Der BROWSER

Ein Superstar im Internet

Die Top 5 zum "Sicher Surfen"

Wie auf der Seite Sicherer Browser für Unternehmen und Behörden beschrieben, sind Browser prinzipiell anfällig gegen Angriffe aus dem Internet. Sie haben in der Regel weitreichenden Zugriff auf das interne Netzwerk und stellen damit ein lohnendes Angriffsziel dar. Unternehmen und Behörden brauchen daher eine Lösung für den Internetzugang, die ihnen das sichere Surfen ermöglicht. Dabei muss Funktionalität, Sicherheit und administrativer Aufwand in einem ausgewogenen Verhältnis stehen.

Sicherheitslücken in Webbrowsern 2024

Google Chrome
259 Sicherheitslücken
Firefox
190 Sicherheitslücken
Edge
62 Sicherheitslücken
Safari
54 Sicherheitslücken

Top 1 - Der Klassiker

Webbrowser lokal absichern

Moderne Browser wie Chrome, Firefox oder Edge bieten eine Reihe von durchaus wirksamen Sicherheitsmerkmalen. Das wichtigste ist das sogenannte Sandboxing, das die Kapselung aktiver Inhalte gewährleisten soll. Hinzukommen u. a. die Verschlüsselung der Kommunikation mit Webservern und verschiedene Restriktionen für geladene Seiten. Darüber hinaus fordert das BSI in seinem Mindeststandard für Webbrowser, dass Browser sicher konfiguriert werden können – und das auch durchgesetzt wird.

Die technischen Sicherheitsfunktionen aktueller Browser ermöglichen bei sinnvoller Konfiguration den sicheren Einsatz in Umgebungen mit geringen Risiken. Dennoch können Angreifer durch Sicherheitslücken oder Bedienfehler vergleichsweise leicht das System kompromittieren und weitere Rechner infiltrieren. Auf Arbeitsplatzrechnern mit Zugang zu einem Netzwerk mit unternehmenskritischen Daten und Systemen sollte daher auf keinen Fall ein direkt auf dem System installierter Webbrowser genutzt werden.

Blogbeitag "Webbrowser lokal absichern"
TightGate-Pro und die BSI-Mindeststandards (PDF)

Vorteile

  • Geringer Konfigurationsaufwand
  • Keine zusätzlichen Kosten
  • Voll funktionaler Browser

Nachteile

  • Kein Schutz vor Lücken im Browser
  • Kein Schutz für sensible lokale Daten
  • Kaum Schutz vor Viren und Ransomware
Sicher Surfen Index
0

Top 2 - Verbesserte Sicherheit

Anwendungs- oder Mikrovirtualisierung

Virtualisierung meint die Abstraktion, Nachbildung und Konfiguration von Ressourcen eines Host-Systems (z. B. Hardware oder Betriebssystemfunktionen) durch eine trennende Softwareschicht (Hypervisor). Damit kann für virtuelle Maschinen (VMs) die Hardware komplett simuliert werden. Bei der sogenannten Anwendungsvirtualisierung werden Anwendungen in einer virtuellen Laufzeitumgebung ausgeführt. Im Falle der Mikrovirtualisierung erfolgt die Virtualisierung dynamisch als Mikro-VM.

Die Browser-Anwendung bleibt in der Mikro-VM eingeschlossen, sodass Gefahren aus dem Internet möglichst nicht auf das Arbeitsplatzsystem übergreifen können. Diese Lösung ist funktional kaum eingeschränkt und schützt Arbeitsplatzrechner besser als die Absicherung direkt installierter Browser. Dem steht ein sehr hoher administrativer Aufwand bei Aktualisierungen oder der Verwaltung verschiedener Konfigurationen gegenüber. Zusätzlich gibt es keinen Schutz gegen Sicherheitslücken im Hypervisor, in gemeinsam genutzten Windows-Funktionen oder bei Angriffen auf unteren Systemebenen, wie z.B bei Spectre oder Meltdown.

Blogbeitag "Anwendungs- oder Mikrovirtualisierung"
Whitepaper zu lokaler Mikrovirtualisierung (PDF)

Vorteile

  • Sicherer als direkt installierte Browser-Lösungen
  • Malwareinfektionen werden beim Neustart beseitigt
  • Kaum Komforteinschränkungen bei der Nutzung

Nachteile

  • Hoher administrativer Aufwand
  • Anfällig für Angriffe auf dem Hypervisor
  • Kein Schutz vor einem Browserdurchgriff
Sicher Surfen Index
0

Top 3 - Langsam trennt man sich

Systemvirtualisierung

Bei der Systemvirtualisierung wird dem Browser auf dem Arbeitsplatzrechner eine komplette virtuelle Maschine inkl. Gastbetriebssystem bereitgestellt. Nur das Netzwerk des Host-Systems und ein Verzeichnis für den Datenaustausch werden gemeinsam genutzt.

Hier ist der Browser sehr viel stärker vom System des Nutzers isoliert als in Mikro-VMs – bei vergleichbarer Benutzerfreundlichkeit, aber noch höherem Aufwand. Zudem können als Gastsystem sicherere Betriebssysteme als Windows genutzt werden, meist Linux. Die Systemvirtualisierung kann daher Arbeitsplatzrechner besser vor Kompromittierung schützen. Aber auch sie ist anfällig für diverse Angriffe auf Systemebenen unterhalb der Virtualisierung, zum Beispiel die Prozessorarchitektur (Meltdown, Spectre). Weil sich der Browser noch immer auf dem Arbeitsplatzrechner befindet, können erfolgreiche Angreifer von hier aus ebenfalls das Netzwerk infiltrieren.

Blogbeitag "Systemvirtualisierung"

Vorteile

  • Sicherer als virtualisierte Anwendungen
  • Gehärtetes Betriebssystem nutzbar
  • Moderate Komforteinschränkungen bei der Nutzung

Nachteile

  • Sehr hoher administrativer Aufwand
  • Anfällig für Angriffe auf Hypervisor und Prozessor
  • Hohe Ressourcenanforderung für PC-Systeme
Sicher Surfen Index
0

Top 4 - Tschüss Browser

Surfen via Terminalserver

Anders als bei lokalen Virtualisierungslösungen laufen bei einer Terminalserver-Installation die unsicheren Anwendungen auf einem externen Server. Dadurch sind Unternehmenssysteme vor Angriffen und persistenten Bedrohungen noch besser abgeschirmt als bei der Systemvirtualisierung. Zudem ist der Wartungsaufwand für Aktualisierung und Konfiguration geringer.

Allerdings sind klassische Terminalserver-Lösungen nicht für eine sichere Internetnutzung entwickelt worden und bieten daher viel Angriffsfläche. Es erfordert hohen Aufwand und spezielles Know-how, um einen klassischen Terminalserver einigermaßen sicher zu konfigurieren, ohne die Benutzerfreundlichkeit zu stark einzuschränken. Ein erfolgreicher Angriff könnte wiederum wegen der zentralen Stellung des Terminalservers alle Nutzer des Dienstes gefährden.

Blogbeitag "Surfen via Terminalserver"

Vorteile

  • Arbeitsplatzrechner abgeschirmt von Angriffen
  • Guter Schutz bei richtiger Konfiguration
  • Geringere Administration, da zentraler Übergang

Nachteile

  • Sehr viel Know-How notwendig
  • Ressourcen für dedizierte Umgebung notwendig
  • Angriffsvektoren über Standardprotokolle
Sicher Surfen Index
0

Top 5 - So fern und doch so nah

Remote-Controlled Browser System (ReCoBS)

Als die beste Option für sicheres Surfen empfiehlt das BSI den Webzugang über einen dedizierten (nur für die Internetnutzung verwendeten) und speziell gesicherten Terminalserver, der sich außerhalb des internen Netzwerks in einer DMZ befindet und nicht auf sensible Daten zugreifen kann. Das BSI bezeichnet ein solches System als „Remote-Controlled Browser System“ (ReCoBS).

Nach Einschätzung des BSI ist die von ReCoBS gebotene Sicherheit bei uneingeschränkter Funktionalität höher und der damit verbundene Realisierungs- bzw. Wartungsaufwand geringer als bei lokalen Virtualisierungslösungen. Mit ReCoBS sind Arbeitsplatzrechner und Unternehmensnetze vor Angriffen und persistenten Bedrohungen deutlich besser geschützt als bei Sandboxing, Mikro- und Systemvirtualisierung oder klassischen Terminalservern. Auch Angriffe auf unteren Systemebenen laufen ins Leere, da vom ReCoBS-Server aus keine sensiblen Daten erreichbar sind.

Die m-privacy hat den „ReCoBS“-Ansatz des BSI zu einem professionellen Produkt weiterentwickelt, TightGate-Pro. TightGate-Pro ist bei Behörden, Banken und Industriebetrieben im Einsatz und wurde vom BSI nach EAL3+ zertifiziert.

So funktioniert ein Schutzkonzept mit ReCoBS
TightGate-Pro - Das derzeit beste ReCoB-System

Vorteile

  • Sensible Daten perfekt abgeschirmt von Angriffen
  • Geringer administrativer Aufwand
  • Volle Internetfunktionalität

Nachteile

  • Ressourcen für dedizierte Umgebung notwendig
  • Erhöhte Anforderungen an Netzwerkbandbreiten
  • Bedingt geeignet für dauerhaftes Steaming
Sicher Surfen Index
0

Ihr Ansprechpartner

Vertriebsmitarbeiter der m-privacy GmbH

Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de

Jetzt Kontakt aufnehmen!
Vereinbaren Sie kostenlos einen persönlichen Termin und erfahren Sie mehr über TightGate-Pro.
Termin buchen