Der Browser als IT-Sicherheitsfaktor in Unternehmen

Allzu oft werden Browser in Unternehmen stiefmütterlich behandelt: Entweder, es bleibt auf ewig bei der vorinstallierten Version – zumeist eine betagte Variante des Microsoft Internet Explorer wie die angegraute Version 6 aus dem Jahr 2001 – oder die Anwender können dank Administratorenrechten eigene Software installieren. Dann kommt es in der Regel zu einem Mix aus zwei oder gar noch mehr verschiedenen Browservarianten.

Wie gefährlich dies für die IT-Sicherheit in Unternehmen ist, hat jetzt eine Studie* des Beratungsunternehmens Experton Group zu Tage gefördert: Wurde auf den betagten Internet Explorer 6 gesetzt und den Anwendern andere Browser per freier Wahl erlaubt, mussten sich IT-Verantwortliche zwischen Juni 2009 und Mai 2011 mit stolzen 668 Sicherheitslücken auseindersetzen. Hiermit sind auch mannstarke IT-Sicherheitsteams in Großunternehmen überfordert. Kommt lediglich der Internet Explorer 8 zum Einsatz, so waren es im gleichen Zeitraum lediglich 90 Sicherheitslücken. Diese werden in der Regel durch Updates geschlossen, die getestet und installiert werden wollen – insbesondere bei mittleren und kleinen Unternehmen mit nur geringen IT-Ressourcen eine spürbare Belastung.

Verwundbarkeit der einzelnen Browser: Neuere Browserversionen stellen geringeres Sicherheitsrisiko dar.

Diese Zahlen sind realistisch und keine Extrembeispiele. Denn seit sich Cyberkriminelle auf weitverbreitete Anwendungen wie Browser, Adobe Reader oder Adobe Flash konzentrieren – die Sicherheitsfunktionen von Windows sind inzwischen so hoch, dass der Aufwand für Angreifer immens hoch ist –, werden auch reichlich Schwachstellen in diesen Programmen entdeckt. Je älter der Browser, desto löchriger ist dessen Sicherheitskonzept und generelle Widerstandsfähigkeit. Werden mehrere Browser im Mix genutzt, potenziert sich das Risiko. Und dieses Risiko ist beträchtlich, da die meisten Attacken den Webbrowser entweder direkt ins Visier nehmen, oder ihn zumindest als Einfallstor missbrauchen.

Die Experton Group rät Unternehmen nicht nur dazu, sich möglichst auf einen Standardbrowser zu beschränken, um die Angriffsfläche klein zu halten. Es gilt vielmehr auch, einen möglichst aktuellen Browser zu wählen. Zehn Jahre alte Versionen wie zum Beispiel der Internet Explorer 6 haben im Jahr 2011 an sich auf keinem Unternehmens- oder Privat-PC mehr etwas verloren. Der Wechsel auf alternative Browser wie exemplarisch den IE8, Firefox oder Chrome ist daher eine sinnvolle und absolut notwendige Option.

Bei der Wahl des Standardbrowsers ist die Anzahl der vorhandenen Schwachstellen – jede Software wird immer von Bugs und Lücken geplagt sein –nur ein zu betrachtender Faktor. Darüber hinaus sollten auch die dem Browser eigenen Sicherheitsmechanismen geprüft werden. Hierzu gehören Punkte wie ein integrierter Spamfilter, der Check von heruntergeladenen Dateien auf Viren oder die Möglichkeit, die Analyse des Surfverhaltens durch Webseitenbetreiber direkt durch den Browser zu unterbinden.

Sicherheitsrisiko: Über die Hälfte der deutschen Unternehmen mit mehr als 500 PCs setzen noch immer den Internet Explorer in den veralteten Versionen 6 und 7 als Standard-Browser ein.

Außerdem sollten Unternehmen darauf achten, dass sich der Browser komfortabel zentral verwalten und mit den erwähnten Sicherheitsupdates versorgen lässt. Ein automatischer Updatemechanismus, wie ihn gängige Software inzwischen regelmäßig mitbringt, ist hierbei hilfreich – aber kein Allheilmittel: Es sollte den Anwendern nicht selbst überlassen bleiben, die Updates selbst zu installieren. Denn beim Verteilen der Sicherheitsflicken kommt es oftmals auf Stunden an, um einer massenhaft durchs Netz geisternden Attacke nicht zum Opfer zu fallen.

Werden all diese Empfehlungen kombiniert, wird die Grundlage für die benötigte -und von der Experton Group vorgeschlagene - Browserstrategie geschaffen. In der Praxis bedeutet dies, dass Browser mit der gleichen Sorgfalt gewählt, betrieben und gepflegt werden sollten, wie andere Client- und Serveranwendungen auch. Derzeit haben laut einer Umfrage des Beratungsunternehmens lediglich 19 Prozent aller deutschen Unternehmen mit mehr als 500 Mitarbeitern eine solche Strategie. Angesichts der drohenden Gefahren und eventuell vergebenen Möglichkeiten der Produktivitätssteigerung eine beinahe erschreckend hohe Zahl.

Die Experton Group empfiehlt:

• Entscheider und IT-Verantwortliche in Unternehmen sollten sich zwingend mit dem Thema „Browser“ strategisch auseinandersetzen. Der Einsatz von Web-Anwendungen oder Cloud-Lösungen bedingt einen modernen Browser.
• Anwenderunternehmen, die gegenwärtig eine Migration von Windows 7 planen oder umsetzen (und noch immer maßgeblich den Internet Explorer 6 einsetzen) müssen die Kompatibilität der eingesetzten Web-Anwendungen mit dem Internet Explorer 8 bzw. alternativen Browsern prüfen.
• Nutzer des Internet Explorer 6 müssen zeitnah einen Umstieg auf IE8 bzw. eine Alternative anstreben. Der Einsatz des IE6 erfüllt weder die aktuellen Anforderungen der Anwender noch die Bedarfe hinsichtlich Sicherheit und Performance.
• Nutzer von Firefox sollten sich zwingend mit dem Thema Deployment und Rechtemanagement beschäftigen. Eine zu lockere Handhabung der Anwenderrechte birgt Sicherheitsrisiken.

Der Autor:

Axel Oppermann, IT-Maktanalyst und Senior Advisor der Experton Group

(Foto: Peter Kirchhoff / pixelio.de)