ComputerBase Menü
Aktuelles

Firmennetzwerk Untersuchung von Https Seiten

B

blacktnt

Ensign
Registriert
Juli 2013
Beiträge
144
Hallo Leute,
Ich habe eine Frage bezüglich der Rechtmäßigkeit und Möglichkeiten der Untersuchung von Https Seiten.

Ich fang mal von vorne an. In unserer Firma (ich bin selbst Mitarbeiter und nicht in der IT beschäftigt) war es lange Zeit nicht möglich https Seiten anzusurfen. Außer die IT hat diese explizit freigeschaltet. Das sollte alle vor Viren schützen, so die Aussage der IT.
Nun gibt es ein internes Schreiben, dass bald ein webgateway eingerichtet wird, mit dem nun auch https Seiten freigeschaltet werden und die Möglichkeit eröffnet wird, private Emails zu schreiben. Nun muss jeder Mitarbeiter eine Unterschrift leisten, in der er sich damit einverstanden erklärt, dass von nun an auch https Seiten gescannt werden um auch dort Viren ausfindig zu machen.

Nun war meine erste Frage, ob hierbei auch Passwörter meiner zb. Privaten email mitgelesen werden können? Und nein, onlinebanking würde ich niemals darüber machen.

Die 2. Frage wäre, ob es rechtlich überhaupt legal ist, https Seiten zu durchsuchen bzw den Verkehr dazwischen?

Insgesamt ist es für uns natürlich eine Erleichterung, da sich für Recherche immer mal wieder das Problem ergab, dass ich auf normale Seiten nicht gekommen bin. Aber ich möchte auch gerne wissen, wo ich da genau dran bin, falls ich mal meine privaten Emails checken sollte.
 
Sofern dein Online-Banking mit ChipTan ist, kannst du auch das locker darüber machen.

Ansonsten: Ja, ist legal. Sicherheitstechnisch bringen diese Maßnahmen zwar quasi nichts, bzw. schwächen oft die Sicherheit noch erheblich, aber das ist aus den Köpfen viele Admins nicht raus zu bekommen...

Ob deine Passwörter mitgelesen werden können, hängt von der Website ab. Manche berechnen schon auf dem Client mit JavaScript einen Hash aus dem Passwort, andere übertragen die Passwörter im Klartext (innerhalb von https). Gibt aber keine gute Möglichkeit für dich das festzustellen.
 
Zuletzt bearbeitet:
kann das sein, dass du hier was verwechselst ?
HTTPS - verschlüsselt -> Kann nicht ohne weiteres mitgelesen werden
HTTP - unverschlüsselt -> Übertragungen können "Clear-Text" mitgelesen werden.
 
@razzy:

Der AG will hier ein Gateway installieren, dass die HTTPS Verschlüsselung aufbricht, den Inhalt untersucht und dann erst an den Client weitergibt. Statt Client <-https-> Website hat man dann Client <-https-> Gateway <-https-> Website. Am Gateway liegt also alles in Klartext vor.
 
https bedeutet das Dein Webbrowser eine verschlüsselte und damit gesicherte Ende-zu-Ende Verbindung zu einem Server im Internet aufbaut.

Durch das Webgateway wird diese Ende-zu-Ende Verbindung aus Deiner Sicht aufgebrochen.

Du hast nun eine gesicherte Verbindung von Deinem Webbrowser zu dem Webgateway und dann eine zweite gesicherte Verbindung von dem Webgateway zu einem Server im Internet. Für das Filtern nach Viren, Trojanern wird der Datenverkehr entschlüsselt und dann wieder verschlüsselt.

1) Das bedeutet im Webgateway selbst kann alles (auch Deine privaten E-Mails wenn per Webbrowser übertragen), gefiltert und mitgeschnitten werden.
2) Durch die Unterbrechung im https kannst Du selbst nicht prüfen, ob der entfernte Server im Internet vertrauenswürdig ist, da Du das entsprechende Zertifikat nicht mehr empfängst. Die entsprechende Verantwortung geht auf das Webgateway, respektive die Kollegen der IT über.
3) Ich bin kein Jurist. Nach meinem Grundverständnis hat aber Dein Arbeitgeber durchaus das Recht die Kommunikation in und aus seinem Netzwerk zu überwachen.
 
Kann ja nicht sein das jede dahergelaufene IT-Abteilung einfach so die HTTPS Verbindungen aufbricht...also wie kann man das jetzt unterbinden?
 
Ist auch gängige Praxis, in großen Unternehmen, den Https Verkehr der MA auf Schadsoftware zu prüfen.

Funktioniert auch, wenn alles richtig eingerichtet und sehr gewissenhaft gepflegt wird.

Kann große Probleme und Sicherheitsrisiken mitbringen, wenn es falsch eingerichtet und schlecht gewartet wird.

us-cert.gov
 
Zuletzt bearbeitet:
Kann ja nicht sein das jede dahergelaufene IT-Abteilung einfach so die HTTPS Verbindungen aufbricht...also wie kann man das jetzt unterbinden?
Zum Vergrößern anklicken....
Ähm gar nicht?
Dein Unternehmen gestattet dir die Nutzung des Internets eben dann unter Auflagen.
Eine davon kann sein, den Verkehr auf rechtmäßigkeit oder Inhalte wie Viren zu prüfen.
Es zwingt dich ja keiner, das abseits deiner dienstlichen Aufgaben zu nutzen.

Was du in der Arbeit darfst und was nicht, sofern private Internetnutzung OHNE solche "Features" nicht festgehalten ist, legt dein Arbeitgeber fest....
Dahergelaufene IT Abteilung, ich glaub jetzt gehts los...

*edit: Du kannst es aber im Browser am Schloss, wenn du dir das Zertifikat ansiehst, normal identifizieren.
Das Zertifikat von "google" zum Beispiel ist dann nicht von Google, sondern ein internes Zertifikat im Normalfall.
 
Zuletzt bearbeitet:
JA, der AG darf https Webseiten aufbrechen. Wenn dies meine Firma wäre, würde ich es machen. Ich meine, weißt du wer welche Seiten aufsucht? Im Unternehmen geht Sicherheit vor.
Zumal muss der AG dich nicht für private Zwecke surfen lassen. Er könnte auch dies unterbinden und immer mal kontrollieren. Ich meine, du bist an der Arbeit um deinen Job zu machen und nicht für Eierschaukeln.

Technisch gesehen, bohrt dein Gateway / Firewall die Webseite auf, schaut rein und überprüft auf Viren/Trojaner etc. Danach gibt er deine Seite an dich weiter, jedoch nicht mehr mit dem orginal Zertifikat von der Webseite, sondern von sich selber.
 
Zuletzt bearbeitet:
Quantität schrieb:
Kann ja nicht sein das jede dahergelaufene IT-Abteilung einfach so die HTTPS Verbindungen aufbricht...also wie kann man das jetzt unterbinden?
Zum Vergrößern anklicken....

das kannst du unterbinden indem du einfach am Arbeitsplatz mal deiner Arbeit nachgehst und nicht nur den ganzen Tag privaten Kram im Internet erledigst :p (Sicht eines dahergelaufenen IT-Admins)
 
Quantität schrieb:
Kann ja nicht sein das jede dahergelaufene IT-Abteilung einfach so die HTTPS Verbindungen aufbricht...also wie kann man das jetzt unterbinden?
Zum Vergrößern anklicken....

lol, frag mal die ganzen Antivirushersteller. :D Da wird munter das SSL von Browser und sogar von E-Mail-Clients aufgebrochen, daß die Schwarte nur so kracht.
 
blacktnt schrieb:
war es lange Zeit nicht möglich https Seiten anzusurfen. Außer die IT hat diese explizit freigeschaltet. Das sollte alle vor Viren schützen, so die Aussage der IT.
Zum Vergrößern anklicken....
Das muss jetzt nicht 100% sachlich korrekt sein nur weil das die Aussage gegenüber Mitarbeiten ist. "Viren" ist ein Wort was jeder User versteht, da muss man nicht ne Stunde lang anderes Zeugs erklären.

blacktnt schrieb:
Nun gibt es ein internes Schreiben, dass bald ein webgateway eingerichtet wird, mit dem nun auch https Seiten freigeschaltet werden und die Möglichkeit eröffnet wird, private Emails zu schreiben. Nun muss jeder Mitarbeiter eine Unterschrift leisten
Zum Vergrößern anklicken....
Du MUSST gar nix, auch wenn das vermutlich ein sehr schlechtes Licht auf dich werfen wird.

blacktnt schrieb:
Nun war meine erste Frage, ob hierbei auch Passwörter meiner zb. Privaten email mitgelesen werden können?
Zum Vergrößern anklicken....
Je nach Aufwand und (krimineller) Energie kann der Admin alles mitlesen. Ausnahmslos alles. Er hat Zugang zu deinem PC und volle Rechte. Screengrabs und Keylogger wären überhaupt kein Problem. Würde jemand also mitlesen wollen müsste er sich gar nicht den Aufwand machen deine HTTPS Verbindungen zu scannen.

blacktnt schrieb:
Die 2. Frage wäre, ob es rechtlich überhaupt legal ist, https Seiten zu durchsuchen bzw den Verkehr dazwischen?
Zum Vergrößern anklicken....
Solange es nicht gegen die Datenschutzbestimmungen verstößt ist das ok. in diesem "internen schreiben" werden vermutlich die Datenschutzbestimmungen angepasst.
Der wesentliche Faktor ist, dass dein Arbeitgeber dich darüber informiert. Als mündiger Erwachsener kannst du selbst entscheiden was du damit anfängst.
 
blacktnt schrieb:
Aber ich möchte auch gerne wissen, wo ich da genau dran bin, falls ich mal meine privaten Emails checken sollte.
Zum Vergrößern anklicken....
Ich würde es vorschlagen es bei fremder Hardware (Rechner, Tablet, etc.) bzw. fremden Netzen (LAN, WLAN, etc.) so zu sehen: Man geht davon aus, dass alles, was man darauf macht, abgefangen / aufgezeichnet wird (Muss ja nicht einmal absichtlich z.B. der Arbeitgeber sein.

Da reicht ja auch ein bösartiger Mitarbeiter oder ein Bug in Software XY), weil man auch selbst keinerlei Kontrolle über die Geräte und verwendete Software hat. Man geht IMO lieber vom schlimmsten Fall aus, passt die eigene Geräte- & Internetnutzung entsprechend an (Welche Logins sind wichtig, wie etwa Mail (da laufen ja im Grunde alle Registrierungen / Rücksetzmöglichkeiten drüber) oder wo möchte man vielleicht lieber nicht, dass andere erfahren, welche Seiten man besucht oder Dienste verwendet) und muss sich dann im Nachhinein keinen großen Kopf machen, wenn doch mal was "passieren" sollte.
 
Ich danke euch für eure Antworten. Sehr hilfreich für mich zumindest den Vorgang zu verstehen. Im Übrigen hat die IT angekündigt, wenn jemand die neuen Bestimmungen nicht unterzeichnet, wird ihm das Internet abgedreht. :D Das will ich erleben. Ich hab einen Alt-68er Kollegen, der schon kurz vor dem Ausrasten ist... es bleibt spannend.
 
@Deusofthewired
Heeeeeyyyy, aber das ist doch nur der Super-Duper-Wichtige "Banking-Schutz" ;)

@TE
Die Entscheidung von Eurer IT finde ich völlig richtig.
Dann soll Dein 68er-Arbeitskollege zum Privatsurfen auch sein Privatsmartphone mit Privatdatenvolumen nutzen...
 
Zuletzt bearbeitet:
Im Übrigen hat die IT angekündigt, wenn jemand die neuen Bestimmungen nicht unterzeichnet, wird ihm das Internet abgedreht.
Zum Vergrößern anklicken....
Das ist ja auch völlig legitim. Akzeptiere die Bedingungen zur Nutzung des Internets in deiner Firma oder du bekommst keins...
In den seltensten Fällen geht das übrigens von der IT aus.
 
Könnte man diese Konstellation nicht mit einem SSH Tunnel auf einen eigenen Proxy umgehen? Dann wäre der HTTPS Traffic nochmals mit SSH verschlüsselt und ohne diesen Key wären die mitlesenden Admins wieder ausgesperrt.
 
Zuletzt bearbeitet:
Theoretisch schon. Praktisch sollte man auf den PC's im Firmennetz nicht die Rechte haben, um Internet über SSH-Tunnel zu konfigurieren. Sonst ist die Firewall so tatsächlich recht sinnlos.
 
Dafür braucht´s ja nur Putty (am besten als Portable Version, die ohne Adminrechte auskommt) und Firefox, bei dem man den Socks-Proxy auf den getunnelten Port der eigenen Maschine stellt. Dafür braucht´s ebenfalls keine Adminrechte, da lediglich ins User-Verzeichnis geschrieben wird. Falls TCP 22 nicht durchgelassen wird, kann man den Tunnel auch auf einen beliebigen offen Port legen, wenn der Proxy-Server ebenfalls auf diesem lauscht.
 
Dafür musst du aber erstmal Firefox haben. Und (jede) exe ausführen können. Und SSH Pakete durch die Firewall schicken können - egal auf welchem Port.

Das sind alles Sachen, die in einem gut administrierten Netzwerk für den 0815-User nicht möglich sein sollten, wenn der Admin seine Arbeit versteht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Virus übers Firmennetzwerk übertragen?
Antworten
13
Aufrufe
2.689
NJay
NJay
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz