Der Safer Internet Day soll dazu beitragen, die Internetnutzer auf die Gefahren beim unachtsamen Surfen im Internet aufmerksam zu machen. Während vielfach von sicheren und unsicheren Passwörtern gewarnt wird, wird oft vergessen auf andere Gefahren des Internet aufmerksam zu machen. Es lohnt sich deshalb anlässlich dieses Tages auf die Missverständnisse rund um das Thema Verschlüsselung aufmerksam zu machen.
Etwa 70 – 80 % aller Webseiten sind mittlerweile HTTPS verschlüsselt und manche Browser stufen HTTP-Seiten generisch als unsicher ein. Allerdings wird damit suggeriert, dass HTTPS verschlüsselte Seiten grundsätzlich als sicher gelten können. Dabei wird missachtet, dass Cyberkriminelle heutzutage ihre Malware hinter SSL verschlüsseltem Datenverkehr zum ahnungslosen Anwender transportieren.
Was ist SSL?
SSL ist ein bekanntes Protokoll für die Verschlüsselung der Datenübertragung. Die Abkürzung steht für ‚Secure Socket Layer‘ und meint das Platzieren einer sicheren Schicht zwischen einem Server und einem Internetbrowser. SSL-Zertifikate verwenden das https-Protokoll des Browsers, um eine sichere Verbindung herzustellen. Dem Besucher einer Webseite wird so versichert, dass der gefundene Server tatsächlich derjenige ist, als der er sich ausgibt (die Authentifizierung) und die mit der Webseite ausgetauschten Daten verschlüsselt werden.
Welches Gefahrenpotenzial verbirgt sich hinter dieser trügerischen Sicherheit?
Der Browser zeigt das Vorhandensein eines solchen Zertifikats mit dem Zusatz des S hinter http (was für gesichert steht) und einem Schloss als optisches Symbol an. Aber hier vermittelt das Vorgehen im Rahmen des https-Protokolls den Nutzern ein falsches Sicherheitsgefühl. Wenn das kleine Schloss vor der Adressleiste erscheint, glauben viele Menschen, dass die von ihnen besuchte Webseite völlig sicher ist.
Dies liegt zum Teil daran, dass Tipps für ein sicheres Internet oft auf das Schloss als Indikator hinweisen. Dieses Symbol garantiert jedoch keineswegs, dass nun alles sicher ist. Es verdeutlicht nur, dass der Übertragungsmechanismus der Webseite abgesichert ist, was bedeutet, dass der „Tunnel“ zwischen dem Nutzer und der Webseite verschlüsselt ist. Nicht mehr und nicht weniger.
Die Herausforderung besteht darin, dass die Sicherheits-Software von Endgeräten in der Regel den SSL-Verkehr nicht entschlüsselt für eine Malware-Untersuchung, sondern lediglich prüft, ob es einen verschlüsselten Tunnel gibt. Malware, die über eine https-Verbindung verbreitet wird, wird in vielen Fällen somit nicht erkannt. Dies stellt eine große Bedrohung für die Benutzer dar, da die Anzahl der hinter SSL-Traffic verborgener Malware rasant anwächst, wie regelmäßige Analysen des Internet Security Spezialisten Zscaler zeigen.
Innerhalb des Untersuchungszeitraums 2018 stieg entdeckte Malware, die sich hinter SSL- Datenströmen verbarg, in 6 Monaten um 30 Prozent an. Das https-Protokoll schützt laut dem Report nicht vor dem Herunterladen infizierter Inhalte (Trojaner, Viren, Würmer, Ransomware) oder dem Öffnen eines bösartigen Links (Phishing). Dabei werden von Hackern beispielsweise Phishing-Seiten auf legitimen Domains gehostet, die kompromittiert wurden um Malware auszuliefern. Eine weitere Angriffsmethode setzt auf neu registrierte Domains, die ähnlich wie echte Domain-Namen aussehen, aber auf gefälschte Seiten umleiten und so Malware ausliefern.
Das Internet ist nicht so sicher, wie viele denken
Das Internet ist eine unsichere Umgebung, in der guter Schutz entscheidend ist. Viele Anwender glauben, SSL sei eine schöne, asphaltierte Straße, die eine sichere Benutzung um von A nach B zu kommen ermöglicht. Genau hier lauert das Missverständnis, auch eine Malware benutz diese Straße, wenn sie am Ausgangspunkt eingeschleust wurde und kann weitestgehend unbemerkt das Ziel, den Rechner oder das Mobilgerät des Anwenders, infizieren.
Um diesen mit Schadcode behafteten Datenverkehr aufzuspüren, sind Streckenposten auf der Straße erforderlich, die in der Lage sind, die Malware zu stoppen, bevor sie sich auf den Anwendergeräten einnisten kann. Auf das Geschäftsumfeld übertragen bedeutet das, dass Unternehmen auf durchgängige SSL-Inspektion setzen sollten, um das Einschleusen von Malware zu unterbinden. Vor allem dann, wenn Anwender mit ihren Privatgeräten auf zwischen privatem und beruflichem Gebrauch wechseln.
Mathias Widler, Regional Vice President und General Manager Central EMEA bei Zscale
www.zscaler.de