SSL/TLS-Terminierung: Compliance und Vertrauen im Fokus

Die absolute Mehrheit aller Webseiten wird heutzutage über HTTPS ausgeliefert. 97 der 100 global beliebtesten Internetseiten setzen standardmäßig auf HTTPS, alle 100 unterstützen die verschlüsselte Übertragung. Inhalte auf diesen Seiten sind mittels SSL/TLS-Zertifikaten verschlüsselt, wodurch deren Sicherheit und Integrität gegenüber den Nutzerinnen und Nutzern garantiert wird. Vor allem Webapplikationen, auf denen sensible Daten verarbeitet werden, wie Online-Banking sowie Bürger- und Gesundheitsportale, profitieren von dieser zusätzlichen Schutzebene im Netz.

Deshalb muss HTTPS-Traffic dekodiert werden

Die SSL/TLS-Verschlüsselung dient im Netz zur Abwehr neugieriger Blicke sowie zum Schutz vor Sabotage und Manipulation. Allerdings erschwert das HTTPS-Protokoll auch die eindeutige Identifikation von bösartigem Traffic sowie die gezielte Auslieferung von Inhalten zur Performance-Optimierungen. Deswegen ist für Content-Delivery-Dienste (CDNs) und für Cloud-basierte Webapplikationsschutzdienste das Aufbrechen der Verschlüsselung erforderlich – hierbei spricht man von SSL/TLS-Terminierung. Erst die Entschlüsselung des Traffics erlaubt eine effektive Deep Package Inspection zur granularen Filterung des Datenstroms – dadurch ist eine Abwehr verschlüsselter Angriffe (Port 443) möglich.

Um das Dekodieren der Verschlüsselung zu ermöglichen, müssen die privaten SSL-TLS-Schlüssel an den Dienstleister der Schutz- und/oder Performance-Dienste gesendet werden. Durch die Dekodierung hat dieser Anbieter aber ebenfalls kompletten Zugriff auf die übertragenen Daten. Die Wahl eines vertrauenswürdigen und kompetenten Dienstleisters für CDN-Dienste oder Webapplikationsschutz ist daher entscheidend, um Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Daten sicherzustellen.

Rechtssichere DSGVO-Konformität erfordert lokale Datensouveränität

Da bei der SSL/TLS-Terminierung auch personenbezogene Daten kurzfristig offengelegt werden, ist dieser Prozess auch hinsichtlich der geltenden Datenschutzvorschriften äußerst brisant.

Grundsätzlich erlaubt die Europäische Datenschutz-Grundverordnung (DSGVO) die Verarbeitung solcher sensiblen Daten ausschließlich im Europäischen Wirtschaftsraum (EWR) sowie in sicheren Drittstaaten, für die ein Angemessenheitsbeschluss der EU-Kommission besteht. Datentransfers in andere Länder, wie auch den USA, erfordern den Einsatz von Ausgleichsmaßnahmen, wie eine solide Verschlüsselung, um das vorgegebene Datenschutzniveau sicherzustellen.

Die Implementierung einer solchen Verschlüsselung ist jedoch bei CDNs und Webapplikationsschutzdiensten technisch nicht möglich. Daher sieht der Europäische Datenschutzausschuss insbesondere im Hinblick auf US-Anbieter derzeit keine Möglichkeit zur Umsetzung von Ausgleichsmaßnahmen, die eine rechtssichere Nutzung der Dienste gestatten würden.

Compliance-konforme Verarbeitung nach höchsten Standards

Die Dienste von Myra bieten ein Höchstmaß an Sicherheit. Die SSL/TLS-Zertifikate unserer Kunden werden in einem gesicherten Bereich unserer Infrastruktur gespeichert. Das Herunterladen oder Anzeigen bestehender SSL-Zertifikate von der Myra-Plattform ist ausdrücklich nicht möglich. Eine Dekodierung findet nur zur Überprüfung der Pakete statt. Die gesamte Kommunikation in unserem Netzwerk nach außen, zum Nutzer und zu Ihrem Origin-Server, ist vollständig verschlüsselt. Die SSL/TLS-Terminierung findet bei Myra ausschließlich in Deutschland statt – rechtssicher DSGVO-konform.