Verschlüsselter Datenverkehr: Das Sicherheitsrisiko, über das niemand spricht

Verschlüsselter Datenverkehr wird immer häufiger als Werkzeug für Cyber-Angriffe ausgenutzt – 93 Prozent der Malware ist hier versteckt. Viel zu lange haben Unternehmen diesem Thema keine Beachtung geschenkt. Andreas Junck, Senior Sales Director DACH bei Gigamon, verrät, warum Organisationen unbedingt für mehr Netzwerksichtbarkeit sorgen müssen.

Verschlüsselung trägt unbestreitbar einen großen Teil zur Cyber-Sicherheit eines Unternehmens bei. Allerdings dient sie Cyber-Kriminellen immer häufiger als Angriffsvektor. Eine erhöhte Netzwerksichtbarkeit hilft dabei, diese Bedrohung zu adressieren. Jedoch reichen angesichts der immer komplexer werdenden Hybrid-Cloud-Umgebungen herkömmliche Netzwerk- und Visibility Tools in vielen Fällen nicht mehr aus. Deep Observability – also Sichtbarkeit bis hinunter auf Netzwerkebene – wird in diesem Kontext zunehmend zu einem absoluten Must-have.

Die perfekte Tarnung

Cyber-Kriminelle, die Malware in verschlüsselten Daten verstecken, sind keine Neuheit. Bereits 2018 hat Cisco vorhergesagt, dass dieses Vorgehen in Zukunft zu einer der bevorzugten Angriffsformen der Szene avancieren wird. Diese Prognose hat sich mittlerweile bewahrheitet: 93 Prozent der gefährlichen Codes verbergen sich hinter einer SSL- oder TLS-Verschlüsselung – so eine aktuelle Untersuchung von Watchguard Threat Lab. Diese Realität scheint bei Cyber-Sicherheitsteams allerdings noch nicht angekommen zu sein. Aus den Ergebnissen einer aktuellen Hybrid-Cloud-Studie von Gigamon geht hervor, dass lediglich 21 Prozent der deutschen IT- und Security-Entscheider einen Einblick in verschlüsselte Daten haben, die ihr Netzwerk durchqueren.

CISOs sind für den Schutz ihrer Hybrid-Cloud-Umgebungen verantwortlich. Dafür müssen sie immer wieder die schwere Entscheidung treffen, wie sie Ressourcen und Budget am besten verteilen. In einer Welt, in der Produktivität mit Rentabilität gleichgestellt wird, lassen sich Zeit, Geld und Rechenleistung, die man in die Entschlüsselung und Analyse solcher Daten investiert, nur schwer rechtfertigen. Folglich setzen Sicherheitsteams ihr Unternehmen einem erhöhten Sicherheitsrisiko aus, wenn sie nicht über die nötige Sichtbarkeit verfügen, um verschlüsselte Gefahren zu identifizieren.

Die Bedrohung, die sich ungehindert durchs Netzwerk bewegt

Im Malware-Kontext assoziieren viele die Verschlüsselung mit Ransomware-Angriffen, bei denen Cyber-Kriminelle wichtige Daten im Netzwerk als „Geiseln nehmen“. Für die vermeintliche Freigabe fordern sie horrende Lösegelder. Obwohl SSL- und TLS-Verschlüsselungsprotokollen die (sensiblen) Daten auf Webseiten vor fahrlässigem Umgang sowie dem Zugriff durch unautorisierte Anwender schützen sollen, dient der verschlüsselte Datenverkehr ihnen auch als „Fortbewegungsmittel“ – eine Art Trojanisches Pferd.

Cyber-Kriminelle verstecken hier schädlichen Code, der beim Abruf des Sicherheitsprotokolls mit dem Datenverkehr ins Unternehmensnetzwerk geschleust wird. Diese Vorgehensweise erweist sich häufig als erfolgreich, da viele deutsche Unternehmen verschlüsselte Daten ungefiltert durch ihr Netzwerk fließen lassen – laut Gigamon sind es 79 Prozent. Das liegt unter anderem an den hohen Kosten, die durch Entschlüsselung, Analyse und Rückverschlüsselung des Traffics entstehen.

Doch bevor CISOs Herr über dieses Problem werden können, müssen sie sich zunächst anderen Herausforderungen stellen. Als größte Schwierigkeit benennen Sicherheitsexperten den fehlenden Einblick in sämtliche Daten, die durch Cloud- und lokale Netzwerke fließen. 52 Prozent der deutschen IT- und Security-Entscheider empfinden diese „blinden Flecken“ als Stressfaktor. Bei fast der Hälfte der deutschen Unternehmen (47 Prozent) entsteht ein solcher „blinder Fleck“ zum Beispiel innerhalb des horizontalen Traffics. Ihnen mangelt es hier an Sichtbarkeit, was bedeutet, dass schädlicher Code unentdeckt ins Netzwerk eindringen kann. Erschwerend kommt hinzu, dass Unternehmensnetzwerke immer komplexer werden, da sie sich heutzutage über mehrere Rechenzentren und Cloud-Plattformen erstrecken. Das ist der Sichtbarkeit nicht gerade zuträglich.

Deep Observability: Netzwerksicherheit auf hohem Niveau

Die Sichtbarkeit der gesamten Hybrid-Cloud-Umgebung ist für eine robuste Cyber-Sicherheitsarchitektur essenziell. Leider gehen nur 28 Prozent der deutschen IT- und Security-Entscheider davon aus, dass sie von der Anwendungs- bis hin zur Netzwerkebene ausreichend Einsicht haben – ein zu kleiner Anteil. Außerdem wurde das Thema „Verschlüsselung als Einfallstor für Cyber-Kriminelle“ zu lange vernachlässigt, weshalb die Sichtbarkeit tiefgreifender sein muss als bisher. In diesem Fall schaffen Deep Observability und damit verbundene Visibility-Mechanismen Abhilfe. Diese optimieren die Rechenressourcen und sorgen so für die notwendige Sichtbarkeit, ohne die Cyber-Sicherheit aufs Spiel zu setzen.

Mit Application Filtering zum Beispiel sind Sicherheitsteams in der Lage, vertrauensvolle Daten vom gesamten Datenstrom abzuheben. Dadurch können sie den Datenverkehr in weniger riskanten und hochriskanten aufteilen. Auf diese Weise lassen sich Daten von bekannten Anwendungen wie YouTube oder Netflix bereits vor dem Entschlüsselungsprozess herausfiltern, was das Verarbeitungsvolumen automatisch reduziert. Mithilfe von Deduplizierung werden nur einzigartige Datenpakete priorisiert und entschlüsselt, was ebenfalls die Rechenleistung senkt. Die aus Deep Observability resultierende Sichtbarkeit bildet zudem die Grundlage für weitere Sicherheitskonzepte. So funktioniert der Zero-Trust-Ansatz zum Beispiel nur, wenn Cyber-Sicherheitsteams genau wissen, wo sich die sensiblen Daten in ihrem Netzwerk befinden und welche Geräte beziehungsweise welche Anwendungen darauf zugreifen.

Fazit

„Blinde Flecken“ stellen im Netzwerk ein enormes Risiko für Unternehmen dar, das im schlimmsten Fall weitreichende und kostspielige Konsequenzen hat. Doch CISOs können ihre IT-Landschaft nicht vor Bedrohungen schützen, die sie nicht sehen. Folglich müssen sie für mehr Sichtbarkeit sorgen. Das gilt auch für die noch stark vernachlässigte Gefahr, die mit dem verschlüsselten Datenverkehr einhergeht. Demnach führt für CISOs kein Weg um Deep Observability herum. Somit erhalten sie auf kosteneffiziente Weise den vollen (Sicherheits-) Durchblick.