Verschlüsselung gehört in der IT-Welt zu den Trendthemen schlechthin. Dass Kryptographie allerdings auch für kriminelle Zwecke genutzt werden kann, wird nur von Wenigen bedacht.
Seit Edward Snowden im Jahr 2013 die behördlichen Überwachungspraktiken der USA und anderer Staaten ans Licht gebracht hat, boomen Verschlüsselungstechnologien in der IT. Vom simplen Messenger-Dienst bis hin zu komplexen Plattformen für Online-Banking oder andere Cloud-Services nutzt heute ein grosser Teil aller IT-Lösungen kryptographische Methoden zur Absicherung vertraulicher Daten. Gegen diesen Trend zur Verschlüsselung ist im Wesentlichen auch nichts einzuwenden – zumindest wenn man den Standpunkt einiger neugieriger Nachrichtendienste einmal aussen vor lässt. Mit dem Siegeszug der Kryptographie sieht sich die IT-Welt allerdings auch mit neuen Gefahren konfrontiert. Denn während grosse Anstrengungen betrieben werden, um Daten mittels Verschlüsselung abzusichern, nutzen zunehmend auch Cyber-Kriminelle dieselbe Technologie, um ihre Angriffe zu verschleiern.
So prognostiziert etwa Gartner, dass bis 2017 die Hälfte aller Netzwerkangriffe über geschützte SSL/TLS-Verbindungen erfolgen werden. Herkömmliche Sicherheitsebenen wie Firewalls oder Endpoint-Security bieten meist keinen Schutz vor diesen Angriffen, da sie die verschleierten Attacken nicht erkennen. Eine aktuelle Studie (PDF) des Sicherheitsanbieters Venafi belegt entsprechend, dass 75 Prozent der befragten CIOs glauben, dass ihre Sicherheitsmassnahmen weniger effektiv sind, da sie verschlüsselten Netzwerk-Traffic nicht auf Angriffe untersuchen können. Eine weitere Gefahr stellt die steigende Bedrohung durch Ransomware dar. Verschlüsselungs-Trojaner wie Locky oder TeslaCrypt haben Endanwender sowie Unternehmen im Visier und verlangen vor allem bei letzteren horrende Summen zur Freigabe der Daten. Den betroffenen Unternehmen bleibt oft nichts anderes übrig, als den Lösegeldforderungen der Cyber-Kriminellen nachzukommen, da ein möglicher Verlust der Daten weitaus höhere Kosten nach sich ziehen würde.
Mit Kryptographie auf dem Holzweg?
Angesichts dieser Gefahren hinterlässt der Trend zur Verschlüsselung einen zwiespältigen Eindruck. Birgt der Drang zur Absicherung unserer Daten etwa mehr Risiken als Nutzen? So düster ist es um die Kryptographie freilich nicht bestellt, meint Kevin Bocek, VP, Security Strategy & Threat Intelligence bei Venafi. Im Gespräch mit com! professional vergleicht der Sicherheitsexperte Verschlüsselungs-Technologien mit einer Arznei: «In der richtigen Dosis hilft das Mittel dem Patienten, wieder gesund zu werden. Bei falscher Anwendung kann dasselbe Medikament aber auch schädlich sein.» Das Hauptproblem bei der Kryptographie besteht darin, dass sowohl unsere Sicherheitstechnologien als auch unsere Security-Professionals nicht auf eine verschlüsselte IT-Welt vorbereitet sind, führt Bocek weiter aus. Daher haben Cyber-Kriminelle derzeit leichtes Spiel und können mit gestohlenen Schlüsseln und Zertifikaten Millionen-teure Sicherheitsebenen überwinden.
Bis zu 10 000 Dollar pro Zertifikat
Auf dem Schwarzmarkt werden gestohlene Zertifikate bereits zu Preisen von bis zu 1000 Dollar gehandelt. Da sich einzelne Zertifikate aber auch mehrmals verkaufen lassen, ist diese Geschäft für Cyber-Kriminelle äusserst interessant. Bocek ist ein Fall bekannt, in dem ein Hacker an einem einzigen Zertifikat 10 000 US-Dollar eingenommen hatte. Der Chip-Riese Intel sieht den Handel mit Zertifikaten gar als den «next big marketplace» für Hacker an. Mit dem Einsatz von gestohlenen Zertifikaten besitzen Cyber-Kriminelle einen technologisch bedingten Vorsprung, den es für die IT-Sicherheit gilt einzuholen. Dies sollte allerdings nicht über Backdoors realisiert werden, da hierdurch die Absicherung der Daten nicht mehr gewährleistet sei. «Wir wollen nicht, dass eine Regierung oder irgendjemand ausserhalb des Unternehmens Einblick in die übertragenen Daten hat,» erläutert der Sicherheitsexperte.
Dahingegen erlaubt eine gezielte Kontrolle der verwendeten Schlüssel und Zertifikate, unbekannte und möglicherweise schädliche Zugriffe zu vereiteln. Da diese Komponenten das Fundament moderner Sicherheitstechnologie darstellen, sollte auf ihnen auch das Hauptaugenmerk der IT-Security liegen. Das Problem hierbei liegt an der schier unüberschaulichen Masse an Schlüsseln und Zertifikaten, die in Unternehmen im Einsatz sind. So sorgen Initiativen wie Encryption Everywhere oder agile Entwicklungsmethoden und DevOps-Teams für eine stetige Zunahme an verschlüsseltem Traffic. Laut einer Ponemon-Studie (PDF) nutzen Unternehmen im Durchschnitt rund 24 000 Schlüssel und Zertifikate. Angesichts dieser Masse müssen sich mehr als die Hälfte aller Security-Professionals eingestehen, nicht mehr den Ursprung von all diesen Schlüsseln und Zertifikaten zu kennen. Next-Gen-Firewalls, Sandbox- und Authentifizierungs-Systemen fehlen damit aber die Mittel, um den verschlüsselten Traffic auf Gefahren zu scannen.
Verschlüsselung ja, aber nur kontrolliert
«Eine sichere Nutzung von Verschlüsselung erfordert demnach von Unternehmen, dass wirklich alle verwendeten Schlüssel und Zertifikate bekannt sind. Nur dann ist es Sicherheitstechnologien möglich, den verschleierten Traffic zu scannen und auf Angriffe zu reagieren», erklärt Bocek. Verschlüsselung per se stellt also nicht das eigentliche Problem dar, sondern vielmehr hapert es an der korrekten Ausführung derselben. Im Umkehrschluss wird künftig kein Weg mehr an einem peniblen Verschlüsselungs-Management vorbeiführen, um von den Vorteilen der Kryptographie zu profitieren und gleichfalls die Unternehmenssicherheit nicht zu gefährden. Die IT-Welt muss sich von der Vorstellung lösen, Verschlüsselung als Allheilmittel zu sehen, denn sie kann auch als mächtige Waffe missbraucht werden.
