daten abgegriffen.
Im Zeichen der Pandemie sind Cloud-basierte File-Sharing-Dienste leistungsstarke Werkzeuge zur Förderung der Zusammenarbeit und Produktivität von Mitarbeitern, die in diesem Jahr ebenfalls ins Visier von Angreifern rückten. Diese Dienste ermöglichen den sicheren Austausch von Dateien und Informationen, wobei die SSL-verschlüsselten Inhalte zugunsten der Leistung des Datenaustausches Sicherheitskontrollen außer Acht lassen.
In der Untersuchung des Status verschlüsselter Angriffe machten bösartige Inhalte, welche über die Verschlüsselung von File-Sharing-Diensten geliefert wurden, bereits 30 Prozent des gesamten schädlichen SSL-Verkehrs aus.
Angriffe können über die Erstellung von File-Sharing-URLs initiiert werden, deren schädliche Inhalte in Online-Diensten wie Google Drive oder Dropbox als Teil einer E-Mail-Phishing-Kampagne aufgesetzt werden. Durch diesen Ansatz entfällt die Notwendigkeit, infizierte Dateien an E-Mails anzuhängen, für deren verdächtige Behandlung die Nutzer geschult werden.
Da der Inhalt auf einer legitimen File-Sharing-Site dargestellt wird, genießt er ein gewisses Maß an Vertrauen und Anwender, die dieser Betrungsmasche zum Opfer fallen, können den schädlichen Inhalt unabsichtlich schnell verbreiten, indem sie den Link im gesamten Unternehmen freigeben.
Als weitere Methode, um Angriffe hinter Verschlüsselung auszuführen, steht Ransomware hoch im Kurs. Angreifer gehen derzeit dazu über, nicht nur Server als Geisel zu nehmen und die Inhalte für den Zugriff des gesamten Unternehmens zu sperren, um Lösegeld zu erpressen, sondern erweitern ihre Techniken um die doppelte Erpressung.
Dazu werden erst wertvolle Informationen exfiltriert, bevor die Server verschlüsselt werden. Falls keine Lösegeldzahlung erfolgt, drohen die Angreifer mit der Veröffentlichung oder dem Verkauf der zuvor gestohlenen, sensiblen Daten, um die betroffenen Unternehmen gefügig zu machen. Die Bedeutung dieser Angriffsart zeigt der exponentielle Anstieg verschlüsselter Ransomware-Angriffe, die alleine zwischen März und September 2020 um 500 Prozent zunahm.
Zuverlässige Verteidigung gegen verschlüsselte Attacken
Voraussetzung für eine wirksame Abwehr ist zunächst die Erkenntnis, dass die SSL-Verschlüsselung keine Garantie für sicheren Datenverkehr ist. Mit der Verbreitung der Verschlüsselung zum Schutz von Daten hat auch ihr Missbrauch durch Cyberkriminelle zugenommen, die darin ein probates Mittel zum Einschmuggeln von Angriffen sehen. Die Untersuchung von verschlüsseltem Traffic ist damit wichtiger als je zuvor.
Die Mehrzahl der Unternehmen befolgt Sicherheits-Best-Practices und verschlüsselt ihren Internet-Traffic. Zusätzlich müssen Unternehmen allerdings dafür sorgen, dass ihre Sicherheitslösung in der Lage ist, auch den gesamten Datenfluss auf Malware zu überprüfen, um Bedrohungen rechtzeitig herauszufiltern, bevor sie zuschlagen können.
Erschwerend kommt hinzu, dass der Umgang mit personenbezogenen Daten strengen Vorschriften unterliegt. Unterschiedliche Richtlinien für die Untersuchung der verschiedenen Datentypen zu erstellen und standortübergreifend durchzusetzen, kann eine komplexe Aufgabe sein, die viele Unternehmen wenn möglich vermeiden.
Ausweg aus diesem Dilemma ermöglicht die Skalierbarkeit und Leistungsfähigkeit einer Cloud-nativen, Proxy-basierten Architektur. Eine Cloud-basierte Sicherheitsplattform wird den Anforderungen bezüglich Verschlüsselung und Untersuchung durch elastisch skalierbare Rechenleistung gerecht und gewährleistet standortübergreifend die konsistente Durchsetzung von Richtlinien.
Keine Branche ist vor Sicherheitsbedrohungen gefeit. Je mehr Traffic verschlüsselt wird, desto unverzichtbarer wird die Untersuchung dieses Traffics. Eine mehrschichtige Defense-in-Depth-Strategie, die SSL-Überwachung vollumfänglich unterstützt, ist eine unabdingbare Voraussetzung für die wirksame Abwehr der eskalierenden Bedrohungen, die sich im verschlüsselten Traffic verbergen.