Bei SSL-Scanning an den Datenschutz denken

Wird eine SSL-Verbindung mit dem Viren-Scanner zeitweise entschlüsselt um Malware finden zu können, kann es zu Problemen mit dem Datenschutz kommen.

Die SSL/TLS-Verschlüsselung von Online-Verbindungen ist eine der zentralen Maßnahmen zur Steigerung der Datensicherheit im Internet, hilft sie doch dabei, Lauschangriffe auf vertrauliche Verbindungen abzuwehren. Daran ändert auch eine spektakuläre Lücke wie der Heartbleed-Fehler nichts.

Die Verschlüsselung im Internet hat jedoch ein zweites Gesicht: Cyber-Kriminelle nutzen vermehrt verschlüsselte Verbindungen, um ihre Angriffe zu tarnen. Sie versuchen also, IT-Sicherheitslösungen davon abzuhalten, die Online-Attacken zu erkennen.

Sicherheitsreports wie der Dell SonicWALL Security Threat Report 2013 berichten von einer steigenden Zahl an SSL-verschlüsselten Internetangriffen. So wird zum Beispiel die Kommunikation innerhalb von Botnetzen zunehmend verschlüsselt. Aus Sicht der IT-Sicherheit werden deshalb Lösungen benötigt, die sich bei der Angriffserkennung nicht von einer SSL-Verschlüsselung abhalten lassen. Die sogenannten SSL-Scanning-Lösungen können allerdings zum Datenschutz-Problem werden.

Ende-zu-Ende-Verschlüsselung gefordert

Die Aufsichtsbehörden für den Datenschutz in Deutschland haben aus Anlass bekannt gewordener Lauschangriffe bereits mehrfach betont, dass eine Verschlüsselung grundsätzlich einen Ende-zu-Ende-Schutz bieten muss. So lautet eine der Entschließungen der 86. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Oktober 2013), dass zur Gewährleistung einer sicheren elektronischen Kommunikation eine Ende-zu-Ende-Verschlüsselung eingesetzt und weiterentwickelt werden muss.

Wird die Verschlüsselung temporär an einer Stelle der Kommunikationsstrecke unterbrochen, findet also eine zeitweise Entschlüsselung statt, ist der Ende-zu-Ende-Schutz nicht mehr gegeben oder nur unter besonderen Bedingungen noch erreichbar. Dieser Umstand ist es auch, der zu der Kritik der Aufsichtsbehörden zum Beispiel an De-Mail geführt hat, da dort eine temporäre Entschlüsselung stattfindet, um die De-Mails auf Schadprogramme hin zu untersuchen.

SSL-Scanning bedeutet temporäre Entschlüsselung

Eine zeitweise Entschlüsselung findet aber nicht nur bei De-Mail statt, sondern bei jeder IT-Sicherheitslösung, die eine SSL-verschlüsselte Kommunikation auf mögliche Anzeichen für Attacken bzw. Malware hin untersucht. SSL-Scanning-Lösungen können somit genauso Kritik der Aufsichtsbehörden für den Datenschutz auf sich ziehen wie De-Mail. Unternehmen sollten sich deshalb bewusst machen, wie die rechtliche Situation bei dem Einsatz von SSL-Scannern aussieht.

Verschlüsselung versus Virenschutz

Die rechtliche Problematik wird schnell sichtbar, wenn man sich klarmacht, dass die Verschlüsselung eine andere Schutzfunktion besitzt als ein Anti-Malware-Programm. Die Verschlüsselung soll die Vertraulichkeit der Daten sichern und Unbefugten keinen lesenden Zugriff auf die Informationen gewähren. Der Virenschutz sucht nach Schadprogrammen und liest dazu die zu prüfenden Daten. Je nach Art der Daten kann der lesende Zugriff der Anti-Malware-Lösung jedoch als unberechtigter Zugriff gewertet werden, wenn dazu die Verschlüsselung temporär aufgehoben wird.

Besondere Vorsicht ist bei privaten E-Mails geboten

Die Verwendung von SSL-Scanning für das Aufspüren von Malware in verschlüsselten Verbindungen kann durchaus zu einem Fall von Datenausspähung nach Strafgesetzbuch (StGB) und zu einem Bruch des Fernmeldegeheimnisses nach Telekommunikationsgesetz (TKG) werden. Das ist beispielsweise der Fall. wenn die Mitarbeiter private E-Mails versenden und empfangen dürfen oder wenn dies zumindest geduldet wird.

Datenschutz während Entschlüsselungsphase gewährleisten

Auch andere verschlüsselte Verbindungen können bei SSL-Scanning zu rechtlichen Schwierigkeiten führen, wenn nicht sichergestellt wird, dass durch den Scan-Vorgang keine Inhalte zugänglich werden.

Ein SSL-Scanning muss deshalb so ablaufen, dass die temporäre Entschlüsselung in einem abgekapselten Bereich stattfindet, auf den selbst die Administratoren keinen Zugang haben.

Die Mitarbeiter, deren Internet- und Mail-Verbindungen von einem SSL-Scanning betroffen sein werden, sollten vorab über die Sicherheitsmaßnahme und die temporäre Entschlüsselung informiert werden. Zudem ist die Einbindung der Mitarbeitervertretung und des Datenschutzbeauftragten erforderlich. Der Abschluss einer entsprechenden Betriebsvereinbarung zum Einsatz von SSL-Scanning ist dringend zu empfehlen.

SSL-Scanning nur mit Blackbox und nur ohne Spuren

Der Einsatz von SSL-Scanning ist für die Datensicherheit zweifellos wichtig, wie z.B. die wachsende Zahl an verschlüsselter Botnetz-Kommunikation zeigt. Der SSL-Scanner der Wahl muss allerdings einen starken Zugangs- und Zugriffsschutz für den Bereich bieten, in dem die Entschlüsselung stattfindet. Die entschlüsselten Daten dürfen die SSL-Scanning-Appliance nicht verlassen und die temporäre Entschlüsselung darf keine Spuren hinterlassen, die Rückschlüsse auf vertrauliche Daten zulassen. Es versteht sich, dass auch die Protokollfunktion eines SSL-Scanners keine vertraulichen, personenbezogenen Daten preisgeben darf.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VPN-Sicherheit und -Konfiguration

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close