Firewalls - The Next Generation

Das Ende für verschlüsselte Bedrohungen

Sven Janssen leitet als Regional Director Central Europe die Region DACH bei SonicWall und verantwortet damit sämtliche Vertriebs- und Channelaktivitäten für Deutschland. Vor seiner Zeit bei SonicWALL war er von 1999 bis 2004 bei Symantec tätig. Nach einer Position im ChannelMarketing betreute er als Enterprise Partner Account Manager in den Regionen Nord und West namhafte Enterprise VARs.
Verschlüsselung macht nicht nur die Kommunikation im Internet sicher, sondern kann auch von Hackern für Angriffe auf Unternehmen genutzt werden. So minimieren Sie das Sicherheitsrisiko.

Von Online-Banking, Kommunikation über VPN und mobilen Anwendungen bis hin zum Internet of Things (IoT) greifen alle IP-basierten Services auf Schlüssel und Zertifikate zurück, wenn sie eine sichere Verbindung herstellen. Diese ist die Vertrauensbasis für Webseiten, Cloud-Dienste, Endpunkte und Server. Doch Cyber-Kriminelle und Hacker missbrauchen gestohlene Schlüssel und Zertifikate, um sich in verschlüsseltem Traffic zu "verstecken", Webseiten zu täuschen, Malware einzuschleusen, ihre Privilegien zu erweitern oder Daten zu stehlen. Der Einsatz moderner Next-Generation-Firewalls mit SSL-Prüfung und Intrusion-Prevention-System kann diese Sicherheits-Risiken minimieren.

SSL-Entschlüsselung schafft Transparenz

Die Verschlüsselung der Kommunikation mit SSL/TLS sichert zwar die Verbindung, kann aber nicht dafür garantieren, dass der Datenverkehr ungefährlich ist. Malware kann von Mitarbeitern, etwa über eine Website, trotz verschlüsselter Verbindung heruntergeladen werden. Und zwar ohne dass die Abwehrmechanismen im Unternehmen es mitbekommen, denn viele Sicherheitstools haben keinen Einblick in die verschlüsselte Verbindung. Sie bekommen erst etwas mit, wenn der Schädling bereits im Unternehmen ist. Eine wirksame Gegenmaßnahme ist, den verschlüsselten Datenverkehr mithilfe von Software und Hardware zu analysieren, bevor er im Unternehmen ankommt. So lassen sich Bedrohungen frühzeitig aufspüren und verhindern. Dazu muss die sichere Verbindung aber zunächst entschlüsselt werden, um an die Daten im Klartext heranzukommen.

Der Einsatz von Next-Generation-Firewalls bietet zahlreiche Vorteile. Welche, das erfahren Sie hier.
Der Einsatz von Next-Generation-Firewalls bietet zahlreiche Vorteile. Welche, das erfahren Sie hier.
Foto: Pingingz - shutterstock.com

Next Generation Firewalls schließen Schwachstellen

Next Generation Firewalls (NGFW) sind Systeme, die in der Lage sind, eine umfassende SSL-Inspektion vorzunehmen, also auch die verschlüsselte Kommunikation auf Malware zu untersuchen. Sie verbindet die Eigenschaften einer herkömmlichen Firewall mit vielen weiteren Funktionen wie Application Firewall, Deep Packet Inspection und Intrusion-Prevention-System. Um den HTTPS-Netzwerkverkehr zu analysieren, muss sie die Daten im Klartext analysieren. Die verschlüsselten Daten werden daher zunächst entschlüsselt, dann analysiert und schließlich wieder verschlüsselt zum Zielrechner geschickt.

Die Firewall agiert also zwischen dem Server (der beispielsweise eine Webseite hostet) und dem Client im Unternehmen als Man in the Middle. Das ermöglicht einen vollständigen Mitschnitt des Datenverkehrs im Klartext. Da der Browser beim Eingriff der Firewall nicht mehr das originale Server-Zertifikat sieht, sondern eine von der Firewall signierte Version, gibt er normalerweise eine Warnung aus. Erst mit einem vertrauenswürdigen Certificate-Authority (CA)-Zertifikat akzeptiert der Browser ohne Murren die Unterbrechung des verschlüsselten Datenflusses durch die Firewall. Die Verteilung und Einrichtung auf allen Clients, Servern oder mobilen Geräten im Unternehmen ist Sache des Administrators. So kann er auch das Zertifikat der NGFW an alle Systeme verteilen, damit die Warnung im Browser verschwindet.

Whitelists erhöhen den Firewall-Durchsatz

Im Auge behalten sollten Administratoren die Performance der Sicherheitslösung: Denn die Prüfung des HTTPS-Verkehrs durch eine Next-Generation-Firewall ist im Vergleich zu einer Klartextprüfung viel rechenintensiver. Auf die Verbindungsgeschwindigkeit wirken sich vor allem zwei Dinge aus: die Einrichtung der sicheren Verbindung zwischen dem Client im Unternehmen und der Gegenstelle außerhalb des Unternehmensnetzes sowie die Entschlüsselung und Wiederverschlüsselung des Datenverkehrs. Aus diesem Grund sind viele veraltete Sicherheitssysteme mit der Prüfung von verschlüsseltem Datenverkehr überfordert oder machen ihn praktisch unmöglich. Um genügend Leistung zu bieten und Skaleneffekte beim Parallelbetrieb zu realisieren, sind leistungsfähige NGFWs deshalb mit Multicore-Prozessoren ausgestattet.

Whitelists (die Webseiten enthalten, die das Unternehmen als vertraulich einstuft - etwa solche zum Onlinebanking) wirken sich entlastend auf den Firewall-Durchsatz aus. Hier lässt sich für Verbindungen bestimmter Anwendungen definieren, wann die SSL-Inspektion umgangen werden darf. Das vermindert das Volumen des zu untersuchenden Datenverkehrs und schont die Ressourcen der Firewall. Die Whitelists müssen jedoch regelmäßig überprüft werden, um sicher zu gehen, dass es sich noch um vertrauenswürdige Quellen handelt. Eine weitere Verringerung des Datenvolumens lässt sich erreichen, wenn geprüft wird, ob der SSL-Verkehr von außerhalb kommt oder ob er seinen Ursprung im Unternehmen hat. Verschlüsselte Verbindungen im internen Netzwerk sind oftmals unbedenklich und können ebenfalls von einer Prüfung ausgenommen werden.

Entschlüsselung ist datenschutzrechtlich relevant

Verschlüsselung wird hauoptsächlich für den Zugang zu sensiblen Daten genutzt. Datenschutz- und Compliance-Vorgaben stellen daher die IT im Unternehmen vor große Herausforderungen, wenn Mitarbeiter die Unternehmensinfrastruktur auch für private Zwecke nutzen dürfen. Grund: Das Unternehmen wird im rechtlichen Sinne zum Telekommunikationsanbieter und ist folglich an das Telekommunikationsgesetz (TKG) gebunden. Damit ist auch das Fernmeldegeheimnis zu beachten.

Konkret bedeutet das, dass das Unternehmen keine Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation erhalten darf, sofern dies nicht zwingend für die Erbringung des Dienstes erforderlich ist - etwa für die Abrechnung privater Telefonate. Da bei der Entschlüsselung aber der Inhalt der Kommunikation offengelegt wird, ist diese - datenschutzrechtlich betrachtet - als problematisch einzustufen. Das bedeutet aber nicht, dass ein Unternehmen komplett auf die Entschlüsselung verzichten muss: Die arbeits- und datenschutzrechtlichen Implikationen lassen sich im Rahmen von Betriebsvereinbarungen in der Regel entschärfen. Der positive Nebeneffekt dabei ist, dass bei jedem Mitarbeiter ein Problembewusstsein für das Thema geschaffen wird, das letztlich auch nachhaltig zur Sicherheit des Unternehmens beiträgt. (fm)