synalis IT-Blog

Ist Verschlüsselung ein Sicherheitsrisiko?

Performante SSL Inspection mit Zscaler

90% des Internetverkehrs sind verschlüsselt. Dies stellt ein Problem für Sicherheitslösungen dar, weil schadhafte Inhalte nicht identifiziert werden können. SSL Inspection ist eine gängige Analysemethode. Zscaler vereinfacht die Implementierung und eliminiert Performance-Engpässe durch seine Cloud-Architektur.

Gern möchte ich Ihnen das Verfahren SSL Inspection vorstellen. Hiermit kann eine Security Lösung Datenverkehr, der eigentlich verschlüsselt ist, auf schädliche Inhalte untersuchen. SSL Inspection ist daher ein wichtiger Baustein in einer modernen IT-Sicherheitsarchitektur. Warum das so ist, erläutere ich Ihnen im folgenden Artikel.

Wofür brauche ich SSL Inspection?

In der Vergangenheit hat man sich in IT-Security vor allem auf unverschlüsselten Datenverkehr konzentriert. Verschlüsselter Datenverkehr war „wichtigen“ Anwendungen mit vertraulichen Daten wie Benutzername und Passwort vorbehalten. Die nötigen Zertifikate stellten für Angreifer lange Zeit eine Hemmschwelle dar – diese Hemmschwelle existiert nun nicht mehr, weil Zertifikate kostenlos und verfügbar sind. Alleine letsencrypt.org hat über 200 Millionen kostenlose Zertifikate ausgegeben.

Außerdem ist Verschlüsselung heute Standard. Spätestens seit die großen Browserhersteller nicht verschlüsselte Internetseiten als Sicherheitsrisiko markieren, dürfte klar sein, dass verschlüsselte Kommunikation im Internet ein Muss ist: Bereits heute sind ca. 90% des Internetverkehrs verschlüsselt.

Ohne eine Entschlüsselung der Daten kann eine Sicherheitslösung nur Quelle und Ziel einer Anfrage sehen, jedoch nicht die übertragenen Daten. Zum besseren Verständnis: Bei einer Flughafenkontrolle hieße das, dass man nur das Ticket und den Ausweis überprüft, jedoch auf eine Sicherheitskontrolle mit Körperscan verzichtet.

Keine Verschlüsselung als Sicherheitsrisiko

Was hat sich geändert?

Verschlüsselung ist Standard. Wer sie nicht nutzt fällt auf. Das wissen auch Angreifer. Zscaler beobachtet daher folgerichtig, dass ein Großteil der „Advanced Threats“ über verschlüsselte Verbindungen verläuft.

Welche Attacken können das sein?

  • Phishing: Ein Benutzer wird auf eine Fake-Loginseite gelockt, um dort Benutzername und Passwort einzugeben. Phishing ist nach wie vor eine der Top-Angriffsmethoden.
  • Nutzung von Public Clouds: Angreifer nutzen den Schutz der Masse, um mit Public Clouds ihre Attacken durchzuführen. So laden sie beispielsweise ihre Schadsoftware bei Dropbox oder OneDrive hoch. In einem anderen Beispiel hat Zscaler herausgefunden, dass der Microsoft Domain Service für Phishingattacken genutzt wird inklusive eines von Microsoft ausgestellten Zertifikats.
  • Domain Fronting Attacks: Angreifer nutzen dieselbe Infrastruktur zur Fernsteuerung einer Malware (z.B. Verschlüsselungstrojaner) wie z.B. die Website des Unternehmens und verstecken die Kommunikation mit ihren Servern hinter korrekten Aufrufen der Website.

Was kann ich tun?

Meine Empfehlung: Nehmen Sie die Bedrohung ernst und führen Sie Zscaler Internet Access ein. Zugegeben – das ist kein besonders unabhängiger Ratschlag. Wir sind aber zum Schluss gekommen, dass Zscaler die einfachste, performanteste und skalierbarste Lösung ist, die Sie zur Zeit am Markt finden. Lassen Sie mich daher meine Empfehlung begründen.

Klassischerweise ist SSL Inspection auf einer Firewall angesiedelt. Das bringt mehrere Probleme mit sich:

  1. SSL Inspection ist extrem ressourcenhungrig, lizenzpflichtig – und damit teuer.
  2. Der Anteil des verschlüsselten Datenverkehrs hat sich in den letzten 5 Jahren nahezu verdoppelt. Die wenigsten Firewalls sind für diesen Zuwachs in der SSL-Inspection dimensioniert worden.
  3. Wenn beim mobilen Arbeiten Internetverkehr nicht über die Firewall geleitet wird (Split Tunnel VPN), wird dieser nicht inspiziert. Insbesondere bei der Nutzung Cloud Services wie Teams ist diese Konfiguration jedoch empfohlen.
  4. Smartphones und Tablets bleiben bei der SSL Inspection meist außen vor.

Das Praktische an Zscaler: Es löst alle diese Probleme. SSL Inspection ist mittlerweile im kleinsten Lizenzpaket enthalten. Die Performance für Remote und Office Arbeit inklusive Smartphones und Tablets liefert die Cloud – und das weltweit. Zscaler bietet Ihnen die Möglichkeit, granulare Richtlinien auf Basis von Benutzern, Webseiten oder Endgeräten zu definieren. Diese Granularität benötigt man auch, denn meist steht dem Schutz durch SSL Inspection ein anderes Schutzbedürfnis gegenüber.

Datenschutz & Verschlüsselung

Alleine die Idee, die Verschlüsselung „aufzubrechen“, ruft Bedenkenträger aller Art auf den Plan – teilweise mit berechtigen Einwänden. Diese Einwände sind noch relevanter, wenn Unternehmen die private Nutzung von Geräten erlauben.

Die verschiedenen Schutzinteressen müssen von IT-Verantwortlichen ausbalanciert werden. Hierfür können technische und organisatorische Maßnahmen nötig sein. Zscaler unterstützt in beiden Feldern. So können mit dem Betriebsrat Richtlinien erarbeitet werden, denen der Mitarbeiter erst zustimmen muss, bevor Zscaler genutzt werden kann. Die Zustimmung wird in Zscaler geloggt.

Wenn Sie der Meinung sind, dass SSL Inspection für Sie erforderlich ist, jedoch hinsichtlich des Datenschutzes unsicher sind, kontaktieren Sie uns. Wir greifen das Thema bereits in unseren Architekturworkshops auf und zeigen in einem Proof of Value die Umsetzung in Zscaler basierend auf Best Practices.

>> Sie wollen Zscaler kennen lernen? Finden Sie alles über die größte Cloud Security-Plattform heraus!

Diesen Beitrag teilen: