Datenschutzkonforme Web-Browser: Sichere Auswahl und Benutzung

Web-Browser gehören für praktisch jeden von uns zum Arbeitsalltag. Ihre Nutzung ist so selbstverständlich geworden, dass die Sicherheit oftmals in den Hintergrund rückt. Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nun neu definierte Mindeststandard für Web-Browser zeigt, was einen sicheren Web-Browser auszeichnet, und dient auch Unternehmen und Privatanwendern als Orientierungshilfe.

Über Sicherheitsaspekte bei Konfiguration und Einsatz von Web-Browsern sprechen wir im Interview mit Martin Zobel, IT-Referent im BSI, sowie Anne Hillmer, IT-Consultant bei DataGuard.

 

Das Wichtigste in Kürze

  • Das BSI hat seinen Mindeststandard für Web-Browser aktualisiert.
  • Die Anforderungen gelten für Behörden, bieten aber auch für Unternehmen und private Nutzer Orientierung.
  • Immer mehr Anwendungen laufen über Browser-Schnittstellen: Web-Browser sind somit ein potenziell attraktives Einfallstor für Angreifer.

Herr Zobel, das BSI definiert Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Was müssen wir uns konkret unter Mindeststandards vorstellen?

Martin Zobel: Wir verstehen uns als Cyber-Sicherheitsbehörde des Bundes mit dem klaren gesetzlichen Auftrag, die Informationssicherheit in der Digitalisierung zu gestalten. Neben Wirtschaft und Gesellschaft ist für uns der Staat mit seiner Bundesverwaltung eine besondere Zielgruppe.

Mindeststandards beschreiben anhand von leicht verständlichen Sicherheitsanforderungen ein Mindestsicherheitsniveau der Informationssicherheit, das aus unserer Fachsicht in der Bundesverwaltung nicht unterschritten werden sollte. Gesetzlich ist diese Aufgabe im § 8 BSIG geregelt.

„Die Mindeststandards des BSI sind für Unternehmen eine sehr gute Orientierungshilfe.“

Diese Mindeststandards werden also speziell für die Bundesverwaltung erstellt. Frau Hillmer, aus Ihrer Erfahrung aus der früheren Tätigkeit für das BSI und der jetzigen für DataGuard: Wie relevant sind die Mindeststandards für Unternehmen?

Anne Hillmer: Die Mindeststandards des BSI sind für Unternehmen eine sehr gute Orientierungshilfe, da Unternehmen gemäß Datenschutz-Grundverordnung (DS-GVO) den Schutz und die Sicherheit personenbezogener Daten verantworten. Die datenschutzrechtlichen Anforderungen können somit durch Maßnahmen erreicht werden, die in der Praxis häufig Hand in Hand mit Anforderungen zur Informationssicherheit gehen.

Und dabei helfen die Empfehlungen des BSI?

AH: Was die Mindeststandards des BSI auszeichnet, ist, dass sie eben keine allgemeinen Empfehlungen von der Art „konfigurieren Sie Ihren Browser IT-Sicherheits- und datenschutzkonform“ sind. Diese können für Unternehmen oft überwältigend sein. Im Gegenteil: Der Aufbau sowie die detaillierten, konkreten und praxisrelevanten Vorgaben der Mindeststandards ermöglichen es Unternehmen, die Maßnahmen einfach und strukturiert umzusetzen.

Profitieren davon ausschließlich Unternehmen?

AH: Im Endeffekt sind die Mindeststandards des BSI so angelegt, dass Organisationen jeder Art, beispielsweise Vereine, aber auch Privatpersonen sie zurate ziehen können, um ihre digitalen Fußspuren zu minimieren.

„Unsichere Web-Browser sind für Angreifer oft der attraktivste Weg für einen Cyber-Angriff.“

Herr Zobel, das BSI hat jüngst einen überarbeiteten Mindeststandard für Web-Browser veröffentlicht. Warum ist die Informationssicherheit bei der Nutzung von Browsern so wichtig?

MZ: Bei der Nutzung eines Web-Browsers werden Daten aus ganz unterschiedlichen Quellen auf den jeweiligen Arbeitsplatzrechner geladen (und umgekehrt). Diese Daten sind häufig besonders schutzwürdig. Daher ist es wichtig, dass die eingesetzten Softwareprodukte – hier der Web-Browser – keine bekannten Sicherheitslücken haben, um ein Abgreifen oder Abfließen der Daten zu verhindern. Das ist nicht nur am heimischen PC kritisch, sondern vor allem auch an Arbeitsplatzrechnern in Behörden und Unternehmen.

Könnten Sie dafür Beispiele nennen?

MZ: Im kritischen Bereich bewegen wir uns beispielsweise bei einer Fachanwendung aus dem Personalbereich, die mittels Web-Browser-Schnittstelle genutzt werden kann. Oder aber wenn Passwörter im Web-Browser nicht sicher gespeichert werden. Das stellt dann eine besonders wertvolle Beute für Cyber-Kriminelle dar.

Was macht gerade Browser so anfällig für diese Cyber-Kriminellen, von denen Sie sprechen?

MZ: Webbrowser haben zunächst einen extrem hohen Verbreitungsgrad. Sie sind so gut wie auf jedem Arbeitsplatz installiert und werden dort auch intensiv genutzt. Gleichzeitig wachsen Funktionsumfang und Anwendungsszenarien stetig an. Dies liegt insbesondere an der Implementierung des HTML5-Standards, aber auch an der vermehrten Nutzung von Cloud-Diensten.

Und dann geht es, wie oben am Beispiel der Fachanwendung für Personaler kurz dargestellt, im beruflichen Umfeld nicht mehr nur „ums Surfen“, sondern es gibt immer mehr Fachanwendungen, die im Web-Browser laufen. Unsichere Web-Browser sind für Angreifer oft der attraktivste Weg für einen Cyber-Angriff. Daher sind die Regelungen des Mindeststandards so wichtig.

In seiner ursprünglichen Fassung wurde der Mindeststandard für Web-Browser Anfang 2017 veröffentlicht. Um die Informationssicherheit dauerhaft zu gewährleisten und mit der technischen Entwicklung Schritt zu halten, wird der Standard regelmäßig aktualisiert. Die aktuelle Version 2.1 steht seit dem 25.06.2020 zur Verfügung

Was genau regelt denn der Mindeststandard?

MZ: Der Mindeststandard regelt den sicheren Einsatz von Web-Browsern. Die Anforderungen sind dabei thematisch unterteilt und adressieren das Produkt selbst, den Hersteller und den Betrieb des Browsers. Beim Produkt selbst geht es zunächst um Einstellungsoptionen zum Umgang mit Cookies sowie die Unterstützung moderner zentraler Sicherheitsfunktionen wie der Same-Origin-Policy.

DieGleiche-Herkunfts-Richtlinie“ also, die als Sicherheitskonzept Skriptsprachen wie JavaScript den Zugriff auf bestimmte Objekte untersagt, die von anderen Websites stammen.

MZ: Genau. Das wären also Anforderungen in Hinblick auf das Produkt selbst. Wenn es um den Hersteller geht, fordert der Mindeststandard aktiven Support etwa in Form von Sicherheitsupdates sowie eine transparente Dokumentation.

Welche Mindeststandards definiert das BSI für den Betrieb des Produkts, den Sie als dritten Bereich nannten?

MZ: Hier wären als Beispiele zu nennen die Konfiguration und der Umgang mit Verlaufsdaten und Autofill-Funktionen, das zeitnahe Einspielen von Sicherheitsupdates, aber auch, was zu tun ist, wenn diese vom Hersteller nicht rechtzeitig geliefert werden können. Uns ist wichtig: IT-Sicherheit ist vielschichtig. Bei Web-Browsern reicht es daher nicht aus, ein sicheres Produkt auszuwählen. Es muss auch sicher betrieben werden.

Wie überprüfe ich denn, ob der Browser, den mein Unternehmen nutzt, die Mindestanforderungen erfüllt?

MZ: Die Schlüsselwörter lauten „muss“ und „sollte“: Unsere Sicherheitsanforderungen sind immer so formuliert, dass auch Unternehmen diese überprüfen können. Dies gilt insbesondere für die Anforderungen an den Betrieb.

Für die Sicherheitsanforderungen an das Produkt und den Hersteller haben wir einen Abgleich erarbeitet. Dabei prüfen wir, inwiefern die einzelnen Sicherheitsanforderungen von den in der Bundesverwaltung am häufigsten eingesetzten Web-Browsern erfüllt werden. Diese Browser sind Chrome, Firefox, Internet Explorer und Edge. Für den Abgleich nutzen wir ein einfaches Ampelsystem.

Auszug aus der Abgleichtabelle des BSI

Anforderung Mozilla Firefox ESR Google Chrome Microsoft Internet Explorer Microsoft Edge
Cookies This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg
Website-Daten und Verlauf This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg
Unterschiedliche Browser-Konfigurationen This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Neutral.svg This image has an empty alt attribute; its file name is Positive.svg

Alle Anforderungen und Einschätzungen zu den einzelnen Anbietern finden Sie in der Browser-Abgleichtabelle zum Mindeststandard des BSI für sichere Web-Browser.

„Die IT-Sicherheit ist ein wichtiger Bestandteil des Datenschutzes.“

Frau Hillmer, gehen wir davon aus, dass ich bereits einen Browser nutze, der all diese Kriterien erfüllt. Ist damit automatisch auch der Datenschutz gewährleistet?

AH: Die IT-Sicherheit ist ein wichtiger Bestandteil des Datenschutzes. Somit ist ein sicherer Browser gut, aber der Datenschutz wird dabei nur teilweise abgedeckt.

Könnten Sie näher ausführen, was IT-Sicherheit im Sinne der DS-GVO umfasst?

AH: Die Überschneidungen werden schnell deutlich, wenn wir stellvertretend auf einige Anforderungen blicken, die die DS-GVO stellt. Die Verordnung fordert einerseits in Artikel 32 die Sicherheit der Verarbeitung. Das bedeutet unter anderem, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, kurz auch TOM genannt, umsetzen müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

In diesem Zusammenhang ist wichtig zu beachten, dass die DS-GVO fordert, die TOM nach Stand der Technik einzusetzen. Es reicht also nicht, einmal bestimmte TOM zu implementieren, um für immer datenschutzkonform zu sein. Vielmehr ist Datenschutz eine laufende Aufgabe, die in diesem Fall darin besteht, Web-Browser wie auch jegliche anderen Tools zur Verarbeitung personenbezogener Daten durch eine geeignete Konfiguration und regelmäßige Aktualisierungen abzusichern.

„Tatsächlich liegen nicht alle Datenschutzaspekte in der Verantwortung der Anbieter von Web-Browsern.“

„Privacy by Design“ und „Privacy by Default” sind zwei weitere Konzepte, von denen in diesem Zusammenhang die Rede ist. Was verbirgt sich dahinter?

AH: Die DS-GVO fordert in Artikel 25 datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Voreinstellung, womit eben diese Konzepte gemeint sind. Das betrifft primär nicht Nutzer, sondern die Verantwortlichen für die Datenverarbeitung, in dem Fall auch die Browser-Anbieter selbst, die „Privacy by Design“ und „Privacy by Default“ in ihr Produkt integrieren müssen.

Zu diesem Punkt zählt, dass technische und organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundsätze getroffen werden und dass die Voreinstellungen des Browsers so sind, dass nur notwendige personenbezogene Daten verarbeitet werden. Das bezieht sich sowohl auf die Menge der personenbezogenen Daten als auch auf den Umfang ihrer Verarbeitung und deren Speicherdauer.

Wir lernen also: Anbieter von Web-Browsern müssen ihren Teil zum Datenschutz beitragen. Wer muss außerdem noch einen Beitrag zum Datenschutz leisten?

AH: Tatsächlich liegen nicht alle Datenschutzaspekte in der Verantwortung der Anbieter von Web-Browsern. Es kommen noch Anforderungen speziell etwa für Website-Betreiber hinzu, die nicht direkt mit der IT-Sicherheit des Web-Browsers zu tun haben, die aber einen höheren Datenschutz gewährleisten sollen, sofern Browser als Mittel der Verarbeitung personenbezogener Daten zum Einsatz kommen.

Die Rede ist von Cookies?

AH: Ja, zum Beispiel. Der Bundesgerichtshof (BGH) hat am 28. Mai dieses Jahres ein Urteil zur Einwilligung in die Cookie-Speicherung gefällt. Demnach benötigt das Setzen aller technisch nicht notwendigen Cookies, beispielsweise zum Verhaltenstracking, eine Einwilligung. Wir sprechen auch vom Opt-in.

Was bedeutet das, technisch gesehen?

AH: Aus Datenschutz-Sicht gibt es einige grundlegende Anforderungen an diese Einwilligung. Die Wichtigste hierbei ist, dass technisch nicht notwendige Cookies erst nach Erteilung der Einwilligung gesetzt und ausgelesen werden dürfen. Ebenso einfach muss die Einwilligung widerrufen werden können.

„Die Auswirkungen von Entscheidungen, die beim Einsatz von Web-Browsern getroffen werden, sind potenziell weitreichend.“

Klingt, als sei da recht viel zu beachten an der Schnittstelle zwischen Informationssicherheit und Datenschutz bei Web-Browsern.

AH: Das Thema ist tatsächlich nicht so überschaubar, wie man im ersten Moment denken würde. Die Auswirkungen von Entscheidungen, die beim Einsatz von Web-Browsern getroffen werden, sind potenziell weitreichend. Wenn es um den Browser als Tool selbst geht, ist nicht nur die Wahl des Tools relevant, sondern auch, ob es die Anforderungen an „Privacy by Design“ und „Privacy by Default“ erfüllt sowie welche technischen Ausgestaltungsmöglichkeiten es bietet, beispielweise in Bezug auf die Einstellungen, Cookies und Plug-ins.

Wenn es andererseits um die Verarbeitung personenbezogener Daten in den Browsern geht – im Rahmen von Internetauftritten von Unternehmen, Behörden und Organisationen –, spielen unter anderem zusätzlich die Datenschutzerklärung, die Betroffenenrechte, die Grundsätze der Datenverarbeitung und die Sicherheit der Verarbeitung entscheidende Rollen im Datenschutz. Diese gehen dann über die Informationssicherheit hinaus.

Die Mindeststandards gewährleisten also nicht nur die Einhaltung der Informationssicherheit, sondern zumindest auch in Teilen die Einhaltung datenschutzrechtlicher Anforderungen. Sie sollten daher nicht unterschritten werden

„Der Mindeststandard hilft dabei, IT-Sicherheit auf allen Ebenen zu bedenken.“

Wenn wir noch einmal zusammenfassen: Wie können Unternehmen die Informationssicherheit und den Datenschutz bei der Nutzung von Web-Browsern sicherstellen? Und welche Rolle spielt hierbei der Mindeststandard des BSI?

MZ: Zunächst gibt der Mindeststandard Orientierung und regelt alle relevanten Themenbereiche der Informationssicherheit. Als besonders wichtig erachte ich die Anforderungen an den Betrieb. Denn hier sind im Mindeststandard die entscheidenden Stellschrauben angesprochen, zum Beispiel der Update-Prozess oder der Umgang mit Browser-Erweiterungen.

Sofern ein Web-Browser aus der Abgleichtabelle einsetzt wird, kann man schnell und einfach in das Thema einsteigen. Das sind, denke ich, starke Benefits, die neben der Bundesverwaltung auch Unternehmen für sich nutzen können.

Der Mindeststandard hilft dabei, IT-Sicherheit auf allen Ebenen zu bedenken. Es ist wichtig, dass Hersteller sichere Produkte anbieten. Aber genauso wichtig ist es, dass Web-Browser sicher betrieben werden. Unerlässlich ist schließlich insbesondere im beruflichen Umfeld eine zentrale Administration. Nur so kann einheitlich festgelegt werden, wie und welche Sicherheitsupdates eingespielt werden oder welche Erweiterungen installiert werden dürfen.

AH: Dem kann ich nur zustimmen und ergänzen, dass sowohl Informationssicherheit als auch Datenschutz essenziell sind. Beide überschneiden sich, und je nach Einsatzgebiet in Behörden, Unternehmen oder privat ergeben sich verschiedene Implikationen für IT-Sicherheit und Datenschutz. Die Technik entwickelt sich, und es lohnt sich, ein wenig Zeit in das Thema zu investieren, um am Ende wirklich einen sicheren Browser einzusetzen.

Martin-Zobel-_1_

Martin Zobel ist studierter Wirtschaftsinformatiker und seit 2016 für das Bundesamt für Sicherheit in der Informationstechnik (BSI) tätig. In seiner Position als IT-Referent und stellvertretender Referatsleiter betreut er vor allem IT-Sicherheitsbeauftragte und IT-Verantwortliche. Schwerpunkt seiner Arbeit sind die Mindeststandards des BSI – insbesondere in den Bereichen Cloud Security, Web-Browser und Mobile Device Management. Seine Entscheidung, sich in diesen Bereichen zu engagieren, begründet Zobel vor allem mit der hohen Relevanz der Informationssicherheit für Staat, Wirtschaft und Gesellschaft: „Informationssicherheit ist die Grundvoraussetzung für eine sichere Digitalisierung. Sie zu gestalten, treibt mich an.“

Anne-Hillmer-1-_1_

Anne Hillmer ist IT-Consultant bei DataGuard. Zuvor arbeitete sie unter anderem für das BSI, wo sie sich gemeinsam mit Martin Zobel mit den technischen Sicherheitsanforderungen der Datenverarbeitung beschäftigte. In einem Beratungsunternehmen kam Hillmer erstmals mit Datenschutz und Compliance in Berührung und erkannte schnell die hohe politische und gesellschaftliche Brisanz des Themas: „Datenschutz bedeutet für mich Privatsphäre. Ich möchte dazu beitragen, dass Privatsphäre als Menschenrecht respektiert wird – besonders in Zeiten, in denen sich Technologie oft schneller entwickelt als die Gesetzgebung und sich somit nicht nur Chancen, sondern auch viele Herausforderungen ergeben.“

 

Über den Autor

Anne Hillmer Anne Hillmer
Anne Hillmer

Mit Datenschutz beschäftigte sich Anne Hillmer zum ersten Mal in einem Beratungsunternehmen für Datenschutz und Compliance. Schon bald entdeckte sie für sich die hohe politische und gesellschaftliche Brisanz des Themas. Während ihrer Tätigkeit für das Bundesamt für Sicherheit in der Informationstechnik (BSI) lernte sie dann die technische Seite und die Sicherheitsanforderungen der Datenverarbeitung kennen. Bei ihrer Arbeit verfolgt sie ein klares Ziel: „Datenschutz bedeutet für mich Privatsphäre. Ich möchte dazu beitragen, dass Privatsphäre als Menschenrecht respektiert wird – besonders in Zeiten, in denen sich Technologie oft schneller entwickelt als die Gesetzgebung und sich somit nicht nur Chancen, sondern auch viele Herausforderungen ergeben.“ Zum Abschalten nach getaner Arbeit setzt Anne auf eine bewährte Kombi: Sport und frische Luft.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren