theNet von CLOUDFLARE

Zero Trust auch für Webbrowser

Die neueste Sicherheitslücke bei Unternehmen mit verteilter Belegschaft

Das öffentliche Internet stellt für Unternehmen ein erhebliches Cyberrisiko dar. Mitarbeitende, die das Web für die Arbeit oder zu privaten Zwecken nutzen, sind unter Umständen Phishing und Malware-Angriffen ausgesetzt. Dabei werden Social Engineering-Techniken und Schwachstellen von Browsern eingesetzt, um vertrauliche Daten zu entwenden oder Schadcode auf Geräten von Beschäftigten auszuführen.

Unabhängig von der Methode haben die meisten Angriffe dasselbe Ziel: sich Zugriff auf das private Netzwerk des Unternehmens zu verschaffen.

Aus diversen Gründen – von denen nicht wenige mit der Covid-19-Pandemie in Zusammenhang stehen – haben die browserbasierten Bedrohungen stark zugenommen, womit auch die Anfälligkeit der Unternehmen für solche Schwachstellen gestiegen ist. Zu diesen Gründen gehören:

  • Angreifer nutzen die durch die Pandemie verursachte Verwirrung, um ihre Opfer zum Herunterladen von Malware zu bewegen

  • Durch Remote-Arbeit verschwimmt die Grenze zwischen persönlicher und beruflicher Internetnutzung

  • Im Homeoffice sind die Beschäftigten gezwungen, schlecht oder gar nicht geschützte Privatgeräte zu verwenden

  • Mitarbeitende rufen Anwendungen und Daten häufiger über das öffentliche Internet als über ein privates Firmennetzwerk auf

  • Ein Flickwerk aus verschiedenen Remote-Zugangslösungen erlaubt kompromittierten Geräten uneingeschränkte Verbindung zu den Firmennetzwerken.

Die Sicherheitsmaßnahmen herkömmlicher Unternehmensperimeter werden den Abläufen der modernen Arbeitswelt auf Ebene des Webbrowsers nicht mehr gerecht


Neue Formen browserbasierter Angriffe

Mit dem Internet ging schon immer das Risiko von Cyberangriffen einher. Im Lauf der Zeit haben sich die Angriffsmuster aber gewandelt. Das gilt insbesondere für die Covid-19-Zeit und die damit verbundene sprunghafte Zunahme von Telearbeit.

Phishing-Versuche auf Spitzenniveau

Zu den jüngsten weitverbreiteten Veränderungen in der Landschaft der Cyberbedrohungen zählt ein Anstieg der Phishing-Angriffe. 42 % der mittelständischen Firmen und 61 % der großen Unternehmen haben während der Lockdowns eine höhere Zahl an Phishing-Angriffen verzeichnet. Nach Angaben der Meldestelle für Internetkriminalität des FBI war diese Form des Angriffs während der Hochphase der Remote-Arbeit das am häufigsten zur Anzeige gebrachte Vergehen; bei der Meldestelle gingen doppelt so viele Beschwerden ein wie im Vorjahr.

Phishing-Attacken sind ein probates Mittel für den Diebstahl von Anmeldedaten und erfreuen sich daher großer Beliebtheit. Sie funktionieren am besten in einem Klima der Unsicherheit, da Menschen auf Informationssuche dann anfälliger für Betrüger sind. Das hat sich beispielsweise bei den Olympischen Winterspielen im Jahr 2018 gezeigt. Die Covid-19-Pandemie hat ideale Bedingungen für Phishing geschaffen, weil die Menschen versuchen, sich über das Virus zu informieren.

Ransomware auf dem Vormarsch

Bei Malware handelt es sich um Schadsoftware, die mit dem Internet verbundene Geräte wie Computer und sogar ganze Netzwerke infiziert. Ist ihr dies erst einmal gelungen, kann Malware für unterschiedliche Zwecke eingesetzt werden: von Datendiebstahl bis zu Ransomware-Angriffen.

Malware kann ganz unterschiedliche Formen annehmen, die zeitlichen Trends unterworfen sind. An der von ihnen ausgehen grundlegenden Gefahr wird sich aber nie etwas ändern. Beispielsweise scheint Cryptojacking bei Cyberkriminellen gerade Ransomware als Angriffsvektor den Rang abzulaufen. Im Jahr 2020 hat sich die Zahl der Ransomware-Angriffe um 465 % erhöht, weil sich Cyberkriminelle die Pandemie zunutze machten.

Häufig wird Malware mittels Phishing oder kompromittierter Lösungen für Remote-Zugang eingeschleust. Sie kann aber auch in eine offenkundig bösartige Website integriert sein oder sogar in einen Internetauftritt, der ohne Wissen seines Betreibers infiziert wurde. Aus diesem Grund müssen Unternehmen gegen Malware gewappnet sein, die sie über einen Webbrowser erreicht.

Klassische Sicherheitsmaßnahmen greifen bei neuen Angriffsmethoden nicht

Eine gängige Antwort auf die Gefahren, die Internetbrowser von aus der Ferne auf Ressourcen zugreifenden Geräten mit sich bringen, sind Secure Web Gateway (SWG) und Internet-Proxy-Services. Diese Lösungen überwachen und filtern den Traffic, um das Aufrufen verdächtiger oder schädlicher Websites zu verhindern. So können bösartige Inhalte die Geräte der Beschäftigten gar nicht erst erreichen.

Für gewöhnlich wird dazu auf Informationen zu bekannten Gefahren oder Websites, die gegen die von Administratoren festgelegten Richtlinien verstoßen, zurückgegriffen. Einen perfekten Schutz bietet das allerdings nicht. Die Bedrohungslandschaft des Internets ist im steten Wandel begriffen, denn die Angreifer richten immer wieder andere Websites für neue Offensiven ein oder gestalten bestehende Seiten um.

Daher sind Unternehmen häufig mit Zero Day-Bedrohungen oder unbekannten Gefahren konfrontiert, die von SWGs nicht erkannt werden. Administratoren benötigen deshalb zusätzliche Werkzeuge, um Bedrohungen abzuwehren, von denen sie noch gar keine Kenntnis haben.


Einführung der Browserisolierung

Weil SWGs und Web-Proxys Grenzen gesetzt sind, ist es unmöglich, eine Blockierliste zu erstellen, die sämtliche im Internet vorkommenden Bedrohungen erfasst. Die nächstbeste Lösung ist es, das Risiko, das potenzielle Angriffe für das Unternehmen darstellen, so stark zu senken wie möglich.

Browserisolierung erfreut sich in diesem Zusammenhang inzwischen einer gewissen Beliebtheit. Dabei wird die Browsersitzung des Nutzers von dessen Gerät abgeschirmt. Sie wird stattdessen in einem versiegelten Container ausgeführt, der sich häufig in der Cloud befindet und bei Beendigung der Sitzung automatisch gelöscht wird. In diesem Fall können also selbst erfolgreiche und unbemerkte Angriffe dem anvisierten Gerät nichts anhaben.

Allerdings sind der Anwendung der Browserisolierung aus spezifischen Gründen bislang Grenzen gesetzt, denn bis vor Kurzem griffen alle entsprechenden Lösungen auf eine der folgenden fehlerbehafteten Methoden zurück:

  • Pixelbasiertes Streamen: Die Browseraktivität wird auf einen Cloud-Server verlagert und als Pixel-Feed per Streaming an das Gerät des Nutzers übertragen. Leider hat dies im Hinblick auf die Datenverarbeitung seinen Preis. Dieses Verfahren erfordert außerdem eine hohe Bandbreite und steigert die Latenz, was die Nutzung von interaktiven SaaS- und Internet-Apps beeinträchtigt.

  • Code Stripping: Bei dieser Herangehensweise entfernt der Remote-Browser die in der Website enthaltene Malware und übermittelt dem Endnutzer einen „bereinigten“ Code. Allerdings wird dabei häufig die Nutzererfahrung stark beeinträchtigt. Zudem besteht die Gefahr, dass Zero Day-Sicherheitslücken übersehen werden.

  • Lokalisierung: Bei diesem Ansatz wird der Browser auf einer örtlichen virtuellen Maschine ausgeführt, die vom restlichen Betriebssystem des Geräts abgeschottet ist. Leider werden Geräte dadurch verlangsamt. Die Methode funktioniert zudem bei Mobilgeräten nicht und lässt sich nur schwer unternehmensweit einsetzen.

Aufgrund der Schwächen der verfügbaren Browserisolierungslösungen beschränken Unternehmen ihre Anwendung oft auf eine bestimmte Gruppe von Angestellten oder einige besonders gefährdete Websites. Diese Vorgehen bietet zwar einen gewissen Schutz, der jedoch beträchtliche Lücken aufweist.

So kann jeder Mitarbeiter potenziell Opfer eines Malware-Angriffs werden und Cyberkriminelle nehmen unter Umständen gezielt diejenigen in den Fokus, die nicht durch Browserisolierung geschützt werden. Darüber hinaus setzt die Beschränkung der Browserisolierung auf bestimmte Websites voraus, dass das Unternehmen jede potenziell gefährliche Seite im Internet auch als solche erkennt. Tatsächlich kann Malware jedoch auch über scheinbar „vertrauenswürdige“ Medien wie gemeinsam genutzte Dateien bei Google Docs oder OneDrive eingeschmuggelt werden.

Browserisolierung ist zwar ein vielversprechender Ansatz, um das Surfen im Internet zu ermöglichen und abzusichern, doch trotz aller Innovationen fehlte bislang eine allumfassende Lösung. Mit Ausweitung des Zero Trust-Prinzips auf den Webbrowser hat sich das jedoch geändert.


Zero Trust-Browserisolierung

Im Gegensatz zu den oben aufgeführten Methoden werden bei der Zero Trust-Browserisolierung auf die gesamte Internetaktivität der Belegschaft Zero Trust-Prinzipien angewandt. Das bedeutet, dass jede einzelne Browsersitzung und jeglicher Website-Code grundsätzlich erst einmal als nicht vertrauenswürdig eingestuft wird. Das gleiche gilt somit auch für die Daten jedes Nutzers und jeder für das Surfen im Internet geeigneten Anwendung eines Geräts.

Wie bereits festgestellt ist eine so strikte Beschränkung mit herkömmlichen Methoden der Browserisolierung in der Praxis nicht realisierbar, da diese entweder zu schwerfällig für den ständigen Einsatz oder bei der Bedrohungsabwehr nicht zielgenau genug arbeiten oder beides.

Um alle Beschäftigten vor sämtlichen im Web drohenden Gefahren zu schützen, muss Browserisolierung bestimmte Merkmale aufweisen:

  • Hohe Zuverlässigkeit: Die Komplexität moderner Websites und browserbasierter Anwendungen kann dazu führen, dass manche Lösungen zur Browserisolierung nicht funktionieren. Die Zero Trust-Browserisolierung sollte es dagegen allen Anwendern ermöglichen, jede beliebige Internetseite aufzurufen und dabei die gleiche Nutzererfahrung erlauben wie ein lokaler Browser.

  • Minimale Latenz: Beim klassischen Remote-Browsing wird eine langsame und schwerfällige Version einer Webseite an den Nutzer übermittelt. Demgegenüber sollte bei einer modernen Zero Trust-Lösung nur eine minimale Latenz auftreten, während zugleich hohe Performance und Reaktionsfähigkeit gewährleistet werden.

  • Kosteneffizienz: Zero Trust-Browser sind am wirksamsten, wenn sie für alle Beschäftigten und Internetpräsenzen eines Unternehmens eingesetzt werden. Das erfordert eine kostenwirksame und skalierbare Lösung.

  • Präzise Kontrolle: Eine Browserisolierungslösung sollte Administratoren eine genauere Kontrolle über die verwendeten Daten und die Aktivitäten innerhalb des Browsers – etwa Drucken, Kopieren / Einfügen und das Ausfüllen von Formularen – und damit eine weitere Senkung des Cyberrisikos ermöglichen.

Bei der Auswahl des geeigneten Anbieters von Zero Trust-Browserisolierung haben sich bestimmte Strategien und Anforderungen bewährt. Diese Schlüsselaspekte können zur erfolgreicheren, wirkungsvolleren und leistungsfähigeren Anwendung der Technologie beitragen:

  • Verwendung eines großen Edge-Netzwerks: Anstatt die Browserisolierung in einer Public Cloud mit einer begrenzten Zahl an Rechenzentren zu hosten, empfiehlt es sich für eine möglichst niedrige Latenz, auf ein globales Edge-Netzwerk zu setzen, das sich grundsätzlich in der Nähe der Endnutzer befindet. Das Edge-Netzwerk von Cloudflare erstreckt sich über mehr als 250 Städte und die Browserisolierung läuft auf allen Servern in jedem Rechenzentrum.

  • Ausschließliches Streamen von Zeichenbefehlen: Anstatt sich um die Bereinigung des Website-Codes zu bemühen, sollten bei der Browserisolierung schnell zu verarbeitende Zeichenbefehle an Endgeräte übermittelt werden, damit diese Seiten laden und fehlerfrei mit diesen interagieren können, ohne dafür Programmcode laden zu müssen. Mit dem Network Vector Rendering-Verfahren wendet Cloudflare genau diesen Ansatz an.

  • Einsatz nativer Browsertechnologie: Remote-Browser, die dieselbe Technologie verwenden wie gängige Applikationen auf den Endgeräten, sind eher zu einer originalgetreuen Nachbildung unterschiedlicher Websites in der Lage. Cloudflare nutzt native Technologie, genauer gesagt den populären Chromium-Browser, um schnell zu verarbeitende Zeichenbefehle anstelle von Pixel-Streams oder Code-Versatzstücken zu übermitteln.

  • Cloud Computing der nächsten Generation: Wird eine Lösung zur Remote-Browserisolierung auf einer Public Cloud gehostet, werden die Cloud-Kosten an die Nutzer weitergegeben und die Latenz nimmt zu. Deshalb ist dies zu vermeiden. Zudem sollten zur Virtualisierung und Containerisierung effiziente Serverless-Verfahren eingesetzt werden, da zugrundeliegende Server-Ressourcen auf diese Weise wirksamer eingesetzt werden können, weil ihre Abstimmung und Verwaltung entfällt. Durch die von Cloudflare gebotene effiziente Abstimmung und Verwaltung von Server-Ressourcen wird die Latenz für Endnutzer reduziert. Zudem fällt die Geschwindigkeit zweimal höher aus als bei herkömmlichen Remote-Browsern.

Dank eines weitreichendes globalen Netzwerks und einer patentierten Lösung zur Browserisolierung kann Cloudflare einen Zero Trust-Browser anbieten, bei dem die Performance in keiner Weise beeinträchtigt wird. So können Unternehmen die Vorteile der Browserisolierung voll ausschöpfen.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.


Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Wie Internetbrowser die Anfälligkeit für Cyberangriffe erhöhen

  • Welche Techniken Angreifer innerhalb des Browsers nutzen

  • Welche Angriffsvektoren gerade besonders angesagt sind

  • Wie sich mit Browserisolierung nach dem Zero Trust-Prinzip Risiken verringern lassen


Verwandte Ressourcen


Vertiefung des Themas:

In dem Whitepaper Browserisolierung: Häufige Herausforderungen und ihre Überwindung erfahren Sie, wie Sie ihr Unternehmen vor den im Browser lauernden Gefahren schützen können.

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!