Weil nur ein sicherer Browser zukunftsfähiges Arbeiten ermöglicht

Sicherer Browser für Unternehmen und Behörden

Ohne eine Lösung zum  Thema „Sicherer Browser“ wird das Internet in Unternehmen und Behörden bald nicht mehr zu nutzen sein. Webbrowser gehören zu den wichtigsten Anwendungen einer Organisation.
Browser sind auf den ersten Blick einfach zu bedienen; auf Schulungen wird daher meist verzichtet – auch in Bezug auf die Internetsicherheit. Gleichzeitig sind Webbrowser heute sehr komplexe, mächtige und funktionsreiche Programme, die daher immer wieder auch Schwachstellen aufweisen können. Als Tor zum Internet können Webbrowser erhebliche Risiken für die Informationssicherheit einer Organisation und die Verfügbarkeit, Vertraulichkeit und Integrität ihrer Daten und Systeme darstellen.
Diese Seite gibt einen Überblick über das Thema „Sicherer Browser“. Vorweg: Einen zu 100 Prozent sicheren Browser gibt es leider nicht. Aber es gibt Wege, wie Unternehmen und Behörden die Internetnutzung ihrer Mitarbeiter dennoch wirksam absichern können.

Der sichere Browser von TightGate-Pro
setzt neue
Maßstäbe bei der Abwehr von Angriffen aus dem Internet

Gefahren beim Surfen

Prinzipbedingt greifen Webbrowser auch auf Arbeitsplatzrechnern in gesicherten Netzwerken auf potenziell schädliche Daten oder Webseiten im Internet zu. Denn von keiner Ressource im öffentlichen Internet kann ich mit absoluter Sicherheit wissen, dass sie harmlos ist – selbst wenn sie das gestern noch war.
Meist werden Links auf Webseiten oder in E-Mails angeklickt, ohne die hinterlegte URL zu prüfen; die Risiken unbekannter Server werden in Kauf genommen. Aber auch bekannte und normalerweise vertrauenswürdige Server können, wenn sie gehackt wurden, schädliche Dateien (Skripte, Viren, Trojaner, Spyware etc.) ausliefern. Selbst das DNS-System ist angreifbar; gehackte DNS-Server können User unbemerkt auf Hacker-Webseiten umlenken.
So besteht ohne entsprechende Absicherung immer die Gefahr, dass Schadcode auf den Client-Rechner gelangt. Der Browser ist damit eines der wichtigsten Einfallstore für Angreifer, um in den Arbeitsplatzrechner und von dort aus in das interne Netzwerk einzudringen. So funktioniert auch die aktuell wichtigste Cyberbedrohung für Organisationen: Erpressung durch Ransomware-Angriffe, die kritische Daten verschlüsseln (und meist zusätzlich auch stehlen). Auch wenn kein Lösegeld gezahlt wird, entstehen schnell Schäden in Millionenhöhe durch Produktionsausfälle, Verzögerungen in der Lieferkette und beeinträchtigte Geschäftsbeziehungen.

Aktive Inhalte im Browser - problematisch

Das Hauptproblem in Bezug auf die Sicherheit beim Surfen sind aktive Inhalte. In modernen Webanwendungen werden immer mehr Funktionen durch clientseitiges Skripting realisiert, um bei Benutzerinteraktionen schneller reagieren zu können. Browser stellen daher heute leistungsfähige Laufzeitumgebungen für JavaScript und das neuere WebAssembly zur Verfügung, die leicht missbraucht werden können, um böswilligen Code auszuführen. Das ist ein gravierendes Sicherheitsproblem, denn Inhalte aus dem Internet müssen grundsätzlich als nicht vertrauenswürdig angesehen werden.
Die Deaktivierung oder Filterung aktiver Inhalte ist zwar möglich, schränkt aber die Benutzung vieler Anwendungen in Bezug auf Funktionalität und Komfort zu stark ein. Deshalb müssen sichere Browser eine sichere Nutzung aktiver Inhalte ermöglichen.

Die Top 8 Angriffe über den Browser

Dies ist die schwerwiegendste Art aber auch die seltenste. Gelegentlich entdecken Angreifer eine Schwachstelle im Browser, die die Ausführung von beliebigem Code ermöglicht. Der Schadcode wird im Browser ausgeführt, wenn ein Benutzer eine kompromittierte Website besucht. Browser ist komplexe Software mit vielen Untersystemen (HTML-Rendering, JavaScript-Engine, CSS-Parser usw.) und ein kleiner Programmierfehler darin kann bösartigem Code gerade genug Halt bieten, um ausgeführt zu werden. Von dort aus hat der Schadcode viele Möglichkeiten – er kann andere bösartige Pakete herunterladen, vertrauliche Daten stehlen oder unbemerkt auf weitere Anweisungen des Angreifers warten. Der Angreifer muss nicht einmal eine legitime Website kompromittieren, um einen solchen Angriff zu starten – Werbenetzwerke wurden bereits genutzt, um bösartigen Code auf ansonsten sicheren Websites zu verbreiten.

Plug-ins sind wahrscheinlich der bekannteste Vektor für Drive-by-Downloads (Angriffe, bei denen unbemerkt Code auf Ihrem System heruntergeladen und ausgeführt wird). Von Flash bis Java, selbst bei Plug-ins seriöser Anbieter wurden wiederholt Schwachstellen von Malware-Angriffen ausgenutzt. Wie bei den Browser-Exploits werden solche Schwachstellen von den Herstellern in der Regel nach kurzer Zeit behoben, aber die Zahl der veralteten Kopien von Browser-Plug-ins ist weitaus höher als die der aktualisierten.

Fortgeschrittene persistente Bedrohungen, im englischen auch Advanced Persistent Threats genannt, installieren unbemerkt bösartige Programme (z.B. Keylogger) auf einem Computer und stehlen dann sensible Daten wie Zugangsdaten oder sie erstellen gleiche ganze Screenshots. Manchmal bleiben dieses Schadprogramme jahrelang unentdeckt.

Diese Art der Angriffe nutzen eine Vielzahl von Methoden, um Benutzer zur Installation zu bewegen. Die meisten haben nichts direkt mit dem Browser zu tun. So kommt der Schadcode über einen infizierten USB-Stick oder einen schädlichen E-Mail-Anhang auf das System. Da jedoch so viele sensible Interaktionen über den Browser erfolgen, legen die meisten dieser Angriffsarten großen Wert auf den Diebstahl von Daten über den Browser.

Angreifer die Zugang zu einem beliebigen Punkt in einer Netzwerkverbindung zwischen einem Benutzer und der von ihm besuchten Webseite haben (ein „Man-in-the-Middle“), können den Datenverkehr zwischen dem Browser und den Webservern beobachten und verändern.
Websites die TLS verwenden (Adressen mit „https“), erschweren diese Art von Angriff. Verschlüsselten Verbindungen erschweren es Angreifern eine Verbindung zu belauschen oder zu verändern. Für Angreifer ist es kaum möglich das kryptografische Zertifikat, welches der Server verwendet, um sich gegenüber dem Browser zu authentifizieren zu fälschen.
Angreifer wissen jedoch, dass viele Benutzer darauf konditioniert sind Warnungen einfach wegzuklicken, wenn sie erscheinen. So können sie ein ungültiges/gefälschtes Zertifikat verwenden und in vielen Fällen werden die Benutzer die Warnungen des Browsers ignorieren.

Angreifer können das DNS-System (eine Art Kontaktliste, die Ihr Browser verwendet, um die IP-Adresse einer Website anhand ihres Namens zu finden) an verschiedenen Stellen verändern/vergiften. Ein Computer speichert DNS-Einträge im Cache und Angreifer können diesen Cache vergiften. Eine spezielle Datei auf dem Rechner kann so verändert werden, dass DNS-Server für bestimmte Webadressen außer Kraft gesetzt werden. Böswillige Akteure können sogar DNS-Server selbst kompromittieren und sie zwingen, falsche IP-Adressen für seriöse Websites zu liefern. Sobald der Angriff erfolgt ist, kontaktiert der Browser den Server des Angreifers anstelle des legitimen Servers. Angriffe dieser Art zielen in der Regel auf Banken ab, indem sie Benutzer so lange täuschen, bis diese ihre Zugangsdaten preisgeben. Diese werden dann verwendet, um die Konten der Opfer zu leeren.

SQL-Injektionen sind seit über 10 Jahren ein bekanntes Problem. Das Open Web Application Security Project (OWASP) führt es in seiner Liste der 10 größten Bedrohungen an. Mit einer SQL-Injektion können Angreifer SQL-Befehle in eine Website einfügen, um auf Daten auf dem Server zuzugreifen und diese zu bearbeiten. Angreifer können Webformulare, Cookies oder HTTP-Posts verwenden, um ihren bösartigen Code in den Browser zu injizieren. Ziel dieser Art von Angriffen ist es in der Regel, Daten zu stehlen, zu löschen oder zu manipulieren.

Wie SQL-Injektionen nutzen auch Cross-Site Scripting (XSS)-Angriffe Injektionen, um bösartigen Code an andere Benutzer zu senden. Der Browser des Empfängers hält den Code für legitim, da er von einer vertrauenswürdigen Quelle stammt. Somit führt er das Skript aus, wodurch der Angreifer Zugang zu Cookies und anderen sensiblen Informationen erhält, die der Browser zur Verwendung auf dieser Website gespeichert hat. Der Angreifer kann diese Informationen dann nutzen, um sich als das Opfer auszugeben oder dessen Anmeldedaten zu stehlen. Das Skript kann manchmal auch den Inhalt von HTML-Seiten umschreiben, was Benutzer dazu veranlassen kann auf weitere bösartige Links zu klicken. Websites, die nutzergenerierte Inhalte akzeptieren, sind am anfälligsten für diese Art von Angriffen.

Wenn sich ein Benutzer bei einer Website anmeldet, erhält er eine eindeutige Sitzungs-ID, die die Website kontinuierlich zwischen dem Gerät des Benutzers und dem Server überträgt. Wird diese Sitzungs-ID nicht ordnungsgemäß verschlüsselt, kann ein Angreifer diese ID abfangen und die Sitzung für seine eigenen Zwecke missbrauchen. Benutzer die in einem öffentlichen oder ungeschützten WLAN arbeiten, sind dafür besonders anfällig. Angreifer könnten nun einen Brute-Force-Angriff durchführen, um an weitere Zugangsdaten zu gelangen. Diese Brute-Force-Versuche werden einfacher, wenn der Angreifer bereits mehrere Sitzungs-IDs abgefangen hat.

Angriff über den Webbrowser

Ziel eines Angriffes über den Browser ist es entweder, schädlichen Code auf dem Arbeitsplatzrechner auszuführen, böswillige HTTP-Requests an anfällige Webanwendungen zu senden oder den Benutzer zu einer gewünschten Handlung zu bewegen, etwa Zugangsdaten preiszugeben oder selbst eine Datei mit Schadcode herunterzuladen und auszuführen.
Eine verbreitete Angriffsmöglichkeit besteht darin, den Schadcode auf den Arbeitsplatzrechner zu laden (versteckt zum Beispiel in einer Office- oder PDF-Datei) und dort auszuführen. Das geschieht zum Beispiel über manipulierte und verschleierte URLs auf Webseiten (Clickjacking), Links in E-Mails oder Downloads aus nicht vertrauenswürdigen Quellen. Über Sicherheitslücken in Browsern kann das Herunterladen auch unbeabsichtigt allein durch das Besuchen einer präparierten Webseite geschehen (Drive-by-Download).
Schadcode (etwa JavaScript oder WebAssembly-Bytecode) kann aber auch vom Webbrowser selbst ausgeführt werden. Das passiert etwa beim Besuch von Seiten, die von Angreifern kontrolliert werden (z. B. beim Klick auf Links in betrügerischen Mails oder der Nutzung gehackter Webanwendungen). Eine andere Gefahr ist das sogenannte Cross-Site Scripting (XSS), wenn eine anfällige Webanwendung Daten, die von Nutzern manipuliert werden können (z. B. Formulardaten oder präparierte Links mit schädlichem Code), ungeprüft an die Browser anderer Benutzer weiterleitet.
Wird der Schadcode ausgeführt, ermöglicht das den Angreifern beispielsweise, Daten auszuspionieren, weitere Dateien nachzuladen (wie Verschlüsselungssoftware, Backdoors oder andere Hackerwerkzeuge) oder die angezeigten Webinhalte zu manipulieren. Wird ein nicht sicherer Browser verwendet oder enthält eine Webanwendung Schwachstellen, können Angreifer auch Websitzungen unbemerkt übernehmen (Session Hijacking) oder Benutzerdaten wie zum Beispiel Passwörter stehlen und damit weiteren Schaden anrichten.

Was ist ein sicherer Browser?

Ein sicherer Browser soll solche Angriffe – und auch neue, noch unbekannte Angriffsmethoden – verhindern, damit interne Ressourcen nicht durch Schadcode aus dem Internet gefährdet werden. Moderne Browser bieten dafür eine Reihe technischer Sicherheitsmechanismen, darunter Verschlüsselung und die Isolierung von Webseiten, Verarbeitungsprozessen und Komponenten voneinander, damit ausgeführter Schadcode keine größeren Wirkungen entfalten kann.
Trotzdem werden jedes Jahr Hunderte neuer Sicherheitslücken in Browsern entdeckt, die multiple Angriffsvektoren eröffnen. Unter den Top 30 der Produkte mit den meisten Sicherheitslücken in der Vulnerability-Datenbank CVE Details finden sich alle populären Browser, übertroffen nur von wesentlich komplexerer und umfangreicherer Betriebssystem-Software.
Hinzu kommt: Selbst wenn es einen Browser ohne Sicherheitslücken geben würde, wäre damit ein Großteil der oben beschriebenen Angriffe längst nicht entschärft. Wenn Nutzer einen Malware-Link anklicken oder sich bei einer manipulierten Webanwendung anmelden, könnte auch ein fehlerfreier Browser den drohenden Schaden häufig nicht abwenden.
Kurz: Es gibt keinen „sicheren Browser“, sondern nur „mehr oder weniger sicher“ – und leider meist „weniger sicher“. Was heißt das für Unternehmen und Behörden?

Sicherer Browser: Handlungsoptionen für Unternehmen und Behörden

Browser sind also prinzipiell anfällig gegen Angriffe aus dem Internet, haben aber in der Regel weitreichenden Zugriff auf das interne Netzwerk und damit auch auf geschäftskritische Ressourcen. Unternehmen und Behörden müssen daher im Rahmen einer individuellen Risikobewertung ihre konkreten Sicherheitsanforderungen, die IT-Umgebung, das zu erwartende Verhalten ihrer Mitarbeiter und bekannte Bedrohungen analysieren und auf dieser Basis die für sie geeignetste Lösung für das Thema „Sicherer Browser“ finden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt eine Reihe von Maßnahmen, mit denen Organisationen – je nach Risikolage – ihre Internetnutzung absichern können:

  • Geringes Risiko: Nutzung eines Browsers, der dem vom BSI definierten Mindeststandard für die Sicherheit genügt

  • Mittleres Risiko: Weitere Maßnahmen gemäß IT-Grundschutz

  • Höheres Risiko (erhöhter Schutzbedarf): Ausführen des Browsers in einer isolierten, von der internen IT-Infrastruktur getrennten Umgebung.

Für Behörden Pflicht: BSI-Mindeststandard für Browser

Das BSI hat einen Mindeststandard formuliert, damit Browser überhaupt in die Auswahl als sicherer Browser kommen und auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden dürfen. Dabei betont das BSI ausdrücklich, dass die in seinen Mindeststandards genannten Sicherheitsanforderungen auch für Landesverwaltungen und Wirtschaftsunternehmen Relevanz haben (Quelle: Broschüre Mindeststandards Bund, BSI 2021).

Durch die Berücksichtigung des Mindeststandards sollen die oben beschriebenen Risiken minimiert werden. Konkret beschreibt das Dokument, das als aktuelle  Version 2.1.4 vom 06.07.2022 vorliegt, technische und organisatorische Sicherheitsanforderungen an Browser-Produkte, ihre Anbieter sowie ihren Betrieb. Geeignete Browser müssen also nicht nur technische Sicherheitsfunktionen bieten, sondern auch sicher und datenschutzfreundlich konfiguriert werden können – und dies muss in der Organisation auch durchgesetzt werden. Die jeweils aktuelle Fassung finden Sie hier: BSI-Mindeststandard für Webbrowser.

Wie viele Sicherheitslücken hatte der Chrome-Browser von Google im Jahr 2021?

Zu viele !

Im Jahr 2021 hatte der Chrome-Browser 2501 Sicherheitslücken. Eheblich zu viele, um damit ungeschützt im Internet zu Surfen.
So geht's richtig

Wie hieß die britische Kryptoanalytikerin, die maßgeblich die Chiffrierung der Deutschen im Zweiten Weltkrieg knackte?

Sie hieß Joan Clarkes

Ihre geniale Arbeit als Codeknackerin während des Zweiten Weltkriegs rettete zahllose Menschenleben. Ihr Leben wurde im Spielfilm "Das Imitationsspiel" verfilmt.

Was versteht man unter "Social Engineering"?

Mit „Social Engineering“

wird eine Vorgehensweise beschrieben, bei der die Schwachstelle Mensch ausgenutzt wird um Sicherheitsvorkehrungen zu umgehen und sensible Informationen zu erlangen.
Mehr zum Thema vom BSI

Mehr als der Mindestschutz: IT-Grundschutz

In einer Reihe von Veröffentlichungen beschreibt das BSI unter der Bezeichnung „IT-Grundschutz“ Vorgehensweisen, mit denen Organisationen ein für ihre individuellen Risiken angemessenes Schutzniveau ihrer Informationstechnik erreichen können. Konkrete Anleitungen bietet das IT-Grundschutz-Kompendium in zahlreichen sogenannten „IT-Grundschutz-Bausteinen“, die in zehn „Schichten“ aufgeteilt sind, darunter etwa Anwendungen (Baustein APP), IT-Systeme (SYS), Netze und Kommunikation (NET), Betrieb (OPS) oder Sicherheitsmanagement (ISMS).

Die Absicherung von Webbrowsern wird im Baustein APP.1.2 beschrieben. Unter anderem finden sich hier die Sicherheitsanforderungen des Mindeststandards wieder. Es werden aber auch Vorschläge für Anforderungen bei erhöhtem Schutzbedarf gegeben.

Beispielsweise sollte der Browser aufgerufene URLs auf potenziell schädliche Inhalte prüfen, den Benutzer vor Gefahren warnen und das Aufrufen schädlicher Verbindungen verweigern. Bei erhöhten Anforderungen an die Vertraulichkeit soll der Browser im privaten Modus (ohne dauerhafte Speicherung von Informationen) ausgeführt und lokale Inhalte beim Beenden automatisch gelöscht werden.

Zudem empfiehlt das BSI die sogenannte Zwei-Browser-Strategie: Zwei alternative Browser auf unterschiedlichen Plattformen bieten eine Ausweichmöglichkeit im Falle ungelöster Sicherheitsprobleme (ausbleibender Patches).

Muss bei erhöhtem Schutzbedarf: Isolierte Browser-Umgebung

Bei erhöhtem Schutzbedarf empfiehlt das BSI, Webbrowser nicht direkt auf dem Arbeitsplatzrechner zu installieren, sondern in einer isolierten Umgebung auszuführen (vgl. APP.1.2.A9). Als isolierte Systeme kommen einerseits virtualisierte Systeme infrage (Anwendungs- oder Betriebssystemvirtualisierung). Zum anderen kann der Browser auch entkoppelt vom Client-Arbeitsplatzrechner auf einem Terminalserver als ferngesteuertes Browser-System (Remote-Controlled Browser System, „ReCoBS“ ausgeführt werden.

Im Folgenden werden diese Möglichkeiten kurz charakterisiert. Einen ausführlicheren Vergleich verschiedener Internetsicherheitskonzepte finden Sie, wenn Sie auf dem Button am Ende des jeweiligen Kastens klicken.

Anwendungsvirtualisierung

Bei der Anwendungsvirtualisierung wird einer Anwendung eine eigene virtuelle Laufzeitumgebung (Sandbox) zur Verfügung gestellt. Damit wird die Internetnutzung sicherer, weil ausgeführter Schadcode nicht direkt auf das Betriebssystem des Arbeitsplatzrechners oder Daten anderer Anwendungen zugreifen und keine persistenten Änderungen bewirken kann. Beispiele für die Technik sind Citrix Virtual Apps oder HP Wolf Security (vormals Bromium). Allerdings muss sich die Anwendung in der Sandbox je nach Konfiguration weiterhin bestimmte Ressourcen (z. B. RAM, CPU, Netzwerk) und Speicher für den Datenaustausch mit anderen Anwendungen teilen. Hat die Sandbox eine Lücke, gelangt ein Angreifer direkt auf das zu schützende System. Auch eine Fehlkonfiguration der Sandbox kann dazu führen, dass Angreifer unberechtigten Zugriff auf sensible Daten erhalten und diese dann in Richtung Internet abfließen.

Betriebssystemvirtualisierung

Bei der Betriebssystemvirtualisierung enthält die virtuelle Umgebung ein komplettes Gastbetriebssystem in einer virtuellen Maschine (VM). Die Isolierung des Gastsystems vom Host ist damit umfassender und der Schutz vor erfolgreichen Angriffen höher als bei der Anwendungsvirtualisierung. Ein Beispiel ist die virtuelle Surfumgebung BitBox („Browser in the Box“). Virtualisierungstechniken, ob Sandbox oder OS-Ebene, wurden aber ursprünglich nicht für Absicherungszwecke, sondern zur effizienteren Ressourcennutzung entwickelt. Sie sind z. B. anfällig für Angriffe auf untere Systemebenen, beispielsweise auf die Prozessorarchitektur (Spectre, Meltdown) und weisen auch selber immer wieder folgenschwere Sicherheitslücken auf. Gelingt es einem Angreifer auf unterer Systemebene anzugreifen oder die Virtualisierungsumgebung als solches zu kompromittieren ist der gesamte Schutz hinfällig.

Remote-Controlled Browser System (ReCoBS)

Die beste Absicherungsmöglichkeit einen sicheren Browser zu realisieren ist eine dedizierte Umgebung zum sicheren Surfen. Solch einen Ansatz verfolgt ReCoBS, indem es den Browser vom zu schützenden Arbeitsplatz entkoppelt und auf einem eigenen ReCoBS-Server ausführt, der außerhalb des internen Netzwerks in einer DMZ steht. So sind die Arbeitsplatzrechner vor Angriffen besser abgeschirmt als bei der Betriebssystemvirtualisierung oder dem Sandboxing. Auch Angriffe auf unterer Systemebene laufen bei einem ReCoBS ins Leere, da die schützenden Daten nicht auf dem ReCoBS-Server legen oder von da aus zugreifbar sind. Ein professionelles ReCoBS wie TightGate-Pro schützt so großen Unternehmen und Behörden nachhaltig vor allen Arten von Angriffen über den Browser. Dabei ist TightGate-Pro deutlich einfacher zu administrieren als Sandboxing Lösungen oder Lösungen zur Betriebssystemvirtualisierung.