Konzepte für sicheres Surfen
Webbrowser lokal absichern
Der Webbrowser ist eines der wichtigsten Einfallstore für Schadcode aus dem Internet und gleichzeitig eines der meistgenutzten Werkzeuge in Unternehmen und Behörden. Es ist daher besonders wichtig, die Internetnutzung durch Mitarbeiter wirksam abzusichern. Den „Webbrowser lokal absichern“ ist dabei eines der Konzepte zur gesicherten Internetnutzung. Eine Schnellübersicht der TOP 5 Möglichkeiten für sicheres Surfen haben wir für Sie zusammengestellt.
Warum Browser überhaupt abgesichert werden müssen, zeigt unsere Seite Sicherer Browser.
Eines dieser Konzepte ist die Nutzung eines lokal installierten, aktuellen und möglichst sicher konfigurierten Browsers. Denn moderne Browser bieten bereits von Haus aus eine Reihe technischer Sicherheitsmechanismen, die gängige Angriffe erschweren sollen. Aber auch die Konfiguration des Browsers ist sicherheitsrelevant. Wir geben einen Überblick über die Möglichkeiten einen Webbrowser lokal absichern zu können.
Technische Maßnahmen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert für Browser in Büroumgebungen neben der schnellen Schließung von Schwachstellen über sichere Update-Mechanismen insbesondere die gekapselte Ausführung von aktiven Inhalten.
Aktuelle Browser (Google Chrome, Mozilla Firefox, Microsoft Edge) bieten dafür das sogenannte Sandboxing, bei dem die Prozesse aller besuchten Webseiten (also der gerade offenen Browser-Tabs) voneinander und vom Betriebssystem abgeschirmt werden. Aber auch die einzelnen architektonischen Komponenten sind voneinander isoliert und dürfen nur kontrolliert miteinander kommunizieren. Das soll bewirken, dass die erfolgreiche Ausnutzung von Sicherheitslücken keinen größeren Schaden anrichten kann.
Weitere in allen relevanten Browsern umgesetzte Sicherheitsmaßnahmen sind u. a. verschlüsselte Kommunikation über Transport Layer Security (TLS) und die Umsetzung der sogenannten Same-Origin-Policy (Dokumente und clientseitige Skripte dürfen nicht auf Ressourcen anderer Webseiten zugreifen können) sowie der Content Security Policy (CSP 2.0) – eines Sicherheitskonzepts, um Cross-Site-Scripting-Angriffe zu verhindern, die die Same Origin Policy aushebeln (hier scheitert der veraltete Internet Explorer von Microsoft).
Mindeststandard für Webbrowser
Diese und andere technische sowie organisatorische Sicherheitsanforderungen führt das BSI in zwei weiterführenden Dokumenten auf, dem „Mindeststandard für Webbrowser“ in Bundesbehörden sowie im Rahmen seines „IT-Grundschutz“-Konzepts, genauer in Baustein APP.1.2 des IT-Grundschutz-Kompendiums. Dabei legt das BSI großen Wert darauf, dass Browser sicher konfiguriert werden können. Der Mindeststandard fordert auch, dass Browser-Konfigurationen bei Bedarf zentral erstellt und in diesem Fall nicht vom Benutzer über die grafische Benutzeroberfläche verändert werden können.
Zudem sollen unterschiedliche Konfigurationen parallel betrieben werden können, wenn Browser-Anwendungen mit unterschiedlichen Sicherheitsniveaus im Einsatz sind. Dies kann auch mit zwei Browsern umgesetzt werden. Ohnehin empfiehlt das BSI eine sogenannte Zwei-Browser-Strategie mit unterschiedlichen Plattformen, um Risiken durch nicht zeitnah geschlossene Sicherheitslücken einer Plattform zu minimieren.
Bewertung der Maßnahme „Webbrowser lokal absichern“
Die von modernen Browsern gebotenen Sicherheitsmerkmale ermöglichen ihren Einsatz in Umgebungen mit geringen Risiken. Den „Webbrowser lokal absichern“ bietet einige Vorteile: Der Funktionsumfang des Browsers kann uneingeschränkt genutzt werden und es stehen darüber hinaus alle Funktionen des Betriebssystems etwa für die automatische Aktualisierung von Software-Komponenten und eine zentrale Administration zur Verfügung.
Diesen Vorteilen stehen allerdings gravierende Nachteile gegenüber. Bei einem erfolgreichen Angriff oder einem falschen Klick steht nur die Browser-Sandbox zwischen der Bedrohung und dem IT-System des Nutzers. Das bietet zwar eine gewisse Sicherheit, aber dennoch sind Browser-Prozessen weitgehende Zugriffe auf das System erlaubt. Zudem sind Browser komplexe Software-Systeme, die immer wieder kritische Sicherheitslücken aufweisen, welche in vielen Unternehmen nicht zeitnah geschlossen werden. Gelingt es einer Schadsoftware, aus der Sandbox auszubrechen, können Angreifer erweiterte Rechte erlangen und das Netzwerk infiltrieren. Daher bieten direkt installierte Webbrowser keinen ausreichenden Schutz für unternehmenskritische Daten und Systeme – der Mindeststandard des BSI empfiehlt Organisationen mit hohem oder sehr hohem Schutzbedarf den Einsatz einer Lösung, die vom Arbeitsplatzsystem per Virtualisierung (Anwendungs- oder Mikrovirtualisierung; oder Systemvirtualisierung) isoliert oder davon räumlich getrennt ist, zum Beispiel per Terminalserver-Installation bzw. als ReCoBS.
Ihr Ansprechpartner
Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de
