Sicherer Browser für Behörden Wie Behörden ihre Internet-Zugänge sicher machen können

Anbieter zum Thema

Governikus GmbH & Co. KG

Mein Videotermin Suite | Voigtmann GmbH

xSuite Group GmbH

In Behörden gehören Webbrowser zu den wichtigsten Anwendungen – aber leider auch zu den gefährlichsten Einfallstoren für Cyberkriminelle. Spätestens seit Anhalt-Bitterfeld wegen eines Cyberangriffs für sieben Monate den Katastrophenmodus ausrufen musste, ist klar: Auch Verwaltungen, Stadtwerke und kommunale Einrichtungen sind längst ins Visier der Hacker geraten. Wie sich Behörden trotzdem sicher im Netz bewegen können, erklärt dieser Artikel.

21. Oktober 2022: Martin Frank, EDV-Leiter der Kreisverwaltung Rhein-Pfalz-Kreis in Ludwigshafen, bemerkt ungewöhnliche Datenabflüsse aus der Verwaltungs-IT und nimmt vorsichtshalber das komplette System von Netz. Er ahnt, dass seine Behörde Opfer eines Cyberangriffs geworden ist – nicht aber, dass ihr viele Monate im Ausnahmezustand bevorstehen.

Ende November: Mitarbeitende sind wieder telefonisch erreichbar, nicht aber per E-Mail. März 2023: Die IT-Infrastruktur muss komplett neu aufgebaut werden. Ab April werden die Fachanwendungen nach und nach wieder gestartet – mit dem Datenbestand von Oktober 2022. Denn die Hacker-Gruppe namens „Vice Society“ hatte die Daten verschlüsselt und zusätzlich Informationen zu mindestens 15.000 Personen im Darknet veröffentlicht, weil der Landkreis das geforderte Lösegeld nicht zahlte. Wie genau sie ins interne Netz gelangt war, blieb unklar.

Gefahr aus dem Internet

Den üblichen Ablauf eines solchen sogenannten Ransomware-Angriffs beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) beispielhaft in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2022 (siehe Abbildung) – denn Ransomware-Angriffe sind laut BSI heute die Top-Bedrohung für Unternehmen und Behörden.

Solche Attacken beginnen stets ähnlich: Über das Internet wird ein erster Rechner kompromittiert – fast immer, weil jemand auf einen gefährlichen Link in einer E-Mail klickt oder eine Datei im Anhang ausführt. Einmal auf einer gefälschten oder gehackten Webseite gelandet, muss man oft noch nicht einmal irgendwo klicken, weil ein sogenannter Drive-by-Exploit Browserschwachstellen ausnutzt und automatisch Malware auf den Rechner lädt. Andere Webseiten tarnen sich als legitime Login-Seiten; gibt das Opfer arglos seine Daten ein, können Hacker damit auf einem ersten System Fuß fassen. Von dort aus verschaffen sie sich Schritt für Schritt Zugang zu anderen Systemen („Lateral Movement“), damit ihre Malware möglichst viele Rechner im Netzwerk erreicht – inklusive Daten-Backups.

Internetschutz setzt am Browser an

Ransomware ist nicht die einzige Gefahr aus dem Netz. Dort lauern zahllose Malware-Typen, zum Beispiel auch Spionage-Programme (Spyware) oder Fernsteuerungssoftware (Bots). Virenschutz-Programme helfen nur bedingt, weil immer neue, ihnen unbekannte Malware-Varianten auftauchen; im letzten Jahr laut BSI im Durchschnitt knapp 319.000 – pro Tag.

Die Abwehr dieser Gefahren beginnt beim wichtigsten Internetzugangsweg, dem Browser. In vielen Büros ist der Internetbrowser das wichtigste Arbeitsmittel, nicht nur, weil ständig Informationen aus dem Netz benötigt werden, sondern auch, weil immer mehr Cloud-Dienste wie Microsoft 365 darüber zugänglich sind. Allerdings ist die Absicherung von Webbrowsern für die gesamte Belegschaft aufwendig, und viele Mitarbeitende neigen dazu, Einschränkungen kreativ zu umgehen. Wie sollten Behörden also vorgehen, um die Internetnutzung abzusichern?

Wege zu mehr Browsersicherheit

Das BSI gibt in sogenannten Mindeststandards ein Mindestniveau für die Informationssicherheit verschiedener IT-Komponenten vor – auch für Browser. Sie gelten verbindlich für Einrichtungen des Bundes, sollen aber auch Organisationen außerhalb des Bundes unterstützen, z. B. Landesverwaltungen oder die Wirtschaft.

Der „Mindeststandard des BSI für Web-Browser“ definiert technische und organisatorische Sicherheitsanforderungen an Browser und ihre Anbieter sowie Anforderungen an den Betrieb. Viel Orientierung gibt dies aber nicht, weil alle aktuellen Browser mit einiger Verbreitung (Chrome, Firefox, Microsoft Edge in der Enterprise-Version) die Mindestanforderungen erfüllen.

Hilfreicher ist eine andere BSI-Ausarbeitung, das Dokument „Absicherungsmöglichkeiten beim Einsatz von Webbrowsern“ in Büroumgebungen. Das BSI vergleicht dort Ansätze für die Browserabsicherung bei Direktinstallation, in virtualisierten Umgebungen und auf externen Terminalservern. Voraussetzung ist in allen Fällen, dass ein „nach aktuellem Stand möglichst sicherer“ Browser genutzt und dieser sicher konfiguriert wird.

Auf der nächsten Seite: Installation und Isolierung der Webbrowser

(ID:49583954)