SSL-Inspection - Fluch oder Segen?

Bestimmt haben Sie schon von SSL (Secure Sockets Layer) gehört. Heute wird es meist als TLS (Transport Layer Security) bezeichnet und ist ein Verschlüsselungsprotokoll, das Daten während der Übertragung sichert. Im Zusammenhang mit Firewalls ist der Begriff SSL-Inspection (auch als SSL-Decryption oder SSL-Interception bekannt) immer häufiger zu finden. Da dieses Verfahren kontrovers diskutiert wird, möchte ich Ihnen in diesem Artikel erklären, was hinter der SSL-Inspection steckt und welche Folgen sich daraus für Ihr Unternehmen ergeben.

Inhaltsverzeichnis 

1. Was ist SSL Inspection und wie funktioniert es?
2. Klassische SSL-Verschlüsselung: Kommunikation ohne Dritte
3. SSL Inspection: Kommunikation über eine Firewall
4. SSL Inspection und Man-in-the-Middle-Risiken
5. Was ist Deep Packet Inspection (DPI) und wie funktioniert es?
6. Neuere Ansätze: Synchronized Security mit Sophos
7. Fazit: SSL Inspection - Risiken und moderne Lösungen

Was ist SSL Inspection und wie funktioniert es?

SSL Inspection (SSL Interception oder TLS Interception) ist ein Prozess, bei dem verschlüsselter Datenverkehr entschlüsselt, überprüft und danach wieder verschlüsselt wird, bevor er sein Ziel erreicht. Dies ermöglicht es Sicherheitsgeräten wie Firewalls, Bedrohungen wie Viren, Malware oder andere Gefahren zu erkennen, die in verschlüsselten Datenpaketen verborgen sein könnten.

Der übliche Ablauf einer SSL-Inspection sieht so aus:

1. Die Firewall unterbricht die Verbindung zwischen dem Client (z.B. einem Benutzer im Unternehmensnetzwerk) und dem Server (z.B. einer Bankseite).
2. Der Traffic wird auf der Firewall entschlüsselt.
3. Nach der Überprüfung wird der Traffic wieder verschlüsselt und an sein Ziel weitergeleitet.

Dabei fungiert die Firewall als eine Man-in-the-Middle-Instanz, die den Datenverkehr abfängt. Obwohl dies notwendig ist, um Bedrohungen zu identifizieren, bringt es auch Sicherheitsrisiken mit sich. Im klassischen Fall sorgt SSL/TLS dafür, dass der Datenverkehr Ende-zu-Ende verschlüsselt ist – das heißt, nur der Sender und der Empfänger haben Zugriff auf die unverschlüsselten Daten.

Klassische SSL-Verschlüsselung: Kommunikation ohne Dritte

Wie sieht die Situation aus, wenn zwischen den beiden Kommunikationspartnern noch eine Firewall oder ein Proxy mit aktivierter SSL-Inspection involviert ist? Nehmen wir an, ein Client im Unternehmensnetzwerk möchte mit einem Server (z.B. beim Online Banking) kommunizieren, diese Kommunikation läuft aber über die Unternehmens-Firewall die den Internet-Traffic überwacht. Daraus ergibt sich, dass nun Server und Client nicht mehr direkt miteinander kommunizieren, sondern jeweils nur mit der Firewall. Das wiederum heißt, dass sich die Firewall gegenüber dem Banking Server sozusagen wie ein Client verhält und gegenüber dem Client sozusagen wie der Banking Server. Als „Man-in-the-Middle“ entschlüsselt die Firewall den Traffic und prüft diesen auf Viren und Malware.

Lesen Sie zum Thema Verschlüsselung auch: Diese Verschlüsselungsverfahren sollten Sie kennen

SSL Inspection: Kommunikation über eine Firewall

Wie verändert sich die Situation, wenn zwischen den Kommunikationspartnern eine Firewall mit SSL-Inspection geschaltet wird? Nehmen wir als Beispiel einen Mitarbeiter, der von einem Unternehmensnetzwerk aus auf eine Banking-Seite zugreift. Der Traffic zwischen dem Mitarbeiter (Client) und der Banking-Seite (Server) wird normalerweise verschlüsselt. Sobald jedoch die Unternehmens-Firewall mit SSL-Inspection den Datenverkehr abfängt, agiert diese als Mittelsmann.

Die Firewall fungiert sowohl als Client gegenüber dem Server als auch als Server gegenüber dem Client. Der verschlüsselte Datenverkehr wird dabei auf der Firewall entschlüsselt, geprüft und danach wieder verschlüsselt, bevor er den Server oder Client erreicht. Dieses „Man-in-the-Middle“-Verfahren sorgt dafür, dass die Firewall den Datenstrom auf Bedrohungen wie Malware und schädliche Inhalte hin überprüfen kann.

SSL Inspection und Man-in-the-Middle-Risiken

Das beschriebene Verfahren birgt jedoch Risiken. Dadurch, dass die Firewall als Man-in-the-Middle agiert, kann sie die ursprünglich sichere Ende-zu-Ende-Verschlüsselung brechen. Das bedeutet, die Verbindung ist nicht mehr komplett sicher, da die Daten zwischen der Firewall und dem Server sowie zwischen der Firewall und dem Client separat verschlüsselt und entschlüsselt werden. Diese Methode ist zwar für das Aufspüren von Bedrohungen notwendig, stellt jedoch ein potenzielles Sicherheitsrisiko dar, weil sie von Cyberkriminellen ausgenutzt werden könnte, um an sensible Daten wie Passwörter zu gelangen.

Was ist Deep Packet Inspection (DPI) und wie funktioniert es?

Ein weiterer Ansatz zur Überwachung von Datenverkehr ist die Deep Packet Inspection (DPI). DPI ist eine fortgeschrittene Technik, die es ermöglicht, den Inhalt jedes Datenpakets im Netzwerk zu überprüfen. Anders als SSL-Inspection, das sich auf den verschlüsselten Verkehr konzentriert, kann DPI sowohl verschlüsselten als auch unverschlüsselten Traffic analysieren und liefert damit noch detailliertere Einblicke in den Netzwerkverkehr.

Die Hauptunterschiede zwischen SSL-Inspection und DPI sind:

• SSL-Inspection fokussiert sich auf verschlüsselten Datenverkehr, wobei die Verschlüsselung aufgebrochen wird, um den Traffic zu prüfen.
• Deep Packet Inspection analysiert sowohl unverschlüsselten als auch verschlüsselten Verkehr und überprüft den gesamten Inhalt eines Datenpakets – vom Header bis zum Payload.

Mit DPI können Netzwerksicherheitslösungen gezielter auf Anwendungen und Bedrohungen reagieren, weil sie mehr Informationen über den Datenstrom erhalten.

Neuere Ansätze: Synchronized Security mit Sophos

Die gute Nachricht ist, dass moderne Technologien wie die Synchronized Security von Sophos es ermöglichen, den Scan auf den Client zu verlagern und dabei die Ende-zu-Ende-Verschlüsselung aufrechtzuerhalten. Die Firewall muss den SSL-verschlüsselten Traffic nicht mehr selbst prüfen, sondern überlässt diese Aufgabe einem Endpoint Security Client auf dem Computer des Nutzers.

Falls der Client eine Bedrohung erkennt, wird der Firewall gemeldet, die Verbindung zu unterbrechen und den betroffenen Rechner zu isolieren. So wird eine Ende-zu-Ende-Verschlüsselung gewährleistet, während der SSL-Traffic dennoch gescannt wird, um potenzielle Sicherheitsbedrohungen zu erkennen.

Lesen Sie zum Thema Sophos auch: Unsere Sophos-Produkte erklärt

Fazit: SSL Inspection - Risiken und moderne Lösungen

SSL-Inspection ist nach wie vor ein notwendiger Prozess, um verschlüsselten Traffic auf Bedrohungen zu überprüfen. Das Verfahren hat jedoch den Nachteil, dass es die Ende-zu-Ende-Verschlüsselung durchbricht und so potenzielle Sicherheitslücken schafft. Durch neue Technologien wie Synchronized Security ist es möglich, den Datenverkehr direkt auf dem Client zu prüfen, ohne die Vorteile der Ende-zu-Ende-Verschlüsselung aufzugeben. So kann SSL-Inspection weiterhin genutzt werden, ohne dass die Firewall als Man-in-the-Middle agieren muss.

Für Unternehmen, die auf maximale Sicherheit bei minimalem Risiko setzen, könnte die Kombination aus SSL-Inspection und DPI eine effektive Lösung darstellen.

Wenn Sie Ihr Unternehmen auf die IT-Sicherheit und Informationssicherheit testen wollen, besuchen Sie doch einmal unseren IT-Sicherheitscheck.