Erläuterungen zum Mindeststandard des BSI für sichere Web-Browser. Hinweise zu Interpretation und Umsetzung Version 1.0

Ähnliche Dokumente
Ausfüllen von PDF-Formularen direkt im Webbrowser Installation und Konfiguration von Adobe Reader

Technische Voraussetzungen zum elektronischen Ausfüllen der Formulare Abrechnungserklärung Leitender Notarzt Einsatzdokumentation Leitender Notarzt

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

WEBVPN UND SSL NETWORK EXTENDER Anleitung für Studierende

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

fãéçêíáéêéå=éáåéë=`äáéåíjwéêíáñáâ~íë= áå=çéå=_êçïëéê=

WEBVPN UND SSL CONNECTOR Anleitung für Studierende

Onlinehilfe zur Konfiguration von Google Chrome für das NzüK-Portal

Windows Server 2016 Essentials Basis-Server für kleine Unternehmen

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

Installationsanleitung für die h_da Zertifikate

TheraGate GmbH behält sich vor, Aktualisierungen ohne vorherige Benachrichtigung vorzunehmen.

VPN-Zugang mit Cisco AnyConnect. Installation und Verwendung

Browsereinstellungen Für iproducts

HOSTED SHAREPOINT. Skyfillers Kundenhandbuch. Generell Online Zugang SharePoint Seite... 2 Benutzerpasswort ändern... 2

Releasenotes Tourenangebot v1.14

CADEMIA: Einrichtung Ihres Computers unter Windows

Vodafone One Net Manager Schnellstartanleitung Für Administratoren

2.3 - Das Verwaltungsmodul moveon installieren - SQL-Version

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 5.1 vom Kassenärztliche Vereinigung Niedersachsen

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

Vodafone One Net Manager Schnellstartanleitung Für Administratoren

EINSTELLUNGEN Betriebssysteme: Windows 7, 8 und 10 Browser: Mozilla Firefox, Internet Explorer, Microsoft Edge und Google Chrome

Fernzugriff über Citrix Access Gateway (Campus Inselspital / Spitalnetz Bern AG) (Extern / Home Office)

Skyfillers Hosted SharePoint. Kundenhandbuch

CADEMIA: Einrichtung Ihres Computers unter Mac OS X

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

wiko Bausoftware GmbH

MAN After Sales Portal

Voraussetzung für die Nutzung des KOCH-Portals ist ein aktueller Webbrowser mit installiertem Adobe Flash Player Plugin.

DFÜ Verbindung unter Windows 7

BlackBerry Dynamics einrichten - Android

Bmw Financial Services. Online-Banking. Freude am Fahren. Mozilla Firefox Browsereinstellungen optimieren.

Installations- & Konfigurationsanleitung

City Navigator Update

«/IE Cache & Cookies» Umfrage startet nicht?

SMARTentry Notification

Anleitung. THM Identity Management Passwortselbstverwaltung

JUNG Facility-Pilot Visualisierungs-Server Version 2.2

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1

Installation von Zertifikaten. Vertrauensstelle nach 299 SGB V

i-net HelpDesk Erste Schritte

VMware Workspace Portal- Benutzerhandbuch

Hinweis auf ein Problem mit einem Sicherheitszertifikat einer Webseite

Systemvoraussetzungen für den Zugriff auf die DAA-Zeus-Umgebung aus dem Internet (Szenario-1) Halten Sie Ihr System deswegen unbedingt immer aktuell!

Installationsanleitung - Command WorkStation 5.6 mit Fiery Extended Applications 4.2

Schnellstart zum MAN-Extranet Seite 1 von 21

Status in Arbeit in Prüfung genehmigt zur Nutzung. Rudolf Rothenbühler, Peter Meyer, Jean-Pierre Bolli

Inhalt. 1. Admin Bereich Anmeldung Assessment Übersicht Zertifikat und Beraterfeedback-Dokument...

Windows 10 Passwortwechsel

IaaS Handbuch. Version 2

Anleitung. Kontenverwaltung auf mail.tbits.net

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke)

Silverlight funktioniert nicht. Wie wähle ich den richtigen Browser? Was muss ich bei MAC Computern beachten?

TERMINALSERVER BENUTZERLEITFADEN. TELCAT Kommunikationstechnik GmbH Sudetenstraße Salzgitter

Basissystem-Erweiterung für den LISA-Inimanager

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom Kassenärztliche Vereinigung Niedersachsen

Systemvoraussetzungen für den Zugriff auf die DAA-Zeus-Umgebung aus dem Internet (Szenario-1)

Schnellinstallationsanleitung Timemaster WEB

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

KONFIGURATION livecrm 4.0

Nun klicken Sie im Hauptfenster der -Vewaltung auf den Schriftzug Passwort. Befolgen Sie die entsprechenden Hinweise: 3.

Installation des Zertifikats. Installationsanleitung für Zertifikate zur Nutzung des ISBJ Trägerportals

Schrittweise Anleitung zur Installation von Zertifikaten der Bayerischen Versorgungskammer im Microsoft Internet Explorer ab Version 6.

Hier wählen Sie zunächst das Register Sicherheit und die Zone Lokales Intranet

Konfiguration Agenda Anywhere

Gymnasium Schrobenhausen Ersteinrichtung eines Internetzugangs

Passwortwechsel mit Windows

Anleitung für den Verbindungsaufbau mit der realcloud Workplace Demo-Umgebung

E-ConsentPro und Online-Portal E-Consent. Drucken unter Firefox ab Version 52

Multibooting mit Windows 2000 und Windows XP

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Installationsvorbereitung und Installation des C-Rents

Handbuch. EasyQB der DKTIG Portal zur Erstellung der strukturierten Qualitätsberichte. Dokumentstatus / EasyQB-Version: EasyQB- Version

quickterm 5.4 Systemvoraussetzungen

Installieren und Verwenden des Document Distributor 1

Verwalten des App-Katalogs in SharePoint 2013

Dienste, Bereich Informatik & Telekommunikation Fernzugriff über Basic Access

Anleitung MRA Service mit MAC

SANDBOXIE konfigurieren

MÖGLICHE FEHLER BEI DER ANMELDUNG

Inhaltsverzeichnis. myfiles Desktopanwendung Kurzanleitung

Installationsanleitung: Firefox Stand:

PUMA Administrationshandbuch Stand:

Benutzeranleitung HomeAgents Eingereicht von:

Aktuelle Browser im Vergleich *** Mozilla Firefox Version 2.0

Faronics System Profiler Standard Benutzerhandbuch

Outlook Client einrichten

Clientkonfiguration für Hosted Exchange 2010

Anleitung für den Zugriff auf die lizenzierten Datenbanken und E-Books außerhalb der Staatlichen Studienakademie Bautzen

Silverlight funktioniert nicht. Wie wähle ich den richtigen Browser? Wie aktiviere ich die Plugins in SAFARI bei einem MAC

Swiss Map online Zusatzanleitung

TeamViewer App für Outlook Dokumentation

MindPlan 4. Installations- u. Update-Hinweise. MindPlan 4. Stand: 24. März 2014 Seite: 1/12

Möglichkeiten der - Archivierung für Exchange Server im Vergleich

Archiv. Zum Vergrößern auf das Bild klicken.

easylearn Systemvoraussetzungen

Transkript:

Erläuterungen zum Mindeststandard des BSI für sichere Web-Browser Hinweise zu Interpretation und Umsetzung Version 1.0

Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-6262 E-Mail: mindeststandards@bsi.bund.de Internet: https://www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 2017

Inhaltsverzeichnis Inhaltsverzeichnis 1 Über dieses Dokument... 4 2 Anwendung... 5 2.1 Was regelt der MST?... 5 2.2 Wer soll den MST wann und wie anwenden?...5 2.3 Ausnahmen... 5 3 Auslegung und Umsetzung... 6 3.1 Anforderung 4.2.1.4: Kommunikationsform darstellen...6 3.2 Anforderung 4.2.1.6: Update-Mechanismen...6 3.3 Anforderung 4.2.1.8: Passwortmanager...7 3.4 Anforderung 4.2.1.22: Import zentraler erstellter Konfigurationen...7 3.5 Anforderung 4.2.1.24: Instanzen... 8 3.6 Anforderung 4.2.1.25: Minimale Rechte... 8 3.7 Anforderung 4.2.1.26: Architektur/Sandboxing...8 3.8 Anforderung 4.2.1.27: Webseiten voneinander isoliert...9 4 Browser-Anpassungen... 10 4.1 Mozilla Firefox... 10 4.2 Google Chrome... 10 4.3 Microsoft Internet Explorer... 10 4.4 Edge... 10 Bundesamt für Sicherheit in der Informationstechnik 3

Über dieses Dokument 1 Über dieses Dokument Das vorliegende Dokument unterstützt Sie bei Verständnis, Interpretation und Umsetzung des Mindeststandards des BSI für sichere Web-Browser. Hilfestellung bekommen Sie in vier Abschnitten: Anwendung und Hintergrund Hier erfahren Sie, was der Mindeststandard regelt, was er bewirken soll und wer ihn wie anzuwenden hat. Zudem finden Sie noch einige ganz knappe Grundlageninformationen über Mindeststandards, ihre gesetzliche Grundlage sowie ihre Bindungswirkung. Interpretation einzelner Anforderungen Die meisten Anforderungen im Mindeststandard werden für technisch versierte Leser klar verständlich sein, dennoch gibt es einige Punkte, die genauer erläutert werden sollten. Darunter fallen beispielsweise Anforderungen, die nicht scharf definiert sind (z. B. Virtualisierung) oder solche, die Browser nicht ohne Hilfe von Drittwerkzeugen erfüllen können (z. B. sicheres Passwort-Management). Browser-Anpassungen Eine andere Sichtweise liefert Ihnen dann eine kurze Übersicht, welche Maßnahmen Sie für welchen Browser durchführen müssen, um sie konform zum Mindeststandard zu betreiben. Browser-Abgleich Im Anhang finden Sie einen tabellarischen Abgleich der in der Bundesverwaltung gängigen Browser, also Mozilla Firefox, Google Chrome und Microsoft Internet Explorer und Edge. Die Ausführungen in diesem Dokument sind lediglich als Hilfestellung gedacht und nicht rechtlich bindend. Ganz generell können Sie auslegbare Anforderungen anders als hier vorgeschlagen und gemäß der eigenen Bedürfnisse interpretieren und umsetzen solange die Intention der Anforderung sowie der Wirkungsgrad unserer Interpretation berücksichtigt werden. Ein Hinweis noch zur Aktualität: Die großen Browser werden kontinuierlich aktualisiert, verändert und gepatcht. Nicht alle Änderungen werden ohne Zeitverzögerung in diese Hilfe einfließen können. Und so werden sicherlich einzelne Punkte dieses Dokuments im Laufe der Zeit nicht mehr zu 100 Prozent zutreffen oder gar obsolet sein. Sollten Ihnen bei der Lektüre Unstimmigkeiten nicht nur ob der Aktualität auffallen, können Sie diese gerne an mindeststandards@bsi.bund.de berichten. 4 Bundesamt für Sicherheit in der Informationstechnik

Anwendung 2 Anwendung 2.1 Was regelt der MST? Der Mindeststandard für sichere Web-Browser adressiert Browser mit Zugriff auf das Internet. Er sorgt zum einen dafür, dass ausschließlich Browser eingesetzt werden, die ein Grundmaß an Sicherheit bieten. Zum anderen wird auf die Art und Weise eingegangen, wie ein solcher Browser eingesetzt wird. Somit schützt der Standard vor allem vor bekannten Angriffsszenarien, typischen Einfallstoren wie veralteten Versionen, unsicheren Grundeinstellungen oder zu freizügigen Möglichkeiten für die Nutzer sowie unbedachtem (Fehl-) Verhalten. Hingegen schützt der Standard nicht wirkungsvoll gegen höherwertige Angriffe wie Advanced Persistent Threats (APTs) oder versierte Innentäter. 2.2 Wer soll den MST wann und wie anwenden? Auch wenn Browser nicht traditionell über Ausschreibungen beschafft werden, muss dennoch an einem Punkt eine bewusste Entscheidung für ein Produkt getroffen werden. An dieser Stelle sind die Anforderungen des Mindeststandards zu berücksichtigen. Dabei muss der Browser nicht von Haus aus alle Anforderungen erfüllen er muss es aber ermöglichen, diese Forderungen über organisatorische Maßnahmen oder Add-ons von Drittanbietern abzudecken. Befindet sich ein Browser bereits im Betrieb, sind die Vorgaben aus dem Mindeststandard auch hier anzuwenden. In der Bundesverwaltung weit verbreitet sind Mozilla Firefox, Google Chrome und Microsoft Internet Explorer, die es allesamt ermöglichen, die aufgeführten Anforderungen wenn auch teils über Umwege - zu erfüllen. In Hinblick auf Windows 10 wird auch Microsoft Edge betrachtet. Der Wechsel eines Browsers wird in den seltensten Fällen sein müssen, in der Regel. wird es genügen, Konfiguration und Betrieb gemäß Mindeststandard zu prüfen und gegebenenfalls anzupassen. 2.3 Ausnahmen Der Standard sieht explizit keine Ausnahmen vor. In der Praxis wird es jedoch immer wieder begründete Einzelfälle geben, die exotische oder veraltete Browser bedingen, beispielsweise zum Betrieb etablierter Fachverfahren oder in eingebetteten Systemen. Sollten in solchen Fällen einzelne Anforderung nicht abgedeckt werden können, dokumentieren und begründen Sie die Entscheidung zu Ungunsten der IT-Sicherheit. Sie sollten diese Ausnahmen schnellstmöglich durch standardkonforme Lösungen ablösen. Auf der anderen Seite können natürlich auch exotische Browser alle Anforderung abdecken. Zum Beispiel bieten einige IT-Sicherheitsunternehmen gehärtete Versionen von Chrome und Firefox. Die Eignung konkreter Browser für konkrete Bedarfe muss die Behörde als Anwender selbst vornehmen, dieser Leitfaden beschränkt sich auf die vier wesentlichen und üblichen Produkte. Bundesamt für Sicherheit in der Informationstechnik 5

Auslegung und Umsetzung 3 Auslegung und Umsetzung Im Folgenden finden Sie Umsetzungshilfen und weitergehende Erläuterungen zu einigen komplexeren oder interpretierbaren Sicherheitsanforderungen aus Kapitel 4.2 des Mindeststandards für sichere Web-Browser. Sie bekommen hier Informationen darüber, welche der gängigen Browser (Firefox, Chrome, IE, Edge) welche Anforderungen von sich aus oder über zusätzliche Maßnahmen (z. B. Erweiterungen) erfüllen können. Erfüllen mehrere Browser eine Anforderung, heißt dies natürlich nicht, dass sie sie gleich gut/genau umsetzen tiefer gehende Analysen sollten Sie entsprechend der Bedürfnisse in Ihrer Organisation vornehmen. Die Ausführungen gelten für die aufgeführten Browser in folgenden Versionen: Mozilla Firefox 51.0.1 Google Chrome 56.0.2924.87 Microsoft Internet Explorer 11.103.14393.0 Microsoft Edge 38.14393.0.0 3.1 Anforderung 4.2.1.4: Kommunikationsform darstellen Der Web-Browser muss die Kommunikationsform geeignet und nicht manipulierbar darstellen: Dem Benutzer muss beispielsweise durch Symbole oder farbliche Hervorhebung angezeigt werden, ob die Kommunikation mit dem Web-Server verschlüsselt oder im Klartext erfolgt. Es muss die Möglichkeit bestehen, im Falle einer verschlüsselten Kommunikation auf Anforderung des Benutzers das verwendete Serverzertifikat, die verwendete SSL/TLS-Protokollversion und Cipher-Suite anzeigen zulassen. Dem Benutzer muss ein fehlendes CA-Zertifikat im Zertifikatsspeicher oder ein ungültiges/widerrufenes Serverzertifikat als Prüfergebnis signalisiert werden. Die verschlüsselte Verbindung darf dann nur nach expliziter Bestätigung durch den Benutzer aufgebaut werden. Diese Anforderungen beziehen sich auf die Darstellung der Verbindungsdetails einer aufgerufenen URL. Typischerweise findet sich diese Funktion oben links neben dem Adressfeld der Browser, wo Details von TLS-Verbindungen mit Schloss-Symbolen und/oder farblichen Hinweisen in Ampel-Manier visualisiert werden. Über diese Schaltflächen lassen sich in der Regel weitere technische Informationen aufrufen. Werden bei der Verbindung Ungereimtheiten wie abgelaufene Zertifikate festgestellt, muss der Browser den Verbindungsaufbau stoppen, den Nutzer darauf hinweisen und explizit um Erlaubnis fragen, fortfahren zu dürfen. Chrome, Internet Explorer und Firefox erfüllen diese Anforderungen standardmäßig. Microsoft Edge bietet bislang keine Möglichkeit, Zertifikate und Details anzuzeigen. 3.2 Anforderung 4.2.1.6: Update-Mechanismen Software-Update-Mechanismen erfüllen folgende Anforderungen: 6 Bundesamt für Sicherheit in der Informationstechnik

Auslegung und Umsetzung Software-Update-Mechanismen müssen sämtliche Web-Browserkomponenten umfassen (inkl. Erweiterungen und Plug-ins). Eigenständige Programme, die zusätzlich Elemente in den Browser einfügen (z. B. EXE-Dateien für Internet Explorer, die Buttons einrichten), müssen über separate Update-Prozesse aktuell gehalten oder untersagt werden. Software-Updates müssen erkannt werden. Software-Updates müssen zuverlässig angezeigt werden. Automatisches Einspielen von Updates muss möglich sein. Der Browser muss Updates erkennen, anzeigen und automatisch einspielen und zwar für alle Komponenten inklusive Add-ons. Firefox und Chrome sind konform, Erweiterungen werden direkt über die Browser installiert, deinstalliert und über das Browser-Update aktualisiert.. Internet Explorer und Microsoft Edge erfüllen diese Anforderung mit leichten Mehraufwand: Erweiterungen für Edge werden über die eigenständige Anwendung Windows Store verwaltet. Erweiterungen für den Internet Explorer sind in der Regel komplett eigenständige Programme, die über die normalen Windows-Installationsroutinen, nicht über den Browser selbst, installiert und deinstalliert werden. Für derartige Software müssen eigene Maßnahmen zur Aktualisierung getroffen werden. Häufig werden für Anwendungsprogramme auf Arbeitsplatzrechnern bereits Sicherheitskonzepte bestehen. Eine weitere mögliche Lösung wäre der gänzliche Verzicht auf Erweiterungen. 3.3 Anforderung 4.2.1.8: Passwortmanager Sichere Passwortmanager erfüllen folgende Eigenschaften: Passwortmanager müssen eine eindeutige Zuordnung zwischen Webseite (URL) und hierfür gespeichertem Passwort zuverlässig ermöglichen. Passwörter müssen besonders geschützt abgespeichert werden (z. B. verschlüsselt). Diese Sicherheitsanforderungen sind nur dann anzuwenden, wenn Passwortmanager genutzt werden. Zur Umsetzung können auch externe Add-ons verwendet werden. Alle Browser bieten standardmäßig das Speichern eingegebener Login-Daten an, allerdings bietet lediglich Firefox die Möglichkeit, diese gespeicherten Werte erst nach Eingabe eines Masterpassworts auslesen zu können. Und auch diese Option muss aktiviert werden. Für Internet Explorer, Edge und Google Chrome gibt es zwei Optionen: Entweder, die Funktion zum Speichern von Passwörtern wird komplett deaktiviert oder es wird eine Lösung in Form von Drittanbieter-Werkzeugen genutzt. Entsprechende Programme gibt es auch als freie Lösungen unter Open-Source-Lizenzen. In den jeweiligen offiziellen Angeboten für Browser-Erweiterungen finden sich zahlreiche Lösungen, die mehr Sicherheit bieten als es die Browser standardmäßig tun. 3.4 Anforderung 4.2.1.22: Import zentraler erstellter Konfigurationen Zentrale Verwaltung: Der Import von zentral erstellten Konfigurationen muss möglich sein. Bundesamt für Sicherheit in der Informationstechnik 7

Auslegung und Umsetzung Um Browser effizient einheitlich auszurollen und zu konfigurieren, müssen sie über vorgefertigte, zentral erstellte Konfigurationen eingerichtet werden können. Dies kann beispielsweise über den Import von expliziten Config-Dateien, Profile oder Gruppenrichtlinien erfolgen. Chrome, Internet Explorer, Edge und Firefox können vorgefertigte Konfigurationen/Profile importieren bzw. übernehmen. Unter Windows ist ebenso eine Verwaltung über Gruppenrichtlinien möglich; Firefox benötigt dafür allerdings ein Add-on oder einen anderen Workaround. 3.5 Anforderung 4.2.1.24: Instanzen Browser-Instanzen: Der Web-Browser muss parallel in unterschiedlich konfigurierten Browser-Instanzen betrieben werden können. Um unterschiedlichen Sicherheitsbedürfnissen gerecht zu werden, muss ein Browser in mehreren, unterschiedlich konfigurierten Instanzen laufen können. So ließe sich der Browser etwa speziell für Fachverfahren mit erhöhter Sicherheit und parallel zum allgemeinen Surfen mit mehr Freiheiten einsetzen. Firefox bietet diese Möglichkeit direkt. Chrome kann als portable Version in mehreren Instanzen parallel laufen. Internet Explorer und Edge sind nicht dafür ausgelegt. Lösungen könnten beispielsweise ein zweiter Browser oder Virtualisierung sein. 3.6 Anforderung 4.2.1.25: Minimale Rechte Der Web-Browser muss nach seiner Initialisierung mit minimalen Rechten im Betriebssystem ablaufen. Die Managementkomponente (Ressourcenmanager) darf nicht dauerhaft die Rechte eines Administrators erfordern, um ablaufen zu können. Bei der Initialisierung kann der Web-Browser mit erweiterten Rechten laufen, diese sind danach aber wieder abzutreten. Lese- und Schreibzugriffe der Darstellungskomponenten sind ausschließlich auf festgelegte Bereiche des Dateisystems zulässig. Aufrufe von Betriebssystemfunktionen durch Darstellungskomponenten dürfen ausschließlich über wohldefinierte Schnittstellen der Ressourcenmanager erfolgen. Bestimmte Betriebssystemfunktionen werden für die Umsetzung eines Web-Browsers benötigt. Das Prinzip der minimalen Rechte wird dabei unterschiedlich umgesetzt. Unter Microsoft Windows haben die Ressourcenmanager von Internet Explorer, Edge, Chrome und Firefox mittlere Integrity Level. Die Darstellungskomponenten laufen anschließend mit niedrigeren Rechten. Die Browser sollten nicht mit dem Built-In-Administrator-Konto (das Standard-Admin-Konto, das bei der Installation eingerichtet wird) gestartet werden, denn dann wird der Ressourcenmanager ebenfalls mit hohem Integrity Level gestartet. 3.7 Anforderung 4.2.1.26: Architektur/Sandboxing Der Web-Browser muss eine Architektur mit folgenden Eigenschaften bereitstellen: 8 Bundesamt für Sicherheit in der Informationstechnik

Auslegung und Umsetzung Sämtliche Komponenten müssen voneinander und zum Betriebssystem hin gekapselt sein. Direkter Zugriff auf Ressourcen isolierter Komponenten darf nicht möglich sein. Kommunikation zwischen den isolierten Komponenten darf nur über definierte und kontrollierte Schnittstellen erfolgen. Darstellungskomponenten für aktive Inhalte wie Flash und JavaScript sind gesondert gekapselt. Die Anforderungen an die Architektur sollen sicherstellen, dass die angesprochenen Komponenten nicht in unerwünschter Weise auf andere Komponenten beziehungsweise deren Ressourcen zugreifen können. Alle vier betrachteten Browser werden dieser Anforderung gerecht, wenn auch in unterschiedlicher Ausprägung. Ein simples Beispiel verdeutlicht das Prinzip des Sandboxing: Die Kapselung sorgt bei Firefox unter Mac OS X in der aktuellen Implementierung auf Content-Ebene dafür, dass Schreibzugriffe auf den größten Teil des Dateisystems sowie Schreib- und Lesezugriffe auf das Profil-Verzeichnis, soweit nicht benötigt, geblockt werden. Die Implementierungen des Sandbox-Konzepts sind technisch wie qualitativ sehr unterschiedlich, jedoch erfüllen alle betrachteten Browser diese Anforderung. 3.8 Anforderung 4.2.1.27: Webseiten voneinander isoliert Web-Seiten müssen voneinander isoliert werden, idealerweise in Form eigenständiger Prozesse. Eine Isolation auf Thread-Ebene ist aber ebenfalls zulässig. Diese Anforderung zielt darauf ab zu verhindern, dass Webseiten auf die Ressourcen anderer geöffneter Webseiten zugreifen können. Die aktuellen Versionen der betrachteten Browser erfüllen dieses Kriterium. Jüngst hinzu gestoßen ist Firefox, der seit Version 48 multiprozessfähig ist. Sollte eine ältere Version des Mozilla-Browsers zum Einsatz kommen: Firefox vor Version 48 hat Tabs lediglich auf Thread- statt auf Prozessebene getrennt, was nach Interpretation des BSI immer noch genügend wäre. Bundesamt für Sicherheit in der Informationstechnik 9

Browser-Anpassungen 4 Browser-Anpassungen Als Ergänzung zur obigen ausführlichen Darstellung finden Sie folgend nochmal zusammengefasst die notwendigen Maßnahmen, um die einzelnen Browser konform zum Mindeststandard zu betreiben. Dabei wird lediglich auf solche Anforderungen verwiesen, die in diesem Dokument behandelt wurden und von den Browsern nicht standardmäßig erfüllt werden. Da es sich lediglich um eine Übersicht der wichtigsten Erkenntnisse/Maßnahmen aus Kapitel 3 handelt, wird auf weitergehende Erklärungen verzichtet. 4.1 Mozilla Firefox Master-Passwort muss aktiviert werden. 4.2 Google Chrome Passwort-Manager samt Master-Passwort muss per Add-on installiert werden; alternativ kann auf einen Passwort-Manager verzichtet werden. 4.3 Microsoft Internet Explorer Maßnahmen zur Aktualisierung von Erweiterungen beziehungsweise deren Sperrung. Passwort-Manager samt Master-Passwort muss per Add-on installiert werden; alternativ kann auf einen Passwort-Manager verzichtet werden. Es muss ein zweiter Browser zur Verfügung stehen beziehungsweise kurzfristig verfügbar gemacht werden können; alternativ könnte auch ein zweiter, virtualisierter Internet Explorer genutzt werden. 4.4 Edge Möglichkeit zur detaillierten Anzeige von Zertifikaten muss geschaffen werden. Maßnahmen zur Aktualisierung von Erweiterungen beziehungsweise deren Sperrung. Passwort-Manager samt Master-Passwort muss per Add-on eingebaut werden; alternativ kann auf einen Passwort-Manager verzichtet werden. Es muss ein zweiter Browser zur Verfügung stehen beziehungsweise kurzfristig verfügbar gemacht werden können. Alternativ kann eine zweite, virtualisierte Instanz von Edge genutzt werden. Diese ist jedoch aktuell noch nicht verfügbar, seitens Microsoft aber mit der Option Windows Defender Application Guard angekündigt. 10 Bundesamt für Sicherheit in der Informationstechnik

Anhang 5 Anhang Tabellarischer Abgleich von Firefox, Chrome, Internet Explorer und Edge in separater Datei. Bundesamt für Sicherheit in der Informationstechnik 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback