Aktuelles, Branche - geschrieben von cp am Mittwoch, Juli 24, 2019 11:33 - noch keine Kommentare
Neuer BSI Community Draft fordert EV-SSL-Zertifikate
PSW GROUP informiert über Neuerungen
[datensicherheit.de, 24.07.2019] Für Cyberkriminelle sind Webbrowser ein sehr beliebtes Einfallstor und ihre Nutzung birgt ein grundsätzliches Risiko. Damit beim Surfen im World Wide Web dennoch ein angemessenes Sicherheitsniveau herrscht, ist es unabdingbar, technische und organisatorische Maßnahmen umzusetzen. Dazu veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2017 eine erste Version ihrer Mindeststandards für sichere Webbrowser.
Nun hat das BSI diese Standards überarbeitet und Version 2.0 im Rahmen eines Community Drafts veröffentlicht. Darauf weist die PSW GROUP hin und macht auf die wesentlichen Neuerungen sowie Änderungen aufmerksam. Dazu erklärt Geschäftsführerin Patrycja Tulinska: „Webbrowser laden Daten in aller Regel auch aus nicht vertrauenswürdigen Quellen. Da diese Daten schädlichen Code wie Viren, Trojaner oder Spyware enthalten können, müssen die Risiken beim Arbeiten mit dem Webbrowser minimiert werden. Ziel ist es deshalb, die Verfügbarkeit, Vertraulichkeit und Integrität schützenswerter Daten zu erhalten.“
Patrycja Tulinska, Geschäftsführerin der PSW GROUP
Identifikation und Authentisierung
Wenn der ausgewählte Webbrowser mit einem Kennwortmanager arbeitet, muss der Passwortmanager in der Lage sein, Websites und dafür gespeicherte Kennwörter zuverlässig zuzuordnen. Sämtliche Passwörter müssen zudem verschlüsselt gespeichert werden. „Die Umsetzung durch externe Add-ons ist laut BSI zulässig. Wichtig dabei ist, dass ein Zugriff auf gespeicherte Kennwörter nur nach Eingabe eines Master-Passworts erfolgen darf“, so Tulinska.
Updates/ Patches
Liefert die Prüfung der Integrität eines Updates ein positives Prüfergebnis, dürfen Updates eingespielt werden. Ein nicht korrektes Prüfergebnis sollte allerdings Nutzer signalisiert werden. In diesem Fall darf das Update nicht eingespielt werden. „Darüber hinaus müssen sämtliche Browser-Komponenten in die Aktualisierung einbezogen werden. Erweiterungen oder eigenständige Programme, die dafür sorgen, dass zusätzliche Elemente in den Browser eingefügt werden, sind entweder über separate Update-Prozesse aktuell zu halten oder zu untersagen“, informiert die IT-Sicherheitsexpertin. Zudem müssen Updates immer erkannt und angezeigt werden sowie das automatische Einspielen von Aktualisierungen möglich sein.
Vertrauenswürdige Kommunikation
„In den Bereichen TLS, Zertifikate und Zertifikats-Prüfung gibt es gleich einiges zu beachten. So muss das TLS-Protokoll vom Browser unterstützt werden. Leider verzichtet das BSI hier auf eine Angabe über die TLS-Version. Ideal ist die 2018 erschienene Version 1.3, auch TLS 1.2 oder 1.1 können noch Verwendung finden“, rät Tulinska, da TLS 1.0 seit Juni 2018 nicht mehr dem aktuellen Stand entspricht.
Die verwendeten Browser müssen zudem eine Liste von Zertifikaten vertrauenswürdiger Zertifizierungsstellen bereitstellen und EV-SSL-Zertifikate, sprich TLS-Zertifikate mit erweiterter Validierung, müssen vom Browser unterstützt werden. „Website-Betreiber können beispielsweise bei uns solche EV-SSL-Zertifikate erwerben, die den Anforderungen des BSI entsprechen. Moderne Webbrowser signalisieren den Website-Besuchern dann, dass die Website nicht nur sicher, sondern vertrauensvoll ist“, bemerkt Tulinska. EV-SSL-Zertifikate sind bereits in der Adressleiste deutlich erkennbar und gelten als SSL-Zertifiakte mit der höchsten Sicherheitsstufe. Im Gegensatz zu domainvalidierten SSL-Zertifikaten wird vor Ausstellung nicht nur der Besitz der Domain überprüft, sondern zusätzlich die Existenz des Unternehmens.
Laut BSI muss es zudem möglich sein, eigene Wurzelzertifikate zu ergänzen. „Im Rahmen der Zertifikatsprüfung muss der Browser in der Lage sein, die Gültigkeit des Serverzertifikats vollständig zu überprüfen. Neben dem Serverzertifikat sollte diese Prüfung alle CA-Zertifikate der Zertifikatskette bis hin zum Wurzelzertifikat beinhalten“, ergänzt die Expertin. Gemäß der überarbeiteten Mindeststandards für sichere Webbrowser soll außerdem HSTS (HTTP Strict Transport Security) künftig vom Browser gemäß RFC 6797 vom IETF unterstützt werden. Werden dieselben Sicherheitsziele erreicht, sind auch abweichende Implementierungen zum Trackingschutz zulässig.
Weitere Informationen zum Thema:
PSW GROUP
Neue BSI Community Draft fordert EV-SSL-Zertifikate
datensicherheit.de, 22.07.2019
Digitale Zertifikate sind heiße Ware im Darknet
datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten
datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle
datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren