BSI: Mindeststandards für Browser veröffentlicht
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard zum Thema Sichere Web-Browser veröffentlicht. Bei einer Überprüfung fiel der Browser Microsoft Edge negativ auf.
Der Mindeststandard beschreibt Sicherheitsanforderungen an Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Diese Anforderungen sind zum Erreichen eines Mindestmaßes an Informationssicherheit einzuhalten. Als nationale Cyber-Sicherheitsbehörde nimmt das BSI mit diesem Mindeststandard seine gesetzliche Aufgabe nach Paragraf 8 Abs. 1 BSIG wahr, die Informationssicherheit der Informationstechnik des Bundes präventiv weiter zu stärken. Der Mindeststandard richtet sich hauptsächlich an IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Fachkräfte in der Bundesverwaltung. Darüber hinaus können aber auch Wirtschaft und Gesellschaft, sowie Länder und Kommunen diese Empfehlungen heranziehen.
Web-Browser gehören heute zur Standardausstattung von Arbeitsplatzrechnern. Durch ihre Funktionsvielfalt erreichen sie oft die Mächtigkeit moderner Betriebssysteme. Diese Komplexität und das damit verbundene Potenzial für Schwachstellen sowie ihre weite Verbreitung macht Browser zu einem beliebten Ziel für Cyber-Angreifer.
Sind bereits bei der Entwicklung des Web Browsers entsprechende Sicherheitsmechanismen implementiert worden, kann vielen dieser Risiken in der Betriebsphase zuverlässig begegnet werden. Der Mindeststandard umfasst daher sowohl funktionale Mindestanforderungen, die Anwender bei der Produktauswahl unterstützen, als auch darauf aufbauende Sicherheitsanforderungen, die den sicheren Betrieb des Web-Browsers regeln.
Der Mindeststandard für sichere Web-Browser sowie ein Abgleich gängiger Web-Browser mit den Anforderungen des Mindeststandards sind auf der Webseite des BSI abrufbar. Überprüft wurden die Browser Firefox, Chrome, Internet Explorer und Microsoft Edge. Eine Tabelle zeigt das Resultat der Überprüfung der vom BSI festgelegten Sicherheitsaspekte bei den einzelnen Browsern. Viele Anforderungen werden von den aktuellen Browser-Versionen erfüllt. Allerdings fand das BSI bei jedem der untersuchten Programme kleinere Mängel, die sich aber über Plug-ins umgehen lassen. Einen besonderen Mangel stellte das BSI bei Microsoft Edge (Version 38.14393.0.0) fest: Dieser Browser zeigt nicht klar an, mit welchem Standard die Kommunikation zum Server verschlüsselt wird.