SSL-Scanner rechtskonform einsetzen

Gerade in großen Unternehmen werden vermehrt SSL-Scanner eingesetzt. Was oft verkannt wird: Der Einsatz von SSL-Scannern zur Sicherung des ITK-Systems in Unternehmen kann nicht nur strafrechtlich relevant sein, sondern zudem auch zu Schadensersatzansprüchen gegenüber den Mitarbeitern führen.

Funktionsweise

Ein SSL-Scanner ist ein Tool, mit welchem ein mit SSL verschlüsselter Datentransfer aufgebrochen und untersucht werden kann. Die Intention in den meisten Fällen ist, das Risiko einer Übertragung von schadhaften oder gefährlichen Daten zu verringern oder unerwünschte Inhalte zu blockieren.

Zwar sind zum Schutz von ITK-Systemen weitreichende Kontrollmittel erforderlich und geboten. Allerdings wird dies dann zum Problem, wenn – wie in den meisten Unternehmen – den Mitarbeitern auch die private Kommunikation erlaubt ist oder zumindest stillschweigend geduldet wird.

Man-In-The-Middle

Dies gilt vor allem bei so sensiblen Vorgängen wie dem Onlinebanking. Um die Kunden vor Phishing zu schützen, nutzen Banken SSL-Zertifikate. In der Adresszeile des Browsers wird neben der URL zusätzlich ein grünes Feld angezeigt, in dem Zertifikats- und Domaininhaber und Zertifizierungsstelle eingeblendet werden. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist, und damit besser vor Phishingversuchen geschützt sein.

Der SSL-Scanner wirkt an dieser stelle wie eine Man-in-the-Middle-Attacke. Ohne besondere Rechtfertigung ist die Aufsplittung und Analyse des Datenstroms eine Straftat nach §202 a StGB Ausspähen von Daten bzw. §202 b StGB Abfangen von Daten ...

Zum vollständigen Artikel

Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK