COMPAREX AG
Segen und Fluch: Was Sie beim Thema Verschlüsselung beachten sollten! (Header)

Segen und Fluch: Was Sie beim Thema Verschlüsselung beachten sollten!

Was früher die Postkarte war, ist heute die E-Mail. Wenn man dabei auf eine Verschlüsselung der E-Mail verzichtet, was dem Verzicht eines Briefumschlags im Briefverkehr gleichkommt, kann alles mitgelesen werden. Der Geheimhaltungsgrad und die Privatsphäre tendieren nahezu gegen Null. Die neue DSGVO (Datenschutzgrundverordnung) empfiehlt daher den Einsatz von Verschlüsselung, um so den Sicherheitsaspekt zu erhöhen. Auf der anderen Seite nutzen aber auch Angreifer die Verschlüsselung, um Angriffe zu tarnen bzw. zu verschleiern. Setzt man also intern eine Verschlüsselungsmethode wie z.B. PGP by Symantec ein, sollte man sich auch Gedanken zu einer ETM-Lösung (Encrypted Traffic Management) machen, die es ermöglicht, verschlüsselten Verkehr zu untersuchen. Dieser Beitrag zeigt die Grundlagen zum Thema Verschlüsselung auf. Außerdem verdeutlicht er, warum es sinnvoll ist, eine ETM-Lösung zu nutzen und wie Sie Symantec in diesem Segment unterstützen kann.

Ein Blogbeitrag von Volker Korsch, Specialised Sales

Grundlagen: So funktioniert Verschlüsselung

Was ist der Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung?

Es gibt heute zwei Arten von Verschlüsselung: Die symmetrische und asymmetrische Verschlüsselung. Der Unterschied liegt dabei hauptsächlich bei den Schlüsseln.

Unterschied symmetrische vs. asymmetrische Verschlüsselung (Quelle: COMPAREX)
Abb. 1: Unterschied der Verschlüsselungsarten (links = symmetrisch, rechts = asymmetrisch), Quelle: COMPAREX

Bei einer symmetrischen Verschlüsselung nutzen Sender und Empfänger zur Ver- und Entschlüsselung den gleichen Schlüssel. Heute würde man das als schwache Verschlüsselung bezeichnen, da es sehr einfach ist, den Code zur Verschlüsselung zu knacken und anschließend alle Nachrichten mitlesen zu können.

Um den Grad der Sicherheit zu erhöhen, wurde vor einigen Jahren die asymmetrische Verschlüsselung entwickelt. Der größte Unterschied liegt darin, dass zur Ver- und Entschlüsselung unterschiedliche Schlüssel verwendet werden. Jeder Nutzer hat immer ein Schlüsselpaar, den privaten und den öffentlichen Schlüssel. Möchte man nun mit einem anderen Nutzer kommunizieren, so wird die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Empfänger nutzt seinen eigenen privaten Schlüssel zum Entschlüsseln der Nachricht.

Dazu wird im Vorfeld der Kommunikation der öffentliche Schlüssel ausgetauscht, was auch über einen ungesicherten Kanal stattfinden kann. Der dazugehörige private Schlüssel wird geheim gehalten und, davon geht man heute aus, lässt sich nicht über den öffentlichen Schlüssel berechnen bzw. knacken. Ein Nachteil des asymmetrischen Verfahrens ist die Geschwindigkeit, mit der verschlüsselt wird, die aufgrund der komplexen Schlüssel deutlich langsamer als beim symmetrischen Verfahren ist.

Deswegen nutzt man heute den hybriden Ansatz, also eine Mischung aus symmetrischer und asymmetrischer Verschlüsselung.

Wie werden die Schlüssel zertifiziert?

Um zu guter Letzt noch sicherzustellen, dass man demjenigen vertrauen kann, der seinen öffentlichen Schlüssel übertragen hat, sollte man sich kennen oder denjenigen kennen, der den Kommunikationspartner kennt.

Früher hat man das über ein Vertrauensnetz realisiert, auch unter Web-of-Trust bekannt. Heute ist die Anzahl der Schlüssel so groß, dass das nicht mehr umsetzbar ist. Dafür gibt es sogenannte Zertifizierungsstellen, auch CA (Certificate Authority) genannt. Diese beglaubigen die Echtheit und Gültigkeit des öffentlichen Schlüssels, ähnlich einem Personalausweis, den man vom Einwohnermeldeamt erhält und nachweisbar vertrauenswürdig ist.

Bei einer CA ist das ähnlich, nur dass diese eben bestätigt, dass man die Berechtigung zur Nutzung besitzt und das Schlüsselmaterial gültig ist. Dazu ist meist auch eine entsprechende Legitimierung über die Vorlage eines Ausweises erforderlich. Ist das alles korrekt erfolgt, ist man selbst und das Schlüsselmaterial beglaubigt.

Verschlüsselte Kommunikation: Alles zu Verschlüsselungsprotokollen und Anwendungsfällen

Verschlüsselte Kommunikation findet heute über SSL (Secure Sockets Layer) oder auch TLS (Transport Layer Security) statt und ist ein wichtiger Bestandteil in der Ende-zu-Ende-Kommunikation. Seit 2012 ist der Anstieg an Webseiten, die Verschlüsselung einsetzen, überproportional gestiegen. Ein Ansatz ist grundsätzlich und bedeutet Sicherheit, d.h. wir nutzen Verschlüsselung der Daten bei der Kommunikation, um unsere Informationen vor unberechtigtem Zugriff zu schützen.

Der andere Ansatz ist , dass die DSGVO (Datenschutzgrundverordnung), die den Umgang mit personenbezogenen Daten vorgibt, ab dem 25. Mai 2018 endgültig gilt. „Schützen Sie Ihre personenbezogenen Daten vor bösartigen Angriffen oder Missbrauch.“

Allerdings begünstigt Verschlüsselung auch die Verschleierung von Schadcode, was Hacker sich zu Nutze machen, um ihren Angriff zu tarnen. Erfolgt die Entschlüsselung dann erst am Endpunkt oder Server, ist es in diesem Fall zu spät. Der Schadcode befindet sich bereits in der Infrastruktur. Ein zweites Problem stellt der Datenabfluss von zu schützenden Informationen dar. Verschlüsselung kann eingesetzt werden, um Daten so zu verschleiern, dass diese unbemerkt aus dem Unternehmen geschleust bzw. exfiltriert werden können. Um diese Probleme zu verhindern, sollte man unbedingt eine ETM-(Encrypted-Traffic-Management) Lösung einsetzen.

Was ist SSL (Secure Sockets Layer) / TLS (Transport Layer Security) eigentlich und wo wird es eingesetzt?

SSL1.0 (Secure Socket Layer) wurde 1994 von Netscape veröffentlicht und stellte die Grundlage der gesicherten Kommunikation dar. Mit Einführung von SSL3.0 und gleichzeitiger Aufnahme in die Internetprotokollfamilie (IETF) wurde der Name in TLS (Transport Layer Security) geändert. TLS ist also die neuere Version von SSL. Es handelt sich um ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

Über einen Handshake werden im Vorfeld, also noch bevor ein Bit übertragen wird, das öffentliche Schlüsselmaterial ausgetauscht und der (Web-)Server authentifiziert sich beim Client (Nutzer) mit Hilfe eines Zertifikats, das von einer CA erstellt wurde. Der Client kann so die Gültigkeit und Vertrauenswürdigkeit des Servers überprüfen. Dann tauschen beide ein Geheimnis aus, was auch eine Zufallszahl sein kann, woraus ein kryptographischer Schlüssel (Sitzungsschlüssel) abgeleitet und zur symmetrischen Verschlüsselung genutzt wird. Später kann der Sitzungsschlüssel wiederverwendet werden, wenn eine erneute Kommunikation stattfindet, die nicht zu lange zurückliegt.

TLS wird heute hauptsächlich mit HTTPS eingesetzt und kann verschiedene Verschlüsselungsmethoden einsetzen. Die geläufigsten sind die RSA-, AES oder Camellia-Verschlüsselung (auch Cipher-Suite, zu Deutsch Schlüssel-Sammlung).

Weitere Anwendungsfälle für TLS sind heute:

  • E-Mail-Protokolle wie SMTP, IMAP, POP3
  • File Transfer wie FTP
  • Protokolle wie SPDY, genutzt von Google und Facebook
  • Zusammenarbeit wie MS Office 365, Box, Sharepoint
  • uvm.

Das Management von SSL/TLS Traffic: Diese Lösungen gibt es

ETM (Encrypted Traffic Management) allgemein

Was heute leider noch nicht selbstverständlich ist, aber dennoch in den letzten Jahren einen unheimlichen Boom erfahren hat, ist die Verwendung von Verschlüsselung bei jeder Kommunikation. So wird sichergestellt, dass niemand unberechtigt Informationen eines anderen Nutzers mitlesen kann. Bleibt aber immer noch das Problem, dass auch Angreifer Verschlüsselung für getarnte Angriffe oder Diebe zur verschleierten Exfiltration von Daten nutzen.

Um das in den Griff zu bekommen, sollte man eine ETM-Lösung (Encrypted Traffic Management) einsetzen. Diese Lösung befindet sich im eigenen Netzwerk und wird ausschließlich dafür genutzt, den Verkehr, der ins eigene Netzwerk hineingeht oder aus dem eigenen Netzwerk herausgeht, zu untersuchen. Anders gesagt, man möchte in jedem Fall verhindern, dass zum einen jemand oder etwas einen Angriff auf die eigene Infrastruktur erfolgreich abschließt, aber auch zu schützende Daten nicht unerlaubt die eigene Infrastruktur verlassen.

Für eine ETM-Lösung gibt es verschiedene Ansätze. Die weitverbreitetsten sind:

  • NGFW (Next-Gen-Firewall)
  • ADC (Application Delivery Controller)

NGJW und ADC: Ansätze für eine ETM-Lösung (Quelle: Symantec)Abb. 2: NGFW und ADC als Ansätze für eine ETM-Lösung, Quelle: Symantec

Bei diesen beiden Lösungen treten allerdings auch Nachteile auf, die man nicht unberücksichtigt lassen sollte.

Im Netzwerk befinden sich unterschiedliche Geräte und Lösungen, die den Verkehr untersuchen, auswerten und eine Entscheidung zur Weiterverarbeitung treffen. Das kann eine aktive Instanz wie eine Data Loss Prevention Lösung (DLP) sein oder ein passives Gerät wie ein Intrusion Detection System (IDS). Eine aktive Instanz wird die Informationen immer auswerten und eine entsprechende Information zurückgeben, d.h. am Beispiel der DLP-Lösung kann die Vermittlung des Verkehrs verhindert werden, wenn es sich um Informationen handelt, die nicht übertragen werden dürfen, z.B. Patente. Wohingegen eine passive Instanz diese Daten nur in einer Log-Datei aufzeichnet, aber kein Feedback zur Weiterverarbeitung der Daten gibt.

Alternative bzw. möglicher anderer Ansatz

Die charmanteste Lösung wäre eine Appliance, die nur eine Aufgabe hat: „Kümmere Dich ausschließlich um den verschlüsselten Verkehr und erfülle dabei ein paar Voraussetzungen.“

1. Biete einen hohen Sicherheitsstandard, d.h.
a. fähig sein, in den Verkehr zu schauen, der den höchsten Verschlüsselungsstandards entspricht
b. sobald der Verkehr die ETM Appliance wieder verlässt, sollte der Verschlüsselungsstandard mindestens wieder genauso hoch sein wie bei Eintritt in die ETM-Lösung

2. Teile die Informationen mit allen angeschlossenen aktiven und passiven Instanzen

3. Sei kosteneffizient und performant

4. Biete ein Management
a. mit standardisierten Policies, die einen unkomplizierten Ersteinsatz ermöglichen
b. um einfach und effektiv Policies zu erstellen, die auch komplex sein könnten

5. Biete Privacy Policies, d.h. Daten, die laut Datenschutz unberührt sein müssen, werden vom ETM ausgeschlossen und ohne Entschlüsselung weitergeleitet

Symantec SSL-Visibility Appliance – eine sehr gute Alternative für eine ETM-Lösung

Eine mögliche Lösung bietet Symantec mit der SSL-V (SSL-Visibility Appliance). Die SSL-V ist eine dedizierte Lösung für das Management von verschlüsseltem Verkehr und wird wie eine Art Sandwich in die bestehende Infrastruktur eingebunden

Ein Schema zum Einsatz zeigt Ihnen die folgende Abbildung.

Symantec SSL-Visibility Appliance (Quelle: Symantec)

Abb. 3:  Symantec SSL-Visibility Appliance, Quelle: Symantec


Folgende Vorteile bietet die SSL-V von Symantec:

1. Entschlüsselte Informationen werden gleichzeitig mit aktiven und passiven Geräten oder Lösungen geteilt. Somit kann z.B. verhindert werden, dass ein Datensatz verschickt wird, der durch eine DLP-Lösung als sensitiv eingestuft wurde.

2. Zugriff auf über 70 Cipher-Suites und Schlüsselaustauschverfahren, was die Nutzung eines hohen Sicherheitsstandards erlaubt.

3. Kosteneffizienz – hierbei hilft ein Vergleich. Eine NGFW verliert ca. 20% Performance, um verschlüsselten Traffic zu untersuchen. Somit benötigen Sie also mindestens eine weitere NGFW, wenn die Option bei fünf NGFW im eigenen Netzwerk aktiviert wird und die gleiche Performance der Traffic-Untersuchung bestehen bleiben soll.

4. Eine grafische Management-Oberfläche

 a. mit standardisierten Policies zum sofortigen Einsatz der SSL-V und mit einem hohen Sicherheitslevel, was bedeutet, dass die Appliance direkt und ohne großen Aufwand einsetzbar ist und einen hohen Sicherheitsstandard bietet.
b. um eine Möglichkeit zu haben, hochkomplexe Policies selbst zu erstellen, ohne ein kompliziertes Command-Line Skript zu erstellen.

5. Einhaltung der Datenschutz- und Compliance-Vorgaben durch eine granulare Richtlinien-Engine, d.h.

a. Festlegung von Kategorien und Sonderbehandlungen wie selektive Entschlüsselung, z.B. Ausschluss von Daten der Finanzdienstleistungen oder des Gesundheitswesens
b. gleichzeitig aber besonderes Augenmerk für Verkehr aus wissentlich bösartigen Quellen

6. Die Appliance hat keine IP Adresse im Netzwerk, kann also nicht Opfer eines gezielten Ziel Angriffs werden.

Zusammenfassung

Verschlüsselte Kommunikation ist Segen und Fluch gleichzeitig. Zwar erhöhen wir die Sicherheit bei der Kommunikation und stellen Dinge wie Privatsphäre und Geheimhaltung in den Vordergrund, bieten aber auch genug Raum, um es Dieben und Angreifern bei Ihrem Tun leichter zu machen.

Um also dem Anspruch der Sicherheit bei der Kommunikation zu entsprechen und trotzdem nicht in die Opferrolle zu verfallen, sollte man auch über den umgekehrten Weg nachdenken. Dabei hilft Ihnen der Einsatz einer ETM-Lösung (Encrypted Traffic Management).

Die verschiedenen Ansätze in Bezug auf Sicherheitsstandards und Einsetzbarkeit sollten in diesem Beitrag deutlich geworden sein. Ein Beispiel mit einem hohen Standard in allen drei Fällen bietet Ihnen die SSL-Visibility Appliance von Symantec.

Quellen: “A Technology Brief on SSL-TLS Traffic”, “Flexible Visibility and Control of SSL Traffic”, “Implementing Data Privacy Requirements for Encrypted Traffic” ©Symantec

 

Sie wünschen sich weitere Informationen? Besuchen Sie unser IT-Security-Symposium.

Wie Sie auch Daten in der Cloud absichern sowie auf Integrität und Compliance untersuchen können, stellen wir Ihnen gern auf dem IT-Security-Symposium am 15. März 2018 in Berlin vor. Dabei gehen wir ganz speziell auf das Thema Cloud Access Security Broker (heute CloudSOC by Symantec) ein.

Zur Anmeldung

Diesen Artikel teilen

Artikel vom:
17.01.2018

geschrieben von:

TAGS:
DSGVO, Symantec, Verschlüsselung

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben