G DATA greift nicht in HTTPS-Verkehr ein

13.02.2017
G DATA Blog

Einer Studie zufolge greifen die Lösungen von G DATA in die Übertragung von verschlüsseltem Browser-Datenverkehr ein, indem sie HTTPS aufbrechen. Dadurch werde die Sicherheit der Verbindung beeinträchtigt. Die Verfasser der Studie haben jedoch mittlerweile eingeräumt, dass diese Darstellung auf die G DATA-Lösungen nicht zutrifft.

In der vielfach zitierten Studie mit dem Titel "The Security Impact of HTTPS Interception" (Link am Ende des Artikels) wird die Behauptung aufgestellt, dass zahlreiche Sicherheitshersteller verschlüsselten Datenverkehr „aufbrechen“ und nach der Analyse mit einer schwächeren Verschlüsselung weiterleiten. Diese mache die gesicherten Verbindungen anfällig für Angriffe auf Schwachstellen in der Verschlüsselungstechnologie (z.B. „POODLE“). Viele unserer Kunden waren deshalb – verständlicherweise – verunsichert und haben um Stellungnahme gebeten. Wir haben umgehend Kontakt mit den Autoren der Studie aufgenommen und um die Übersendung der Daten gebeten, auf denen ihre Aussage basiert.

Nach Prüfung dieser Daten steht nun fest, dass den Forschern an dieser Stelle ein Fehler unterlaufen ist. Keine der G DATA – Lösungen greift in den HTTPS-Verkehr ein. Man hat uns versichert, dass eine korrigierte Version der Studie erscheinen wird. Wir möchten an dieser Stelle hervorheben, dass die Kommunikation mit dem Forscherteam durchweg positiv und sehr konstruktiv war. Zakir Durumeric, einer der Autoren der Studie, hat sein Bedauern über den Fehler ausgedrückt. Auch Nick Sullivan, einer der anderen Autoren, hat den Fehler mittlerweile eingeräumt.   

Die Prüfungen beschränken sich ausschließlich auf die unverschlüsselten Verbindungsdaten: IP-Adressen und Domain-Namen. Diese werden gegen eine Blacklist geprüft, die bekannte bösartige IPs und Domänen enthält.

Bewusste Entscheidung gegen HTTPS - Prüfung

Sicherheitshersteller befinden sich in einem Dilemma, wenn es um die Überprüfung verschlüsselter Inhalte geht. Idealerweise fängt man schädliche Inhalte ab, bevor sie am Zielrechner ankommen. Dies kann etwa an einem Gateway realisiert werden. Sind die Daten jedoch beispielsweise mit einer Ende-zu-Ende-Verschlüsselung gesichert, kann man sie nicht ohne Weiteres prüfen. Will man dies ermöglichen, müsste man die Verschlüsselung aufbrechen. Wir haben uns aus genau diesem Grund bewusst dafür entschieden, HTTPS-Verkehr unangetastet zu lassen. Die einzige Prüfung, die ab der Software-Version 25.5.0.1 stattfindet, ist die Prüfung der aufgerufenen Adresse, jedoch wird auch hier zu keiner Zeit in den HTTPS-Verkehr eingegriffen. Auch diese URL-Prüfung ist auf Wunsch in der Software deaktivierbar. Motiviert ist diese Erweiterung unter anderem durch die Änderungen z.B. im Google Chrome Browser ab Version 68. Dort werden grundsätzlich alle unverschlüsselten HTTP-Verbindungen als unsicher deklariert.

Da Emails einer der Hauptverbreitungswege für Schadsoftware ist, beschränken wir uns auf die Prüfung von Email-Verkehr – allerdings auch nur in unseren Heimanwenderlösungen. Dort ist diese Prüfung jedoch auf Wunsch auch deaktivierbar (Siehe Grafik). In diesem Falle wird eine enventuelle Schaddatei erst dann gefunden, wenn sie auf dem System versucht, aktiv zu werden.

In unseren Netzwerklösungen bleibt der gesicherte Mailverkehr unangetastet.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein