Der Spion, der aus dem Browser kam

Die Szene könnte einem James-Bond-Film entstammen. Ein Gangster dringt in die Computersysteme eines auf die Entwicklung und Produktion von Wechselrichtern spezialisierten Unternehmens ein und entwendet dabei die neuesten Konstruktionspläne. Der wirtschaftliche Schaden ist enorm und stellt den Weltmarktführer in seinem Segment vor ungeahnte Herausforderungen.

Dabei hatte das Unternehmen anscheinend alles richtig gemacht. Zigtausende an Euro wurden in die Sicherheit der Datennetze investiert. Es wurden Firewalls installiert und Sicherheits-Gateways eingerichtet. Aber an eine Komponente hatte das Unternehmen nicht gedacht: den Web Browser.

Die sonst so innovative Firma hat bis zuletzt auf einen Browser gesetzt, der bereits mehrere Generationen alt ist und die aktuellen Sicherheitsanforderungen nicht mehr annähernd erfüllen konnte. Die Angreifer hatten somit leichtes Spiel, und schleusten die Schadsoftware über „Security Bypass“-Ansätze ein. Durch Manipulation von Daten erhielten die Hacker direkten Zugriff auf Nutzer-Sessions und Kommunikationskanäle.

Auch wenn es sich bei diesem Szenario um ein fiktives Beispiel handelt, ist das skizzierte Bedrohungspotenzial doch sehr real. Angreifer, egal ob professionelle „Industriespione“ oder Hacker mit privatem Hintergrund, schleusen sich nicht mehr nur durch den Hintereingang im Blaumann oder in Besucherführungen in Unternehmen ein, sondern bequem über den Computer. Das Internet macht es möglich. Die totale Vernetzung macht jeden verwundbar für Angriffe aus dem Netz. Besonders dann, wenn im Sicherheitssystem eine Lücke klafft. Untersuchungen der Experton Group machen deutlich, dass insbesondere Unternehmen aus der Industrie die IT-Sicherheit oftmals durch die Benutzung von veralteten Browsern gefährden.

Insgesamt zeigt die bei Unternehmen mit mehr als 500 Mitarbeitern durchgeführte Studie auf, dass 71 % der befragten Unternehmen den Internet Explorer als Standard einsetzen. Der Firefox-Browser hingegen kommt als „Standard“ nur auf einen Einsatzgrad von 25 %. Im Rahmen der Untersuchung wird vereinfachend von einem Standardbrowser gesprochen, wenn der entsprechende Browser voreingestellt ist für das Öffnen etwa von Dokumenten oder Links.

Knapp ein Drittel der Anwender halten dabei bis heute noch immer an ihrem altgedienten Browser als Standard fest. So wird ein zunehmendes Sicherheitsrisiko in 31 % der befragten Unternehmen eingesetzt: der Internet Explorer 6. Bei Industrie-Unternehmen liegt der Einsatzgrad mit knappen 40 % sehr hoch. Besonders erschreckend sieht es in Unternehmen mit mehr als 2500 Mitarbeitern aus. Hier vertrauen 47 % auf den Veteranen unter den Browsern.Der bereits deutlich in die Jahre gekommene Browser wird im Jahr 2010 noch immer von 31 % der Unternehmen mit mehr als 500 Mitarbeitern als Standard eingesetzt.

Im August 2001 kam der Internet Explorer 6 als „Standardbrowser“ für Windows XP auf den Markt. Bis zur Einführung der Produktgeneration 7 im Jahr 2006 wurden sehr viele Marketingressourcen eingesetzt, damit Anwenderunternehmen in Form von „Eigenentwicklungen“ und ISVs (Independent Software Vendor) Anwendungen entwickeln, die auf Funktionen des IE6 ausgerichtet waren. Viele dieser Anwendungen laufen allerdings nicht standardmäßig in Browsern von Apple, Google oder Firefox. Sie funktionieren auch nicht in neueren Versionen des Internet Explorer. Als kritische Applikationen in diesem Sinne werden PIM-, CRM- und ERP-Lösungen angeführt. Durch diese Situation wird der Wechsel auf aktuelle Browsergenerationen natürlich erschwert. Entscheider, die durchaus am Einsatz neuer Funktionalitäten und Versionen von Browsern und Anwendungen interessiert sind, müssen im Rahmen von Migrationsprojekten erst aufwendige Anpassungen vornehmen. Bypass-Lösungen, zum Umgehen der Probleme wie zum Beispiel ein Kompatibilitätsmodus oder Virtualisierungskonzepte sind zwar möglich und verfügbar, aber selbst in einer Übergangszeit mehr als kritisch zu beurteilen.

Vor dem Hintergrund des oben beschriebenen Spionageangriffs kommt ein weiteres Problem hinzu: Ein in die Jahre gekommener Browser wie der Internet Explorer 6 kann die heutigen Sicherheitsanforderungen nicht mehr erfüllen. Eine Weiterentwicklung von Seiten des Herstellers erfolgt verständlicher Weise nicht mehr. Auftauchende Schwachstellen werden nur langsam – und wie die Analysen zeigen – nicht allumfassend beseitigt. Die Migration auf alternative Browser wie exemplarisch den IE8, Firefox oder Chrome ist daher eine sinnvolle und absolut notwendige Option für Industrieunternehmen, die – anscheinend unbeirrbar – auf den Oldtimer setzen.

Voraussetzung für eine erfolgreiche Migration ist eine unternehmensspezifische Browser-Strategie. Eine solche Strategie definiert alle Aktivitäten im Rahmen der Auswahl und des Einsatzes von unterschiedlichen Browsern im Unternehmen. Allerdings haben laut Untersuchungen der Experton Group derzeit lediglich 19 % der Firmen mit über 500 Mitarbeitern eine zentrale Browser-Strategie definiert. Dabei ist der Web Browser sowohl aus Sicht des Anwenders als auch für das Unternehmen eine bedeutende und zentrale Anwendung. Eine Vielzahl der täglichen Arbeitsaufgaben wird durch den Einsatz eines modernen Browsers ermöglicht und erleichtert. Seine Bedeutung wird auch in Hinsicht auf eine zunehmende Angebotsvielfalt Cloud-basierter Services steigen.

Zu einer notwendigen Browserstrategie zählen ausdrücklich die Themen Testing, Definition der Sicherheitsanforderungen, Deployment und Management sowie Aktualisierungszyklen. Vor der Umsetzung einer Migration gilt es also, die unternehmenskritischen externen und internen Web-Anwendungen zu identifizieren und zu bewerten. Hierzu bietet sich eine Compliance-Matrix an. Ferner empfiehlt es sich, einen Katalog aller kritischen Anwendungen anzulegen und zu pflegen, um so den Einstieg in die Migration erheblich zu erleichtern. Zu den externen Web-Anwendungen, auf die mit Hilfe des Browsers zugegriffen werden, zählen exemplarisch Portale von Kunden oder Lieferanten. Hier gilt es zu ermitteln, ob der designierte Browser unterstützt wird, und ob etwaige Anpassungen notwendig sind. Gleiches gilt für die internen Anwendungen – es ist zu testen, ob diese auf spezifische Anforderungen des alten Browsers angewiesen sind. Ist dies der Fall, muss geprüft werden, ob und mit welchem Aufwand eine entsprechende Anpassung vorgenommen werden kann. Auch sollte validiert werden, ob die betroffene Web-Anwendung durch alternative und kompatible Applikationen ersetzt werden kann. Der sogenannte „Compatibility Mode“ des IE8 kann den Aufwand in den meisten Fällen maßgeblich verringern.

Vor allem aber gilt es bei sämtlichen Tätigkeiten, zwischen Komfort für den Anwender, Sicherheit sowie Administrierbarkeit abzuwägen. Hier sollte man auch das Thema Browser Plug-Ins mit in die Planung einbeziehen. Ein Browser, der etwa durch zahllose Plug-Ins individualisiert wurde, verursacht bei einer notwendigen Neuinstallation oder einem Austauschen der Hardware erheblichen administrativen Aufwand. Darüber hinaus tragen Plug-Ins, die nicht von absolut vertrauenswürdigen Quellen stammen, immer ein gewisses Sicherheitsrisiko. Auch hier gibt diese Strategie vor, welcher Browser eingesetzt wird, ob eventuell mehrere Browser genutzt werden und welche Rechte die einzelnen Anwender im Rahmen der täglichen Nutzung eingeräumt bekommen.

Entscheidend ist, dass eine solche Strategie von der IT-Abteilung entwickelt und gleichzeitig auch maßgeblich vom Management unterstützt wird.