{"id":4150,"date":"2017-03-22T13:59:19","date_gmt":"2017-03-22T12:59:19","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=4150"},"modified":"2025-12-04T11:16:37","modified_gmt":"2025-12-04T10:16:37","slug":"gefahren-der-verschluesselung-malware-im-ssl-traffic","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/gefahren-der-verschluesselung-malware-im-ssl-traffic\/","title":{"rendered":"Malware im SSL-Traffic: Gefahren der Verschl\u00fcsselung"},"content":{"rendered":"

Anfang Februar war es erstmals soweit: Mehr als die H\u00e4lfte des weltweiten Traffic\u00a0ist per HTTPS verschl\u00fcsselt. Einerseits wissen Sie als treue Blogleser um die Wichtigkeit der Verschl\u00fcsselung. Andererseits verstecken sich Gefahren wie Malware im SSL-Traffic. Das zeigt ein aktueller Report vom Zscaler ThreatLabs-Team<\/a>.<\/p>\n

Malware im SSL-Traffic: So wurde gepr\u00fcft<\/h3>\n

Zwischen August 2016 und Januar 2017 wurden, verborgen hinter der SSL-Verschl\u00fcsselung, t\u00e4glich im Schnitt 600.000 sch\u00e4dliche Aktivit\u00e4ten von den Security-Researchern in der globalen Sicherheitscloud beobachtet. Eben diese Aktivit\u00e4ten wurden einer detaillierten Analyse unterzogen.<\/p>\n

Die Forscher beobachteten im Untersuchungszeitraum durchschnittlich 10.000 Treffer monatlich durch Web-Exploits. Im Rahmen des jeweiligen Infektionszyklus setzen diese Exploits auf SSL-Verschl\u00fcsselung. Die Malware-Autoren zeigen sich kreativ darin, die Sicherheitsfunktionen moderner Browser zu unterwandern:<\/p>\n

Schadcode wird \u00fcber Werbenetzwerke in v\u00f6llig legitime Websites eingebunden. Kostenfreie SSL-Zertifikate<\/a> werden dar\u00fcber hinaus dazu missbraucht, um die mit Schadcode verseuchten Domains hinter HTTPS verbergen zu k\u00f6nnen. Entsprechend umgehen die Malware-Autoren damit die Sicherheitskontrollen der Browser.<\/p>\n

Phishing-Kampagnen verstecken sich ebenfalls<\/h3>\n

Zscaler konnte nicht nur Malware im SSL-Traffic finden, sondern auch Phishing-Kampagnen analysieren. Auch diese setzen n\u00e4mlich auf Kryptografie, um dahinter Angriffe zu verstecken. Mit steigender SSL-Verschl\u00fcsselung stiegen auch die im Verborgenen wirkenden Phishing-Angriffe: Zscaler identifizierte im letzten Quartal 3.000 hinter der Verschl\u00fcsselung versteckte Phishing-Angriffe t\u00e4glich.<\/p>\n

Verschiedene Malware-Familien brauchen SSL<\/h3>\n

Um den Standort ihrer Server zu tarnen, nutzen diverse Malware-Familien Anonymisierungsdienste wie Tor. \u00dcber g\u00e4ngige HTTP-Tor-Gateways verbinden sie sich via SSL. Insbesondere Botnets nutzen oftmals selbstsignierte Zertifikate, die Namen sowie Informationen echter Unternehmen annehmen, um als echt angenommen zu werden. Das ist der Grund daf\u00fcr, dass die SSL-Blacklist SSL\/TLS-Zertifikate von Malware-Autoren ver\u00f6ffentlicht<\/a>.<\/p>\n

Mit den Banking-Trojanern TrickLoader oder Dridex sind prominente Malware-Familien genannt, die SSL-Verschl\u00fcsselung nutzen. F\u00fcr die n\u00f6tigen Callbacks setzten diese Malware-Familien auf Browser-Hooking-Techniken<\/a>. Immer mehr Varianten sind jedoch mittlerweile in der Lage, redirects \u00fcber lokale DNS oder Proxies auszuf\u00fchren, die dann zu den gef\u00e4lschten und von den Angreifern kontrollierten Websites f\u00fchren.<\/p>\n

Adware: Injizieren unerw\u00fcnschter Werbung<\/h3>\n

Auch Adware-Distributionen, die SSL missbrauchen, sind bekannt; PrivDog und Superfish geh\u00f6ren zu den prominentesten Vertretern. Daf\u00fcr installieren sie ein selbstsigniertes Root-Zertifikat auf dem Rechner des Opfers. Der Web-Datenverkehr wird abgefangen, damit die Werbung in die Websites eingeschleust werden kann. Ein besonderes Risiko ergibt sich dabei bei PrivDog: SSL\/TLS-Zertifikate werden nicht verifiziert, sodass Anwender auf Websites mit ung\u00fcltigem SSL-Zertifikat navigieren.<\/p>\n

Andere Adware-Varianten hosten schon ihre Daten auf HTTPS-Sites. Hier wird ein Programm als PUA („Potentially Unwanted Application“) installiert, welches Werbung anzeigt oder aber unerw\u00fcnschte Werbung sowie Toolbars herunterl\u00e4dt. Ausspioniert wird au\u00dferdem die Webnutzung auf dem Rechner, um beispielsweise Popups nachzuladen. In Extremf\u00e4llen wird der Browser gekapert und der Anwender auf eine andere Site geleitet.<\/p>\n

Anwender fangen sich solche Adware in aller Regel durch gef\u00e4lschte Flash-Plugins oder Java-Updates ein, die von Content Distribution-Sites stammen, die mit HTTPS arbeiten.<\/p>\n

Malware im SSL-Traffic: nicht verschl\u00fcsseln ist auch keine L\u00f6sung<\/h3>\n

Um der Malware im SSL-Traffic Herr zu werden, kann der Verzicht auf Verschl\u00fcsselung keinesfalls eine L\u00f6sung darstellen. Zu wichtig ist der damit einhergehende Datenschutz! Das wissen Malware-Autoren, die von der steigenden Nutzung von SSL\/TLS-Zertifikaten profitieren.<\/p>\n

Vielfach liegt die gr\u00f6\u00dfte Gefahr darin, sich in falscher Sicherheit zu wiegen. Das trifft insbesondere Unternehmen, die sich Tools zum Schutz vor Phishing und Ransomware beschaffen, jedoch den verschl\u00fcsselten Datenverkehr nicht in die n\u00f6tige Sicherheitspr\u00fcfung einbeziehen.<\/p>\n

K\u00f6nnen Unternehmen den SSL-verschl\u00fcsselten Traffic nicht untersuchen, haben sie ein Problem, denn dahinter k\u00f6nnen sich Exploit Kits genauso verbergen wie Ad- und Malware. Um Gefahren zu identifizieren, reichen Domain- und IP-Blocking nicht aus! Die SSL-Inspektion wird vorrangig aufgrund der ausgebremsten Datenstr\u00f6me ausgeschaltet. Damit setzen Unternehmen ihre Anwender der Gefahr schutzlos aus. Es existieren jedoch Tools zum Traffic-Scan, die die n\u00f6tige Performanz erhalten und datenschutzkonform scannen.<\/p>\n

Wie eine L\u00f6sung speziell f\u00fcr Sie aussehen kann und was Sie beim Einsatz von SSL\/TLS-Zertifikaten bedenken sollten, kl\u00e4ren wir mit Ihnen gerne in einem pers\u00f6nlichen Gespr\u00e4ch. Haben Sie Fragen oder m\u00f6chten Sie sich beraten lassen, wenden Sie sich an unseren Support<\/a> \u2013 wir unterst\u00fctzen Sie bedarfsgerecht.<\/p>\n