Der erste Heise-Link nimmt im Bezug auf beides, AV Software am Endpoint, die SSL aufbricht, und Proxies, die TLS aufbrechen. In der Tabelle im Artikel erzeugen die Middleboxes sogar den größten Wert bei "Decreased Security".
Mit einer Whitelist / Blacklist kommt man schonmal ein Stück weit, aber ja, Whitelists sind meist nicht allzu praktikabel.
Der mWn häufig empfohlene Weg ist hier halt gute Endpoint-Security, Standard-User mit wenig Rechten, und besonders Schützenwertes in ein anderes Netzwerk packen, Zugriff nur über Terminal-Server o.ä - oder sogar komplett getrennt und Zugriff nur über extra PCs, je nach nötigem Sicherheitsniveau.
Und natürlich das übliche: Rechte auf Dateifreigaben möglichst eng setzen, Updates, besonders für den Browser, schnell ausrollen usw. Und ganz viel Sensibilisierung der Nutzer, auch wenn es aufwendig ist, nervt und viel Arbeitszeit kostet.
Wenns fancy werden darf auch sowas wie die ATP vom Microsoft Defender, mit Erkennen verdächtiger Aktivitätsmuster eines Nutzeraccounts usw.
Wenn ich es richtig im Kopf hat, passieren die meisten IT-Sicherheitsvorfälle eh nicht, weil irgendein User ganz viel P0rn oder sonstziges zieht und da ein Virus bei ist, sondern über Social-Engineering, vertrauenswürdig aussehende E-Mails mit verseuchten Word Anhängen usw, also Sachen, gegen die SSL Inspection eh nur sehr begrenzt hilft, wenn überhaupt.
Die von mir genannten Maßnahmen dämmen halt auch bei fast jeder Art von Sicherheitsvorfall den Schaden ein, und wenn es der "verlorene" USB Stick ist, den ein MA auf dem Parkplatz findet und erstmal arglos einsteckt. Daher sind diese Maßnahmen letztlich also eh nötig, wenn man die Sicherheit wirklich ernst nimmt.
SSL Inspection reißt große Löcher und bekämpft nur einen sehr kleinen Angriffsvektor. Daher geht die Empfehlung vieler Sicherheitsforscher heute eben dahin, da die Finger von zu lassen.
Heißt ja trotzdem nicht, dass da nichts gesperrt wird
