[datensicherheit.de, 07.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Mindeststandard für Webbrowser nun auch auf solche für mobile Plattformen ausgedehnt. „Webbrowser dienen als zentrale Software, um sich im Internet zu bewegen. Dabei verarbeiten sie auch Daten aus nicht vertrauenswürdigen Quellen, die schädlichen Code enthalten. Rechner, Handys und Tablets können sich so unbemerkt infizieren.“ Gleichzeitig nähmen die Funktionen und Schnittstellen von Webbrowsern stetig zu. Damit böten sie auch eine zunehmende Angriffsfläche für Cyber-Kriminelle. Die dynamische Entwicklung von Software-Produkten, die fortschreitende mobile Nutzung und die zentrale Rolle von Webbrowsern mache daher die Berücksichtigung aktueller Sicherheitsanforderungen notwendig.

Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht

Das BSI hat nun dazu den Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht. Für die Cyber-Nation Deutschland sei es wichtig, Cyber-Sicherheit aktiv zu gestalten. „Darum legen wir mit dem Mindeststandard die Anforderungen fest, die Webbrowser erfüllen müssen, um in der Bundesverwaltung eingesetzt zu werden – jetzt auch mobil!“, erläutert BSI-Präsidentin Claudia Plattner. Mit ihren Standards formulierten sie unter Beteiligung Dritter den Stand der Technik übersichtlich, einheitlich, praxisrelevant, unterstützend und zielgruppengerecht. Sie könnten also auch außerhalb der Bundesverwaltung als Maßstab dienen. „Damit erhöhen wir automatisch die Cyber-Resilienz in Deutschland.“

Wesentlich erweitert gegenüber der Vorgängerversion habe sich der Anwendungsbereich: Die neue Version gelte erstmals auch für Webbrowser auf mobilen Plattformen („mobile Browser“) der Bundesverwaltung. Der Mindeststandard enthalte entsprechende Hinweise und Ergänzungen, welche die technischen Besonderheiten mobiler Betriebssysteme berücksichtigten. So seien die Anforderungen sowohl auf Arbeitsplatzrechnern als auch auf mobilen Plattformen anwendbar.

Grundsätzlich kann jeder Webbrowser zum Einsatz kommen, der den Mindeststandard erfüllt

Zusammen mit dem Mindeststandard habe das BSI auch die zugehörige Browser-Abgleichstabelle aktualisiert. Diese diene als Arbeitshilfe für Anwender in der Bundesverwaltung. Diese beschreibe für die dort am häufigsten eingesetzten Webbrowser die Umsetzung der Mindeststandard-Anforderungen. Grundsätzlich könne aber jeder Webbrowser zum Einsatz kommen – „mit dem der Mindeststandard erfüllt werden kann“.

Der erstmals 2017 nach § 8 Abs. 1 BSIG veröffentlichte Mindeststandard für sichere Webbrowser richtet sich laut BSI in erster Linie an IT-Verantwortliche, IT-Betriebspersonal und Informationssicherheitsbeauftragte der Bundesverwaltung. Er könne aber auch Ländern, Kommunen sowie der Wirtschaft und Verbrauchern als Orientierung dienen. Weitere Mindeststandards, etwa für die Nutzung externer „Cloud“-Dienste oder das Mobile-Device-Management, sind auf der BSI-Website veröffentlicht. Das BSI hat nach eigenen Angaben einen Newsletter eingerichtet, „der über alle neuen Entwicklungen im Bereich der Mindeststandards informiert“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandard des BSI für Webbrowser

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

Browser-Erweiterungen benötigen bestimmte Berechtigungen

[datensicherheit.de, 27.09.2023] Von Übersetzungs-Tools über Werbeblocker bis hin zu Passwort-Managern – die Nutzung von Browser-Erweiterungen zur Anpassung und Verbesserung des Online-Erlebnisses ist heutzutage offensichtlich weit verbreitet. Diese kleinen Programme sollen zahlreiche Funktionen bieten, um das Surfen im Internet komfortabler und effizienter zu gestalten. Doch Patrycja Schrenk, Geschäftsführerin der PSW GROUP, rät zur Vorsicht: „Browser-Erweiterungen bergen auch ein Sicherheitsrisiko – insbesondere dann, wenn sie nicht sorgfältig überprüft oder aus nicht vertrauenswürdigen Quellen heruntergeladen werden!“ Damit Browser-Erweiterungen ordnungsgemäß funktionieren, müssten sie bestimmte Berechtigungen erhalten, wie beispielsweise das Lesen und Ändern von Inhalten von Webseiten. „Allerdings bergen umfangreiche Berechtigungen immer auch ein Sicherheitsrisiko, da sie das Potenzial für Missbrauch erhöhen“, warnt Schrenk. Cyber-Kriminelle könnten nämlich scheinbar harmlose Erweiterungen in echte Bedrohungen verwandeln – „mit denen sie dann zum Beispiel sensible Benutzerdaten wie Passwörter oder Zahlungsinformationen ausspionieren, auf gefälschte Websites umleiten und Anmeldeinformationen stehlen, unerwünschte Adware verbreiten und sogar die Opfer-Rechner mit Malware infizieren“.

Foto: PSW GROUP

Patrycja Schrenk: Je weniger Browser-Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen!

Ein Sortiment verschiedener schädlicher Browser-Erweiterungen

Tatsächlich existiere eine ganze Reihe verschiedener schädlicher Browser-Erweiterungen, allen voran betrügerische „WebSearch“-Erweiterungen für „Office“-Dateien. Diese Erweiterungen geben demnach vor, nützliche Tools für „Office“-Dateien zu sein, manipulierten jedoch heimlich die Browser-Suche und fügten Affiliate-Links zu Drittanbieter-Ressourcen ein.

Schrenk berichtet: „Viele ,WebSearch’-Erweiterungen sind inzwischen für ihre betrügerischen Aktivitäten bekannt. Nach ihrer Installation ersetzen sie die gewohnte Browser-Startseite durch eine Mini-Site mit einer Suchleiste und verfolgen Affiliate-Links zu Drittanbieter-Ressourcen wie ,AliExpress’ oder ,Farfetch’.“ Zudem änderten sie auch die Standard-Suchmaschine in „search.myway“. Dies ermögliche es den Cyber-Kriminellen, die Suchanfragen ihrer Opfer zu überwachen, zu speichern und zu analysieren, um sie mit gezielter Werbung zu überhäufen oder sie auf unerwünschte Websites umzuleiten.

Änderung der Standard-Suchmaschine des Browsers

Bei Cyber-Kriminellen ebenfalls beliebt seien die Adware-Erweiterung der „DealPly“-Familie. Diese Adware-Erweiterungen würden oft mit raubkopierten Inhalten verbreitet und ersetzten ebenfalls unbemerkt die Browser-Startseite durch eine Mini-Site, die Affiliate-Links zu beliebten digitalen Plattformen enthalte. Zusätzlich änderten sie die Standard-Suchmaschine des Browsers und verfolgten die Suchanfragen der Nutzer, um personalisierte Werbeanzeigen einzublenden.

„Hauptziel dieser betrügerischen Adware ist es, Einnahmen aus den Affiliate-Links und den angezeigten Werbeanzeigen zu generieren. Indem sie die Suchanfragen ihrer Opfer analysieren und personalisierte Werbung anzeigen, hoffen die Cyber-Kriminellen, mehr Klicks auf die Werbeanzeigen zu erhalten und so ihre Einnahmen zu steigern“, so Schrenk.

Browser-Erweiterungen der AddScript-Familie missbrauchen sogar legitime Technologien und Praktiken

Mit der Erweiterungen der „AddScript“-Familie missbrauchten Cyber-Kriminelle sogar legitime Technologien und Praktiken für ihre illegalen Zwecke: Diese Erweiterungen präsentierten sich nämlich als nützliches Tool, beispielsweise als Musik- und Video-Downloader oder als Proxy-Server-Manager, infizierten aber das Gerät ihres Opfers mit Schadsoftware. „Und ist diese erst einmal installiert, beginnt die Schadsoftware, im Hintergrund Videos anzuschauen, um künstlich die Aufrufzahlen zu erhöhen.“ Dies erzeuge Einnahmen für die Angreifer, da einige Website-Anbieter Zahlungen basierend auf der Anzahl der Aufrufe von Videos leisteten.

Schrenk warnt auch zugleich vor dem Cookie-Dieb „FB-Stealer“: „Mit Hilfe dieser schädlichen Erweiterungen stehlen Cyber-Kriminelle Sitzungscookies von Nutzenden des Sozialen Netzwerks ,facebook’, womit sie ohne jegliche Passwortabfrage Zugriff auf das ,facebook’-Konto ihres Opfers erhalten. Mit diesem Zugang können die Kriminellen dann verschiedene böswillige Aktivitäten ausführen, wie zum Beispiel Freunde und Verwandte des Opfers anschreiben und um Geld bitten oder andere Betrugsmaschen ausführen.“ Die „FB-Stealer“-Erweiterung gelange häufig zusammen mit dem Trojaner „NullMixer“ auf das Gerät des Opfers, welches sich „NullMixer“ beim Download gehackter Software-Installer einfange.

FriarFox – Firefox-Browser-Plugin seit mehreren Monaten aktiv

Seit mehreren Monaten aktiv sei auch das „Firefox“-Browser-Plugin „FriarFox“, welches Angreifern den Zugriff auf die „Gmail“-Konten ihrer Opfer gewähre. Verteilt werde die Erweiterung durch Phishing-E-Mails mit einem präparierten Link, welcher zu einer gefälschten Landing-Page mit einem vermeintlichen „Adobe Flash Player Update“ führe. Sobald das Opfer den Link anklickt, werden laut Schrenk „JavaScript“-Dateien ausgeführt, welche prüften, ob bestimmte Kriterien erfüllt sind – etwa, ob der Link mittels „Firefox“ geöffnet wurde und ob eine aktive User-Session in „Gmail“ ausgeführt wird. Ist dies der Fall, werde die „FireFox“-Browser-Erweiterung durch eine „XPI“-Datei installiert, welche den Cyber-Kriminellen nahezu vollständige Kontrolle über die E-Mail Konten ihrer Opfer gewähre.

Nutzer seien indes solchen schadhaften Browser-Erweiterungen nicht schutzlos ausgeliefert. Allerdings sollten diese stets sorgfältig ausgewählt und ausschließlich aus vertrauenswürdigen Quellen, beispielsweise aus den offiziellen WebStores der Browser, bezogen werden. „Auch wenn es keine 100%-ige Sicherheitsgarantie ist, so ist das Risiko, dort an eine bösartige oder unsichere Erweiterung zu geraten, definitiv geringer“, erläutert Schrenk.

Browser-Erweiterungen nur für deren Funktion unbedingt erforderliche Berechtigungen erteilen!

Wer seinen Browser-Erweiterungen zudem nur diejenigen Berechtigungen gewährt, welche für deren Funktion unbedingt erforderlich sind und zusätzlich sicherstellt, dass die Browser-Erweiterungen regelmäßig aktualisiert werden – zum Beispiel durch das Aktivieren der automatischen Update-Funktion – habe weitere wichtige Schutzmaßnahmen ergriffen. Schrenks Tipp: „Es lohnt sich auch, die Bewertungen und Erfahrungsberichte anderer Nutzenden zu lesen, bevor eine Erweiterung installiert wird. Positive Bewertungen und hohe Installationszahlen sind ein guter Indikator für die Vertrauenswürdigkeit einer Erweiterung.“

Schrenk selbst installiert nach eigenen Angaben außerdem auch „nur Erweiterungen, die ich wirklich benötige“ – und deaktiviert oder entfernt Erweiterungen, welche sie nicht nutzt. „Und das rate ich auch jedem anderen, denn je weniger Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen.“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 09.08.2023
Bedrohungslage / Browser-Erweiterungen, Cookies & Co.: Ein unbekanntes Risiko