Neuer BSI Community Draft fordert EV-SSL-Zertifikate

PSW GROUP informiert über Neuerungen

[datensicherheit.de, 24.07.2019] Für Cyberkriminelle sind Webbrowser ein sehr beliebtes Einfallstor und ihre Nutzung birgt ein grundsätzliches Risiko. Damit beim Surfen im World Wide Web dennoch ein angemessenes Sicherheitsniveau herrscht, ist es unabdingbar, technische und organisatorische Maßnahmen umzusetzen. Dazu veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2017 eine erste Version ihrer Mindeststandards für sichere Webbrowser.

Nun hat das BSI diese Standards überarbeitet und Version 2.0 im Rahmen eines Community Drafts veröffentlicht. Darauf weist die PSW GROUP hin und macht auf die wesentlichen Neuerungen sowie Änderungen aufmerksam. Dazu erklärt Geschäftsführerin Patrycja Tulinska: „Webbrowser laden Daten in aller Regel auch aus nicht vertrauenswürdigen Quellen. Da diese Daten schädlichen Code wie Viren, Trojaner oder Spyware enthalten können, müssen die Risiken beim Arbeiten mit dem Webbrowser minimiert werden. Ziel ist es deshalb, die Verfügbarkeit, Vertraulichkeit und Integrität schützenswerter Daten zu erhalten.“

Foto: PSW GROUP

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

Identifikation und Authentisierung

Wenn der ausgewählte Webbrowser mit einem Kennwortmanager arbeitet, muss der Passwortmanager in der Lage sein, Websites und dafür gespeicherte Kennwörter zuverlässig zuzuordnen. Sämtliche Passwörter müssen zudem verschlüsselt gespeichert werden. „Die Umsetzung durch externe Add-ons ist laut BSI zulässig. Wichtig dabei ist, dass ein Zugriff auf gespeicherte Kennwörter nur nach Eingabe eines Master-Passworts erfolgen darf“, so Tulinska.

Updates/ Patches

Liefert die Prüfung der Integrität eines Updates ein positives Prüfergebnis, dürfen Updates eingespielt werden. Ein nicht korrektes Prüfergebnis sollte allerdings Nutzer signalisiert werden. In diesem Fall darf das Update nicht eingespielt werden. „Darüber hinaus müssen sämtliche Browser-Komponenten in die Aktualisierung einbezogen werden. Erweiterungen oder eigenständige Programme, die dafür sorgen, dass zusätzliche Elemente in den Browser eingefügt werden, sind entweder über separate Update-Prozesse aktuell zu halten oder zu untersagen“, informiert die IT-Sicherheitsexpertin. Zudem müssen Updates immer erkannt und angezeigt werden sowie das automatische Einspielen von Aktualisierungen möglich sein.

Vertrauenswürdige Kommunikation

„In den Bereichen TLS, Zertifikate und Zertifikats-Prüfung gibt es gleich einiges zu beachten. So muss das TLS-Protokoll vom Browser unterstützt werden. Leider verzichtet das BSI hier auf eine Angabe über die TLS-Version. Ideal ist die 2018 erschienene Version 1.3, auch TLS 1.2 oder 1.1 können noch Verwendung finden“, rät Tulinska, da TLS 1.0 seit Juni 2018 nicht mehr dem aktuellen Stand entspricht.

Die verwendeten Browser müssen zudem eine Liste von Zertifikaten vertrauenswürdiger Zertifizierungsstellen bereitstellen und EV-SSL-Zertifikate, sprich TLS-Zertifikate mit erweiterter Validierung, müssen vom Browser unterstützt werden. „Website-Betreiber können beispielsweise bei uns solche EV-SSL-Zertifikate erwerben, die den Anforderungen des BSI entsprechen. Moderne Webbrowser signalisieren den Website-Besuchern dann, dass die Website nicht nur sicher, sondern vertrauensvoll ist“, bemerkt Tulinska. EV-SSL-Zertifikate sind bereits in der Adressleiste deutlich erkennbar und gelten als SSL-Zertifiakte mit der höchsten Sicherheitsstufe. Im Gegensatz zu domainvalidierten SSL-Zertifikaten wird vor Ausstellung nicht nur der Besitz der Domain überprüft, sondern zusätzlich die Existenz des Unternehmens.

Laut BSI muss es zudem möglich sein, eigene Wurzelzertifikate zu ergänzen. „Im Rahmen der Zertifikatsprüfung muss der Browser in der Lage sein, die Gültigkeit des Serverzertifikats vollständig zu überprüfen. Neben dem Serverzertifikat sollte diese Prüfung alle CA-Zertifikate der Zertifikatskette bis hin zum Wurzelzertifikat beinhalten“, ergänzt die Expertin. Gemäß der überarbeiteten Mindeststandards für sichere Webbrowser soll außerdem HSTS (HTTP Strict Transport Security) künftig vom Browser gemäß RFC 6797 vom IETF unterstützt werden. Werden dieselben Sicherheitsziele erreicht, sind auch abweichende Implementierungen zum Trackingschutz zulässig.

Weitere Informationen zum Thema:

PSW GROUP
Neue BSI Community Draft fordert EV-SSL-Zertifikate

datensicherheit.de, 22.07.2019
Digitale Zertifikate sind heiße Ware im Darknet

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten