Weil nur ein sicherer Browser zukunftsfähiges Arbeiten ermöglicht
Sicherer Browser für Unternehmen und Behörden
Ohne eine Lösung zum Thema „Sicherer Browser“ wird das Internet in Unternehmen und Behörden bald nicht mehr zu nutzen sein. Webbrowser gehören zu den wichtigsten Anwendungen einer Organisation.
Browser sind auf den ersten Blick einfach zu bedienen; auf Schulungen wird daher meist verzichtet – auch in Bezug auf die Internetsicherheit. Gleichzeitig sind Webbrowser heute sehr komplexe, mächtige und funktionsreiche Programme, die daher immer wieder auch Schwachstellen aufweisen können. Als Tor zum Internet können Webbrowser erhebliche Risiken für die Informationssicherheit einer Organisation und die Verfügbarkeit, Vertraulichkeit und Integrität ihrer Daten und Systeme darstellen.
Diese Seite gibt einen Überblick über das Thema „Sicherer Browser“. Vorweg: Einen zu 100 Prozent sicheren Browser gibt es leider nicht. Aber es gibt Wege, wie Unternehmen und Behörden die Internetnutzung ihrer Mitarbeiter dennoch wirksam absichern können.
Der sichere Browser von TightGate-Pro
setzt neue
Maßstäbe bei der Abwehr von Angriffen aus dem Internet
Gefahren beim Surfen
Prinzipbedingt greifen Webbrowser auch auf Arbeitsplatzrechnern in gesicherten Netzwerken auf potenziell schädliche Daten oder Webseiten im Internet zu. Denn von keiner Ressource im öffentlichen Internet kann ich mit absoluter Sicherheit wissen, dass sie harmlos ist – selbst wenn sie das gestern noch war.
Meist werden Links auf Webseiten oder in E-Mails angeklickt, ohne die hinterlegte URL zu prüfen; die Risiken unbekannter Server werden in Kauf genommen. Aber auch bekannte und normalerweise vertrauenswürdige Server können, wenn sie gehackt wurden, schädliche Dateien (Skripte, Viren, Trojaner, Spyware etc.) ausliefern. Selbst das DNS-System ist angreifbar; gehackte DNS-Server können User unbemerkt auf Hacker-Webseiten umlenken.
So besteht ohne entsprechende Absicherung immer die Gefahr, dass Schadcode auf den Client-Rechner gelangt. Der Browser ist damit eines der wichtigsten Einfallstore für Angreifer, um in den Arbeitsplatzrechner und von dort aus in das interne Netzwerk einzudringen. So funktioniert auch die aktuell wichtigste Cyberbedrohung für Organisationen: Erpressung durch Ransomware-Angriffe, die kritische Daten verschlüsseln (und meist zusätzlich auch stehlen). Auch wenn kein Lösegeld gezahlt wird, entstehen schnell Schäden in Millionenhöhe durch Produktionsausfälle, Verzögerungen in der Lieferkette und beeinträchtigte Geschäftsbeziehungen.
Aktive Inhalte im Browser - problematisch
Das Hauptproblem in Bezug auf die Sicherheit beim Surfen sind aktive Inhalte. In modernen Webanwendungen werden immer mehr Funktionen durch clientseitiges Skripting realisiert, um bei Benutzerinteraktionen schneller reagieren zu können. Browser stellen daher heute leistungsfähige Laufzeitumgebungen für JavaScript und das neuere WebAssembly zur Verfügung, die leicht missbraucht werden können, um böswilligen Code auszuführen. Das ist ein gravierendes Sicherheitsproblem, denn Inhalte aus dem Internet müssen grundsätzlich als nicht vertrauenswürdig angesehen werden.
Die Deaktivierung oder Filterung aktiver Inhalte ist zwar möglich, schränkt aber die Benutzung vieler Anwendungen in Bezug auf Funktionalität und Komfort zu stark ein. Deshalb müssen sichere Browser eine sichere Nutzung aktiver Inhalte ermöglichen.
Die Top 8 Angriffe über den Browser
Dies ist die schwerwiegendste Art aber auch die seltenste. Gelegentlich entdecken Angreifer eine Schwachstelle im Browser, die die Ausführung von beliebigem Code ermöglicht. Der Schadcode wird im Browser ausgeführt, wenn ein Benutzer eine kompromittierte Website besucht. Browser ist komplexe Software mit vielen Untersystemen (HTML-Rendering, JavaScript-Engine, CSS-Parser usw.) und ein kleiner Programmierfehler darin kann bösartigem Code gerade genug Halt bieten, um ausgeführt zu werden. Von dort aus hat der Schadcode viele Möglichkeiten – er kann andere bösartige Pakete herunterladen, vertrauliche Daten stehlen oder unbemerkt auf weitere Anweisungen des Angreifers warten. Der Angreifer muss nicht einmal eine legitime Website kompromittieren, um einen solchen Angriff zu starten – Werbenetzwerke wurden bereits genutzt, um bösartigen Code auf ansonsten sicheren Websites zu verbreiten.
Plug-ins sind wahrscheinlich der bekannteste Vektor für Drive-by-Downloads (Angriffe, bei denen unbemerkt Code auf Ihrem System heruntergeladen und ausgeführt wird). Von Flash bis Java, selbst bei Plug-ins seriöser Anbieter wurden wiederholt Schwachstellen von Malware-Angriffen ausgenutzt. Wie bei den Browser-Exploits werden solche Schwachstellen von den Herstellern in der Regel nach kurzer Zeit behoben, aber die Zahl der veralteten Kopien von Browser-Plug-ins ist weitaus höher als die der aktualisierten.
Fortgeschrittene persistente Bedrohungen, im englischen auch Advanced Persistent Threats genannt, installieren unbemerkt bösartige Programme (z.B. Keylogger) auf einem Computer und stehlen dann sensible Daten wie Zugangsdaten oder sie erstellen gleiche ganze Screenshots. Manchmal bleiben dieses Schadprogramme jahrelang unentdeckt.
Diese Art der Angriffe nutzen eine Vielzahl von Methoden, um Benutzer zur Installation zu bewegen. Die meisten haben nichts direkt mit dem Browser zu tun. So kommt der Schadcode über einen infizierten USB-Stick oder einen schädlichen E-Mail-Anhang auf das System. Da jedoch so viele sensible Interaktionen über den Browser erfolgen, legen die meisten dieser Angriffsarten großen Wert auf den Diebstahl von Daten über den Browser.
Angreifer die Zugang zu einem beliebigen Punkt in einer Netzwerkverbindung zwischen einem Benutzer und der von ihm besuchten Webseite haben (ein „Man-in-the-Middle“), können den Datenverkehr zwischen dem Browser und den Webservern beobachten und verändern.
Websites die TLS verwenden (Adressen mit „https“), erschweren diese Art von Angriff. Verschlüsselten Verbindungen erschweren es Angreifern eine Verbindung zu belauschen oder zu verändern. Für Angreifer ist es kaum möglich das kryptografische Zertifikat, welches der Server verwendet, um sich gegenüber dem Browser zu authentifizieren zu fälschen.
Angreifer wissen jedoch, dass viele Benutzer darauf konditioniert sind Warnungen einfach wegzuklicken, wenn sie erscheinen. So können sie ein ungültiges/gefälschtes Zertifikat verwenden und in vielen Fällen werden die Benutzer die Warnungen des Browsers ignorieren.
Angreifer können das DNS-System (eine Art Kontaktliste, die Ihr Browser verwendet, um die IP-Adresse einer Website anhand ihres Namens zu finden) an verschiedenen Stellen verändern/vergiften. Ein Computer speichert DNS-Einträge im Cache und Angreifer können diesen Cache vergiften. Eine spezielle Datei auf dem Rechner kann so verändert werden, dass DNS-Server für bestimmte Webadressen außer Kraft gesetzt werden. Böswillige Akteure können sogar DNS-Server selbst kompromittieren und sie zwingen, falsche IP-Adressen für seriöse Websites zu liefern. Sobald der Angriff erfolgt ist, kontaktiert der Browser den Server des Angreifers anstelle des legitimen Servers. Angriffe dieser Art zielen in der Regel auf Banken ab, indem sie Benutzer so lange täuschen, bis diese ihre Zugangsdaten preisgeben. Diese werden dann verwendet, um die Konten der Opfer zu leeren.
SQL-Injektionen sind seit über 10 Jahren ein bekanntes Problem. Das Open Web Application Security Project (OWASP) führt es in seiner Liste der 10 größten Bedrohungen an. Mit einer SQL-Injektion können Angreifer SQL-Befehle in eine Website einfügen, um auf Daten auf dem Server zuzugreifen und diese zu bearbeiten. Angreifer können Webformulare, Cookies oder HTTP-Posts verwenden, um ihren bösartigen Code in den Browser zu injizieren. Ziel dieser Art von Angriffen ist es in der Regel, Daten zu stehlen, zu löschen oder zu manipulieren.
Wie SQL-Injektionen nutzen auch Cross-Site Scripting (XSS)-Angriffe Injektionen, um bösartigen Code an andere Benutzer zu senden. Der Browser des Empfängers hält den Code für legitim, da er von einer vertrauenswürdigen Quelle stammt. Somit führt er das Skript aus, wodurch der Angreifer Zugang zu Cookies und anderen sensiblen Informationen erhält, die der Browser zur Verwendung auf dieser Website gespeichert hat. Der Angreifer kann diese Informationen dann nutzen, um sich als das Opfer auszugeben oder dessen Anmeldedaten zu stehlen. Das Skript kann manchmal auch den Inhalt von HTML-Seiten umschreiben, was Benutzer dazu veranlassen kann auf weitere bösartige Links zu klicken. Websites, die nutzergenerierte Inhalte akzeptieren, sind am anfälligsten für diese Art von Angriffen.
Wenn sich ein Benutzer bei einer Website anmeldet, erhält er eine eindeutige Sitzungs-ID, die die Website kontinuierlich zwischen dem Gerät des Benutzers und dem Server überträgt. Wird diese Sitzungs-ID nicht ordnungsgemäß verschlüsselt, kann ein Angreifer diese ID abfangen und die Sitzung für seine eigenen Zwecke missbrauchen. Benutzer die in einem öffentlichen oder ungeschützten WLAN arbeiten, sind dafür besonders anfällig. Angreifer könnten nun einen Brute-Force-Angriff durchführen, um an weitere Zugangsdaten zu gelangen. Diese Brute-Force-Versuche werden einfacher, wenn der Angreifer bereits mehrere Sitzungs-IDs abgefangen hat.
Angriff über den Webbrowser
Ziel eines Angriffes über den Browser ist es entweder, schädlichen Code auf dem Arbeitsplatzrechner auszuführen, böswillige HTTP-Requests an anfällige Webanwendungen zu senden oder den Benutzer zu einer gewünschten Handlung zu bewegen, etwa Zugangsdaten preiszugeben oder selbst eine Datei mit Schadcode herunterzuladen und auszuführen.
Eine verbreitete Angriffsmöglichkeit besteht darin, den Schadcode auf den Arbeitsplatzrechner zu laden (versteckt zum Beispiel in einer Office- oder PDF-Datei) und dort auszuführen. Das geschieht zum Beispiel über manipulierte und verschleierte URLs auf Webseiten (Clickjacking), Links in E-Mails oder Downloads aus nicht vertrauenswürdigen Quellen. Über Sicherheitslücken in Browsern kann das Herunterladen auch unbeabsichtigt allein durch das Besuchen einer präparierten Webseite geschehen (Drive-by-Download).
Schadcode (etwa JavaScript oder WebAssembly-Bytecode) kann aber auch vom Webbrowser selbst ausgeführt werden. Das passiert etwa beim Besuch von Seiten, die von Angreifern kontrolliert werden (z. B. beim Klick auf Links in betrügerischen Mails oder der Nutzung gehackter Webanwendungen). Eine andere Gefahr ist das sogenannte Cross-Site Scripting (XSS), wenn eine anfällige Webanwendung Daten, die von Nutzern manipuliert werden können (z. B. Formulardaten oder präparierte Links mit schädlichem Code), ungeprüft an die Browser anderer Benutzer weiterleitet.
Wird der Schadcode ausgeführt, ermöglicht das den Angreifern beispielsweise, Daten auszuspionieren, weitere Dateien nachzuladen (wie Verschlüsselungssoftware, Backdoors oder andere Hackerwerkzeuge) oder die angezeigten Webinhalte zu manipulieren. Wird ein nicht sicherer Browser verwendet oder enthält eine Webanwendung Schwachstellen, können Angreifer auch Websitzungen unbemerkt übernehmen (Session Hijacking) oder Benutzerdaten wie zum Beispiel Passwörter stehlen und damit weiteren Schaden anrichten.
Was ist ein sicherer Browser?
Ein sicherer Browser soll solche Angriffe – und auch neue, noch unbekannte Angriffsmethoden – verhindern, damit interne Ressourcen nicht durch Schadcode aus dem Internet gefährdet werden. Moderne Browser bieten dafür eine Reihe technischer Sicherheitsmechanismen, darunter Verschlüsselung und die Isolierung von Webseiten, Verarbeitungsprozessen und Komponenten voneinander, damit ausgeführter Schadcode keine größeren Wirkungen entfalten kann.
Trotzdem werden jedes Jahr Hunderte neuer Sicherheitslücken in Browsern entdeckt, die multiple Angriffsvektoren eröffnen. Unter den Top 30 der Produkte mit den meisten Sicherheitslücken in der Vulnerability-Datenbank CVE Details finden sich alle populären Browser, übertroffen nur von wesentlich komplexerer und umfangreicherer Betriebssystem-Software.
Hinzu kommt: Selbst wenn es einen Browser ohne Sicherheitslücken geben würde, wäre damit ein Großteil der oben beschriebenen Angriffe längst nicht entschärft. Wenn Nutzer einen Malware-Link anklicken oder sich bei einer manipulierten Webanwendung anmelden, könnte auch ein fehlerfreier Browser den drohenden Schaden häufig nicht abwenden.
Kurz: Es gibt keinen „sicheren Browser“, sondern nur „mehr oder weniger sicher“ – und leider meist „weniger sicher“. Was heißt das für Unternehmen und Behörden?
Sicherer Browser: Handlungsoptionen für Unternehmen und Behörden
Browser sind also prinzipiell anfällig gegen Angriffe aus dem Internet, haben aber in der Regel weitreichenden Zugriff auf das interne Netzwerk und damit auch auf geschäftskritische Ressourcen. Unternehmen und Behörden müssen daher im Rahmen einer individuellen Risikobewertung ihre konkreten Sicherheitsanforderungen, die IT-Umgebung, das zu erwartende Verhalten ihrer Mitarbeiter und bekannte Bedrohungen analysieren und auf dieser Basis die für sie geeignetste Lösung für das Thema „Sicherer Browser“ finden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt eine Reihe von Maßnahmen, mit denen Organisationen – je nach Risikolage – ihre Internetnutzung absichern können:
Geringes Risiko: Nutzung eines Browsers, der dem vom BSI definierten Mindeststandard für die Sicherheit genügt
Mittleres Risiko: Weitere Maßnahmen gemäß IT-Grundschutz
Höheres Risiko (erhöhter Schutzbedarf): Ausführen des Browsers in einer isolierten, von der internen IT-Infrastruktur getrennten Umgebung.
Für Behörden Pflicht: BSI-Mindeststandard für Browser
Das BSI hat einen Mindeststandard formuliert, damit Browser überhaupt in die Auswahl als sicherer Browser kommen und auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden dürfen. Dabei betont das BSI ausdrücklich, dass die in seinen Mindeststandards genannten Sicherheitsanforderungen auch für Landesverwaltungen und Wirtschaftsunternehmen Relevanz haben (Quelle: Broschüre Mindeststandards Bund, BSI 2021).
Durch die Berücksichtigung des Mindeststandards sollen die oben beschriebenen Risiken minimiert werden. Konkret beschreibt das Dokument, das als aktuelle Version 3.0 vorliegt, technische und organisatorische Sicherheitsanforderungen an Browser-Produkte, ihre Anbieter sowie ihren Betrieb. Geeignete Browser müssen also nicht nur technische Sicherheitsfunktionen bieten, sondern auch sicher und datenschutzfreundlich konfiguriert werden können – und dies muss in der Organisation auch durchgesetzt werden. Die jeweils aktuelle Fassung finden Sie hier: BSI-Mindeststandard für Webbrowser.
Wie viele Sicherheitslücken hatte der Chrome-Browser von Google im Jahr 2023?
Zu viele !
Wie hieß die britische Kryptoanalytikerin, die maßgeblich die Chiffrierung der Deutschen im Zweiten Weltkrieg knackte?
Sie hieß Joan Clarkes
Was versteht man unter "Social Engineering"?
Mit „Social Engineering“
Mehr als der Mindestschutz: IT-Grundschutz
In einer Reihe von Veröffentlichungen beschreibt das BSI unter der Bezeichnung „IT-Grundschutz“ Vorgehensweisen, mit denen Organisationen ein für ihre individuellen Risiken angemessenes Schutzniveau ihrer Informationstechnik erreichen können. Konkrete Anleitungen bietet das IT-Grundschutz-Kompendium in zahlreichen sogenannten „IT-Grundschutz-Bausteinen“, die in zehn „Schichten“ aufgeteilt sind, darunter etwa Anwendungen (Baustein APP), IT-Systeme (SYS), Netze und Kommunikation (NET), Betrieb (OPS) oder Sicherheitsmanagement (ISMS).
Die Absicherung von Webbrowsern wird im Baustein APP.1.2 beschrieben. Unter anderem finden sich hier die Sicherheitsanforderungen des Mindeststandards wieder. Es werden aber auch Vorschläge für Anforderungen bei erhöhtem Schutzbedarf gegeben.
Beispielsweise sollte der Browser aufgerufene URLs auf potenziell schädliche Inhalte prüfen, den Benutzer vor Gefahren warnen und das Aufrufen schädlicher Verbindungen verweigern. Bei erhöhten Anforderungen an die Vertraulichkeit soll der Browser im privaten Modus (ohne dauerhafte Speicherung von Informationen) ausgeführt und lokale Inhalte beim Beenden automatisch gelöscht werden.
Zudem empfiehlt das BSI die sogenannte Zwei-Browser-Strategie: Zwei alternative Browser auf unterschiedlichen Plattformen bieten eine Ausweichmöglichkeit im Falle ungelöster Sicherheitsprobleme (ausbleibender Patches).
Sicherer Browser - 5 Wege zum Ziel
Bei erhöhtem Schutzbedarf empfiehlt das BSI, Webbrowser nicht direkt auf dem Arbeitsplatzrechner zu installieren, sondern in einer isolierten Umgebung auszuführen (vgl. APP.1.2.A9). Als isolierte Systeme kommen einerseits virtualisierte Systeme infrage (Anwendungs- oder Betriebssystemvirtualisierung). Zum anderen kann der Browser auch entkoppelt vom Client-Arbeitsplatzrechner auf einem Terminalserver als ferngesteuertes Browser-System (Remote-Controlled Browser System, „ReCoBS“ ausgeführt werden. Wir stellen nachfolgend die TOP 5 Konzepte für einen sicheren Browser mit Ihren jeweiligen Vor- und Nachteilen dar.
1. Webbrowser lokal absichern
Eines der Konzepte zur Browserabsicherung ist die Nutzung eines lokal installierten, aktuellen und möglichst sicher konfigurierten Browsers. Denn moderne Browser bieten bereits von Haus aus eine Reihe technischer Sicherheitsmechanismen, die gängige Angriffe erschweren sollen. Aber auch die Konfiguration des Browsers ist sicherheitsrelevant. Wir geben einen Überblick über die Möglichkeiten einen Webbrowser lokal absichern zu können.
2. Anwendungs- oder Mikrovirtualisierung
Unter Virtualisierung versteht man die Abstraktion, Nachbildung und Konfiguration von IT-Ressourcen durch eine trennende Softwareschicht. Beispielsweise können virtuelle Maschinen (VMs) die Hardware eines kompletten Rechnersystems simulieren, oder auch nur einzelne Prozesse oder Anwendungen von der Ausführungsumgebung des Wirtssystems isoliert werden.
3. Systemvirtualisierung
Ähnlich wie bei der Anwendungs- oder Mikrovirtualisierung kann die Systemvirtualisierung genutzt werden, um dem Browser eine virtuelle Umgebung bereitzustellen und ihn so vom Arbeitsplatzrechner (dem Wirtssystem) zu isolieren. Anders als bei der Mikrovirtualisierung enthält diese Umgebung als virtuelle Maschine alle Ressourcen eines kompletten Computers, inklusive Hardwareressourcen und Gastbetriebssystem. Dateien aus dem Netz und Konfigurationsdateien landen in einem definierten Austauschverzeichnis im Hostsystem.
4. Surfen via Terminalserver
Anders als bei lokalen Virtualisierungslösungen laufen bei einer Terminalserver-Installation die vom Benutzer benötigten Anwendungen auf einem externen Server. Benutzereingaben werden vom Client-System an den Server übermittelt und Grafikausgaben komprimiert und verschlüsselt vom Server zum Client zurückübertragen.Bei der Terminalserver-Installation läuft der Browser entkoppelt vom Client-System auf einem separaten Rechner. Insbesondere wird die Ausführung aktiver Inhalte von ihrer Darstellung sauber getrennt.
5. Remote-Controlled Browser System (ReCoBS)
Als die beste Option für sicheres Surfen empfiehlt das BSI den Webzugang über einen dedizierten (nur für die Internetnutzung verwendeten) und speziell gesicherten Terminalserver, der sich außerhalb des internen Netzwerks in einer DMZ befindet und nicht auf sensible Daten zugreifen kann. Das BSI bezeichnet ein solches System als „Remote-Controlled Browser System“ (ReCoBS). Nach Einschätzung des BSI ist die von ReCoBS gebotene Sicherheit bei uneingeschränkter Funktionalität höher und der damit verbundene Realisierungs- bzw. Wartungsaufwand geringer als bei lokalen Virtualisierungslösungen. Mit ReCoBS sind Arbeitsplatzrechner und Unternehmensnetze vor Angriffen und persistenten Bedrohungen deutlich besser geschützt als bei Sandboxing, Mikro- und Systemvirtualisierung oder klassischen Terminalservern. Auch Angriffe auf unteren Systemebenen laufen ins Leere, da vom ReCoBS-Server aus keine sensiblen Daten erreichbar sind.
Ihr Ansprechpartner
Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de