SSL-Scanner rechtskonform einsetzen

telefon 12
Fachbeitrag

Gerade in großen Unternehmen werden vermehrt SSL-Scanner eingesetzt. Was oft verkannt wird: Der Einsatz von SSL-Scannern zur Sicherung des ITK-Systems in Unternehmen kann nicht nur strafrechtlich relevant sein, sondern zudem auch zu Schadensersatzansprüchen gegenüber den Mitarbeitern führen.

Funktionsweise

Ein SSL-Scanner ist ein Tool, mit welchem ein mit SSL verschlüsselter Datentransfer aufgebrochen und untersucht werden kann. Die Intention in den meisten Fällen ist, das Risiko einer Übertragung von schadhaften oder gefährlichen Daten zu verringern oder unerwünschte Inhalte zu blockieren.

Zwar sind zum Schutz von ITK-Systemen weitreichende Kontrollmittel erforderlich und geboten. Allerdings wird dies dann zum Problem, wenn – wie in den meisten Unternehmen – den Mitarbeitern auch die private Kommunikation erlaubt ist oder zumindest stillschweigend geduldet wird.

Man-In-The-Middle

Dies gilt vor allem bei so sensiblen Vorgängen wie dem Onlinebanking. Um die Kunden vor Phishing zu schützen, nutzen Banken SSL-Zertifikate. In der Adresszeile des Browsers wird neben der URL zusätzlich ein grünes Feld angezeigt, in dem Zertifikats- und Domaininhaber und Zertifizierungsstelle eingeblendet werden. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist, und damit besser vor Phishingversuchen geschützt sein.

Der SSL-Scanner wirkt an dieser stelle wie eine Man-in-the-Middle-Attacke. Ohne besondere Rechtfertigung ist die Aufsplittung und Analyse des Datenstroms eine Straftat nach §202 a StGB Ausspähen von Daten bzw. §202 b StGB Abfangen von Daten.

Zivilrechtliche Haftung droht

Es droht aber noch von anderer Seite Gefahr:

Denn kommt es im Rahmen des Onlinebanking zu Auffälligkeiten und nicht genehmigten Abbuchungen und erfährt die Bank davon, dass die sichere SSL-Verbindung in der Sphäre des Kunden aufgebrochen worden ist, wird sie pauschal jede Haftung verweigern, da die direkte (SSL) Verbindung für einen wenn auch kurzen Augenblick durch den SSL-Scanner technisch aufgehoben wird. Im Ergebnis führt dies zu einer Umkehr der Beweislast. Die Bank wird dem Kunden aufgeben, seinerseits die Ursachen für den Missbrauch aufzuklären.

Da dem Kunden dies mangels Ressourcen und Einblick in die Kommunikationsdaten natürlich nicht gelingen wird, bleibt er in diesen Fällen auf dem Schaden sitzen. Diesen Schaden kann er dann an das Unternehmen weitergeben, sofern dies nicht über die konkreten Risiken und Gefahren aufgeklärt hat. Denn ohne eine solche Aufklärung durfte er davonausgehen, dass die Internetnutzung für ihn erlaubt und ohne besondere Risiken möglich ist.

Lösung

Um die skizzierten Folgen zu vermeiden, muss das Unternehmen bei erlaubter Privatnutzung den Mitarbeiter umfassend über den Einsatz von SSL-Scannern aufklären.

Hierzu ist es nicht ausreichend allgemein darauf hinzuweisen, dass auch die private Kommunikation zu Sicherheitszwecken analysiert werden kann. Vielmehr muss das Unternehmen das genaue Verfahren erklären und auf die skizzierten Risiken hinweisen. Zudem sollte es dem Mitarbeiter raten, sämtliche Onlinegeschäfte nicht im Rahmen der an sich erlaubten Privatnutzung im Unternehmen zu tätigen.

Um jegliche Haftung für das Unternehmen auszuschließen, sollte man den Arbeitnehmern im Zweifel generell die Nutzung des Onlinebankings untersagen.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.