Kürzlich wurden die Mitarbeiterinnen und Mitarbeiter der Bundesverwaltung informiert, dass nun «auch die verschlüsselten Internetverbindungen auf schädliche Software (Malware) geprüft» werden. Es handle sich um «Massnahmen zur Erhöhung der Informationssicherheit.»
Das Eidgenössisches Personalamt (EPA) erklärte auch gleich, wie die Prüfung funktioniert:
«[…] Die verschlüsselten Verbindungen werden in einem speziell dafür vorgesehenen System entschlüsselt, auf schädliche Software gescannt und wieder verschlüsselt. Der gesamte Prozess geschieht vollautomatisch und ohne Eingriffe durch Personen.»
Im Klartext bedeutet die Information, dass beim Browsen die Verbindung zwischen Beamten-Computer und angesurfter Website nicht mehr von Anfang bis Ende verschlüsselt ist. Der Bund führt einen Man-in-the-Middle-Angriff (MITMA) auf die verschlüsselte Verbindung durch, damit überprüft und überwacht werden kann, welche Daten übermittelt werden. Der Neusprech für das Vorgehen lautet «HTTPS Inspection» oder «SSL Termination» (SSLT), wofür ein entsprechender Proxy-Server verwendet wird.
Risiko: Noch mehr Angriffsfläche durch HTTPS-Inspektion / SSL-Terminierung
Das Problem ist nicht nur, dass dadurch ein Eingriff in die Privatsphäre der Mitarbeiter erfolgt, sondern es wird vor allem auch die sichere Verschlüsselung der «gehackten» Verbindungen gefährdet, wie beispielsweise das US-CERT in einer Warnung schreibt:
«Because the HTTPS inspection product manages the protocols, ciphers, and certificate chain, the product must perform the necessary HTTPS validations. Failure to perform proper validation or adequately convey the validation status increases the probability that the client will fall victim to MiTM attacks by malicious third parties.»
Heise Online beschreibt die Problematik wie folgt:
«[…] Es gibt sehr viele Möglichkeiten, dass eine eigentlich sichere HTTPS-Verbindung zwischen Browser und Server durch den Eingriff der Sicherheits-Software angreifbar wird. Das beginnt mit schlechter Umsetzung der TLS-Verschlüsselung, geht weiter über den schwierigen Umgang mit ungültigen Zertifikaten und hört bei zu langsamen Security-Updates noch lange nicht auf. Erschwerend hinzu kommt, dass HTTPS-Inspektion wichtige Sicherheitsfunktionen wie Public Key Pinning außer Kraft setzt.
[…] Da konkrete Tests immer wieder zeigen, dass man sich auf die Sorgfalt der Hersteller dabei nicht verlassen kann, forderten kürzlich Forscher, dass diese doch bitte schön lieber die Finger von HTTPS[-Terminierung] lassen mögen. Ganz so weit geht das US-CERT nicht. Es warnt mit deutliche Worten vor den Gefahren und weist Organisationen, die HTTPS-Inspektion einsetzen, darauf hin, dass sie die Vor- und Nachteile sehr gut abwägen sollten. Insbesondere sollten sie selbst überprüfen, ob die eingesetzten Produkte das wirklich alles richtig machen.»
Der Bund argumentiert, es gelte die «Bundesinformatik vor Cyber-Angriffen zu schützen,» was sicherlich zutreffend ist. Der Bund riskiert mit dem Einsatz von «SSL Termination» allerdings, die Angriffsfläche zu vergrössern, denn die Gefahr von Fehlern und Sicherheitslücken ist bei einem solchen Man-in-the-Middle-Angriff auf die Bundesverwaltung gross.
Zwei Jahre personenbezogene Vorratsdatenspeicherung in der Bundesverwaltung
Das Bundesamt für Informatik und Telekommunikation (BIT) versucht die Mitarbeiter zu beruhigen:
Die Erhebung der Randdaten ermögliche zwar, nachzuvollziehen, auf welchen Websites sich ein einzelner Benutzer aufgehalten habe, doch würde der Inhalt der Kommunikation nicht protokolliert. Auch gäbe es eine Whitelist von vertrauenswürdigen Websites, die nicht überwacht würden, zum Beispiel vertrauliche Verbindungen zu Banken, zu Interpol und zu Krankenkassen. Auch sei das Vorgehen vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) abgesegnet worden.
Die Randdaten werden für zwei Jahre gespeichert, das heisst vier Mal so lang wie bei der Vorratsdatenspeicherung für Geheimdienst und Strafverfolgungsbehörden. Die Vorratsdaten umfassen für jede verschlüsselte Verbindung unter anderem Datum und Zeit, die angefragte Internet-Adresse (URL) und die Kategorie der angefragten Website.
Rechtsgrundlagen für die Bearbeitung von Personendaten bei der Nutzung der elektronischen Infrastruktur
Als Rechtsgrundlage wird Art. 57l lit. b Ziff. 1 RVOG (Aufzeichnung von Personendaten zur Aufrechterhaltung der Informations- und Dienstleistungssicherheit) für das «Aufzeichnen der Erkenntnisse aus der SSL-Terminierung und von weiteren Randdaten aus der Kommunikation» genannt. Für die «namentliche personenbezogene Auswertung von aufgezeichneten Randdaten» wird auf Art. 57o Abs. 1 lit. b RVOG («[…] Abwehr konkreter Bedrohungen dieser Infrastruktur») und Art. 12 Abs. 2 VPNIB (Auswertungen für die Abwehr einer Bedrohung) verwiesen.
Ausserdem wurde Sicherheitsvorgabe Si004 zur Regelung der Zugriffe auf Ressourcen im Internet (Web Proxy Richtlinie BV) aufdatiert. Der Richtlinie lässt sich entnehmen, dass das Bundesamt für Justiz (BJ) mindestens zwei Gutachten über die Umsetzung und Zulässigkeit von «SSL Termination» in der Bundesverwaltung erstellt hat. Gutachten und Richtlinie wurden – soweit ersichtlich – noch nicht veröffentlicht.
Bild: Pixabay / TheDigitalArtist, Public Domain.