Checkliste: Wann dürfen Webverbindungen entschlüsselt werden?

Webseiten zu verschlüsseln, wird immer mehr zum Standard im Internet. Dies sorgt für mehr Privatsphäre für die Nutzer und erhöht die Sicherheit von Transaktionen, aber es kann auch zu Problemen mit der Sicherheit führen. Insbesondere verunmöglicht die Verschlüsselung die Erkennung gewisser Arten von Malware durch Security-Software. Daher entschlüsseln Behörden und Unternehmen manchmal Webtraffic, bevor er zum Enduser gelangt, was aber wiederum dessen Privatsphäre und auch die Integrität und Authentizität von Online-Transaktionen tangieren kann.
 
Der Datenschutzbeauftragte des Kantons Zürich ist sich dieses Dilemmas bewusst. Er verurteilt aber eine Entschlüsselung nicht kategorisch. Stattdessen hat er eine Checkliste erarbeitet und veröffentlicht, die erklärt, welche Vorkehrungen man treffen muss, wenn man Webtraffic aus Sicherheitsgründen entschlüsseln will.
 
Die Checkliste richtet sich eigentlich an Behörden, kann aber auch für Privatunternehmen Aufschlüsse geben. Der erste Punkt beispielsweise erklärt schon mal klipp und klar: Wer keine Risikoanalyse vorgenommen hat, sollte gar nicht erst an Entschlüsselung denken.
 
Weitere Punkte drehen sich um die notwendige Transparenz der Massnahmen für den Enduser, die Möglichkeit, Ausnahmen zu machen und vieles mehr. (hjm)