Web-Browser gehören für praktisch jeden von uns zum Arbeitsalltag. Ihre Nutzung ist so selbstverständlich geworden, dass die Sicherheit oftmals in den Hintergrund rückt. Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nun neu definierte Mindeststandard für Web-Browser zeigt, was einen sicheren Web-Browser auszeichnet, und dient auch Unternehmen und Privatanwendern als Orientierungshilfe.

Über Sicherheitsaspekte bei Konfiguration und Einsatz von Web-Browsern sprechen wir im Interview mit Martin Zobel, IT-Referent im BSI, sowie Anne Hillmer, IT-Consultant bei DataGuard.


Das Wichtigste in Kürze

  • Das BSI hat seinen Mindeststandard für Web-Browser aktualisiert.
  • Die Anforderungen gelten für Behörden, bieten aber auch für Unternehmen und private Nutzer Orientierung.
  • Immer mehr Anwendungen laufen über Browser-Schnittstellen: Web-Browser sind somit ein potenziell attraktives Einfallstor für Angreifer.


Herr Zobel, das BSI definiert Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Was müssen wir uns konkret unter Mindeststandards vorstellen?

Martin Zobel: Wir verstehen uns als Cyber-Sicherheitsbehörde des Bundes mit dem klaren gesetzlichen Auftrag, die Informationssicherheit in der Digitalisierung zu gestalten. Neben Wirtschaft und Gesellschaft ist für uns der Staat mit seiner Bundesverwaltung eine besondere Zielgruppe.

Mindeststandards beschreiben anhand von leicht verständlichen Sicherheitsanforderungen ein Mindestsicherheitsniveau der Informationssicherheit, das aus unserer Fachsicht in der Bundesverwaltung nicht unterschritten werden sollte. Gesetzlich ist diese Aufgabe im § 8 BSIG geregelt.


„Die Mindeststandards des BSI sind für Unternehmen eine sehr gute Orientierungshilfe.“


Diese Mindeststandards werden also speziell für die Bundesverwaltung erstellt. Frau Hillmer, aus Ihrer Erfahrung aus der früheren Tätigkeit für das BSI und der jetzigen für DataGuard: Wie relevant sind die Mindeststandards für Unternehmen?

Anne Hillmer: Die Mindeststandards des BSI sind für Unternehmen eine sehr gute Orientierungshilfe, da Unternehmen gemäß Datenschutz-Grundverordnung (DS-GVO) den Schutz und die Sicherheit personenbezogener Daten verantworten. Die datenschutzrechtlichen Anforderungen können somit durch Maßnahmen erreicht werden, die in der Praxis häufig Hand in Hand mit Anforderungen zur Informationssicherheit gehen.

Und dabei helfen die Empfehlungen des BSI?

AH: Was die Mindeststandards des BSI auszeichnet, ist, dass sie eben keine allgemeinen Empfehlungen von der Art „konfigurieren Sie Ihren Browser IT-Sicherheits- und datenschutzkonform“ sind. Diese können für Unternehmen oft überwältigend sein. Im Gegenteil: Der Aufbau sowie die detaillierten, konkreten und praxisrelevanten Vorgaben der Mindeststandards ermöglichen es Unternehmen, die Maßnahmen einfach und strukturiert umzusetzen.

Profitieren davon ausschließlich Unternehmen?

AH: Im Endeffekt sind die Mindeststandards des BSI so angelegt, dass Organisationen jeder Art, beispielsweise Vereine, aber auch Privatpersonen sie zurate ziehen können, um ihre digitalen Fußspuren zu minimieren.


„Unsichere Web-Browser sind für Angreifer oft der attraktivste Weg für einen Cyber-Angriff.“


Herr Zobel, das BSI hat jüngst einen überarbeiteten Mindeststandard für Web-Browser veröffentlicht. Warum ist die Informationssicherheit bei der Nutzung von Browsern so wichtig?

MZ: Bei der Nutzung eines Web-Browsers werden Daten aus ganz unterschiedlichen Quellen auf den jeweiligen Arbeitsplatzrechner geladen (und umgekehrt). Diese Daten sind häufig besonders schutzwürdig. Daher ist es wichtig, dass die eingesetzten Softwareprodukte – hier der Web-Browser – keine bekannten Sicherheitslücken haben, um ein Abgreifen oder Abfließen der Daten zu verhindern. Das ist nicht nur am heimischen PC kritisch, sondern vor allem auch an Arbeitsplatzrechnern in Behörden und Unternehmen.

Könnten Sie dafür Beispiele nennen?

MZ: Im kritischen Bereich bewegen wir uns beispielsweise bei einer Fachanwendung aus dem Personalbereich, die mittels Web-Browser-Schnittstelle genutzt werden kann. Oder aber wenn Passwörter im Web-Browser nicht sicher gespeichert werden. Das stellt dann eine besonders wertvolle Beute für Cyber-Kriminelle dar.

Was macht gerade Browser so anfällig für diese Cyber-Kriminellen, von denen Sie sprechen?

MZ: Webbrowser haben zunächst einen extrem hohen Verbreitungsgrad. Sie sind so gut wie auf jedem Arbeitsplatz installiert und werden dort auch intensiv genutzt. Gleichzeitig wachsen Funktionsumfang und Anwendungsszenarien stetig an. Dies liegt insbesondere an der Implementierung des HTML5-Standards, aber auch an der vermehrten Nutzung von Cloud-Diensten.

Und dann geht es, wie oben am Beispiel der Fachanwendung für Personaler kurz dargestellt, im beruflichen Umfeld nicht mehr nur „ums Surfen“, sondern es gibt immer mehr Fachanwendungen, die im Web-Browser laufen. Unsichere Web-Browser sind für Angreifer oft der attraktivste Weg für einen Cyber-Angriff. Daher sind die Regelungen des Mindeststandards so wichtig.


In seiner ursprünglichen Fassung wurde der Mindeststandard für Web-Browser Anfang 2017 veröffentlicht. Um die Informationssicherheit dauerhaft zu gewährleisten und mit der technischen Entwicklung Schritt zu halten, wird der Standard regelmäßig aktualisiert. Die aktuelle Version 2.1 steht seit dem 25.06.2020 zur Verfügung.


Was genau regelt denn der Mindeststandard?

MZ: Der Mindeststandard regelt den sicheren Einsatz von Web-Browsern. Die Anforderungen sind dabei thematisch unterteilt und adressieren das Produkt selbst, den Hersteller und den Betrieb des Browsers. Beim Produkt selbst geht es zunächst um Einstellungsoptionen zum Umgang mit Cookies sowie die Unterstützung moderner zentraler Sicherheitsfunktionen wie der Same-Origin-Policy.

DieGleiche-Herkunfts-Richtlinie“ also, die als Sicherheitskonzept Skriptsprachen wie JavaScript den Zugriff auf bestimmte Objekte untersagt, die von anderen Websites stammen.

MZ: Genau. Das wären also Anforderungen in Hinblick auf das Produkt selbst. Wenn es um den Hersteller geht, fordert der Mindeststandard aktiven Support etwa in Form von Sicherheitsupdates sowie eine transparente Dokumentation.

Welche Mindeststandards definiert das BSI für den Betrieb des Produkts, den Sie als dritten Bereich nannten?

MZ: Hier wären als Beispiele zu nennen die Konfiguration und der Umgang mit Verlaufsdaten und Autofill-Funktionen, das zeitnahe Einspielen von Sicherheitsupdates, aber auch, was zu tun ist, wenn diese vom Hersteller nicht rechtzeitig geliefert werden können. Uns ist wichtig: IT-Sicherheit ist vielschichtig. Bei Web-Browsern reicht es daher nicht aus, ein sicheres Produkt auszuwählen. Es muss auch sicher betrieben werden.

Wie überprüfe ich denn, ob der Browser, den mein Unternehmen nutzt, die Mindestanforderungen erfüllt?

MZ: Die Schlüsselwörter lauten „muss“ und „sollte“: Unsere Sicherheitsanforderungen sind immer so formuliert, dass auch Unternehmen diese überprüfen können. Dies gilt insbesondere für die Anforderungen an den Betrieb.

Für die Sicherheitsanforderungen an das Produkt und den Hersteller haben wir einen Abgleich erarbeitet. Dabei prüfen wir, inwiefern die einzelnen Sicherheitsanforderungen von den in der Bundesverwaltung am häufigsten eingesetzten Web-Browsern erfüllt werden. Diese Browser sind Chrome, Firefox, Internet Explorer und Edge. Für den Abgleich nutzen wir ein einfaches Ampelsystem.

Auszug aus der Abgleichtabelle des BSI

Anforderung Mozilla Firefox ESR Google Chrome Microsoft Internet Explorer Microsoft Edge
Cookies This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg
Website-Daten und Verlauf This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg
Unterschiedliche Browser-Konfigurationen This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Positive.svg This image has an empty alt attribute; its file name is Neutral.svg This image has an empty alt attribute; its file name is Positive.svg

Alle Anforderungen und Einschätzungen zu den einzelnen Anbietern finden Sie in der Browser-Abgleichtabelle zum Mindeststandard des BSI für sichere Web-Browser.


„Die IT-Sicherheit ist ein wichtiger Bestandteil des Datenschutzes.“


Frau Hillmer, gehen wir davon aus, dass ich bereits einen Browser nutze, der all diese Kriterien erfüllt. Ist damit automatisch auch der Datenschutz gewährleistet?

AH: Die IT-Sicherheit ist ein wichtiger Bestandteil des Datenschutzes. Somit ist ein sicherer Browser gut, aber der Datenschutz wird dabei nur teilweise abgedeckt.

Könnten Sie näher ausführen, was IT-Sicherheit im Sinne der DS-GVO umfasst?

AH: Die Überschneidungen werden schnell deutlich, wenn wir stellvertretend auf einige Anforderungen blicken, die die DS-GVO stellt. Die Verordnung fordert einerseits in Artikel 32 die Sicherheit der Verarbeitung. Das bedeutet unter anderem, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, kurz auch TOM genannt, umsetzen müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

In diesem Zusammenhang ist wichtig zu beachten, dass die DS-GVO fordert, die TOM nach Stand der Technik einzusetzen. Es reicht also nicht, einmal bestimmte TOM zu implementieren, um für immer datenschutzkonform zu sein. Vielmehr ist Datenschutz eine laufende Aufgabe, die in diesem Fall darin besteht, Web-Browser wie auch jegliche anderen Tools zur Verarbeitung personenbezogener Daten durch eine geeignete Konfiguration und regelmäßige Aktualisierungen abzusichern.


„Tatsächlich liegen nicht alle Datenschutzaspekte in der Verantwortung der Anbieter von Web-Browsern.“


„Privacy by Design“ und „Privacy by Default” sind zwei weitere Konzepte, von denen in diesem Zusammenhang die Rede ist. Was verbirgt sich dahinter?

AH: Die DS-GVO fordert in Artikel 25 datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Voreinstellung, womit eben diese Konzepte gemeint sind. Das betrifft primär nicht Nutzer, sondern die Verantwortlichen für die Datenverarbeitung, in dem Fall auch die Browser-Anbieter selbst, die „Privacy by Design“ und „Privacy by Default“ in ihr Produkt integrieren müssen.

Zu diesem Punkt zählt, dass technische und organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundsätze getroffen werden und dass die Voreinstellungen des Browsers so sind, dass nur notwendige personenbezogene Daten verarbeitet werden. Das bezieht sich sowohl auf die Menge der personenbezogenen Daten als auch auf den Umfang ihrer Verarbeitung und deren Speicherdauer.

Wir lernen also: Anbieter von Web-Browsern müssen ihren Teil zum Datenschutz beitragen. Wer muss außerdem noch einen Beitrag zum Datenschutz leisten?

AH: Tatsächlich liegen nicht alle Datenschutzaspekte in der Verantwortung der Anbieter von Web-Browsern. Es kommen noch Anforderungen speziell etwa für Website-Betreiber hinzu, die nicht direkt mit der IT-Sicherheit des Web-Browsers zu tun haben, die aber einen höheren Datenschutz gewährleisten sollen, sofern Browser als Mittel der Verarbeitung personenbezogener Daten zum Einsatz kommen.

Die Rede ist von Cookies?

AH: Ja, zum Beispiel. Der Bundesgerichtshof (BGH) hat am 28. Mai dieses Jahres ein Urteil zur Einwilligung in die Cookie-Speicherung gefällt. Demnach benötigt das Setzen aller technisch nicht notwendigen Cookies, beispielsweise zum Verhaltenstracking, eine Einwilligung. Wir sprechen auch vom Opt-in.

Was bedeutet das, technisch gesehen?

AH: Aus Datenschutz-Sicht gibt es einige grundlegende Anforderungen an diese Einwilligung. Die Wichtigste hierbei ist, dass technisch nicht notwendige Cookies erst nach Erteilung der Einwilligung gesetzt und ausgelesen werden dürfen. Ebenso einfach muss die Einwilligung widerrufen werden können.


„Die Auswirkungen von Entscheidungen, die beim Einsatz von Web-Browsern getroffen werden, sind potenziell weitreichend.“


Klingt, als sei da recht viel zu beachten an der Schnittstelle zwischen Informationssicherheit und Datenschutz bei Web-Browsern.

AH: Das Thema ist tatsächlich nicht so überschaubar, wie man im ersten Moment denken würde. Die Auswirkungen von Entscheidungen, die beim Einsatz von Web-Browsern getroffen werden, sind potenziell weitreichend. Wenn es um den Browser als Tool selbst geht, ist nicht nur die Wahl des Tools relevant, sondern auch, ob es die Anforderungen an „Privacy by Design“ und „Privacy by Default“ erfüllt sowie welche technischen Ausgestaltungsmöglichkeiten es bietet, beispielweise in Bezug auf die Einstellungen, Cookies und Plug-ins.

Wenn es andererseits um die Verarbeitung personenbezogener Daten in den Browsern geht – im Rahmen von Internetauftritten von Unternehmen, Behörden und Organisationen –, spielen unter anderem zusätzlich die Datenschutzerklärung, die Betroffenenrechte, die Grundsätze der Datenverarbeitung und die Sicherheit der Verarbeitung entscheidende Rollen im Datenschutz. Diese gehen dann über die Informationssicherheit hinaus.

Die Mindeststandards gewährleisten also nicht nur die Einhaltung der Informationssicherheit, sondern zumindest auch in Teilen die Einhaltung datenschutzrechtlicher Anforderungen. Sie sollten daher nicht unterschritten werden.


„Der Mindeststandard hilft dabei, IT-Sicherheit auf allen Ebenen zu bedenken.“


Wenn wir noch einmal zusammenfassen: Wie können Unternehmen die Informationssicherheit und den Datenschutz bei der Nutzung von Web-Browsern sicherstellen? Und welche Rolle spielt hierbei der Mindeststandard des BSI?

MZ: Zunächst gibt der Mindeststandard Orientierung und regelt alle relevanten Themenbereiche der Informationssicherheit. Als besonders wichtig erachte ich die Anforderungen an den Betrieb. Denn hier sind im Mindeststandard die entscheidenden Stellschrauben angesprochen, zum Beispiel der Update-Prozess oder der Umgang mit Browser-Erweiterungen.

Sofern ein Web-Browser aus der Abgleichtabelle einsetzt wird, kann man schnell und einfach in das Thema einsteigen. Das sind, denke ich, starke Benefits, die neben der Bundesverwaltung auch Unternehmen für sich nutzen können.

Der Mindeststandard hilft dabei, IT-Sicherheit auf allen Ebenen zu bedenken. Es ist wichtig, dass Hersteller sichere Produkte anbieten. Aber genauso wichtig ist es, dass Web-Browser sicher betrieben werden. Unerlässlich ist schließlich insbesondere im beruflichen Umfeld eine zentrale Administration. Nur so kann einheitlich festgelegt werden, wie und welche Sicherheitsupdates eingespielt werden oder welche Erweiterungen installiert werden dürfen.

AH: Dem kann ich nur zustimmen und ergänzen, dass sowohl Informationssicherheit als auch Datenschutz essenziell sind. Beide überschneiden sich, und je nach Einsatzgebiet in Behörden, Unternehmen oder privat ergeben sich verschiedene Implikationen für IT-Sicherheit und Datenschutz. Die Technik entwickelt sich, und es lohnt sich, ein wenig Zeit in das Thema zu investieren, um am Ende wirklich einen sicheren Browser einzusetzen.


Martin Zobel ist studierter Wirtschaftsinformatiker und seit 2016 für das Bundesamt für Sicherheit in der Informationstechnik (BSI) tätig. In seiner Position als IT-Referent und stellvertretender Referatsleiter betreut er vor allem IT-Sicherheitsbeauftragte und IT-Verantwortliche. Schwerpunkt seiner Arbeit sind die Mindeststandards des BSI – insbesondere in den Bereichen Cloud Security, Web-Browser und Mobile Device Management. Seine Entscheidung, sich in diesen Bereichen zu engagieren, begründet Zobel vor allem mit der hohen Relevanz der Informationssicherheit für Staat, Wirtschaft und Gesellschaft: „Informationssicherheit ist die Grundvoraussetzung für eine sichere Digitalisierung. Sie zu gestalten, treibt mich an.“

Anne Hillmer ist IT-Consultant bei DataGuard. Zuvor arbeitete sie unter anderem für das BSI, wo sie sich gemeinsam mit Martin Zobel mit den technischen Sicherheitsanforderungen der Datenverarbeitung beschäftigte. In einem Beratungsunternehmen kam Hillmer erstmals mit Datenschutz und Compliance in Berührung und erkannte schnell die hohe politische und gesellschaftliche Brisanz des Themas: „Datenschutz bedeutet für mich Privatsphäre. Ich möchte dazu beitragen, dass Privatsphäre als Menschenrecht respektiert wird – besonders in Zeiten, in denen sich Technologie oft schneller entwickelt als die Gesetzgebung und sich somit nicht nur Chancen, sondern auch viele Herausforderungen ergeben.“


Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München