Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) hat einen neu­en Min­dest­stan­dard zum The­ma Siche­re Web-Brow­ser ver­öf­fent­licht. Bei einer Über­prü­fung fiel der Brow­ser Micro­soft Edge nega­tiv auf.

Der Min­dest­stan­dard beschreibt Sicher­heits­an­for­de­run­gen an Web-Brow­ser, die auf Arbeits­platz­rech­nern der Bun­des­ver­wal­tung ein­ge­setzt wer­den. Die­se Anfor­de­run­gen sind zum Errei­chen eines Min­dest­ma­ßes an Infor­ma­ti­ons­si­cher­heit ein­zu­hal­ten. Als natio­na­le Cyber-Sicher­heits­be­hör­de nimmt das BSI mit die­sem Min­dest­stan­dard sei­ne gesetz­li­che Auf­ga­be nach Para­graf 8 Abs. 1 BSIG wahr, die Infor­ma­ti­ons­si­cher­heit der Infor­ma­ti­ons­tech­nik des Bun­des prä­ven­tiv wei­ter zu stär­ken. Der Min­dest­stan­dard rich­tet sich haupt­säch­lich an IT-Ver­ant­wort­li­che, IT-Sicher­heits­be­auf­trag­te und IT-Fach­kräf­te in der Bun­des­ver­wal­tung. Dar­über hin­aus kön­nen aber auch Wirt­schaft und Gesell­schaft, sowie Län­der und Kom­mu­nen die­se Emp­feh­lun­gen her­an­zie­hen.

Web-Brow­ser gehö­ren heu­te zur Stan­dard­aus­stat­tung von Arbeits­platz­rech­nern. Durch ihre Funk­ti­ons­viel­falt errei­chen sie oft die Mäch­tig­keit moder­ner Betriebs­sy­ste­me. Die­se Kom­ple­xi­tät und das damit ver­bun­de­ne Poten­zi­al für Schwach­stel­len sowie ihre wei­te Ver­brei­tung macht Brow­ser zu einem belieb­ten Ziel für Cyber-Angrei­fer.

Sind bereits bei der Ent­wick­lung des Web Brow­sers ent­spre­chen­de Sicher­heits­me­cha­nis­men imple­men­tiert wor­den, kann vie­len die­ser Risi­ken in der Betriebs­pha­se zuver­läs­sig begeg­net wer­den. Der Min­dest­stan­dard umfasst daher sowohl funk­tio­na­le Min­dest­an­for­de­run­gen, die Anwen­der bei der Pro­dukt­aus­wahl unter­stüt­zen, als auch dar­auf auf­bau­en­de Sicher­heits­an­for­de­run­gen, die den siche­ren Betrieb des Web-Brow­sers regeln.

Der Min­dest­stan­dard für siche­re Web-Brow­ser sowie ein Abgleich gän­gi­ger Web-Brow­ser mit den Anfor­de­run­gen des Min­dest­stan­dards sind auf der Web­sei­te des BSI abruf­bar. Über­prüft wur­den die Brow­ser Fire­fox, Chro­me, Inter­net Explo­rer und Micro­soft Edge. Eine Tabel­le zeigt das Resul­tat der Über­prü­fung der vom BSI fest­ge­leg­ten Sicher­heits­as­pek­te bei den ein­zel­nen Brow­sern. Vie­le Anfor­de­run­gen wer­den von den aktu­el­len Brow­ser-Ver­sio­nen erfüllt. Aller­dings fand das BSI bei jedem der unter­such­ten Pro­gram­me klei­ne­re Män­gel, die sich aber über Plug-ins umge­hen las­sen. Einen beson­de­ren Man­gel stell­te das BSI bei Micro­soft Edge (Ver­si­on 38.14393.0.0) fest: Die­ser Brow­ser zeigt nicht klar an, mit wel­chem Stan­dard die Kom­mu­ni­ka­ti­on zum Ser­ver ver­schlüs­selt wird.