Zum Inhalt springen Zur Navigation springen
SSL-Entschlüsselung im Unternehmen erlaubt?

SSL-Entschlüsselung im Unternehmen erlaubt?

Viren, Trojaner, Spionage- und Schadsoftware können Unternehmen heutzutage das Leben schwer machen. Um jedoch die Sicherheit der eigenen IT-Infrastruktur zu gewährleisten und Betriebsgeheimnisse zu schützen, sehnen sich vielen Unternehmen nach einer rechtssicheren Möglichkeit den mittels SSL-Verschlüsselung sicher gestalteten Internetverkehr zu entschlüsseln und den Datenfluss zu analysieren. Dies ist aber nicht so einfach.

Was ist SSL / TLS?

Mittels einer SSL (Secure Socket Layer) / TLS (Transport Layer Security; Nachfolger von SSL) Verbindung wird ein sog. hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet hergestellt.

Je nach Browser wird dabei anhand von Zertifikaten auch ein Hinweis auf das Vorhandensein einer vertrauenswürdigen Seite angezeigt. Heutzutage wird diese geschützte Verbindung von zahlreichen Webseiten verwendet; insbesondere beispielsweise beim Online-Banking oder Onlineshops. Jedoch wird die SSL / TLS Verschlüsselung nicht nur für das Surfen im Netz, sondern für eine Vielzahl darüber hinausgehender Dienste verwendet, z.B. dem verschlüsselten Abruf von E-Mail via POP, SMTP, IMAP oder bei der Übertragung von Passwörtern.

„Aufbrechen“ mittels „Man-in-the-Middle“ Angriff

Angriffe auf die Unternehmenssicherheit erfolgen heutzutage auf vielfältige Weise. So kann bereits das einfache Aufrufen einer Webseite oder das Öffnen eines E-Mailanhangs bereits zur Installation von Schadsoftware führen, die schlimmsten Falls die gesamte IT-Landschaft eines Unternehmens erheblich gefährden können.

Ein Mittel dies zu verhindern und Datenflüsse zu kontrollieren ist es Tools zu verwenden, die das „Aufbrechen“ der SSL-Verschlüsselung ermöglichen. Diese Tools fahren einen sog. „Man-in-the-Middle“ Angriff (MITM-Angriffe). Ziel dieses Angriffs ist es, sich unbemerkt in eine Kommunikation zwischen zwei oder mehr Partnern einzuschleichen, um Informationen mitzulesen oder zu manipulieren. Das verschafft diesem die Möglichkeit, sämtliche übertragenen Daten im Klartext mitzuschneiden.

Rechtliche Problematik

In rechtlicher Hinsicht stellen sich hier zahlreiche Problem, die hier nur kurz angerissen werden:

Erlaubte Privatnutzung / Verbot Privatnutzung der geschäftlichen E-Mail

Hat das Unternehmen die private Nutzung ganz oder teilweise erlaubt oder duldet es diese, wird das Unternehmen nach einhelliger Auffassung zum Telekommikationsanbieter i.S.d. Telekommunikationsgesetzes (TKG) und muss als solcher das Fernmeldegeheimnis gem. § 88 TKG beachten. Dem Arbeitgeber ist eine Kontrolle sowohl der Nutzungsdaten als auch ausnahmsweise der Inhalte der Kommunikation daher nur gestattet, sofern das TKG oder eine andere gesetzliche Regelung dies erlaubt oder eine wirksame Einwilligung des Mitarbeiters vorliegt.

Rechtfertigung durch Einwilligung oder Betriebsvereinbarung

Ob eine Einwilligung das „Aufbrechen“ einer sicheren Internetverbindung legitimiert, ist stark umstritten. Festzuhalten ist jedoch, dass der Anbieter oder die Telekommunikationsgegenseite eine solche gerade nicht vornehmen will, vgl. §§ 91 ff. TKG. Selbst wenn eine Einwilligung zulässig wäre, ist fraglich wie diese genau zu gestalten ist. Hier ist ihr Datenschutzbeauftragter die richtige Anlaufstelle.

Probates Mittel eine solche Maßnahme zu legitimieren, könnte natürlich auch eine Betriebsvereinbarung sein, da eine solche als „andere Rechtsvorschrift“ i.S.d. § 4 Abs. 1 BDSG gelten, sofern das gesetzliche Schutzniveau nicht unterschritten wird. Bewegt man sich jedoch im Bereich des TKG kommt eine Betriebsvereinbarung als Ersatz einer individuellen Einwilligung des Arbeitnehmers jedoch nicht in Betracht, da ein Eingriff in das Fernmeldegeheimnis gerade nur durch „eine andere gesetzliche Vorschrift“, die sich auf Telekommunikationsvorgänge beziehen muss, gerechtfertigt werden kann (§ 88 Abs. 3 TKG).

Strafbarkeit bei Bruch des Fernmeldegeheimnisses

Kommt es zu einem Bruch des Fernmeldegeheimnisses, steht eine mögliche Strafbarkeit nach § 206 StGB im Raum, die von den Umständen des Einzelfalls abhängig ist. Ein Eingriff in das Fernmeldegeheimnis kann unter Umständen jedoch gerechtfertigt werden. Beispielhaft seien hier nur die Schutzmaßnahmen nach § 109 TKG genannt.

Strafbarkeit wegen Ausspähen von Daten

Nicht unerheblich ist außerdem die mögliche Strafbarkeit nach § 202a StGB, die unabhängig von der Erlaubnis der Privatnutzung im Raum steht.

Selbst wenn Mitarbeiter entgegen entsprechender Weisungen, die IT-Infrastruktur des Unternehmens privat nutzen, hat das Unternehmen keine Verfügungsbefugnis über die vom Mitarbeiter übermittelten Daten, die vom Schutzbereich der Vorschrift umfasst sind; mithin alle per Internet übertragenen Informationen. Das Unternehmen kann sich nicht darauf berufen, dass es sich um Unternehmensdaten handelt. Weisungswidriges Verhalten betrifft nur das Innenverhältnis und ist insofern nicht relevant.

Als Rechtfertigung käme wohl die Einwilligung der Mitarbeiter in das generelle Aufbrechen der https-Verschlüsselung in Betracht. Die praktische Umsetzung ist dabei zwar schwierig, jedoch nicht unmöglich. Fraglich ist insofern auch, wie damit umzugehen ist, wenn ein Mitarbeiter nicht einwilligt.

Mögliche Alternativen?

Aus datenschutzrechtlicher Sicht steht natürlich immer die Frage im Raum, ob es ein milderes, gleicheffektives Mittel gibt den erstrebten Zweck zu erreichen. Einsatz von Firewalls mit entsprechenden Einstellungen und Anti-Viruslösungen sollten in Betracht gezogen werden.

Grundsätzlich ist das „Aufbrechen“ von SSL-Verschlüsselungen auf Grund der dargestellten Problematiken mit Vorsicht zu genießen, jedoch auch nicht unmöglich. Bei der Umsetzung hilft Ihnen sicherlich Ihr Datenschutzbeauftragter gerne weiter.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Sehr informativ! Das Projekt steht gerade bei uns im Unternehmen an und ist wahrlich nicht ganz so einfach umzusetzen.

  • Moin,
    wie ist in diesem Zusammenhang die SSL-Terminierung z.B. über Loadbalancer vor E-Mail-Servern zu bewerten?
    Der E-Mailverkehr läuft in diesem Beispiel zwischen Ziel-System und „SSL-Terminator“ ja unverschlüsselt.

    Viele Grüße
    Der Kaffeeschlürfer

  • Hallo, das Unternehmen, in dem ich beschäftigt bin, hat diese Technologie „heimlich“ eingeführt. Auf den Rechnern können weiter alle Internetseiten aufgerufen werden, die nicht vom Proxy gesperrt werden. Das sind unter anderem Online Banking, Facebook, Whatsapp, E-Mail Accounts wie GMX, Web.de usw..
    Eine entsprechende Vereinbarung habe ich bisher nicht zur Unterschrift bekommen. Wie ist aus Datenschutzsicht dieser Eingriff zu bewerten? Macht das Unternehmen sich hier eventuell sogar in bestimmten Punkten strafbar? Ich möchte dem Unternehmen natürlich nicht schaden und daher suche ich eine Lösung, wie das Verhalten unserer IT in korrekte Bahnen gelenkt werden kann, ohne, dass direkt eine Abmahnung oder dergleichen hohe Kosten verursacht.
    Viele Grüße

    • Die Frage kann pauschal nicht beantwortet werden, da es viele verschiedene Möglichkeiten gibt, bestimmte Eingriffe wie den geschilderten möglicherweise rechtlich zu legitimieren. Hier spielen immer die Gesamtumstände eine Rolle. Allerdings ist Ihre Frage durchaus berechtigt. Im schlimmsten Falle kann eine solche anlasslose Einführung, die ggf. mit Missbrauchsmöglichkeiten einhergeht, zu einer Strafbarkeit führen. D.h. allerdings auch, dass der Einsatz je nach Branche, zu veranschlagendem Sicherheitsniveau und Einsatzgebiet erforderlich sein kann.
      Und so wäre es zunächst ratsam, intern um Auskunft zu bitten. Ohnehin sollte vor der Einführung der Datenschutzbeauftrage des Unternehmens sich der Sache angenommen haben. D.h. wenn es bei Ihnen einen Datenschutzbeauftragen gibt (zu den Verpflichtungen einen zu bestellen, schauen sie hier), sprechen Sie diesen an. Mit einem Hinweis auf die Vertraulichkeit muss dieser das Gespräch dann auch vertraulich behandeln.

  • Hallo Zusammen, grundsätzlich ein sehr informativer Artikel. Allerdings finde ich, dass dieses Thema oft/immer sehr einseitig betrachtet wird. Gerade auch in den Kommentaren.
    Denn wenn eine IT Abteilung ihre Aufgabe ernst nimmt, und dazu zählt nun einmal in nicht unwesentlicher Weise die IT Sicherheit, kommt man kaum an der Nutzung von DPI vorbei. Ich würde schon fast sagen das die einzige Alternative ein Verbot der Nutzung von TLS/SSL in Verbindungen nach außen wäre. ohne diese Technik besteht heutzutage kaum noch eine Kontrolle darüber, was für Kommunikation nach außen stattfindet. Diese Kontrolle brauche ich aber zwingend um mein Schutzziel ‚Verfügbarkeit‘, aber auch -ein Widerspruch in sich- für das Schutzziel ‚Vertraulichkeit‘. Denn ohne die DPI habe ich kaum eine Möglichkeit zu verhindern das ein Benutzer, vorsätzlich oder nicht, schützenswerte Daten in eine Dropbox hochlädt. Auch den Trojaner kann ich sonst nicht daran hindern irgendwelchen Kram nachzuladen. Natürlich kann man überlegen ob ich bestimmte Kontrollen auf den Client auslagern, letztlich hat aber auch der Anwender nichts dadurch gewonnen. Denn ob ich die unverschlüsselten Daten auf dem Client oder in der Firewall kontrolliere kann dem Benutzer ja fast egal sein.

    Ist ihnen eigentlich ein Fall bekannt in dem ein Unternehmen, das DPI durchgeführt hat, dafür belangt wurde?

    Grüße
    HO

    • Der Beitrag behandelt den Umgang mit verschlüsselten Verbindungen aus Sicht der Unternehmenssicherheit. Ein Aufbrechen aus einer Vielzahl von Gründen ist nicht per se unzulässig, insoweit wurde auf einige rechtliche Punkte in dem Beitrag eingegangen.
      Damit ein Unternehmen belangt werden kann, müsste konkret ein Verstoß gegen die einschlägigen Vorgaben aus DSGVO, BDSG und TKG vorliegen und dies ferner der zuständigen Aufsichtsbehörde zur Kenntnis gebracht werden bzw. von dieser entsprechend festgestellt werden. Bei der Bewertung, ob ein konkretes Vorgehen seitens der IT im Einklang mit den rechtlichen Vorgaben ist, unterstützt sie Ihr Datenschutzbeauftragter.
      Generell gilt aber, dass aufsichtsbehördliche Maßnahmen zulasten von Unternehmen in aller Regel nie nach außen kommuniziert werden, eine Veröffentlichung die Ausnahme darstellt. Ausnahmen hiervon sind meist börsennotierte Unternehmen, die zu einer Vielzahl von Meldungen gesetzlich verpflichtet sind.

  • Der Artikel ist schon etwas älter, jedoch durch Corona auch wieder brandaktuell. Durch den Fall des US-Privacy Shields und durch die Existenz so toller Vorgaben wie des US CLOUD Act tauchen sog. Sicherheitsfirmen wie ZScaler, die exakt sa Aufbrechen verschlüsselter Kommunkation als Security-Feature anpreisen, in ganz neues Licht. Kombiniert man dies mit dem Versäumnis größerer, deutscher Konzerne die private Nutzung der dienstlichen IT-Ausstattung konsequent zu unterbinden, sind wir wieder im Bereich des TKG. Allerdings hatten einige Konzern-IT-Dienstleister ja so tolle Ideen wie ‚bring in your own device‘ umgesetzt um ein paar Erbsen zu sparen. Oder die private Nutzng dienstlicher IT wure explizit für manche Manager erlaubt. Ich frage mich wie dann ZScaler noch DSGVO betrieben werden kann. Denn um Erlaubnis gefragt wurde bei der Einführung garantiert kein Mitarbeiter mit biyod-Geräten, geschweige denn auf Betroffenen-Rechte hingewiesen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.