Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner überarbeiteten Ausgabe des IT-Grundschutz Kompendiums 2023 aktualisierte Empfehlungen zur Absicherung der IT-Sicherheit bei Unternehmen, Behörden und kritischen Infrastrukturen (KRITIS) herausgegeben. Neben der Fernwartung von Systemen im industriellen Umfeld sind weitere neue Bausteine für den IT-Grundschutz ergänzt und vorhandene Bausteine überarbeitet worden.

Neue Empfehlungen beim Baustein «Webbrowser»

Das BSI schreibt zu den Risiken durch Internet und Webbrowser in APP.1.2: «Die Komplexität moderner Webbrowser bietet ein hohes Potenzial für gravierende konzeptionelle Fehler und programmtechnische Schwachstellen. Sie erhöht nicht nur die möglichen Gefahren für Angriffe aus dem Internet, sondern birgt zusätzliche Risiken durch Programmier- und Bedienungsfehler.

Die Risiken für die Vertraulichkeit und Integrität von Daten sind erheblich. Ebenso ist die Verfügbarkeit des gesamten IT-Systems durch solche Schwachstellen bedroht. Internetinhalte müssen demzufolge aus Sicht des Webbrowsers grundsätzlich als nicht vertrauenswürdig angesehen werden.»

Neben den obligatorischen Anforderungen für die Sicherheit bei Webbrowsern wie Sandboxing, Verschlüsselung der Kommunikation, der Verwendung vertrauenswürdiger Zertifikate sowie Datensparsamkeit durch die Benutzer wird bei erhöhtem Schutzbedarf ein isolierter Browser, ein sogenanntes Remote Controlled Browsers System ReCoBS empfohlen.

Beim ReCoBS (Remote Controlled Browsers Systems) Tightgate-Pro vom deutschen Hersteller m-privacy wird der Webbrowser in die DMZ ausgelagert und überträgt über ein einfaches Protokoll alle Inhalte an den lokalen Browser des Users. Die Benutzer merken keinen Unterschied zu einem lokalen Browser. Cyberangriffe attackieren nur den gehärteten ReCoB-Server. Dieser hat ein physikalische Trennung zur nachgelagerten Infrastruktur.

TightGate-Pro ist BSI und Common-Criteria EAL3+ zertifiziert.

Risiko Drive-By-Downloads

Zu den möglichen Risiken bei der Nutzung von lokalen Webbrowsern gehören laut BSI auch u.a. sogenannte Drive-By-Downloads: «Bei den sogenannten Drive-by-Downloads reicht es beispielsweise aus, eine mit Schadcode behaftete Website zu besuchen. Eine Schwachstelle im Browser oder in einem installierten Plug-in, wie Java oder Adobe Flash, kann dann ausgenutzt werden, um das IT-System zu infizieren und Angreifenden umfangreiche Kontrolle sowie einen Zugang zum Netz einer Institution zu verschaffen. Besonders gefährdet sind hier IT-Systeme, die nicht regelmäßig aktualisiert werden, z. B. viele Smartphones.» erklärt das BSI die Gefahren.

Mehr erfahren

Sicherer Webbrowser ReCoBS

Link zum IT-Grundschutz Kompendium Edition 2023

ProBlog: Sicher surfen mit Remote Controlled Browsers System

Common Criteria Protection Profile for Remote-Controlled Browsers Systems (ReCoBS): BSI-PP-0040