Zscaler warnt vor Zunahme SSL-basierter Bedrohungen

Der Sicherheitsanbieter Zscaler weist auf eine deutliche Zunahme von Bedrohungen hin, die ihren Datenverkehr per SSL verschlüsseln. Ende 2016 versteckten sich einer Studie des Unternehmens zufolge bereits mehr als 54 Prozent der von Zscaler blockierten Bedrohungen in HTTPS-Traffic. Das entspricht durchschnittlich 600.000 blockierten schädlichen Aktivitäten pro Tag.

Generell sei inzwischen mehr als die Hälfte des Internet-Datenverkehrs verschlüsselt. Das schaffe neue Probleme für Unternehmen, da sie nicht mehr in der Lage seien, den Datenverkehr zu überwachen. Stattdessen blieben ihnen nur weniger zuverlässige Techniken wie das Blockieren von IP-Adressen oder Domains, um Gefahren zu identifizieren und auszusperren.

Das Aufkommen von kostenlosen SSL-Zertifikaten, beispielsweise über die Initiative Let’s Encrypt, erlaube es Malware-Autoren, die von ihnen kontrollierten Domains mit gültigen SSL-Zertifikaten zu versehen und zu verschlüsseln. „Das Manöver versetzt sie in die Lage, die SSL-Integritätsprüfungen moderner Browser zu umgehen“, heißt es in der Studie.

Auch die Zahl der SSL-basierten Phishing-Angriffe habe zugenommen. Da es immer mehr SSL-Websites gebe, gelänge es Cyberkriminellen auch immer häufiger, legitime verschlüsselte Online-Angebote zu kompromittieren, um sie für Phishing einzusetzen. Zudem unterstützten nur wenige Hardware-Sicherheitslösungen für die Erkennung von Phishing und anderen Bedrohungen die Überwachung von SSL-Datenverkehr.

Hacker verschlüsseln der Studie zufolge aber auch den Datenverkehr zwischen gekaperten Systemen und ihren Befehlsservern per SSL, um ihre Aktivitäten zu verbergen. In Einzelfällen kombinieren sie Verschlüsselung sogar mit dem Anonymisierungsnetzwerk Tor. Beispiele für Schadprogramme, die Verschlüsselung nutzen, sind Dridex, Vawtrak und Gootkit

Auch die Anbieter von Adware haben inzwischen Wege gefunden, unerwünschte oder gefährliche Werbung in verschlüsselte Werbenetzwerke einzuschleusen. Hier nennt Zscaler die Adware Superfish als Beispiel, die 2015 ein selbstsigniertes Root-Zertifikate installierte, um anschließend jeglichen Datenverkehr abzufangen und eigene Anzeigen in beliebige Websites einzuschleusen. Eine andere Adware, die ihre Dateien auf HTTPS-Seiten hoste, sei InstallCore. Sie werde meist mit angeblichen Flash-Player- und Java-Updates installiert. InstallCore wiederum installiere Programme, um die Internetnutzung zu erfassen und unerwünschte Werbe-Pop-ups einzublenden. Einige Version seien sogar in der Lage, Browsereinstellungen für Startseite und Suchmaschinen zu manipulieren.

Da die Kontrolle von SSL-Datenverkehr viel Rechenleistung benötige, sei sie nicht in allen Sicherheits-Appliances integriert oder werde aufgrund geringer Performance deaktiviert, schreiben die Zscaler-Mitarbeiter Derek Gooley, Jithin Nair und Manohar Ghule in einem Blogeintrag. Es gebe zwar auch dedizierte Lösungen für die Überwachung von SSL-Traffice, sie seien aufgrund ihres Preises jedoch für einige Unternehmen unerschwinglich.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago