Bild: CC-BY flickr.com/photos/thegreatgonzo/
Die [..] HTTPS-Filterfunktion kann verschlüsselte Datenströme mithilfe des fortschrittlichen Man-in-the-Middle-Verfahrens prüfen und damit für volle Kontrolle sorgen. Als sichere Instanz, die sich per Download, E-Mail-Anhang oder Directory Policy-Push implementieren lässt, kann Astaro HTTPS vollständig scannen.
***
[.] kann den Datenstrom außerdem in der Tiefe analysieren, um Viren, Spyware und schädliche Inhalte, auf die über HTTPS zugegriffen wird, zu erkennen.
So bewerben Firewall–Hersteller ihre „Security Appliances“. Da frage ich mich doch, warum man mit so etwas offen geworben werden kann, gibt es doch die §202a StGB, §202b StGB (ich würde SSL erstmal als „nicht öffentliche Datenübermittlung“ einstufen, aber das ist sicher diskutierbar) und §202c StGB (nur evtl. aber durch das „entschlüsseln“ des SSL-Verkehrs ist ja ein Mitlesen der Passwörter möglich).
Kennt jemand Urteile, ob der Einsatz einer solchen Technik, im Sinne der oben genannten Paragraphen rechtlich überhaupt abgesichert ist? Der User wird ja im Zweifelsfall nicht informiert, die Firewall tauscht die SSL-Zertifikate stillschweigend aus. Ein ganz normaler, altmodischer Man-In-The-Middle Angriff auf eine gesicherte Kommunikationsleitung. Ist dabei dann nicht sogar §303a StGB relevant?
Die Astaro bricht die SSL – Verschlüsselung nicht auf. Sie dient eher als SSL – Proxy.
SSL – Webseite -> Astaro ist der Client -> erneute SSL – Verschlüsselung zum internen User.
Das ist kein aufbrechen des Datenstroms sondern ein „proxying“ dabei filtert die Astaro intern
auf Viren etc. und liefert dem Benutzer eine erneute verschlüsselte Verbindung.
Soetwas ist nicht gegen das Gesetzt, muss aber dringend mit dem Betriebsrat/Personalrat abgestimmt werden.
Ein Aufbrechen im Sinne §202c findet hier nicht statt.
Achso, das mitlesen von Passwörtern ist damit theoretisch innerhalb der Astaro möglich, führt aber genauso zu kündigung wie das mitsniffen innerhalb des Netzwerkes ohne Absprache…