SSL-Entschlüsselung im Unternehmen erlaubt?

SSL 02
Fachbeitrag

Viren, Trojaner, Spionage- und Schadsoftware können Unternehmen heutzutage das Leben schwer machen. Um jedoch die Sicherheit der eigenen IT-Infrastruktur zu gewährleisten und Betriebsgeheimnisse zu schützen, sehnen sich vielen Unternehmen nach einer rechtssicheren Möglichkeit den mittels SSL-Verschlüsselung sicher gestalteten Internetverkehr zu entschlüsseln und den Datenfluss zu analysieren. Dies ist aber nicht so einfach.

Was ist SSL / TLS?

Mittels einer SSL (Secure Socket Layer) / TLS (Transport Layer Security; Nachfolger von SSL) Verbindung wird ein sog. hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet hergestellt.

Je nach Browser wird dabei anhand von Zertifikaten auch ein Hinweis auf das Vorhandensein einer vertrauenswürdigen Seite angezeigt. Heutzutage wird diese geschützte Verbindung von zahlreichen Webseiten verwendet; insbesondere beispielsweise beim Online-Banking oder Onlineshops. Jedoch wird die SSL / TLS Verschlüsselung nicht nur für das Surfen im Netz, sondern für eine Vielzahl darüber hinausgehender Dienste verwendet, z.B. dem verschlüsselten Abruf von E-Mail via POP, SMTP, IMAP oder bei der Übertragung von Passwörtern.

„Aufbrechen“ mittels „Man-in-the-Middle“ Angriff

Angriffe auf die Unternehmenssicherheit erfolgen heutzutage auf vielfältige Weise. So kann bereits das einfache Aufrufen einer Webseite oder das Öffnen eines E-Mailanhangs bereits zur Installation von Schadsoftware führen, die schlimmsten Falls die gesamte IT-Landschaft eines Unternehmens erheblich gefährden können.

Ein Mittel dies zu verhindern und Datenflüsse zu kontrollieren ist es Tools zu verwenden, die das „Aufbrechen“ der SSL-Verschlüsselung ermöglichen. Diese Tools fahren einen sog. „Man-in-the-Middle“ Angriff (MITM-Angriffe). Ziel dieses Angriffs ist es, sich unbemerkt in eine Kommunikation zwischen zwei oder mehr Partnern einzuschleichen, um Informationen mitzulesen oder zu manipulieren. Das verschafft diesem die Möglichkeit, sämtliche übertragenen Daten im Klartext mitzuschneiden.

Rechtliche Problematik

In rechtlicher Hinsicht stellen sich hier zahlreiche Problem, die hier nur kurz angerissen werden:

Erlaubte Privatnutzung / Verbot Privatnutzung der geschäftlichen E-Mail

Hat das Unternehmen die private Nutzung ganz oder teilweise erlaubt oder duldet es diese, wird das Unternehmen nach einhelliger Auffassung zum Telekommikationsanbieter i.S.d. Telekommunikationsgesetzes (TKG) und muss als solcher das Fernmeldegeheimnis gem. § 88 TKG beachten. Dem Arbeitgeber ist eine Kontrolle sowohl der Nutzungsdaten als auch ausnahmsweise der Inhalte der Kommunikation daher nur gestattet, sofern das TKG oder eine andere gesetzliche Regelung dies erlaubt oder eine wirksame Einwilligung des Mitarbeiters vorliegt.

Rechtfertigung durch Einwilligung oder Betriebsvereinbarung

Ob eine Einwilligung das „Aufbrechen“ einer sicheren Internetverbindung legitimiert, ist stark umstritten. Festzuhalten ist jedoch, dass der Anbieter oder die Telekommunikationsgegenseite eine solche gerade nicht vornehmen will, vgl. §§ 91 ff. TKG. Selbst wenn eine Einwilligung zulässig wäre, ist fraglich wie diese genau zu gestalten ist. Hier ist ihr Datenschutzbeauftragter die richtige Anlaufstelle.

Probates Mittel eine solche Maßnahme zu legitimieren, könnte natürlich auch eine Betriebsvereinbarung sein, da eine solche als „andere Rechtsvorschrift“ i.S.d. § 4 Abs. 1 BDSG gelten, sofern das gesetzliche Schutzniveau nicht unterschritten wird. Bewegt man sich jedoch im Bereich des TKG kommt eine Betriebsvereinbarung als Ersatz einer individuellen Einwilligung des Arbeitnehmers jedoch nicht in Betracht, da ein Eingriff in das Fernmeldegeheimnis gerade nur durch „eine andere gesetzliche Vorschrift“, die sich auf Telekommunikationsvorgänge beziehen muss, gerechtfertigt werden kann (§ 88 Abs. 3 TKG).

Strafbarkeit bei Bruch des Fernmeldegeheimnisses

Kommt es zu einem Bruch des Fernmeldegeheimnisses, steht eine mögliche Strafbarkeit nach § 206 StGB im Raum, die von den Umständen des Einzelfalls abhängig ist. Ein Eingriff in das Fernmeldegeheimnis kann unter Umständen jedoch gerechtfertigt werden. Beispielhaft seien hier nur die Schutzmaßnahmen nach § 109 TKG genannt.

Strafbarkeit wegen Ausspähen von Daten

Nicht unerheblich ist außerdem die mögliche Strafbarkeit nach § 202a StGB, die unabhängig von der Erlaubnis der Privatnutzung im Raum steht.

Selbst wenn Mitarbeiter entgegen entsprechender Weisungen, die IT-Infrastruktur des Unternehmens privat nutzen, hat das Unternehmen keine Verfügungsbefugnis über die vom Mitarbeiter übermittelten Daten, die vom Schutzbereich der Vorschrift umfasst sind; mithin alle per Internet übertragenen Informationen. Das Unternehmen kann sich nicht darauf berufen, dass es sich um Unternehmensdaten handelt. Weisungswidriges Verhalten betrifft nur das Innenverhältnis und ist insofern nicht relevant.

Als Rechtfertigung käme wohl die Einwilligung der Mitarbeiter in das generelle Aufbrechen der https-Verschlüsselung in Betracht. Die praktische Umsetzung ist dabei zwar schwierig, jedoch nicht unmöglich. Fraglich ist insofern auch, wie damit umzugehen ist, wenn ein Mitarbeiter nicht einwilligt.

Mögliche Alternativen?

Aus datenschutzrechtlicher Sicht steht natürlich immer die Frage im Raum, ob es ein milderes, gleicheffektives Mittel gibt den erstrebten Zweck zu erreichen. Einsatz von Firewalls mit entsprechenden Einstellungen und Anti-Viruslösungen sollten in Betracht gezogen werden.

Grundsätzlich ist das „Aufbrechen“ von SSL-Verschlüsselungen auf Grund der dargestellten Problematiken mit Vorsicht zu genießen, jedoch auch nicht unmöglich. Bei der Umsetzung hilft Ihnen sicherlich Ihr Datenschutzbeauftragter gerne weiter.

2 Kommentare zu diesem Beitrag

  1. Moin,
    wie ist in diesem Zusammenhang die SSL-Terminierung z.B. über Loadbalancer vor E-Mail-Servern zu bewerten?
    Der E-Mailverkehr läuft in diesem Beispiel zwischen Ziel-System und “SSL-Terminator” ja unverschlüsselt.

    Viele Grüße
    Der Kaffeeschlürfer

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.