Verschlüsselung

Neue BSI Community Draft fordert EV-SSL-Zertifikate

16. Juli 2019 von Bianca Wellbrock

bsi
© Tomasz Zajda - Fotolia.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte im März 2017 die Version 1.0 ihrer Mindeststandards für sichere Webbrowser. Nun hat das BSI diese Standards überarbeitet und die Version 2.0 im Rahmen eines Community Drafts veröffentlicht.

Was ist der Mindeststandard für sichere Browser?

Für Cyberkriminelle sind Webbrowser ein sehr beliebtes Einfallstor – ihre Nutzung birgt also ein grundsätzliches Risiko. Damit beim Surfen im World Wide Web dennoch ein angemessenes Sicherheitsniveau herrscht, ist es unabdingbar, technische und organisatorische Maßnahmen entsprechend umzusetzen.

Die Mindeststandards, die das BSI zusammenfasst, beschreiben Sicherheitsanforderungen an Browser, die auf Rechnern der Bundesverwaltung eingesetzt werden. Um ein Mindestmaß an Informationssicherheit zu erlangen und einen Schutz auf dem Stand der Technik zu bieten, existieren diese Mindeststandards.

Das braucht ein sicherer Browser laut BSI

Webbrowser laden Daten in aller Regel auch aus nicht vertrauenswürdigen Quellen. Da diese Daten schädlichen Code wie Viren, Trojaner oder Spyware enthalten können, müssen die Risiken beim Arbeiten mit dem Webbrowser minimiert werden. Ziel ist es, die Verfügbarkeit, Vertraulichkeit und Integrität schützenswerter Daten zu erhalten. Den kompletten Community Draft können Sie beim BSI einsehen (PDF). Die wichtigsten Neuerungen erfahren Sie im Folgenden:

Identifikation und Authentisierung

Arbeitet der ausgewählte Webbrowser mit einem Kennwortmanager, sind die folgenden Eigenschaften zu erfüllen:

  • Der Passwortmanager muss in der Lage sein, Websites und dafür gespeicherte Kennwörter zuverlässig zuzuordnen.
  • Sämtliche Passwörter müssen verschlüsselt abgespeichert werden.

Die Umsetzung durch externe Add-ons ist laut BSI zulässig. Wichtig: Ein Zugriff auf gespeicherte Kennwörter darf nur nach der Eingabe eines Master-Passworts erfolgen.

Updates/ Patches

Liefert die Prüfung der Integrität eines Updates ein positives Prüfergebnis, dürfen Updates eingespielt werden. Ein nicht korrektes Prüfergebnis sollte dem Nutzer signalisiert werden. In diesem Fall darf das Update nicht eingespielt werden. Weiter gilt für Updates:

  • Sämtliche Browser-Komponenten sind in die Aktualisierung mit einzubeziehen. Erweiterungen oder eigenständige Programme, die dafür sorgen, dass zusätzliche Elemente in den Browser eingefügt werden (z. B. EXE-Dateien für den IE, um Buttons einzurichten), sind entweder über separate Update-Prozesse aktuell zu halten oder zu untersagen.
  • Updates müssen immer erkannt und zuverlässig angezeigt werden.
  • Das automatische Einspielen von Aktualisierungen muss möglich sein.

Werden für den verwendeten Webbrowser keinerlei Sicherheitsupdates mehr ausgeliefert, hat schnellstmöglich die Umstellung auf einen anderen Browser zu erfolgen.

Vertrauenswürdige Kommunikation

In den Bereichen TLS, Zertifikate und Zertifikats-Prüfung gibt es einiges zu beachten:

  • Das TLS-Protokoll muss vom Browser unterstützt werden. Leider verzichtet das BSI auf eine Angabe über die TLS-Version. Ideal ist die 2018 erschienene Version 1.3, auch TLS 1.2 oder 1.1 können noch Verwendung finden. TLS 1.0 hingegen entspricht seit Juni 2018 nicht mehr dem aktuellen Stand.
  • Verwendete Browser müssen eine Liste von Zertifikaten vertrauenswürdiger Zertifizierungsstellen bereitstellen.
  • EV-SSL-Zertifikate (TLS-Zertifikate mit erweiterter Validierung) müssen vom Browser unterstützt werden.
  • Es muss möglich sein, eigene Wurzelzertifikate zu ergänzen.

Im Rahmen der Zertifikatsprüfung muss der Browser in der Lage sein, die Gültigkeit des Serverzertifikats vollständig zu überprüfen. Neben dem Serverzertifikat sollte diese Prüfung alle CA-Zertifikate der Zertifikatskette bis hin zum Wurzelzertifikat beinhalten.

HSTS (HTTP Strict Transport Security) muss vom Browser gemäß RFC 6797 vom IETF unterstützt werden. Werden dieselben Sicherheitsziele erreicht, sind auch abweichende Implementierungen zum Trackingschutz zulässig.

Unterstützen auch Sie sichere Webbrowser

Die Unterstützung von interessiertem Fachpublikum ist gern gesehen: Das BSI lädt zu Rückmeldungen und Kommentaren zur Community Draft ein. Ihre Meldung können Sie noch bis zum 19. Juli 2019 per E-Mail an mindeststandards@bsi.bund.de einreichen.

Übrigens: Bei uns, der PSW GROUP, können Sie EV-SSL-Zertifikate erwerben, die den Anforderungen des BSI entsprechen. Moderne Webbrowser signalisieren Ihren Website-Besuchern so, dass Ihre Website nicht nur sicher, sondern vertrauensvoll ist.

Wie hat Ihnen dieser Artikel gefallen?

Average rating / 5. Vote count:



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu