Sicherheitsanforderungen an Webbrowser
Bei der Nutzung von Webbrowsern entstehen hohe Risiken, denen mit entsprechenden Sicherheitsmaßnahmen begegnet werden muss.
Webbrowser, auch allgemein als Browser bekannt, sind Anwendungsprogramme, die (Hypertext-) Dokumente, Bilder, Video-, Audio- und andere Datenformate aus dem Internet abrufen, verarbeiten, darstellen, ausgeben und auf stationären oder mobilen (z. B. Notebooks, Tablets, Smartphones) IT-Systemen speichern können. Auch können Webbrowser Daten ins Internet übertragen und sind somit eine der am häufigsten genutzten Anwendungen.
Moderne Webbrowser decken zudem eine große Bandbreite an Zusatzfunktionen ab, indem sie Plug-ins und externe Bibliotheken einbinden. Hinzu kommen Erweiterungen für bestimmte Funktionen, Datenformate und Inhalte. Die Komplexität moderner Webbrowser bietet ein hohes Potenzial für gravierende konzeptionelle Fehler und programmtechnische Schwachstellen. Sie erhöht nicht nur die möglichen Gefahren für Angriffe aus dem Internet, sondern birgt zusätzliche Risiken durch Programmier- und Bedienungsfehler. Dies kann zum Verlust der Verfügbarkeit, Vertraulichkeit und Integrität schützenswerter Daten führen. Somit stellt eine Nutzung von Webbrowsern grundsätzlich ein Risiko dar.
Diesem Risiko muss dadurch begegnet werden, indem nur Webbrowser eingesetzt werden, die die folgenden Sicherheitsanforderungen erfüllen:
Auswahl des Browsers unter Sicherheitsgesichtspunkten
Auch wenn die heutigen Browser sich nicht mehr allzu sehr bezüglich ihrer Funktionen, Vor- und Nachteile und der integrierten Sicherheitsfunktionen unterscheiden, sollte doch jedes Unternehmen und jede Behörde sich genau überlegen, welcher Browser in welcher Version beschafft und genutzt werden soll. Dazu ist natürlich im Vorfeld zu analysieren und festzulegen, über welche Sicherheitsfeatures der neue Browser verfügen muss, damit das unternehmensweite Sicherheitskonzept durch den Einsatz des neuen Browsers nicht beeinträchtigt wird. Bei diesen Überlegungen ist natürlich auch der betriebliche Datenschutzbeauftragte einzuschalten, der die in Frage kommenden Browser hinsichtlich Datenschutz- und Datensicherheitsgesichtspunkten überprüfen sollte.
Vorhandene Sicherheitsfunktionen
Standardmäßig verfügen alle gängigen Browser zumindest in den neueren Versionen insbesondere über folgende Sicherheitsfunktionen:
- Erkennen und Blocken von potenziellen und gemeldeten Phishing-Webseiten sowie von Web-Seiten mit anderer Schadenssoftware
- automatische Installation von Sicherheitsupdates
- Schutz der Privatsphäre durch Löschung aller persönlichen Daten, wie Chronik (Verlauf), Cookies, Formulareinträge und Passwörter
- Einsatz eines Pop-up-Blockers
- Auswahlmöglichkeit bezüglich der Aktivierung, Deaktivierung und Aktualisierung von Browser-Add-ons
- Einsatz von digitalen Signaturen
- Nutzungsmöglichkeit einer symmetrischen 256-Bit-Verschlüsselung
- Verhinderung der Ausführung aktiver Inhalte
- Verwendung des privaten Modus
Der Webbrowser sollte bei erhöhten Anforderungen bezüglich der Vertraulichkeit im sogenannten privaten Modus ausgeführt werden, sodass keine Informationen oder Inhalte dauerhaft auf dem IT-System des Benutzers gespeichert werden. Der Browser sollte so konfiguriert werden, dass lokale Inhalte beim Beenden gelöscht werden.
Verzicht auf die Ausführung aktiver Inhalte
Bei einem Web-Browser sollten immer nur die Funktionen und Programme aktiviert werden, die der Nutzer zwingend benötigt. Insbesondere sollten aus Gründen der Virengefährdung und Ausforschung der Internettätigkeiten - soweit nicht unbedingt erforderlich - die Ausführung von aktiven Inhalten durch Browser-Einstellungen abgeschaltet oder nur nach automatischer Rückfrage gestattet werden.
Datensparsamkeit
Cookies von Drittanbietern sollten im Webbrowser abgelehnt werden. Gespeicherte Cookies sollten durch den Benutzer gelöscht werden können.
Die Funktion zur Autovervollständigung von Daten sollte deaktiviert werden. Wird die Funktion dennoch genutzt, sollte der Benutzer diese Daten löschen können. Der Benutzer sollte außerdem die Historiendaten des Webbrowsers löschen können.
Einsatz von Verschlüsselungsprotokollen zur sicheren Datenübertragung
Alle gängigen Browser unterstützen verschiedene Verschlüsselungsprotokolle (z. B. Transport Layer Security = TLS)) mit unterschiedlichen Verschlüsselungsstärken, die Sie unbedingt im Rahmen einer sicheren Datenübertragung nutzen sollten. TSL gemäß dem Mindeststandard des BSI gewährleistet, dass die Daten während der Übertragung nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher.
Erkennbar wird die Nutzung des Verschlüsselungsprotokolls dadurch, dass der aufgerufenen Webadresse ein https (statt des üblichen http) vorgeschaltet ist. Bei jedem Aufruf einer https-Seite, prüft der Browser automatisch, ob der Anbieter der Internetseite ein gültiges TSL-Zertifikat besitzt.
Verwendung von vertrauenswürdigen Zertifikaten
Falls der Webbrowser eine eigene Liste von vertrauenswürdigen Wurzelzertifikaten bereitstellt, muss sichergestellt werden, dass nur Administratoren diese ändern können. Falls dies nicht durch technische Maßnahmen möglich ist, muss den Benutzern verboten werden, diese Liste zu ändern. Außerdem muss sichergestellt werden, dass der Webbrowser Zertifikate lokal widerrufen kann.
Der Webbrowser muss die Gültigkeit der Server-Zertifikate mithilfe des öffentlichen Schlüssels und unter Berücksichtigung des Gültigkeitszeitraums vollständig prüfen. Auch der Sperrstatus der Server-Zertifikate muss vom Webbrowser geprüft werden. Die Zertifikatskette einschließlich des Wurzelzertifikats muss verifiziert werden.
Kennwortmanagement
Wird ein Kennwortmanager im Webbrowser verwendet, muss er eine direkte und eindeutige Beziehung zwischen Webseite und hierfür gespeichertem Kennwort herstellen. Der Kennwortspeicher muss die Passwörter verschlüsselt speichern. Es muss sichergestellt werden, dass auf die im Kennwortmanager gespeicherten Passwörter nur nach Eingabe eines Master-Kennworts zugegriffen werden kann. Außerdem muss sichergestellt sein, dass die Authentisierung für den kennwortgeschützten Zugriff nur für die aktuelle Sitzung gültig ist. Der IT-Betrieb muss sicherstellen, dass der verwendete Browser den Benutzern die Möglichkeit bietet, gespeicherte Passwörter zu löschen.
Überprüfung der Sicherheitseinstellungen
Mit Hilfe eines sogenannten Online-Checks können Sie Ihren Rechner auf sichere Browser-Einstellungen und mögliche Sicherheitslücken hin überprüfen.
Auch ein Port-Scan sollte im Rahmen des Online-Checks durchgeführt werden. Dabei wird festgestellt, welche Internetdienste auf Ihrem PC aktiv sind und welche Ports sie belegen. Werden bei dieser Überprüfung Ports als Offen bezeichnet, bedeutet dies eine potenzielle Hintertür für das Eindringen von Hackern oder Trojanischen Pferden. Sie sollten sich daher vergewissern, ob Sie auch tatsächlich offene Ports benötigen oder sie besser schließen. Das kann entweder durch Abschalten der zugehörigen Dienste oder durch passende Regeln für eine (Personal) Firewall geschehen.
Umgang mit Cookies
Auch das Abspeichern von Cookies („Kekse“) sollten sie unbedingt regeln. Zwar können Cookies, im Gegensatz zu Viren und anderer Schadenssoftware, den betroffenen PC nicht unmittelbar schädigen oder Informationen versenden, allerdings lassen sich mit ihrer Hilfe Benutzerprofile erzeugen.
Daher empfiehlt sich ein restriktiver Umgang mit Cookies, insbesondere mit Cookies mit unbegrenzter oder zumindest längerer Lebensdauer. Während so genannte Session Cookies nach Beendigung des Browsers sofort gelöscht werden, bleiben die langfristig haltbaren Cookies – wie bereits erwähnt – auf der Festplatte des Anwenders erhalten.
Noch gefährlicher sind Cookies von so genannten „Drittanbietern“. Diese Verursacher beauftragen andere Firmen damit, Cookies zu setzen, wenn der Surfer deren Web-Seite aufsucht. Damit soll zum einen siteübergreifend dafür gesorgt werden, dass Surfer bezahlte Werbung sehen und zum anderen erhält der Auftraggeber Hinweise darüber, welche Seiten der Surfer besucht hat. Dadurch entstehen aussagekräftige Benutzerprofile.
Alle heutzutage gängigen Browser lassen sich so einstellen, dass keine Cookies auf der Festplatte des Betroffenen gesetzt werden können. Zumindest sollten Sie sich aber immer darüber informieren lassen, dass ein Cookie gesetzt werden soll, damit Sie selbst darüber entscheiden und die Speicherung im Zweifel ablehnen können. Alle vorhandenen Cookies, Verlaufsordner und temporäre Internetdateien sollten Sie – soweit diese nicht mehr benötigt werden – in jedem Fall beim Beenden des Browsers löschen.
Keine Nutzung von Plug-ins und Add-ons
Mit Hilfe so genannter Plug-ins können Browser um wichtige Funktionen (z. B. das Anzeigen oder Abspielen von Multimedia-Inhalten wie Bildern, Musik und Videos auf Webseiten) erweitert werden.
Stellt Ihr Browser fest, dass ein Plug-In für eine bestimmte Webseite fehlt und er damit deren Inhalt nicht korrekt darstellen kann, wird er Sie im Regelfall zur Installation des Plug-ins auffordern.
Allerdings können durch den Einsatz von Plug-ins auch Sicherheitsrisiken entstehen, da auch diese (bewusst oder unbewusst) Schadensfunktionen enthalten können.
Deshalb sollten Sie jedes Plug-In vor einer Installation dahingehend prüfen, ob Sie es benötigen. Außerdem sollte ein Plug-In – soweit möglich – lediglich von Seiten vertrauenswürdiger Anbieter und digital signiert heruntergeladen werden.
Während Plug-ins in eine bestehende Software integriert werden, stellen Add-ons optionale Module dar, welche bestehende Hard- oder Software ergänzen oder erweitern. Add-ons stellen ebenfalls Multimediainhalte oder interaktive Inhalte (beispielsweise Animationen) bereit und werden auch dazu eingesetzt, um die Verwendung einer Webseite zu optimieren. Einige Add-ons können jedoch dazu führen, dass der Computer nicht mehr reagiert, oder sie können auch Schadenssoftware enthalten.
Somit sollten Sie sich auch genau überlegen, welche Add-ons Sie installieren möchten.
Unterdrückung von Pop-up-Fenstern
Viele – insbesondere kommerzielle – Webseiten sind mit so genannten Pop-ups ausgestattet. Dabei handelt es sich um kleine Browserfenster, die – soweit das Öffnen nicht durch entsprechende Einstellung im Browser unterdrückt ist – ohne vorherige Zustimmung des Internetsurfers auf und über die Web-Seite angezeigt werden, auf die gerade zugegriffen wird. Sie können zwar auch nützliche Inhalte aufweisen, werden aber hauptsächlich für Werbezwecke genutzt.
Gelegentlich werden diese Pop-up-Fenster auch dazu genutzt, Schadenssoftware auf dem Rechner des Browsernutzers zu installieren.
Sie sollten darauf achten, dass Pop-ups standardmäßig von Ihrem Browser blockiert werden, um zu verhindern, dass sie sich automatisch öffnen.
Schutz vor Browser-Hijacking und Phishing-Attacken
Mit Browser-Hijacking wird eine ungewollte Umleitung von Browser-Anfragen auf fremde Webseiten bezeichnet – siehe oben. Statt auf der vorgegebenen Startseite des Browsers bzw. der eingegebenen Adresse landet der Nutzer irgendwo anders. Der Browser wird also im wahrsten Sinne des Wortes entführt (englisch: „to hijack“). Außerdem werden die gesetzten Favoriten (Bookmarks) im Browser automatisch verändert (z. B. hinsichtlich der gewählten Startseite) oder um die betreffenden Einträge ergänzt.
Verantwortlich für diese „Entführungen“ sind kleine Programme, die den eingesetzten Browser unter ihre Kontrolle bringen. Diese Programme richten zwar keinen direkten Schaden an, sind aber äußerst lästig und lassen sich nur mit Mühe wieder entfernen.
Um den Browser umleiten zu können, nutzen die Browser-Hijacker Schwachstellen im Betriebssystem bzw. in Programmen und fehlende oder ungenügende Sicherheitseinstellungen in den Browsern aus. Im Zuge der Entführung werden häufig Registry-Schüssel geändert, die die Einstellungen des Browsers festlegen.
Einen absoluten Schutz gegen Browser-Hijacking gibt es zwar nicht, da immer wieder neue Versionen dieser Schadenprogramme entwickelt werden, Sie sollten aber zum Schutz vor der Browser-Entführung zumindest Ihre Software immer auf dem neuesten Stand halten.
Zum Schutz vor Phishing-Attacken verfügen alle gängigen Browser in ihren neueren Versionen über so genannte Phishingfilter. Mit Hilfe dieser Phishingfilter werden die im Rahmen einer Internetnutzung aufgesuchten Web-Seiten mit einer Liste von Seiten verglichen, die der Software als seriös bekannt sind. Diese Liste ist in den Browser eingebunden und wird regelmäßig upgedatet. Dabei kann es sich entweder um interne Listen des Browsers handeln oder die Überprüfung der aufgesuchten Webseite erfolgt extern (z. B. beim Browser-Anbieter oder einer damit beauftragten Firma).
Viele Browser verfügen auch über die Möglichkeit einer heuristischen Analyse der besuchten Webseiten, um herauszufinden, ob diese Seiten typische Merkmale einer verdächtigen Webseite aufweisen.
Sandboxing und Kapselung
Der Web-Browser muss eine Architektur mit folgenden Eigenschaften bereitstellen:
- Sämtliche Komponenten müssen voneinander und zum Betriebssystem hin gekapselt sein.
- Darstellungskomponenten für aktive Inhalte wie Flash und JavaScript müssen vom Hauptprozess gekapselt sein.
Webseiten müssen voneinander isoliert werden. Die Isolierung sollte in Form eigenständiger Prozesse erfolgen. Eine Isolation auf Thread-Ebene ist aber auch zulässig.2)
Regelmäßige automatische Aktualisierung der Browser
Für fast alle auf dem Markt befindlichen Browser werden von den Herstellern oder Distributoren bei Bedarf Aktualisierungen angeboten, die beispielsweise Sicherheitsprobleme beheben oder neue Funktionalitäten anbieten. Sie sollten in Ihrem eigenen Interesse unbedingt auf diese Angebote zurückgreifen.
Sollte die auf Ihrem Rechner eingesetzten Browser über keine automatische Update-Funktion verfügen, müssen Sie selbst dafür Sorge tragen, dass Ihre Produkte sich immer auf dem neuesten (Sicherheits-) Stand befinden.
Sorgfältiger und sparsamer Umgang mit den eigenen Daten
Jeder Web-Browser speichert beim Surfen im Internet standardmäßig automatisch Informationen zu den besuchten Web-Seiten (z. B. zum Inhalt und zu den Benutzernamen, Kennwörtern und Kreditkartennummern, die auf diesen Seiten eingeben werden) ab. Bietet Ihr Browser die Möglichkeit, die Speicherung dieser Informationen zu verhindern, sollten Sie davon Gebrauch machen.
Außerdem sollten Sie alle temporären Cache-Dateien und die History-Liste Ihres Browsers, die Aufschlüsse über Ihr Surfverhalten geben und in speziellen Ordnern auf Ihrem Rechner gespeichert werden, beim Beenden jeder Internetnutzung automatisch löschen.
Beim Ausfüllen von Formularen im Internet sollten Sie darauf achten, nur die absolut notwendigen personenbezogenen Informationen anzugeben.
Sensible Daten (wie Kreditkarten) sollten Sie immer nur dann eingeben, wenn der Anbieter eine sichere, verschlüsselte Übertragung wie z. B. das SSL-Verfahren anbietet.
Außerdem sollte sich der Anbieter dieser Formulare dazu verpflichten, keine Informationen an Dritte weiterzuleiten.
Anonymes Surfen
Wer im Internet surft oder E-Mails verschickt, hinterlässt dabei (unwissentlich) digitale Spuren, mit deren Hilfe auf seine Person geschlossen werden kann. Auch bei der Nutzung von Auskunftsdiensten beim Einkaufen über das Internet und in sozialen Netzwerken werden personenbeziehbare Daten über Sie gesammelt und können automatisiert ausgewertet werden.
Dies ist bereits der Fall, wenn der Nutzer eine Homepage im Internet aufruft, denn dabei werden die IP-Adresse des von ihm verwendeten Rechners und weitere technische Angaben automatisch an den Betreiber der Homepage weitergeleitet.
IP-Adressen erlauben, insbesondere wenn sie mit den entsprechenden Daten kombiniert werden, die bei Zugangsdiensteanbietern (Providern) gespeichert sind, eine eindeutige Identifikation von Nutzern.
Auch eine bei einer Einwahl ins Internet über einen Internet-Provider vergebene temporäre IP-Adresse, die zufällig aus einem Pool an freien IP-Adressen ausgewählt und einmalig für die Zeit der Online-Verbindung einem PC zugeordnet wird, besitzt einen Personenbezug, da der Provider natürlich die Vergabe der IP-Nummern für einen begrenzten Zeitraum zum Beispiel zur Kostenabrechnung speichern muss. Damit ist über den Provider auch wieder der temporäre Besitzer dieser IP-Adresse ermittelbar.
So möchten viele Betreiber von Internetauftritten („Homepages“) in Erfahrung bringen, wie ihr Internetangebot genutzt wird. Dazu bietet sich an, die Zugriffe auf die einzelnen Seiten anhand der verwendeten IP-Adresse selbst zu protokollieren und auszuwerten oder sich einer der vielen zum Teil kostenlosen Dienste (z. B. Google Analytics) zu bedienen.
Auch ein Suchmaschinenbetreiber kann verschiedene Anfragen und Suchsitzungen, die von einer einzigen IP-Adresse ausgehen, miteinander verknüpfen. Dadurch können bei der Protokollierung der Suchvorgänge alle Suchvorgänge im Internet, die von einer bestimmten IP-Adresse ausgehen, verfolgt und korreliert werden. Die Identifizierung kann noch verbessert werden, wenn die IP-Adresse mit einem vom Suchmaschinenbetreiber übermittelten Cookie mit benutzerspezifischer Kennung korreliert wird, da sich dieses Cookie auch dann nicht ändert, wenn die IP-Adresse geändert wird.
Werden Suchmaschinen wie Google das erste Mal genutzt, speichert die Suchmaschine über die Cookie-Funktion des Browsers mehrere eindeutige Identifikationsnummern in den Browser ein. Bei jedem daraufhin erfolgten Aufruf der Suchmaschine werden diese ID-Nummern mit übertragen. So kann der Betreiber der Suchmaschine während der gesamten Gültigkeitsdauer des Cookies (bei Google 2 Jahre) – und so lange es nicht vom Web-Surfer manuell gelöscht wird – alle eingegebenen Suchbegriffe und sonstigen Aktivitäten im Zusammenhang mit den Diensten der Suchmaschine eindeutig einem bestimmten Rechner zuordnen.
Damit ist es den Anbietern von Suchmaschinen unter Auswertung derartiger gespeicherter Daten – so genannte Verkehrsdaten – möglich, ein detailliertes Profil von Interessen, Ansichten und Aktivitäten zu erstellen (z. B. Berufsleben, Freizeit, aber auch über besonders sensitive Daten, z. B. politische Ansichten, religiöse Bekenntnisse, oder sogar sexuelle Präferenzen).
Diese Informationen können nicht nur für die Betreiber von Suchmaschinen selbst von Nutzen sein, sondern auch für Dritte. So können die gewonnenen Daten sowohl für kommerzielle Zwecke als auch – aufgrund von Anfragen und Phishing-Operationen und/oder Data Mining – von Strafverfolgungsbehörden oder nationalen Sicherheitsdiensten verwendet werden. Auch können diese Daten beispielsweise eine Rolle bei der Vergabe von Krediten, für eine individuelle Preisgestaltung von Angeboten oder die Zulässigkeit einer Bezahlung per Nachnahme spielen. Sicherlich haben Sie auch schon davon gehört, dass Arbeitgeber sich häufig vor der Einstellung neuer Mitarbeiter ein Persönlichkeitsprofil der Bewerber mit Hilfe von deren im Internet hinterlassenen digitalen Spuren erstellen lassen.
Wenn Sie nicht möchten, dass andere Internet-Nutzer (widerrechtlich) Erkenntnisse aus Ihrem Surf-Verhalten gewinnen, sollten Sie dafür sorgen, dass Ihre Identität im Internet geheim bleibt. Dies ist mit Hilfe der Nutzung von Anonymisierungsdiensten möglich, die sie gegen Entgelt oder kostenlos über das Internet beziehen können.
Die Programme funktionieren quasi wie ein Vermittlungsdienst zwischen Ihrem Rechner und der von Ihnen aufgerufenen Webseite. Dabei wird der Webseitenaufruf mit Hilfe eines Proxys (Kommunikationsschnittstelle in einem Netzwerk, die sowohl Anfragen entgegennehmen kann, als auch über die eigene Adresse eine Verbindung zu einer anderen Seite herstellen kann) in der Regel über mehrere hintereinander geschaltete Anonymisierungs-Server weitergeleitet. Diese teilen Ihnen eine ständig wechselnde IP-Adresse zu. Der Vorteil: Dieser Vorgang erschwert es Webseiten-Betreibern aufgrund des ständigen IP-Wechsels Ihre eigentliche, vom Provider zugewiesene IP-Adresse auszumachen. Das erhöht Ihre Sicherheit im Web, denn Ihre persönlichen Nutzerdaten bleiben weitgehend unerkannt.
Weitgehend deshalb, da bei vielen dieser Produkte der Betreiber der Anonymisierungs-Server Kenntnis von Ihrer wahren IP-Adresse hat. Achten Sie also bei Ihrer Produktauswahl darauf, dass Sie auch vor den Betreibern des Anonymisierungsdienstes geschützt sind, indem beispielsweise keine Protokoll-Daten über Sie erzeugt werden.
Des Weiteren sollte ein gutes Anonymisierungs-Produkt auch einen Schutz vor dem eigenen Internet-Zugangs-Provider bieten, z. B. durch die Nutzung von Verschlüsselungs- und Authentisierungstechniken.
Das beste Anonymisierungs-Tool nützt aber nichts, wenn Sie gleichzeitig in einem sozialen Netzwerk (z. B. Facebook) eingeloggt sind, denn dann ist Ihre Identität dank der Anmeldedaten trotz aller Anonymisierung eindeutig belegbar. Sie sollten sich daher – bevor Sie ein Anonymisierungsprodukt verwenden – bei allen sozialen Netzwerken ausloggen.
Zwei-Browser-Strategie
Für den Fall von ungelösten Sicherheitsproblemen mit dem verwendeten Webbrowser sollte ein alternativer Browser mit einer anderen Plattform installiert sein, der dem Benutzer als Ausweichmöglichkeit dient.
Fundstellen:
Veröffentlichung „APP.1.2: Webbrowser“ des Bundesamtes für Sicherheit in der Informationstechnik – abrufbar im Internet unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/06_APP_Anwendungen/APP_1_2_Webbrowser_Edition_2021.html
Veröffentlichung „Mindeststandard des BSI für Web-Browser“ – veröffentlicht unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_Web-Browser_V2_1.pdf?__blob=publicationFile&v=1