TLS-Interception: Kontroverse um HTTPS-Ăśberwachung in Unternehmen
Im Rahmen eines heise-Security Pro-Talks diskutierten rund 60 IT-Professionals das Pro und Kontra der Ăśberwachung von HTTPS in Unternehmen.
Die Ăśberwachung von Internet-Verbindungen auf speziellen Security-Gateways ist ein auch in Sicherheitskreisen kontrovers diskutiertes Thema. Denn ein GroĂźteil dieser Verbindungen ist mittlerweile mit Transport Layer Security (TLS) gesichert, etwa durch die Verwendung von HTTPS. Ob es statthaft, sinnvoll oder sogar erforderlich ist, solche Verbindungen auf einem Gateway aufzubrechen, um die Inhalte zu kontrollieren, diskutierte heise Security Pro im letzten Pro-Talk.
Es gibt zu diesem Punkt sehr kontroverse Ansichten. So vertritt etwa Christoph Puppe, Autor des iX-Artikels Datenschutz versus Sicherheit: Ab wann Sie TLS-Verbindungen aufbrechen sollten, ganz klar den Standpunkt, dass Firmen eigentlich sogar verpflichtet seien, das zu machen und unterfütterte das im Pro-Talk auch erneut mit Argumenten. Andere Experten sahen solche Middleboxes sehr skeptisch, rieten tendenziell eher ab oder zumindest zu einer sehr sorgfältigen Evaluierung im konkreten Kontext des jeweiligen Unternehmens, wie es auch die US-amerikanische Sicherheitsbehörde CISA in ihrer Warnung HTTPS Interception Weakens TLS Security formuliert.
Kein Ergebnis, aber hilfreicher Ăśberblick
Teils heftig und kontrovers diskutierte Themen waren der konkrete Nutzen und mögliche Risiken und Nebenwirkungen der TLS-Interception. Dabei spielte auch das neue TLS 1.3 eine Rolle, das die Möglichkeiten zur Überwachung verschlüsselter Verbindungen einschränkt. Aber auch die rechtlichen Aspekte erfordern zumindest eine sorgfältige Analyse und Vorbereitung. Das gilt ganz besonders dann, wenn die private Nutzung des Internet im Unternehmen gestattet oder gar nicht geregelt und damit implizit erlaubt ist.
Wie zu erwarten, ergab die Diskussion kein eindeutiges Ergebnis in dem Sinne, als dass sich die etwa 60 teilnehmenden IT-Professionals auf eine gemeinsame Position zu TLS-Interception geeinigt hätten. Dazu waren die Positionen zu weit auseinander. Immerhin steht jetzt eine Zusammenfassung der ausgetauschten Argumente, Erfahrungen und Tipps zum Einsatz von TLS-Interception allen Mitgliedern von heise Security Pro im Expertenforum zur Verfügung. Sie kann auch im Nachhinein dabei helfen, das Thema für das eigene Unternehmen konstruktiv zu bewerten.
Ăśber heise Security Pro
heise Security Pro ist ein heise-Angebot für IT-Professionals, die in Unternehmen für IT-Sicherheit beziehungsweise Datenschutz zuständig sind. Es bietet neben der kostenlosen Teilnahme an Security-Veranstaltungen, die man auch einzeln buchen kann, auch exklusiven Zugang zur Expertenplattform, auf der sich die Mitglieder untereinander austauschen, den Pro-Talks und den heise-Security-Pro-Newsletter mit aktuellen Analysen, Einschätzungen und Hintergrundinfos. Mehr Informationen dazu gibt es hier:
(ju)