Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) ver\u00f6ffentlichte im M\u00e4rz 2017 die Version 1.0 ihrer Mindeststandards f\u00fcr sichere Webbrowser. Nun hat das BSI diese Standards \u00fcberarbeitet und die Version 2.0 im Rahmen eines Community Drafts ver\u00f6ffentlicht.<\/p>\n
F\u00fcr Cyberkriminelle sind Webbrowser ein sehr beliebtes Einfallstor \u2013 ihre Nutzung birgt also ein grunds\u00e4tzliches Risiko. Damit beim Surfen im World Wide Web dennoch ein angemessenes Sicherheitsniveau herrscht, ist es unabdingbar, technische und organisatorische Ma\u00dfnahmen entsprechend umzusetzen.<\/p>\n
Die Mindeststandards, die das BSI zusammenfasst, beschreiben Sicherheitsanforderungen an Browser, die auf Rechnern der Bundesverwaltung eingesetzt werden. Um ein Mindestma\u00df an Informationssicherheit zu erlangen und einen Schutz auf dem Stand der Technik zu bieten, existieren diese Mindeststandards.<\/p>\n
Webbrowser laden Daten in aller Regel auch aus nicht vertrauensw\u00fcrdigen Quellen. Da diese Daten sch\u00e4dlichen Code wie Viren, Trojaner oder Spyware enthalten k\u00f6nnen, m\u00fcssen die Risiken beim Arbeiten mit dem Webbrowser minimiert werden. Ziel ist es, die Verf\u00fcgbarkeit, Vertraulichkeit und Integrit\u00e4t sch\u00fctzenswerter Daten zu erhalten. Den kompletten Community-Draft k\u00f6nnen Sie beim BSI einsehen (PDF). Die wichtigsten Neuerungen erfahren Sie im Folgenden:<\/p>\n
Arbeitet der ausgew\u00e4hlte Webbrowser mit einem Kennwortmanager, sind die folgenden Eigenschaften zu erf\u00fcllen:<\/p>\n
Die Umsetzung durch externe Add-ons ist laut BSI zul\u00e4ssig. Wichtig: Ein Zugriff auf gespeicherte Kennw\u00f6rter darf nur nach der Eingabe eines Master-Passworts erfolgen.<\/p>\n
Liefert die Pr\u00fcfung der Integrit\u00e4t eines Updates ein positives Pr\u00fcfergebnis, d\u00fcrfen Updates eingespielt werden. Ein nicht korrektes Pr\u00fcfergebnis sollte dem Nutzer signalisiert werden. In diesem Fall darf das Update nicht eingespielt werden. Weiter gilt f\u00fcr Updates:<\/p>\n
Werden f\u00fcr den verwendeten Webbrowser keinerlei Sicherheitsupdates mehr ausgeliefert, hat schnellstm\u00f6glich die Umstellung auf einen anderen Browser zu erfolgen.<\/p>\n
In den Bereichen TLS, Zertifikate und Zertifikats-Pr\u00fcfung gibt es einiges zu beachten:<\/p>\n
Im Rahmen der Zertifikats-Pr\u00fcfung muss der Browser in der Lage sein, die G\u00fcltigkeit des Serverzertifikats vollst\u00e4ndig zu \u00fcberpr\u00fcfen. Neben dem Serverzertifikat sollte diese Pr\u00fcfung alle CA-Zertifikate der Zertifikatskette bis hin zum Wurzelzertifikat beinhalten.<\/p>\n
HSTS (HTTP Strict Transport Security) muss vom Browser gem\u00e4\u00df RFC 6797<\/a> vom IETF unterst\u00fctzt werden. Werden dieselben Sicherheitsziele erreicht, sind auch abweichende Implementierungen zum Trackingschutz zul\u00e4ssig.<\/p>\n <\/p>\n Die Unterst\u00fctzung von interessiertem Fachpublikum ist gern gesehen: Das BSI l\u00e4dt zu R\u00fcckmeldungen und Kommentaren zur Community Draft ein. Ihre Meldung k\u00f6nnen Sie noch bis zum 19. Juli 2019 per E-Mail an mindeststandards@bsi.bund.de einreichen.<\/p>\n \u00dcbrigens: Bei uns, der PSW GROUP, k\u00f6nnen Sie EV-SSL-Zertifikate<\/a> erwerben, die den Anforderungen des BSI entsprechen. Moderne Webbrowser signalisieren Ihren Website-Besuchern so, dass Ihre Website nicht nur sicher, sondern vertrauensvoll ist.<\/p>\nUnterst\u00fctzen auch Sie sichere Webbrowser<\/h2>\n