Bundesamt für Sicherheit in der Informationstechnik

M 5.93 Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das World Wide Web (WWW) ist sicherlich einer der wichtigsten Dienste, die im Internet angeboten werden. Neben dem reinen Abrufen von Informationen dient es heute auch als Plattform für interaktive Angebote, wie z. B. im E-Business und E-Government. Auf Internet-PCs wird daher in den meisten Fällen ein Browser, d. h. ein Client-Programm für die Nutzung von WWW-Angeboten, benötigt. Populäre WWW-Browser sind z. B. Firefox, Microsoft Internet Explorer und Opera, Google Chrome und Safari.

Die Browser-Technik hat sich rasant weiterentwickelt. Von der ursprünglichen Funktion, Text und Bilder aus dem Internet zu laden und anzuzeigen, haben sich WWW-Browser zu universellen Frontends für netzbasierte Anwendungen entwickelt. Browser können eine Vielzahl unterschiedlicher Medienformate anzeigen und abspielen und dienen außerdem als Ablaufumgebung für Programme und Skripten, so genannten aktiven Inhalten. Zu letzteren gehören unter anderem die Technologien Java, Javascript und ActiveX. Der Funktionsumfang moderner Browser kann durch so genannte Plug-Ins zusätzlich erweitert werden.

Diese Vielzahl von Funktionen bringt komplexe Konfigurationsmöglichkeiten und potentielle Sicherheitsprobleme mit sich. Die nachfolgenden Empfehlungen zur Konfiguration von Browsern beim Einsatz von Internet-PCs sollen diesen Sicherheitsaspekten Rechnung tragen.

Installation

Die Grundsatzempfehlung, nur benötigte Software-Komponenten zu installieren, gilt für WWW-Browser ganz besonders, speziell für die zahlreichen verfügbaren Plug-Ins. Diese dienen meist dazu, bestimmte Medienformate, z. B. Videos oder Radioprogramme, anzuzeigen oder abzuspielen. Dabei besteht die grundsätzliche Gefahr, dass durch Design- oder Implementierungsfehler in den Plug-Ins beim Aufruf entsprechender Webseiten unerwünschte Aktionen ausgelöst werden, z. B. Manipulation oder Kompromittierung lokaler Daten. Es sollten daher nur die Plug-Ins installiert werden, die für die tägliche Arbeit auch wirklich erforderlich sind.

Software-Schwachstellen sind nicht nur in Plug-Ins, sondern vielfach auch in Browsern selbst bekannt geworden. Diese Schwachstellen können dazu ausgenutzt werden, Sicherheitsmechanismen zu umgehen oder anderweitig Schäden auszulösen. Browser-Hersteller veröffentlichen daher häufig Patches, Updates oder Anleitungen zur Behebung dieser Sicherheitslücken. Die Administration sollte sich daher regelmäßig auf den Webseiten des jeweiligen Browser-Herstellers über aktuelle Sicherheitslücken informieren und evtl. bereitgestellte Updates bzw. Patches installieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ).

Ein weiteres Problemfeld ist der Aufruf externer Programme aus dem Browser heraus. Die meisten Browser bieten die Möglichkeit, Dateien nach dem Download direkt mit dem zugeordneten Anwendungsprogramm zu öffnen oder zu starten. Da die heruntergeladenen Dateien oft aus unbekannten Quellen stammen, besteht die Gefahr, dass beim Öffnen oder Starten unerwünschte Aktionen ausgelöst werden. Ursache können dabei z. B. Pufferüberläufe in den Anwendungsprogrammen oder schädliche, in die Dateien eingebettete Makros sein. Um das Risiko zu minimieren, sollten auf einem Internet-PC daher so wenig Anwendungsprogramme wie möglich installiert werden. Zur Anzeige von Fremdformaten, z. B. Word- oder Excel-Dateien, sollten möglichst Viewer-Programme verwendet werden, die die Ausführung von Makros nicht unterstützen.

Alle installierten Software-Komponenten, wie z. B. Plug-Ins, Patches, Updates und Viewer-Programme, sollten ausschließlich aus vertrauenswürdigen Quellen bezogen werden, beispielsweise direkt vom Hersteller oder offiziellen Spiegel-Servern.

Konfiguration

Die verbreiteten WWW-Browser haben komplexe Konfigurationsmöglichkeiten. Viele Optionen haben Auswirkungen auf den sicheren Betrieb des Browsers und damit auch auf die Informationssicherheit des Internet-PCs. Nach einer Standard-Installation entsprechen die Browser-Einstellungen in der Regel nicht den Sicherheitsanforderungen. Die einzelnen Konfigurationseinstellungen sollten daher systematisch überprüft und ggf. angepasst werden. Grundlage hierfür sind die Vorgaben im Einsatzkonzept und in den Richtlinien für Internet-PCs (siehe Maßnahmen M 2.234 Konzeption von Internet-PCs und M 2.235 Richtlinien für die Nutzung von Internet-PCs ). Die folgenden Empfehlungen sollten bei der Konfiguration berücksichtigt werden.

Wenn der Internet Service Provider (ISP) einen Proxy-Server anbietet, sollte dieser auch genutzt werden. Hierzu müssen im Browser die IP-Adresse und die Port-Nummer des Proxy-Servers eingetragen werden. Bei einigen Browsern müssen diese Informationen für jeden unterstützten Dienst separat angegeben werden. Proxy-Server unterstützten in der Regel mindestens die Dienste HTTP, HTTPS und FTP . Die benötigten IP-Adressen und Port-Nummern sollten den Informationen des ISPs entnommen oder dort erfragt werden.

Unter aktiven Inhalten sind Computerprogramme zu verstehen, die in Internet-Seiten enthalten sind oder beim Betrachten einer Internet-Seite automatisiert nachgeladen werden. Ausgeführt werden diese Computerprogramme auf dem Computer des Internet-Nutzers entweder vom jeweiligen WWW-Browser oder von dem darunter liegenden Betriebssystem. Wichtige Beispiele für aktive Inhalte sind die Technologien Javascript, Java und ActiveX. Wie bei jedem Computerprogramm besteht bei aktiven Inhalten die Gefahr, dass von dem Programmcode nicht nur sinnvolle Aktionen durchgeführt werden, sondern auch unerwünschte oder sogar schädliche Aktionen. Aktive Inhalte können also beispielsweise Viren transportieren oder Trojanische Pferde darstellen.

Die Browser enthalten zwar einige Sicherheitsfunktionen zum Schutz vor schädlichen aktiven Inhalten, in der Vergangenheit sind jedoch zahlreiche Software-Schwachstellen bekannt geworden, die zum Aushebeln dieser Sicherheitsfunktionen ausgenutzt werden können (siehe auch M 5.69 Schutz vor aktiven Inhalten ).

In den gängigen Browsern kann eingestellt werden, wie mit aktiven Inhalten umgegangen werden soll. Aus den oben genannten Gründen sollte die Ausführung aktiver Inhalte nur dann im Browser freigeschaltet werden, wenn dies im Einsatzkonzept bzw. in den Richtlinien für Internet-PCs ausdrücklich vorgesehen ist. In diesem Fall sollten nur die Technologien aktiviert werden, die für die tägliche Arbeit benötigt werden, z. B. Javascript.

Einige Browser bieten die Möglichkeit, persönliche Informationen oder Passwörter abzuspeichern, damit diese automatisch in WWW-Formulare eingetragen bzw. als Authentisierungsdaten an den WWW-Server gesendet werden können und somit nicht jedes Mal eingetippt werden müssen. Der Internet Explorer bietet dies z. B. unter dem Stichwort AutoVervollständigen an. Diese Funktion sollte nicht verwendet werden, da sonst die Gefahr besteht, dass unbeabsichtigt Passwörter, persönliche Informationen oder Informationen über die Behörde bzw. das Unternehmen weitergegeben werden.

Auch für den Zugriff auf FTP-Server bieten einige Browser die Möglichkeit an, automatisch Benutzernamen und Passwörter zu übermitteln. Damit nicht unbeabsichtigt Passwörter an Dritte weitergegeben werden, sollte der Browser so konfiguriert werden, dass standardmäßig nur anonyme Anmeldungen erfolgen.

Bei einigen Browsern kann konfiguriert werden, ob heruntergeladene Dateien automatisch geöffnet oder gespeichert werden sollen oder ob der Benutzer gefragt werden soll. Damit Dateien nicht versehentlich geöffnet oder gestartet werden, sollte diese Option auf Speichern oder Benutzer fragen eingestellt werden.

Mit Hilfe so genannter Cookies können WWW-Server auf dem Internet-PC Daten hinterlegen und später wieder abrufen. Diese Funktion wird häufig für virtuelle Warenkörbe bei Internet-Shops benötigt. Aus Sicht der Informationssicherheit sind Cookies weitgehend unproblematisch. Allerdings lassen sich mit Hilfe von Cookies auch Profile über das Verhalten von Benutzern erstellen, so dass es u. U. aus Gründen des Datenschutzes wünschenswert ist, das Abspeichern von Cookies zu deaktivieren. Gängige Browser können auch so konfiguriert werden, dass der Benutzer gefragt wird, wenn ein WWW-Server versucht, ein Cookie zu setzen. Je nachdem, welche WWW-Angebote typischerweise genutzt werden, wird der Benutzer dadurch jedoch durch eine Vielzahl von Dialogfenstern belästigt und bei der Arbeit behindert. Es muss daher anhand des konkreten Anwendungsfalls entschieden werden, wie bei der Nutzung von Internet-PCs mit Cookies umgegangen wird.

SSL/TLS (Secure Sockets Layer/Transport Layer Security) sind Protokolle, mit denen die Kommunikation zwischen WWW-Server und WWW-Browser kryptographisch geschützt werden kann. Die Absicherung durch SSL/TLS sollte immer genutzt werden, wenn sie Server-seitig angeboten wird.

Dies ist besonders wichtig bei der Übertragung personenbezogener Daten, beispielsweise wenn E-Mails vom Server abgeholt werden.

Für die Authentisierung der Kommunikationspartner können Zertifikate eingesetzt werden, in der Praxis werden meist jedoch nur SSL-Zertifikate für WWW-Server ausgestellt.

Falls zusätzlich eine Authentisierung des Clients erforderlich ist, erfolgt diese meist auf andere Weise, z. B. mit Hilfe von Benutzername und Passwort (siehe auch M 5.66 Clientseitige Verwendung von SSL/TLS ).

Die Echtheit eines SSL-Zertifikats kann die Browser-Software meist anhand der digitalen Signatur einer Zertifizierungsstelle überprüfen. Die Zertifikate einiger etablierter Zertifizierungsstellen werden bei den gängigen Browsern mitgeliefert. Einige Server-Betreiber greifen jedoch auf andere Zertifizierungsstellen zurück, so dass die Echtheit des SSL-Zertifikats nicht direkt überprüft werden kann. Falls häufig auf einen solchen WWW-Server zugegriffen werden muss, sollte das Zertifikat der entsprechenden Zertifizierungsstelle in den Browser importiert werden, wenn es verfügbar ist. Um die Echtheit dieses Zertifikats sicherzustellen, sollte vor dem Import der so genannte Fingerprint auf einem unabhängigen Weg, z. B. via Fax, Telefon oder E-Mail, übermittelt und verglichen werden. Nur dann können Benutzer davon ausgehen, dass der Server tatsächlich zu dem gewünschten Betreiber gehört.

Um die Angriffs- und Missbrauchsmöglichkeiten bei WWW-Browsern zu minimieren, sollten grundsätzlich nur die Funktionen aktiviert werden, die zur Erledigung der Fachaufgabe benötigt werden.

Betrieb

Daten und Programme sollten von möglichst vertrauenswürdigen Quellen heruntergeladen werden. Hierfür bieten sich z. B. das Internet-Angebot des Herstellers bzw. Herausgebers der Informationen oder offizielle Spiegelserver ("Mirrors") an. Dateien und Programme aus dem Internet sollten auf Computer-Viren geprüft werden, wenn das entsprechende Dateiformat befallen werden kann. Dateien und Programme sollten daher nach dem Download nicht automatisch aus dem Browser heraus geöffnet bzw. gestartet, sondern zunächst abgespeichert werden.

Wie bereits oben erläutert, können Cookies auch dazu verwendet werden, Profile über das Verhalten von Benutzern zu erstellen. Falls das Speichern von Cookies grundsätzlich erlaubt wird, sollten sie daher regelmäßig gelöscht werden. Dies geschieht entweder aus dem Browser heraus oder durch Löschen der entsprechenden Datei, in der die Cookies gespeichert werden. Im Internet sind eine Reihe von Shareware-Tools verfügbar, mit denen die Verwaltung gespeicherter Cookies möglich ist.

Der Cache eines Browsers dient dazu, WWW-Seiten lokal zwischenzuspeichern, damit sie nicht neu aus dem Internet geladen werden müssen, wenn der Benutzer sie noch einmal aufruft. Dies verkürzt die Antwortzeiten bei der WWW-Nutzung. Besonders beim "Einkauf über das Internet" werden oftmals vertrauliche Informationen, z. B. Kreditkartennummern, übertragen. Diese Informationen werden unter Umständen im Cache des Browsers zwischengespeichert.

Dadurch besteht die Gefahr, dass diese Informationen unberechtigterweise aus dem Cache ausgelesen und missbraucht werden. Falls der Zugang zum Internet-PC nicht wirksam geschützt ist, sollte der Cache des Browsers daher nach der Übertragung von vertraulichen Informationen gelöscht werden. Alternativ kann die Cache-Funktion auch bei der Konfiguration vollständig deaktiviert werden.

Prüffragen:

  • Werden bei Browsern nur die benötigten Software-Komponenten - insbesondere Plug-Ins - installiert?

  • Werden die seitens des Herstellers bereitgestellten Browser-Updates und Patches regelmäßig und zeitnah installiert?

  • Ist sichergestellt, dass Software-Komponenten des Browser wie Plug-Ins, Patches, Updates, Viewer ausschließlich aus vertrauenswürdigen Quellen bezogen werden?

  • Ist die Ausführung aktiver Inhalte im Browser nur soweit erlaubt, wie dies im Einsatzkonzept beziehungsweise in den Richtlinien für Internet- PC s ausdrücklich vorgesehen ist?

  • Wird auf eine Speicherung von Benutzerdaten oder Passwörtern für WWW -Formulare verzichtet?

  • Ist sichergestellt, dass heruntergeladene Dateien nicht automatisch geöffnet werden?

  • Werden heruntergeladene Dateien mit einem Viren-Schutzprogramm geprüft, bevor sie geöffnet beziehungsweise gestartet werden?

Stand: 13. EL Stand 2013