Malware kommt immer häufiger über HTTPS in Firmennetze
Dell hat seinen Sicherheitsbericht 2015 (PDF) vorgestellt. Darin warnt der Hersteller unter anderem vor Malware, die Angreifer unerkannt in Unternehmensnetze einschleusen können, da sich der entsprechende Schadcode über das HTTPS-Protokoll verschlüsselt übertragen lässt. Laut Dell ist ein auf diese Weise getarnter Schädling von gewöhnlichen Firewalls nicht zu identifizieren. Abhilfe könnten ausschließlich Firewalls mit SSL-Inspektion schaffen.
Obwohl verschlüsselte Kommunikation über HTTPS in der Öffentlichkeit als sicher gelte und Banken sowie Online-Shops das Protokoll zum Austausch vertraulicher Daten einsetzten, etwa für Bezahlvorgänge im Internet, würden Bedrohungen meist nur in Verbindung mit einem fehlenden oder falschen Einsatz von HTTPS gesehen, wie Dell in seinem Bericht feststellt. “Völlig außer Acht bleibt dabei, dass HTTPS selbst eine Gefahrenquelle darstellt, und zwar auch dann, wenn es richtig angewendet wurde”, erklärt Florian Malecki, International Product Marketing Director Network Security, bei Dell.
Gefahr droht Malecki zufolge dadurch, dass Angreifer in der Lage seien, über HTTPS unerkannt Malware in ein Unternehmensnetz einzuschleusen. Das Problem dabei sei, dass herkömmliche Firewalls die mit HTTPS verschlüsselte Malware nicht identifizieren könnten und sie daher ungehindert passieren ließen.
Dell hat im Rahmen seines jährlichen Sicherheitsberichts herausgefunden, dass sich der mit HTTPS gesicherte Datenverkehr im vergangenen Jahr etwas mehr als verdoppelt hat. Waren im Januar 2014 erst 182 Milliarden HTTP-Verbindungen via SSL/TLS geschützt, konnten ein Jahr später bereits 382 Milliarden HTTS-Verbindungen gezählt werden. Die aktuellsten Zahlen von März 2015 weisen schon 437 Milliarden per HTTPS gesicherte Datenübertragungen aus.
Entsprechend höher ist folglich auch das Risiko von Attacken, die sich derartiger Verbindungen mit Transportverschlüsselung bedienen. Malware wie das Klickbetrüger-Botnet ZeroAccess, die Trojaner Poison Backdoor und Kazy Trojan, das Exploit-Kit BlackHole oder Ransomware im Allgemeinen könnten sich problemlos im SSL- respektive TLS-Datenstrom verstecken. Das daraus resultierende Risiko sei außerhalb von Expertenkreisen jedoch erst wenig bekannt.
“Die größte Herausforderung ist hier meines Erachtens, dass sich Anwender der Gefahr überhaupt nicht bewusst sind”, führt Malecki weiter aus. “Wir sprechen immer wieder mit Anwendern, die aus allen Wolken fallen, weil sie meinen, mit dem Einsatz von HTTPS auf der sicheren Seite zu sein.” Natürlich sei das HTTPS-Protokoll für vertrauliche Daten, wie sie etwa im Online-Banking anfallen, heute unverzichtbar.
Um gleichzeitig die durch HTTPS entstehenden Sicherheitslücken schließen zu können empfiehlt Malecki, Unternehmensnetze mit Firewalls der nächsten Generation (Next Gen Firewalls) abzusichern: “Nur Systeme, die in der Lage sind, eine umfassende SSL-Inspektion vorzunehmen, die also auch die verschlüsselte Kommunikation auf Malware untersuchen können, bieten Schutz.” Rund ein Sechstel der von diesen Systemen erkannten Schadsoftware nutzt Dell zufolge bereits SSL beziehungsweise TLS. Das zeige, dass diese Gefahr keineswegs nur theoretischer Natur ist.
Doch nicht nur Firmen, sondern auch Privatanwender können sich vor per HTTPS übertragener Malware schützen. Der tschechische Sicherheitsanbieter Avast hat mit der Vorstellung seiner 2015er-Antivirensuiten im Oktober vergangenen Jahres eine entsprechende Scan-Funktion in seine Lösungen integriert.
Zu den weiteren Erkenntnissen, die das für den Bericht verantwortliche Forscherteam von Dell SonicWall für das vergangene Jahr gewinnen konnte, gehört unter anderem auch, dass die Anzahl an POS-Malware-Varianten, also auf Kassensysteme abzielender Schadsoftware, zugenommen hat. Nach eigenen Angaben hat Dell SonicWall letztes Jahr 13 neue Signaturen von POS-Malware erstellt, 2013 waren es auf das ganze Jahr betrachtet lediglich drei. Auf den Trend haben auch Palo Alto Networks und Cisco berits hingeweisen, die Ende März vor den neuen POS-Schädlingen FindPOS respektive PoSeidon warnten.
Die Mehrzahl der Angriffe auf Kassensysteme richtete sich laut dem Dell-Sicherheitsbericht derzeit gegen den US-Einzelhandel. Zudem hat Dell neue Trends bei dieser Art von Attacken ausgemacht. Demnach setzten Angreifer 2014 verstärkt auf Memory Scraping und nutzten Verschlüsselungstechniken, um sich der Erkennung durch Firewalls zu entziehen.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.