TLS Verschlüsselung

TLS Inspection.

Datenschutz vs. IT Sicherheit.

TLS oder auch SSL ist ein Verschlüsselungsprotokoll, welches zur Absicherung der Übertragung von Daten im Internet eingeführt wurde und garantiert, dass die Website des Gegenübers auch tatsächlich sicher ist. Damit werden einer ganzen Reihe von Sicherheitszielen genüge getragen, wie zum Beispiel Vertraulichkeit, Integrität oder auch Authentizität. Doch es heißt nicht umsonst "Vertrauen ist gut, Kontrolle ist besser". Lesen Sie im Artikel, welche Faktoren bei noch beim Datenaustausch im Internet eine Rolle spielen und warum man sich nicht allein auf Technologie verlassen sollte. 

Wie Sie sicher bereits festgestellt haben, sind immer mehr Verbindungen im Internet verschlüsselt. Erkennen kann man diese Verschlüsselungen an einem kleinen Schloss vor der Adresszeile im Browser. Diese sogenannte TLS-Verschlüsselung (Transport Layer Security, zu Deutsch: Transportsicherungssicherheit) hat zum einen den Vorteil, dass man sich mit sehr hoher Wahrscheinlichkeit davon ausgehen kann, dass die Website des Gegenübers (bspw. eine Bankwebseite oder ein Bestellportal) auch tatsächlich sicher ist, sofern keine Zertifikatsfehlermeldungen im Browser angezeigt werden. Zum anderen stellt die Verschlüsslung sicher, dass die übertragenen Daten auch auf dem Weg von der Webseite bis zum PC, also „Ende-zu-Ende“ verschlüsselt werden. Somit werden einer ganzen Reihe von Sicherheitszielen genüge getragen, wie zum Beispiel Vertraulichkeit, Integrität oder auch Authentizität.

Den Datenschutz gleich mit abhaken?

 

Eng verknüpft ist diese Verschlüsselung mit der Datensicherheit, denn auch die Privatsphäre der Nutzer wird gewahrt. Niemand außer den beteiligten Kommunikationspartnern kennt den Inhalt der übertragenen Daten. Aktuell werden mehr als 80% der Webseiten, sowie auch Protokolle für die E-Mail Übertragungen (bspw. IMAP, POP3, SMTP) mit der gleichen TLS-Verschlüsselungstechnologie übertragen. Eigentlich ein sehr großer Vorteil für den Internetnutzer und der Datenschutzbeauftragte kann auch zufrieden sein. Eigentlich. Leider gibt es aber auch eine Kehrseite der Medaille, die vor allem IT-Sicherheitsbeauftragte im Unternehmen Sorgenfalten auf die Stirn treibt.

Vertrauen ist gut, Kontrolle ist besser.

 

Das Thema Monitoring sollte hierbei auf keinen Fall außer Acht gelassen werden und man sollte jederzeit in der Lage sein, sich ein klares Bild über den Zustand der Sicherheit im Unternehmen zu machen. Bedauerlicherweise kann kein Netzwerkgerät, welches die verschlüsselten Pakete überträgt, die oben beschriebene Kommunikation genau prüfen und somit wirkungsvoll vor Angriffen oder Informationsverlusten warnen, geschweige denn davor schützen.

Hier einmal drei einfache Beispiele, wie Netzwerksicherheit im Unternehmen ohne böse Absichten umgangen wird:

 

  1. Eine Mitarbeiterin greift in der Mittagspause über eine Website auf seinen privaten E-Mail-Account zu. In einer E-Mail befindet sich ein interessanter Anhang, der Mitarbeiter lädt diesen runter und öffnet die Datei daraufhin auf seinem Firmen-Notebook.
  2. Ein Mitarbeiter teilt mit Hilfe von Online-Fileshare-Diensten interne Dateien für den Austausch mit anderen Unternehmen für ein vertrauliches Projekt.
  3. Eine Mitarbeiterin bindet seinen privaten E-Mail-Account – da die Webzugriffe auf diesen umständlich sind – direkt per IMAP in seinen E-Mail-Client ein und die E-Mails inklusive Anhängen werden automatisch auf den Firmenrechner übertragen.

Bei allen Beispielen werden mit TLS verschlüsselt Protokolle genutzt, welche im Netzwerk nicht geprüft werden können. Es liegen somit keine Informationen vor, ob vertrauliche Daten das Unternehmen verlassen haben oder ob Schadcode in das Unternehmen eingedrungen ist und sein Unwesen treibt. Denn auch alle Verbindungen von der Schadsoftware zu den Angreifern in das Internet sind – wer hätte das gedacht – auch mit TLS verschlüsselt und können somit unbemerkt übertragen werden. Es liegen somit keine Informationen vor, ob vertrauliche Daten das Unternehmen verlassen haben oder ob Schadcode in das Unternehmen eingedrungen ist.

IT-Sicherheit und Datenschutz im Konsens.

 

Ein Paradigmenwechsel muss her! Zumindest für Unternehmen, die Daten über das Internet austauschen und das sind wahrscheinlich die meisten. Denn leider sind mit einer „Ende-zu-Ende-Verschlüsselung“ nicht automatisch alle Sorgen vom Tisch. Im Gegenteil. Es muss nicht nur technologisch der Schritt gewagt werden, diese Verbindungen zu inspizieren. Genauso wichtig ist auch, mit den Mitarbeitern offen in eine Kommunikation zu gehen. Das Ziel der Unternehmens(IT)sicherheit steht im Vordergrund! Mit dem Datenschutzbeauftragen und gegebenenfalls dem Betriebsrat kann bspw. eine Vereinbarung getroffen werden, die für die Mitarbeiter die notwendige Transparenz und das Vertrauen als Basis schaffen kann.

Unsere gemanagten Firewall-Lösungen sind auf der einen Seite in der Lage, technologisch mit Ihnen gemeinsam das Thema professionell umzusetzen. Unsere Experten beraten Sie aber auch, wie eine prozessuale Umsetzung im Unternehmen erfolgen kann.