Sicherheit bei Verschlüsselung: Wie verteidigen wir uns gegen etwas, das wir nicht sehen?
2 min read
Ich muss zugeben, dass ich vermutlich mehr Zeit vor dem Fernseher verbringe, als ich sollte. Aber es ist nun einmal so: Ich liebe Krimiserien. Wenn ich einem schlauen Kommissar dabei zusehe, wie er wegen einem winzig kleinen Beweis oder einem verdächtigen Verhalten den Fall knackt, muss ich einfach mitfiebern, vor allem, wenn es außer ihm niemandem aufgefallen ist.
Nehmen wir zum Beispiel “The Mentalist”. Die Hauptrolle spielt Patrick Jane, der so gut darin ist, Leute zu „lesen“, dass er sagen kann, wenn jemand etwas verheimlicht. Auch wenn er natürlich nicht weiß, was das Geheimnis ist. Was die meisten Leute vermutlich als einen Glückstreffer abtun würden, ist genaugenommen das Ergebnis der Kombination von ausgeprägter Intuition mit der jahrelangen Erfahrung darin, menschliches Verhalten zu interpretieren.
Daher finde ich es unglaublich spannend, dass Cisco in der Cybersecurity eine Technologie entwickelt hat, die im Prinzip genau wie ein Mentalist funktioniert, und zwar für verschlüsselten Datenverkehr. Wir können damit beurteilen, ob Hacker im verschlüsseltem Verkehr Bedrohungen verstecken, ohne die vertraulichen Daten entschlüsseln zu müssen. Das ist ein enormer Durchbruch, da wir nun Malware stoppen können, ohne den Datenschutz zu verletzen. Verschlüsselte Daten sind schließlich nicht grundlos verschlüsselt, und sie nehmen an Bedeutung immer mehr zu.
https://www.youtube.com/watch?v=KL8SxtZLeqc
Datenverschlüsselung ist grundlegender Bestandteil des Datenschutzes und ist in manchen Ländern sogar gesetzlich vorgeschrieben. Es überrascht daher nicht, dass sie stark zunimmt. Heute ist bereits die Hälfte von allen Onlinedaten verschlüsselt. Für 2019 prognostiziert Gartner, dass 80% des Webtraffic von Unternehmen verschlüsselt sein wird.
Einerseits kann Verschlüsselung Hacker daran hindern, Kundendaten zu stehlen. Andererseits können Hacker aber die gleiche Methode verwenden, um Malware zu verbreiten, ohne dabei erwischt zu werden. Wenn die Daten also verschlüsselt sind und damit nicht einsehbar, wie können wir dann echte Datenströme von böswilligen unterscheiden? Hier kommen unsere geschulten Kommissare ins Spiel.
Die meisten Sicherheitssysteme können keine Bedrohungen in SSL- oder HTTPS-Verbindungen entdecken. Bislang werden vielfach Next-Generation Firewalls genutzt, um dieses Problem zu lösen, was den Nachteil hat, dass es lang dauert. Encrypted Traffic Analytics (ETA), eine Funktion, die Cisco soeben auf den Markt gebracht hat, kann in Echtzeit guten von bösem Traffic unterscheiden, ohne dass das Netzwerk deswegen langsamer wird. ETA analysiert Muster in den Unique Flows.
Cisco hat Millionen von Unique Flows untersucht, um herauszufinden, wie unterschiedlich TLS, DNS und HTTPS genutzt werden, je nachdem ob es echter oder böswilliger verschlüsselter Datenverkehr ist. Das Ergebnis sind die genauen Merkmale, die anzeigen, ob es sich um Malware handelt. ETA analysiert das initiale Datenpaket, die Abfolge von Paketlänge und –häufigkeit und sogar die Verteilung der Bytes über die Packet-Payloads innerhalb des Flows. Dank maschinellem Lernen verbessert jeder Flow, den ETA analysiert, mit der Zeit die Erkennungsrate.
Es ist also genau wie in den Krimiserien, die ich so gerne sehe: Ein Polizist kann mit geübtem Auge in einer Menschenmenge den Verbrecher ausfindig machen, nur anhand von dessen Körpersprache.
ETA ist Teil des neuen Zeitalters der Vernetzung. Es ist die technische Variante dieser Kombination aus Intuition und Erfahrung. Spürhunde sind hier überflüssig.