Braucht Ihr Netzwerk einen Türsteher?
Stellen Sie sich vor, Sie machen einen Club auf. Sie nehmen sich den besten Innenarchitekten, kaufen den besten Wodka und stellen den besten Barmann ein, den Sie finden können. Ihr Club wird mit großem Erfolg eröffnet und entwickelt sich sofort zur angesagtesten Location in der ganzen Stadt.
Nach einem Monat ist alles vorbei und Sie müssen Ihren Laden schließen. Wie sich später herausstellt, war es keine gute Idee, jeden hereinzulassen.
Das gilt doppelt und dreifach, wenn es um Ihr Netzwerk und die Cybersicherheit geht. Könnten Sie gut schlafen, wenn Ihr Unternehmen keinerlei Einblick in einen Bereich hätte, der häufig Probleme und Compliance-Risiken verursacht? Wohl eher nicht. Leider gibt es noch viele Organisationen, die sich keine allzu großen Gedanken über die Prüfung ihres verschlüsselten Datenverkehrs machen und sich dabei offensichtlich in Sicherheit wiegen.
Lassen Sie uns aber erst einmal einen Blick darauf werfen, was verschlüsselte Bedrohungen überhaupt sind: Einfach gesagt, lässt sich mittels SSL (Secure Sockets Layer) ein verschlüsselter Tunnel für die sichere Datenübertragung über eine Internetverbindung erstellen. TLS (Transport Layer Security) ist eine neuere, sicherere Version von SSL.
TLS und SSL bieten handfeste Vorteile für die Sicherheit von Websitzungen und Internetverbindungen. Dennoch nutzen Cyberkriminelle diese Verschlüsselungsstandards zunehmend, um beispielsweise Malware, Ransomware und Zero-Day-Angriffe zu verbergen. Schätzungen zufolge sind heute 35 Prozent der Bedrohungen verschlüsselt – Tendenz steigend (Quelle: Gartner).
Wenn es um die zuverlässige Überprüfung des SSL- und TLS-Datenverkehrs zur Erkennung bösartiger Cyberangriffe – speziell mit Deep Packet Inspection (DPI) – geht, fürchten viele Organisationen einen Anstieg der Komplexität, oder sie sind sich einfach nicht der Notwendigkeit bewusst, ihre Daten zu scannen. Diese Haltung ist extrem gefährlich, da herkömmliche Sicherheitslösungen weder die nötige Funktionalität noch die Leistung besitzen, um Cyberangriffe, die das Firmennetz via HTTPS-Verkehr erreichen, zu erkennen, zu inspizieren und zu neutralisieren.
Wenn wir auf unser Beispiel mit dem Club zurückkommen, hätte ein Türsteher mit großer Wahrscheinlichkeit die erfolgreiche Fortführung des Lokals ermöglicht und Ihnen eine schmerzvolle Schließung aufgrund mangelnder oder nicht vorhandener Kontrollen erspart.
In gleicher Weise kann eine gründliche Prüfung des verschlüsselten Verkehrs den Unterschied zwischen einer erfolgreichen Erkennung und Blockierung von Bedrohungen und den katastrophalen Folgen eines erfolgreichen Cyberangriffs bedeuten. Das ist besonders vor dem Hintergrund ständig zunehmender, verschlüsselter Bedrohungen wichtig.
Stellen Sie sich vor, Ihr Club hätte einen Dresscode. Egal ob Sie modische Ausgehkleidung oder Jackett und Krawatte vorschreiben würden – ohne einen Türsteher hätten Sie keine Möglichkeit, die Einhaltung zu überwachen. Und was noch schlimmer ist: Da niemand die Mäntel kontrolliert, würden Sie auch nicht erfahren, ob einer der Gäste unter seinem khakifarbenen Trenchcoat vielleicht ein Eishockey-Trikot oder ein T‑Shirt mit einer unangemessenen Botschaft trägt.
So ähnlich verhält es sich auch mit einer Content-Filtering-Lösung und dem verschlüsselten Verkehr. Mittlerweile treffen 80 bis 90 Prozent des Datenverkehrs über verschlüsselte Verbindungen mit HTTPS ein. Veraltete Content-Filtering-Lösungen liefern dabei komplett verfälschte Ergebnisse (Quelle Google-Transparenzbericht). Sie sind nur begrenzt effizient, wenn es darum geht, die Ziel-Webseite zu identifizieren und zu entscheiden, wie mit potenziellen Bedrohungen umgegangen werden soll. Da Sie nicht sehen können, was sich unter der Oberfläche abspielt, laufen Sie Gefahr, dass sich Bedrohungen unbemerkt Eintritt verschaffen.
In gleicher Weise sind Sandboxing-Lösungen bei verschlüsselten Bedrohungen nur von begrenztem Nutzen. Gelingt es einem Hacker, eine verschlüsselte Verbindung zwischen dem Controller des Bedrohungsakteurs und einem Endpunkt herzustellen, kann er Dateien hin- und herübertragen – inklusive zusätzlicher Malware. In den meisten Fällen haben Unternehmen eine einzige Sandboxing-Lösung, die alle Dateien auf böswilligen Code scannt, bevor sie ins Netzwerk gelassen werden.
Bei verschlüsselten Verbindungen ist die Sandboxing-Lösung allerdings nutzlos, da ein Zugriff auf die Dateien, die zwischen einem C2-System und dem Endpunkt übertragen werden, nicht möglich ist. Die Lösung erkennt zwar den verschlüsselten Datenverkehr zwischen zwei IPs, kann die Dateien aber nicht inspizieren.
Um noch mal auf das Beispiel mit dem Club zurückzukommen: Stellen Sie sich Ihren Türsteher als einen erfahrenen Profi vor, der die Szene seit 20 Jahren kennt und potenzielle Randalierer auf eine Meile Entfernung wittert. Wenn Sie keinen Security-Mitarbeiter am Eingang haben, der sofort erkennt, wer zu einer Gefahr für sich selbst und andere werden kann, steht Ihr Lokal buchstäblich jedem offen. Denn für andere, die nicht darin geübt sind, Problemgäste zu erkennen, sehen Troublemaker wie alle anderen aus – bis es zu spät ist.
Und manchmal geht es nicht nur darum, wer in den Club (oder ins Netzwerk) hineinkommt, sondern wer hinausgeht. Viele Sicherheitslösungen bieten zwar Schutz vor Datenverlust, aber durch die Verschlüsselung bleibt der Datenraub oft unentdeckt. Angreifer können – egal ob sie zum Unternehmen gehören oder von außerhalb kommen – private oder vertrauliche Daten stehlen, ohne dass jemand davon Wind bekommt. Sobald sie genügend Informationen gesammelt haben, setzen sie dann Ransomware ein, um ihre Opfer zu erpressen.
Herkömmliche Gateway-Appliances, die keine Datenentschlüsselung unterstützen oder bei denen die Funktion nicht aktiviert ist, können diesen Datenverkehr nicht inspizieren. Dabei gehen die Risiken weit über Trojaner, Ransomware und Malware hinaus. Das Herausschleusen vertraulicher Daten kann schnell zu Compliance-Problemen und der Verletzung von Vorgaben wie z. B. HIPAA, PCI oder DSGVO führen.
Wurde Ihr Club geschlossen, weil Gäste beim Verlassen des Lokals mit Getränken erwischt wurden oder weil Mitarbeiter dabei beobachtet wurden, wie sie Flaschen herausschmuggeln? Das Problem hier ist, dass nicht nur Ihre Gäste und Mitarbeiter etwas Verbotenes tun, auch Sie verstoßen gegen Gesetze. Und manchmal können die Strafen für die Nichteinhaltung gesetzlicher Vorschriften – egal, ob es sich um lokale Verordnungen für Kneipen oder staatliche Compliance-Vorgaben für große Unternehmen handelt – existenzbedrohend sein oder zu einer Schließung führen.
In beiden Fällen ist die Lösung die gleiche: Sie brauchen einen furchtlosen und effizienten Wächter, der intelligent genug ist, zu wissen, wen er hineinlässt und wen er draußen lässt, und dabei so geschickt agiert, dass es nicht zu langen Warteschlangen vor der Tür kommt.
Wenn Sie mehr darüber erfahren wollen, was Sie brauchen, um den verschlüsselten Datenverkehr in Ihrem Unternehmen zu überprüfen, dann klicken Sie hier und registrieren Sie sich für das aktuelle Mindhunter-Webinar „Braucht Ihr Netzwerk einen Türsteher?“ am 21. April um 09:00 Uhr CET.
This post is also available in: English Allemand Alemán
Osca has been leading high-performing teams for the last 15+ years in Sales Engineering, with a focus on customer outcomes and partner alignment across enterprises and SMBs. Before he came to SonicWall, Osca worked on cybersecurity for the cloud space at McAfee. Osca continues to champion the importance of women in cybersecurity, coach and mentor aspiring graduates in technology, and support a diverse and inclusive workforce.
