Aufmerksamkeitsdefizit

Der Browser als Universal-Frontend

Axel Oppermann beschäftigt sich mit (fast) allem, was in die Bereiche Social Enterprise, Cloud Computing und Microsoft hineinfällt. Axel schreibt auf Computerwoche als Experte zu den Themen Enterprise Cloud, Digital Enterprise und dem IT-Lieferanten Microsoft. Als IT-Analyst berät er Anwender bei der Planung und Umsetzung ihrer IT-Strategien. Axel ist Geschäftsführer des Beratungs- und Analystenhaus Avispador aus Kassel.
IT-Abteilungen kümmern sich kaum um Browser. Eine gefährliche Ignoranz, besonders wenn stark auf Web- oder Cloud-Services gesetzt wird.
IT-Abteilungen kümmern sich kaum um Browser - gefährliche Ignoranz.
IT-Abteilungen kümmern sich kaum um Browser - gefährliche Ignoranz.
Foto: fotolia.com/HaywireMedia

Die Szene könnte einem James-Bond-Film entstammen. Der "Bösewicht" - nennen wir ihn Frank Costello -dringt in die Computersysteme eines auf die Entwicklung und Produktion von Wechselrichtern spezialisierten Unternehmens ein und entwendet dabei die neuesten Konstruktionspläne. Der wirtschaftliche Schaden ist enorm und stellt den Weltmarktführer in seinem Segment vor ungeahnte Herausforderungen. Dabei hatte das Unternehmen scheinbar alles richtig gemacht. Zigtausende Euro wurden in die Sicherheit der Datennetze investiert. Firewalls waren installiert und Sicherheits-Gateways eingerichtet. Aber an eine Komponente hatte das Unternehmen nicht gedacht: den Web-Browser. Der sonst so innovative Betrieb hat einen Browser eingesetzt, der bereits mehrere Generationen alt ist und die aktuellen Anforderungen an Sicherheit, aber auch Geschwindigkeit und Qualität nicht mehr annähernd erfüllen kann. Die Angreifer hatten leichtes Spiel und konnten die Schadsoftware über Security-Bypass-Ansätze einschleusen. Durch Manipulation von Daten ließen sich Nutzer-Sessions und Kommunikationskanäle entführen, sprich übernehmen.

Auch wenn es sich bei diesem Szenario um ein fiktives Beispiel handelt, das skizzierte Bedrohungspotenzial ist real. Angreifer, egal ob professionelle Industriespione oder Hacker mit privatem Hintergrund, schleusen sich nicht mehr (nur) durch den Hintereingang im Blaumann oder im Rahmen von Besucherführungen in Unternehmen ein, sondern bequem über den Computer. Das Internet macht es möglich. Die totale Vernetzung macht jeden verwundbar für Angriffe aus dem Netz, besonders dann, wenn im Sicherheitssystem eine Lücke vorhanden ist.

Bereits heute dient der Browser oft als Intermediär zu Applikationen, die als Web-Anwendung betrieben werden. Das Cloud-Thema ist hier noch nicht berücksichtigt.
Bereits heute dient der Browser oft als Intermediär zu Applikationen, die als Web-Anwendung betrieben werden. Das Cloud-Thema ist hier noch nicht berücksichtigt.

Dabei lassen sich gerade die Unternehmen in Deutschland beim Thema Sicherheit nicht lumpen: Jährlich geben sie rund sechs Milliarden Euro für die Informationssicherheit aus. Bei all den umfassenden Aktivitäten wird ein Bereich aber oftmals sträflich übergangen: der Web-Browser. Er ist ein potenzielles Einfallstor für Bedrohungen aus dem Web oder aus internen Unternehmensnetzen. Dabei ist nicht einmal die kriminelle Energie von Bond-Bösewichtern wie Maximilian Largo, Hans Gruber oder LeChiffre von Nöten, um sich in Datennetze einzuschleusen. Es reicht, dass die Angreifer schneller durch die (geheimen) Datenschätze surfen können, als viele Unternehmenslenker vermuten würden. Besonders leicht wird es den Kriminellen gemacht, wenn die Angriffsflächen - wie bei älteren Browsern - groß wie Scheunentore sind. Angriffsmethoden wie Phishing oder das Einführen von Schadsoftware (Malware) werden zum technischen Selbstläufer.