Anbieter zum Thema

Governikus GmbH & Co. KG

Mein Videotermin Suite | Voigtmann GmbH

xSuite Group GmbH

Direkte Installation des Webbrowsers

Die direkte Installation eines Webbrowsers auf dem Arbeitsplatzrechner ist laut BSI nur für Umgebungen mit geringem Risiko zu empfehlen. Voraussetzung sind der Einsatz eines modernen Browsers gemäß Mindeststandard, schnelles Schließen von Sicherheitslücken sowie zentral erstellte Konfigurationen, die Benutzer nicht selbst ändern können. Bei erhöhtem Schutzbedarf sollte ein alternativer Browser als Ausweichmöglichkeit vorgehalten werden, was aber in Behörden meist am zu hohen Aufwand scheitert. Weiterführende Infos finden Sie auch im Baustein APP.1.2 des IT-Grundschutzkompendiums des BSI (Ausgabe 2023).

Dennoch: Für kritische Daten und Systeme bieten Browser-Sandboxen keinen ausreichenden Schutz. Immer wieder weisen Browser kritische Sicherheitslücken auf, durch die Angreifer aus der Sandbox ausbrechen und das Netzwerk gefährden können (für Microsoft Edge verzeichnet die Schwachstellendatenbank CVE Details über 250 Schwachstellen, von denen knapp 130 die Ausführung von Code erlauben). Daher fordert das BSI bei erhöhtem Schutzbedarf den Einsatz speziell abgesicherter, isolierter Browserumgebungen, das heißt virtualisierte Instanzen oder Terminalserver bzw. ReCoBS (Remote Controlled Browser System, ferngesteuertes Browsersystem).

Anwendungs- oder Systemvirtualisierung

Eine Möglichkeit der Isolierung des Browsers vom Arbeitsplatzsystem ist Virtualisierung. Dabei werden Ressourcen eines Host-Systems (z. B. Hardware- oder Betriebssystemfunktionen) durch eine trennende Softwareschicht (Hypervisor) abstrahiert und Gastsystemen oder Anwendungen flexibel zur Verfügung gestellt. Bei der Systemvirtualisierung simulieren virtuelle Maschinen (VMs) die komplette Hardware eines Rechners für Gastbetriebssysteme. Bei der Anwendungsvirtualisierung wird dagegen dem Browser eine isolierte Sandbox mit einer virtuellen Laufzeitumgebung zur Verfügung gestellt – entweder permanent oder nur bei Bedarf (Mikrovirtualisierung).

(Mikro-)Virtualisierte Browser-Anwendungen wie HP Wolf Security (vormals Bromium) sind funktional nicht allzu sehr eingeschränkt, solange nur der Standard verwendet wird. Gleichzeitig sind dann Arbeitsplatzrechner besser geschützt als bei direkt installiertem Browser. Nachteile sind der hohe administrative Aufwand, etwa für Updates, Erweiterungen und die Verwaltung verschiedener Konfigurationen oder VMs, sowie Sicherheitsbeeinträchtigungen bei Funktionen jenseits des Standards.

Bei der Systemvirtualisierung (z. B. R&S®Browser in the Box von Rohde & Schwarz Cybersecurity) ist die Schutzwirkung noch einmal höher als bei der Anwendungsvirtualisierung. Beide sind aber noch immer anfällig gegenüber möglichen Sicherheitslücken des zugrunde liegenden Systems, etwa im Hypervisor, in gemeinsam genutzten Betriebssystemfunktionen oder der Prozessorarchitektur (vgl. Spectre- und Meltdown-Angriffe). Das ist gerade bei höherem Schutzbedarf problematisch, weil sich der Browser trotz Virtualisierung noch immer auf dem Client-Rechnersystem befindet und potenzielle Gefahren nicht vom lokalen Netzwerk isoliert sind.

ReCoBS: Remote-Controlled Browser System

Dies ist erst gegeben, wenn eine Surfumgebung außerhalb des Netzwerks genutzt wird, etwa in der demilitarisierten Zone. Dadurch sind die Systeme im Netzwerk bei uneingeschränkter Funktionalität vor Angriffen deutlich besser abgeschirmt als bei virtualisierten Instanzen. Für interne Zwecke wird weiterhin ein lokaler Browser genutzt.

Da der externe Server selbst den Gefahren des Internets permanent ausgesetzt ist, darf er auch nur für die Internetnutzung zum Einsatz kommen und muss speziell gesichert werden. Das BSI hat für einen solchen dedizierten und abgesicherten Terminalserver für den Webzugang den Begriff „Remote-Controlled Browser System“ (ReCoBS) geprägt. Die Umsetzung ist allerdings nicht trivial, weil klassische Terminalserver nicht für sicherheitskritische Anwendungen entwickelt wurden. Als einsatzfertiges Produkt steht TightGate-Pro von m-privacy zur Verfügung. Dadurch ist der Realisierungs- und Wartungsaufwand vergleichsweise niedrig. TightGate-Pro wurde vom BSI nach EAL3+ zertifiziert und ist auch bei zahlreichen Behörden im Einsatz.

Fazit: ReCoBS ist die beste derzeit verfügbare Option für die sichere Internetnutzung in Behörden. ReCoBS vereint die Vorzüge von direkt und getrennt installierten Browsern (volle Funktionalität, lokaler Browser für Fachanwendungen) und bietet bei moderatem Umsetzungsaufwand den höchsten Schutz.

(ID:49583954)