Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Mindestanforderungen für sichere Web-Browser veröffentlicht. In einer Tabelle vergleicht die Behörde vier aktuelle Browser – einer wies demnach eine schwerwiegende Einschränkung auf.

Der Mindeststandard beschreibt Sicherheitsanforderungen an Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Jede Institution auf Bundesebene soll diese zukünftig einhalten.

Aufgrund der Funktionsvielfalt erreichen Web-Browser laut BSI die Mächtigkeit moderner Betriebssysteme. Die Komplexität und das damit verbundene Potenzial für Schwachstellen mache sie zu einem beliebten Ziel für Angreifer, resümiert das Amt.

Der Anforderungskatalog richtet sich hauptsächlich an IT-Fachkräfte in der Bundesverwaltung – kann laut BSI aber auch der Wirtschaft sowie Landes- und Kommunalverwaltungen als Vorbild dienen.

Im Mindeststandard führt das Bundesamt Bedrohungen für die sichere, zuverlässige und vertrauliche Kommunikation auf und legt darauf aufbauend die Sicherheitsanforderungen an einen standardgemäßen Web-Browser fest. Im Kapitel "Sicherheitsanforderungen an den Betrieb" folgen Anweisungen für die Administratoren. So erwartet das BSI etwa die regelmäßige Überprüfung der Verschlüsselungs-Zertifikate oder dass Cloud-Dienste sowie die Autofill-Funktion deaktiviert bleiben.

Ein zusätzliches Erläuterungs-Dokument erklärt einzelne Standards ausführlicher und verdeutlicht, wie die vier vom BSI eingesetzten Browser für den sicheren Einsatz angepasst werden müssen. Je nach Programm sind ein bis vier Anpassungen notwendig.

Firefox, Chrome, Internet Explorer, Edge

Eine Tabelle zeigt zudem das Resultat der Überprüfung der vom BSI festgelegten Sicherheitsaspekte bei den einzelnen Browsern. Viele Anforderungen werden demnach von den aktuellen Webseitenbetrachtern erfüllt. Allerdings fand das BSI bei jedem der untersuchten Programme kleinere Mängel, die sich aber über Plug-ins oder die zusätzliche Verwendung einer portablen Browser-Version umgehen lassen.



Das BSI bemängelt, dass Edge nicht anzeigt, wie eine Seite verschlüsselt wurde.

Einen besonderen Mangel stellte das BSI bei Microsoft Edge in der Version 38.14393.0.0 fest: Dieser Browser zeigt nicht klar genug an, mit welchem Standard die Kommunikation zum Server verschlüsselt wird. Sämtliche technischen Verschlüsselungs- und Überprüfungsalgorithmen, die das BSI erwartet, sind zwar vorhanden – bei der Visualisierung sieht das BSI aber Mängel. Die Empfehlung: Über das Optionsmenü solle man sich verschlüsselte Seiten mit dem Internet Explorer darstellen lassen. (imj)