Aufbrechen der SSL-Verbindung im Firmenumfeld erlaubt?
Hallo Freunde,
ist das Terminieren einer SSL-Verbindung zu einem externen Server (Webserver) am Proxyserver im Unternehmensnetzwerk und das gleichzeitige Ersetzen des Zertifikats zu internen Zwecken (Packet inspection bzgl Security) rechtlich erlaubt oder eher problematisch? Würde das nicht das Prinzip der SSL-Verschlüsselung komplett nichtig machen und daher ständig einen MITM Angriff darstellen?
4 Antworten
Bezüglich der Auswirkungen verweise ich auf die sehr gute Antwort von @clemensw.
Nachdem Du in Deinem Kommentar zur Frage der privaten Nutzung schreibst:
"4. Ja, sie ist durchaus geduldet, zum Beispiel in Pausenzeiten. Es gibt
auch eine Liste, welche Seiten blockiert werden und aus welchen Gründen
dies geschieht oder geduldet wird. Aber mitgeteilt wurde es den
Mitarbeitern nicht."
ist die Sache ohnehin nicht rechtlich durchsetzbar. Denn wenn der AG selbst in Ermangelung einer entsprechenden betrieblichen Vereinbarung die Nutzung auch nur stillschweigend duldet (->betriebliche Übung!), ist das Aufbrechen der SSL-Verschlüsselung ein schwerer Verstoß gegen das TKG und das Postgeheimnis, welches für den AG und seine Beauftragten mittelbar wie unmittelbar straf- und zivilrechtliche gravierende Folgen haben kann und wird. Spätestens wenn ein AN sich nach Kündigung ungerecht behandelt fühlt und diese Vorgehensweise in eine Klage umwandelt, geht es hier um 5- bis 6-stellige Schadenersatzsummen. Und die strafrechtliche Seite kommt sowieso oben drauf.
Zu Punkt 8 kommt hier zudem hinzu, dass der Betriebsrat hier gehört werden *muss* (das gilt übrigens für den gesamten Bereich der Kommunikationsüberwachung), und es einen Datenschutzbeauftragten geben muss.
Ich kann nur raten - Finger weg.
Löst das auf andere Weise, und vor allem, holt Euch bitte schleunigst (!) einen fachkundigen Berater zum Thema "Datenschutz im Betrieb" ins Haus.
Sagen wir mal so: Es ist nicht unbedingt verboten, aber es gibt genügend Gründe, warum ich jeden Manager, der mit so einem Mist zu mir kommt, mit einem verbalen Fußtritt rückwärts aus meinem Büro raus kegeln würde.
Für den Anfang mal:
1. Ja, das ist eindeutig ein MITM.
2. Damit es funktioniert, muss man *jedem* System das Zertifikat des Proxy als vertrauenswürdig unterschieben.
3. Das geht vielleicht noch, wenn alle Computer Eigentum der Firma sind und von euch gewartet werden. Aber was ist mit Handys oder Tablets? Wollt ihr mal BYOD machen? Was macht der externe Techniker, der mal eben was downloaden muss?
4. Ist die private Internet Nutzung erlaubt oder zumindest geduldet? Dann habt ihr u.U. ein rechtliches Problem mit dem TKG. Auf jeden Fall müssen die Benutzer informiert werden, dass es keine sicheren Verbindungen mehr gibt.
5. Wer hat Zugriff auf den Proxy? Sind diese Leute vertrauenswürdig? Immer daran denken: Man kann ALLES im Klartext mitlesen.
6. Wie sicher ist der Proxy? Worst Case: Proxy wird gehackt, alle Daten werden öffentlich. Schadensabschätzung?
7. Verwendet die Finanz Abteilung eine Banking Software? Laufen die Transaktionen über den Proxy? Cool, alle Bankdaten im Klartext! Wiederhole Schritt 5 und 6 - unter Berücksichtigung der Idee "5 Zeilen Script und alle Überweisungen gehen auf mein Konto - ich fahr schon mal zum Flughafen..."
8. Betriebsrat hat evtl. Mitbestimmung!
9. Und zu guter Letzt: Certificate Pinning. Damit fällt die Idee sofort flach - oder hast Du eine gute Erklärung für deine Benutzer, warum z.B. alle Google Sites plötzlich nicht mehr vertrauenswürdig sind?
Kurz: Die Idee ist einfach Sch..sse.
P.S. Der Experte liegt schon im Bett und auf dem Handy tippt man nicht so schnell :-)
Danke für deine Antwort, ich arbeite das Punkt für Punkt ab:
1. Wie vermutet, danke.
2. Wird es, zentrale CA.
3. Da unsere Geräte - auch die Handys - von uns, also dem internen IT-Dienstleister, gekauft wurden, planen wir kein BYOD. Allerdings haben wir ein GästeWLAN, wie es da aussieht habe ich noch nicht getestet.
4. Ja, sie ist durchaus geduldet, zum Beispiel in Pausenzeiten. Es gibt auch eine Liste, welche Seiten blockiert werden und aus welchen Gründen dies geschieht oder geduldet wird. Aber mitgeteilt wurde es den Mitarbeitern nicht.
5. Zugriff hat die Security-Gruppe, die sind durchaus vertrauenswürdig und ein sehr kleiner Kreis.
6. Das kann ich leider nicht beurteilen, schätze aber, dass die Kollegen wissen, was sie tun.
7. Es gibt sinnvollerweise Ausnahmen, Zertifikate bzw. SSL-Verbindungen zu Bankservern werden NICHT terminiert, das habe ich schon getestet.
8. Ich bin Teil eines Gremiums des Betriebsrats, glaube mir, die Betriebsratsmitglieder können mit diesem Thema nichts anfangen. Und ich möchte meine Kollegen wirklich nicht reinreiten. Da befinde ich mich in einer Art Zwickmühle...
9. Nope. ;)
Das Problem ist wie gesagt, dass das alles Kollegen sind und sie bei meiner ersten, direkten, Anfrage, eher gelassen reagiert haben und das alles im Einklang mit dem Bundesdatenschutzgesetz und TMG stehe.
Die Frage ist, was soll ich tun? Ich bin mir sicher, dass ich nur als Wichtigtuer "abgestempelt" werde...
Firmenumfeld
Eins ist es auf jeden Fall:
Wenn es ohne Zustimmung der Unternehmensleitung geschieht, ist es ein Grund für eine fristlose Kündigung ohne vorherige Abmahnung.
Das ist ein abgesprochener Prozess, die IT-Leitung, der Compliance Manager und der Datenschutzbeauftragte haben alle zugestimmt. Und nun?
Das scheint wohl nicht ganz trivial zu sein, aber ich habe ehrlich gesagt auch keine Expertenberatung erwartet, ein Meinungsaustausch reicht mir. ;)