Zpedia 

/ Was ist die SSL-Entschlüsselung?

Was ist die SSL-Entschlüsselung?

Die SSL-Entschlüsselung dient zur Decodierung von verschlüsseltem Datenverkehr, damit er im Rahmen einer umfassenden SSL-Überprüfung auf Cyberbedrohungen kontrolliert werden kann. Dieses Verfahren ist für die Netzwerksicherheit von Organisationen mittlerweile unerlässlich geworden, da der Traffic heute in den allermeisten Fällen verschlüsselt ist – das gilt ebenso für Malware. Einige Analysten auf dem Gebiet der Cybersicherheit ziehen daraus die Schlussfolgerung, dass sich 90 % der Malware bereits in verschlüsselten Kanälen verbirgt.
Report: Analyse zum Status verschlüsselter Angriffe
Schutz vor CyberbedrohungenData Protection
  1. Warum sie wichtig ist
  2. Der Unterschied zwischen SSL und TLS
  3. Geschäftsnutzen
  4. Bedeutung für die Praxis
  5. Funktionsweise
  6. Best Practices
  7. Zscaler und SSL-Entschlüsselung
  8. Empfohlene Ressourcen
  9. Ähnliche Themen

Warum ist SSL-Entschlüsselung so wichtig?

Aufgrund wachsender Beliebtheit von Cloud- und SaaS-Applikationen werden immer mehr Dateien und Datenfolgen mindestens einmal über das Internet gesendet. Sind diese Daten vertraulich oder sensibel, können sie ein Angriffsziel darstellen. Dieses Risiko macht deutlich, wie wichtig die Verschlüsselung zum Schutz von Personen und Daten ist. Die meisten Browser, Websites und Cloud-basierten Anwendungen verschlüsseln daher auch ausgehende Daten und wickeln den Datenaustausch über verschlüsselte Verbindungen ab.

Doch nicht nur sensible Daten lassen sich mithilfe von Verschlüsselung verbergen – auch Verbreiter von Malware können sich das Verfahren zunutze machen. Dementsprechend ist es für Organisationen mindestens genauso wichtig, verschlüsselten SSL-Traffic auch wieder entschlüsseln zu können. Durch die Offenlegung der Inhalte können diese überprüft und entsprechend den Funden blockiert oder erneut verschlüsselt und weitergeschickt werden.

Der Unterschied zwischen SSL und TLS

Bei Secure Sockets Layer (SSL) und Transport Layer Security (TLS) handelt es sich um zwei Arten kryptografischer Protokolle, die die Verschlüsselung und Übertragung von Daten zwischen zwei Punkten regeln. Was ist also der Unterschied?

SSL wurde in den 1990er Jahren vom mittlerweile aufgelösten Unternehmen Netscape entwickelt. 1996 folgte die Veröffentlichung von SSL 3.0. TLS 1.0, das auf einer verbesserten Version von SSL 3.0 beruht, wurde 1999 eingeführt. TLS 1.3 wurde 2018 von der Internet Engineering Task Force (IETF) veröffentlicht und ist zum jetzigen Zeitpunkt die neueste und sicherste Version. Inzwischen wurden die Entwicklung und der Support von SSL eingestellt. 2015 hatte die IETF alle Versionen von SSL für veraltet erklärt. Grund für die Entscheidung waren Schwachstellen, zum Beispiel die Gefahr von Man-in-the-Middle-Angriffen, sowie das Fehlen wesentlicher Sicherheitsfunktionen.

Obwohl sich in den letzten Jahrzehnten viel verändert hat, steht der Begriff „SSL“ außerhalb technischer Kreise nach wie vor stellvertretend für alle Arten von kryptografischen Protokollen. Akronyme wie SSL, TLS, SSL/TLS, HTTPS usw. bezeichnen also ein ähnliches Prinzip und werden häufig synonym verwendet. In diesem Artikel wird bei Bedarf auf Unterschiede hingewiesen.

Vorteile der SSL-Entschlüsselung

Durch SSL-Entschlüsselung und -Überprüfung ergeben sich für Organisationen die folgenden Vorteile zum Schutz ihrer Enduser, Kunden und Daten:

  • Aufspüren von versteckter Malware und Vermeidung von Sicherheitsverletzungen, damit Hacker Sicherheitsmechanismen nicht umgehen können
  • Einblicke in die von den Mitarbeitern gesendeten Daten, die absichtlich oder versehentlich an Ziele außerhalb der Organisation geschickt werden
  • Einhaltung von Compliance-Anforderungen zur Vermeidung von Fehlverhalten durch Mitarbeitende, das eine Gefährdung vertraulicher Daten zur Folge haben könnte
  • Umsetzung einer mehrschichtigen Abwehrstrategie zum Schutz der gesamten Organisation

Zitat

Zwischen Oktober 2022 und September 2023 blockierte die Zscaler Cloud 29,8 Milliarden in verschlüsseltem Traffic (SSL/TLS) eingebettete Angriffe. Das entspricht einem Anstieg von 24,3 % gegenüber 2022, was wiederum 20 % mehr Angriffe als im Vorjahr waren.

zscaler threatLabz

Zscaler ThreatLabz-Report: Verschlüsselte Angriffe 2023

Warum SSL-Entschlüsselung notwendig ist

Ein zunehmender Anteil des Traffics in Unternehmen ist mittlerweile verschlüsselt. Viele Organisationen führen jedoch nur teilweise Überprüfungen durch, sodass der Traffic von Content Delivery Networks (CDNs) und bestimmten scheinbar vertrauenswürdigen Websites undurchleuchtet passieren kann. Eine solche Vorgehensweise ist aus folgenden Gründen riskant:

  • Webseiten sind leicht veränderlich. In einigen Fällen enthalten sie Hunderte Objekte aus unterschiedlichen Quellen. Jedes einzelne Element sollte aus diesem Grund unabhängig von der Quelle als nicht vertrauenswürdig eingestuft werden.
  • Malware-Ersteller verstecken ihre Exploits häufig mithilfe von Verschlüsselungsmethoden. Da es heute weltweit mehr als 100 Zertifizierungsstellen gibt, können SSL-Zertifikate einfach und kostengünstig erworben werden.
  • Der Großteil des Traffics ist verschlüsselt. Zu jedem Zeitpunkt sind rund 70 % des über die Zscaler Cloud verarbeiteten Datenverkehrs verschlüsselt. Dies unterstreicht zusätzlich, wie wichtig die Fähigkeit zur Entschlüsselung von SSL-Traffic ist.

Warum also wird der SSL-Traffic nicht konsequent überprüft? Das hat den einfachen Grund, dass sehr viel Rechenleistung nötig ist, um SSL-Datenverkehr zu entschlüsseln, zu überprüfen und erneut zu verschlüsseln. Ohne die entsprechenden technischen Voraussetzungen kann sich dieser Prozess somit verheerend auf die Netzwerkperformance auswirken. Die meisten Unternehmen können es sich nicht leisten, Business und Workflows zum Stillstand zu bringen. Daher haben sie keine andere Wahl, als die Überprüfung mit Appliances zu umgehen, die mit dem Bedarf an Verarbeitungsleistung oder dem erforderlichen Volumen nicht mithalten können.

Wie SSL-Entschlüsselung funktioniert

Es gibt verschiedene Ansätze zur SSL-Entschlüsselung und -Überprüfung. Nachstehend werden die häufigsten Methoden sowie wichtige Überlegungen zu ihrer jeweiligen Funktionsweise erläutert.

Methode der SSL-Überprüfung

TAP-Modus (Terminal Access Point)

Firewall der nächsten Generation (NGFW)

Proxy

Ein einfaches Hardware-Gerät kopiert den gesamten Netzwerk-Traffic zur Offline-Analyse, einschließlich SSL-Überprüfung.

Netzwerkverbindungen durchlaufen eine NGFW mit Transparenz auf Paketebene, wodurch die Erkennung von Bedrohungen eingeschränkt wird.

Zwischen Client und Server werden zwei getrennte Verbindungen hergestellt, wobei Datenströme im Netzwerk und Sitzungen vollständig überprüft werden.

Es wird teure Hardware benötigt (z. B. 10G-Netzwerk-TAPs), damit der gesamte Traffic bei voller Übertragungsgeschwindigkeit ohne Datenverlust kopiert wird.

Nur ein geringer Teil der Malware kann durch NGFWs entdeckt werden, wodurch Malware segmentiert übertragen wird. Sie erfordern zusätzliche Proxy-Funktionen und in der Regel kommt es zu Leistungseinbußen, wenn zusätzliche Funktionen, z. B. zur Bedrohungsabwehr, genutzt werden.

Ganze Objekte können wiederhergestellt und gescannt werden. Außerdem können schädliche Inhalte über zusätzliche Engines zur Bedrohungserkennung wie Sandbox und DLP entdeckt werden.

Eine nachträgliche SSL-Überprüfung funktioniert aufgrund der „Perfect Forward Secrecy“ nicht mehr, die für jede SSL-Sitzung einen neuen Schlüssel erfordert.

Die höheren Performance- und Skalierungsanforderungen von Verschlüsselungen mit TLS 1.3 sorgen für einen Leistungsabfall und machen ein Hardware-Upgrade notwendig.

Im Falle eines Cloud-Proxys, der als Service bereitgestellt wird, ist auf Kundenseite keine Appliance-Aktualisierung erforderlich, damit die Anforderungen an Performance und Skalierung von TLS 1.3 erfüllt sind.

Best Practices für die SSL-Entschlüsselung

Die Notwendigkeit für die Einführung von Methoden zur SSL-Entschlüsselung und -Überprüfung in Organisationen ist heute kaum noch zu leugnen. Trotzdem gibt es bei der Bereitstellung einer SSL-Überprüfung einige wichtige technische und allgemeine Aspekte zu beachten:

  • Zunächst empfiehlt sich ein probeweiser Betrieb an einem begrenzten Standort oder in einem Testlabor. So können sich die beteiligten Mitarbeiter mit der Funktion vertraut machen und es kann sichergestellt werden, dass die Technologie wie beabsichtigt funktioniert – noch vor einer Einführung im größeren Maßstab.
  • Um übermäßig viele Troubleshooting-Anfragen zu vermeiden, sollten die Enduser über das neue Verfahren zur SSL-Überprüfung informiert werden. Hierzu bietet sich ein Hinweis in den Enduser-Benachrichtigungen an.
  • (Optional) Beim Definieren einer Richtlinie für die SSL-Überprüfung können diejenigen URLs, URL-Kategorien, Cloud-Applikationen und Cloud-Applikations-Kategorien aufgelistet werden, bei denen SSL-Transaktionen nicht entschlüsselt werden.
  • Zunächst sollte die Überprüfung nur für Risikokategorien aktiviert werden, also etwa pornographische Inhalte, Glücksspiel oder Data Protection- und Haftungsrisiken. Sobald möglich wird die Überprüfung für alle URL-Kategorien aktiviert – mit Ausnahme der Bereiche Finanzen und Gesundheit, wenn eine Kontrolle dieser Datenkategorien aus Datenschutzgründen nicht gewünscht ist.
  • Des Weiteren sollten Anwendungen berücksichtigt werden, die nur ein bestimmtes Client-Zertifikat akzeptieren (Certificate Pinning). Diese Anwendungen sind eventuell nicht für die SSL-Überprüfung geeignet, weshalb sie auf einer Blacklist für die SSL-Entschlüsselung stehen sollten.
  • Die User-Authentifizierung muss aktiviert werden, damit die SSL-Überprüfung User-Richtlinien anwenden kann.

Auswirkungen der SSL-Überprüfung auf die Data Protection

Grundsätzlich ist die SSL-Entschlüsselung und -Überprüfung ein Verfahren, das die Sicherheit drastisch verbessert. Das bedeutet jedoch nicht, dass die Entschlüsselung des gesamten Traffics in jedem Fall empfehlenswert ist. Je nach Branche, Standort sowie den geltenden Gesetzen und Vorschriften darf bestimmter Traffic nicht entschlüsselt werden, etwa bei Gesundheits- oder Finanzdaten. Hier müssen Filter und Richtlinien vorgeschaltet sein, um den Schutz dieser Verbindungen zu gewährleisten.

Im Sinne der Risikominimierung und des Datenschutzes sollten Unternehmen in Bereichen, wo keine rechtlichen Bedenken bestehen, den SSL-Datenverkehr jedoch weitestmöglich überprüfen.

Zscaler und SSL-Entschlüsselung

Die Plattform Zscaler Zero Trust Exchange™ ermöglicht eine vollständige SSL-Überprüfung in großem Maßstab ohne zusätzliche Latenz oder eingeschränkte Kapazität. Durch die Kombination aus SSL-Überprüfung und dem vollständigem Security-Stack von Zscaler aus der Cloud erhalten Unternehmen einen verbesserten Schutz ohne die für Appliances typischen Einschränkungen.

Unbegrenzte Kapazität

Der Service ist in der Lage, den gesamten SSL-Traffic der User innerhalb und außerhalb des Netzwerks zu überprüfen, und lässt sich je nach aktuellem Traffic-Volumen flexibel skalieren.

Effizientere Administration

Zertifikate müssen nicht mehr auf allen Gateways einzeln verwaltet werden. Zertifikate, die in die Zscaler Cloud hochgeladen werden, sind sofort in über 150 Zscaler-Rechenzentren weltweit verfügbar.

Granulare Richtlinienkontrolle

Zusätzlich zur flexiblen Compliance-Durchsetzung besteht die Möglichkeit, verschlüsselten User-Traffic von der Entschlüsselung auszunehmen – etwa bei sensiblen Website-Kategorien wie Gesundheits- oder Bankdaten.

Sicherheit und Schutz vor Bedrohungen

Die Lösung unterstützt die jeweils aktuellen AES/GCM- und DHE-Verschlüsselungen für „Perfect Forward Secrecy“ und ermöglicht so anhaltenden Schutz. Userdaten werden niemals in der Cloud gespeichert.

Vereinfachte Zertifikatsverwaltung

Es können Zscaler oder eigene Zertifikate genutzt werden. Mithilfe der API von Zscaler lassen sich Zertifikate beliebig oft wechseln.

Eliminieren Sie kostspielige Geräte und überprüfen Sie mit Zscaler SSL Inspection 100 % des verschlüsselten Traffics ohne Einschränkungen.

Empfohlene Ressourcen

Finden Sie heraus, was sich in verschlüsseltem Traffic verbirgt
REPORT LESEN
Zscaler ThreatLabz-Report: Verschlüsselte Angriffe 2023
REPORT LESEN
Der Umgang mit TLS-/SSL-Überprüfungen
Zum Blog