Webbrowser als Sicherheitsrisiko: Verbraucher und Unternehmen im Visier

Egon Kando beschreibt, wie Hacker auf die gespeicherten Daten u.a. in „Chrome“, „Firefox“ oder „Safari“ zugreifen können

[datensicherheit.de, 11.02.2019] Webbrowser speichern allerhand Daten ihrer Benutzer: Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen. Dies kann sowohl für Endnutzer als auf für Unternehmen zum Problem werden, denn Cyber-Kriminelle können offensichtlich mit gar nicht so komplizierten Mitteln auf diese Daten zugreifen. Egon Kando, „Regional Sales Director Central & Eastern Europe“ bei Exabeam geht in seiner aktuellen Stellungnahme auf die Möglichkeiten für Hacker ein, in den Webbrowsern gespeicherte Daten auszuforschen, und beschreibt Gegenmaßnahmen.

Höchst attraktiv: im Browser gespeicherte Informationen

Webbrowser bergen heutzutage allerhand Daten der Benutzer: Der Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen sind im Browser gespeichert, damit das Surfen schnell und bequem vor sich geht. Auch die Entwickler von Webseiten und die Werbebranche hätten ein starkes Interesse daran, dass der Nutzer nicht komplett anonym ist – und verließen sich beispielsweise auf sogenannte Cookies, die ihrerseits zahlreiche Informationen besuchter Webseiten speicherten.
All diese im Browser gespeicherten Informationen, wie besuchte Webseiten inklusive URL, Seitentitel und Zeitstempel, HTTP-Cookies, „LocalStorage“, Daten des Passwortmanagers, Browser-Cache und automatisch erstellte Daten, stellten ein großes Risiko dar, „sollten sie in die falschen Hände geraten“, warnt Kando: „Nutzer wähnen sich größtenteils sicher, sind ihre Daten doch im Browser verborgen und darüber hinaus verschlüsselt. Doch an diese Browser-Daten zu gelangen, ist gar nicht so schwierig, wie man es vermuten möchte.“

Hacker-Zugriff auf die im Browser gespeicherte Nutzerdaten

Für Cyber-Kriminelle reiche einfach zu handhabende und leicht verfügbare Malware aus, um auf die in Webbrowsern gespeicherten Daten zuzugreifen. „Beim einem Test von tausend der beliebtesten Websites, darunter facebook, Google Mail, Amazon, Instagram und PayPal, fanden sich die persönlichen Daten der Benutzer, die lokal und im Webbrowser des Computers in den oben genannten Formaten gespeichert wurden“, berichtet Kando. Durch die Überprüfung der gespeicherten Anmeldeinformationen seien Kriminelle in der Lage, gespeicherte Passwörter für alle getesteten Websites zu extrahieren.
Dies sei keine Schwäche der Websites selbst, sondern der Standard-Passwortmanager von Webbrowsern. Unter Verwendung von „OpenWPM“, einem auf „Firefox“ basierendem Framework zur Messung der Privatsphäre, könnten Kriminelle Benutzerkonten und -aktionen austesten, wie das Erstellen von Konten, die Anmeldung sowie das Ausführen relevanter Aktionen. So könnten sie recht einfach festzustellen, welche Informationen in den lokalen Browserdateien zu finden sind.

Sicheres vs. bequemes Surfen

Die Entwicklung von Malware zur Erfassung dieser Informationen sei sehr einfach. Varianten, darunter die Ransomware-Familien „Cerber“, „Kriptovor“ und „CryptXXX“, gebe es seit Jahren – und das kostenlose NirSoft-Tool „WebBrowserPassView“ könne gespeicherte Passwörter aus Webbrowsern ausgeben, „obwohl es angeblich dazu gedacht ist, Benutzern zu helfen, ihre eigenen Passwörter wiederherzustellen“. Es sei für Cyber-Kriminelle also durchaus möglich, an die im Browser gespeicherten Daten zu gelangen.
Überhaupt keine Daten abzuspeichern, indem man alle bestehenden Daten löscht und fortan im Incognito-Modus surft, böte die höchst mögliche Sicherheit. Das Surfen wäre damit zwar sicher, allerdings alles andere als bequem. Mit einigen Maßnahmen könne man jedoch die Sicherheit erhöhen, ohne die Bequemlichkeit zu opfern. Kando: „Da die größte Bedrohung von Malware ausgeht, sollte eine Antivirensoftware ausgeführt werden. Dies sollte den Großteil aller Malware stoppen, inklusive der, die auf die Erfassung von Webbrowser-Daten abzielt. Auch die Verwendung eines Passwortmanagers von einem Drittanbieter ist in der Regel für Angreifer schwieriger zugänglich als die integrierten Browser-Passwortmanager.“ Ebenso lasse das Deaktivieren von HTTP-Cookies weniger Spielraum für Datenmissbrauch durch Angreifer, verursache jedoch auf vielen Webseiten Probleme, insbesondere wenn diese eine Anmeldung erfordern. Eine effektive Methode sei es, regelmäßig entweder alle oder ausgewählte Browserverläufe zu löschen. „Das bedeutet zwar, dass weniger Informationen für den Browser zur Verfügung stehen, um Web-Vorschläge zu liefern und bereits besuchte Webseiten wiederzufinden, aber die Menge der für Angreifer verfügbaren Daten wird dadurch deutlich reduziert“, erläutert Kando.

Risiko gleichermaßen für Verbraucher und Unternehmen

Die Gefahr, dass im Browser gespeicherte Nutzerdaten von Cyber-Kriminellen gehackt und genutzt werden, sei nicht nur für Verbraucher groß, sondern auch für Unternehmen, da Nutzer ja auch von ihrem Unternehmensrechner auf das Internet zugriffen und unter Umständen Unternehmensdaten im Rahmen ihrer Aufgaben nutzten. So könnten ggf. Firmenkundendaten abgegriffen und in einigen Fällen Bankkontonummern wiederhergestellt werden.
Darüber hinaus könnten Kriminelle beispielsweise feststellen, wann ein Mitarbeiter in der Regel am Arbeitsplatz und wann er zu Hause ist. Der Zugriff auf den Browser-Verlauf des Mitarbeiters zeige Angreifern evtl. auch dessen persönliche Interessen oder Details aus dem Privatleben. Informationen wie beispielsweise Hobbys oder Kindernamen könnten anschließend als Anhaltspunkte verwendet werden, um Passwörter zu erraten. Im Extremfall könne ein Angreifer auch sensible personenbezogene Daten verwenden, um einen Mitarbeiter zu erpressen.

Bewusstsein für mögliche Gefahren sensibilisieren!

Um komplexe Angriffe vorzubereiten, gingen Hacker sogar noch einen Schritt weiter: Um ein genaues Bild über Gewohnheiten und Aktivitäten eines Mitarbeiters zu gewinnen, legten Hacker sogenannte Web-Dossiers an, die aus den gesammelten Browser-Daten einer Person erstellt werden könnten. Um das Risiko von gespeicherten Unternehmensdaten in den von Mitarbeitern genutzten Browsern zu minimieren, gälten prinzipiell die gleichen Maßnahmen wie für Verbraucher.
Ein weiteres wichtiges Werkzeug im Kampf gegen Angreifer seien gezielte Schulungen für Mitarbeiter, um deren Bewusstsein für die möglichen Gefahren zu sensibilisieren. Der Schutz durch wachsame Mitarbeiter sei „seit jeher einer der Grundpfeiler der IT-Sicherheit jedes Unternehmens“.

Weitere Informationen zum Thema:

datensicherheit.de, 15.10.2018
eco: Schutz vor Crypto-Mining

datensicherheit.de, 30.04.2013
Moderne Malware kommt über den Webbrowser