1. Die Ausgangssituation 

Die Kommunikation mit dem Internet hat längst sehr große Bereiche des täglichen Lebens erfasst. Nicht nur im beruflichen Sektor ist der Austausch von Informationen, Daten oder Multimediaelementen zur täglichen Routine geworden. Ganze Geschäftsbereiche, wie Online-Informationsdienste, sind durch dieses Medium neu entstanden. Andere, wie etwa die Finanzdienstleister, haben durch das Internet eine fundamentale Entwicklung erfahren. Dieser Prozess ist weder abgeschlossen noch verlangsamt er sich - so steht mit Cloud Computing unter Umständen der nächste Evolutionsschritt an.

Auch die Systeme, die diese Kommunikation ermöglichen, haben sich im Laufe der Internetentwicklungsgeschichte verändert. Zwischen den ersten einfachen Mailclients und den modernen, aktuellen Browsergenerationen liegt eine Vielzahl von Entwicklungsschritten nicht nur in Funktionalität und Performance. Auch die Themen Sicherheit und Usability haben sehr zum Aussehen und zur Funktionalität aktueller Internetkommunikationssoftware beigetragen.

Das Thema Sicherheit spielt bei den Internetangeboten dabei eine stärker werdende Rolle. Bei den Serverangeboten und Webapplikationen wurden bereits diverse Siegel und Prüfkataloge entwickelt, die mehr oder weniger intensiv die Aspekte Datensicherheit und persönliche Schutzmechanismen untersuchen. Dabei stehen naturgemäß die Integrität des Servers und dessen Daten im Vordergrund. Der Client des Kunden wird dabei nicht in die Betrachtung eingeschlossen.

Der Client, mit dem der Nutzer oder Kunde die Kommunikation mit dem Internet herstellt, sollte jedoch in die Sicherheitsbetrachtung mit einbezogen werden. Denn durch geeignete Schutzmechanismen in der Software kann die Clientsoftware Teil des Schutzmechanismus gegenüber Angriffen aus dem Internet sein.

2. Zertifizierung Trusted Internet Application 

Zu diesem Zweck hat die TÜV TRUST IT GmbH mit der Unternehmensgruppe TÜV Austria ein Zertifizierungsschema entwickelt, welches die Sicht des Anwenders in das Zentrum der Betrachtungsweise rückt. Die Aufgabe war, einen Anforderungskatalog zu entwickeln, der technische und organisatorische Aspekte mit Compliance- Themen vereint. Compliance wurde aus dem Grunde einbezogen, da Unternehmen einen sehr großen Anteil bei der Nutzung von Internetkommunikationssoftware haben. Im Allgemeinen besteht ein hohes Interesse daran, den Datenverkehr zwischen den Mitarbeiter/-innen und den externen Quellen im Internet entsprechend der gesetzlichen Regelungen und weiteren internen oder externen Anforderungen zu gestalten. Daher wurden in den Anforderungskatalog Elemente integriert, die speziell die Aspekte des innerbetrieblichen Einsatzes berücksichtigen.

Eine weitere Herausforderung stellte der Scope des Anforderungskataloges dar. Es sollte kein Katalog entwickelt werden, der sich auf eine spezielle Art der Kommunikation mit dem Internet fokussiert - viel eher Programme, wie Browser und Mailclients genauso berücksichtigt werden, wie spezielle Chat-Tools oder VoIP-Clients. Es entstand daher ein Grundgerüst von Basisanforderungen für die Software, die Entwicklungsprozesse beim Hersteller der Software, die Betriebsprozesse und die Compliance. Neben diesem Grundgerüst werden für den jeweiligen Kontext (bspw. Webbrowser) zusätzliche Kriterien hinzugenommen, die den Eigenheiten der jeweiligen Kommunikation Rechnung tragen. Daher wird das Label "Trusted Internet Applikation" immer mit einer entsprechenden Kontextbezeichnung ergänzt. Den Kern der zu verifizierenden Elemente stellen dabei die Schutzziele Datensicherheit und Compliance dar.

Prinzipiell besteht das Zertifizierungsschema aus drei Grundelementen: 

• einer manuellen Analyse der relevanten organisatorischen Prozesse bzgl. der Entwicklung, Pflege und dem Betrieb der zu betrachtenden Software
• einer individuellen technischen Betrachtung der Software in spezifizierten und typischen Einsatzszenarien
• einer manuellen Verifikation der Software und ihrer Konfigurationsmöglichkeiten bei einem Einsatz in einem Compliance-relevanten Umfeld

Dabei wurde bei der Formulierung der Anforderungen ein besonderer Wert auf die Wirksamkeit gelegt. Damit soll die Software nicht nur prinzipiell über eine bestimmte Sicherheitseigenschaft (bspw. Verschlüsselung der Kommunikation) verfügen, diese muss auch einfach konfigurierbar und technisch wirksam sein. Gerade die beiden letzten Aspekte betonen die zentrale Forderung der Endnutzer-Sicht.

Die Anforderungen an die organisatorischen Prozesse werden in allgemeine und spezifische Anforderungen im Kontext Webbrowser unterteilt. Bei den allgemeinen Forderungen wird überprüft, ob es fest definierte Rollen und Verantwortlichkeiten für die Sicherheit und weitere Schutzthemen im Unternehmen gibt. Bei den spezifischen Anforderungen ist ein wesentlicher Punkt die initiale Berücksichtigung von Sicherheits- und Schutzanforderungen im Entwicklungsprozess der Software, mit entsprechend hoher Gewichtung. Wichtig ist auch der Prozess zur Bereitstellung von Updates und neuen Releases. Hier wird überprüft, wie Hinweise auf Schwachstellen in der Software identifiziert und verifiziert werden, damit bei vorhandenen Lücken auf schnellstem Wege ein Update oder ein neues Release bereitgestellt werden kann.

Weitere Prüfpunkte sind beispielsweise das Account Management oder der Prozess der Informationsklassifizierung. Beim Account Management wird überprüft, wie Berechtigungen vergeben werden und wie sichergestellt wird, dass nur Berechtigte Zugriff auf den Browsercode erhalten. Bei der Informationsklassifizierung ist es wichtig, dass es klare Regeln gibt, wie Informationen (im Webbrowser-Kontext speziell der Browsercode) klassifiziert werden müssen und wie mit diesen Informationen umgegangen wird.

Die technischen Anforderungen im Katalog decken die einzelnen Fragestellungen beim Einsatz der Software ab. Ziel bei den technischen Anforderungen war es nicht, eine vollständige und intensive Analyse der Software auf Basis des Quellcodes durchführen zu lassen. Software, insbesondere so umfangreiche Software wie ein Webbrowser, hat immer inhärent Fehler, die bei besonderen Situationen auch eine Kompromittierung des Systems bewirken können. Die technischen Anteile im Katalog umfassen unter anderem die Bereiche:

• Konfiguration der Sicherheitseinstellungen und deren Wirksamkeit
• Löschung von Verbindungs- und sonstigen Daten inkl. Wirksamkeit
• Verschlüsselung der Daten und der Kommunikation
• Integration in bestehende Sicherheitsinfrastrukturen
• Behandlung von Erweiterungen
• Software-inhärente Sicherheitsmechanismen
• Updateverfahren
• Unerwünschte Kommunikation mit Dritten

Neben den technischen und organisatorischen Punkten wurden zusätzliche Compliance-Anforderungen in den Anforderungskatalog aufgenommen, um dem Einsatz der Software bei Unternehmen Rechnung zu tragen. In diesem Punkt wird beispielsweise die zentrale Administrierbarkeit der Software betrachtet, nämlich inwieweit rechtliche oder unternehmensspezifische Regelungen durch die Nutzung der Software auch tatsächlich umgesetzt werden können. Hierbei wird auch der Prozess der laufenden Überprüfung dieser technischen Compliance unter die Lupe genommen. Geprüft und sichergestellt wird, dass für den Webbrowser alle länderspezifischen rechtlichen Anforderungen berücksichtigt und eingehalten werden. Ein weiterer wesentlicher Punkt ist hier natürlich auch die Verarbeitung von personenbezogenen Daten innerhalb des Webbrowsers.

Bei Microsoft nimmt das Thema Sicherheit seit Jahren eine wichtige Stellung ein. Es wurden wesentliche Prozesse etabliert, die die Entwicklung sicherer Software ermöglichen und im Fall von bekannt gewordenen Schwachstellen eine schnelle Korrekturmöglichkeit sicherstellen. Um die Qualität dieser Prozesse und daraus entstehenden Services bzw. Software zu dokumentieren, hat Microsoft die TÜV TRUST IT beauftragt, eine Prüfung ihres Internet Explorer 8 (IE8) auf Basis des Anforderungs- und Prüfkataloges „Trusted Internet Application – Kontext Webbrowser“ durchzuführen. Bei erfolgreicher Prüfung soll ein Zertifikat erstellt werden, um den Nutzern des IE8 seine Qualität und Sicherheit zu dokumentieren.

Da komplexe und umfangreiche Software erfahrungsgemäß immer inhärente Fehler hat, und selbst dezidierte Inspektionen des Quellcodes nicht alle potenziellen Probleme identifizieren können, stand dabei nicht eine rein technische Untersuchung der Software im Vordergrund. Die Behandlung des Themas erfolgte speziell aus Nutzersicht, die Betrachtung umfasste alle Belange der Datensicherheit und der Rechtskonformität auf der einen Seite und die Nutzung spezieller Schutzmechanismen sowie die Sicherstellung der schnellen Behebung von Fehlern und Schwachstellen auf der anderen Seite. Ein besonderes Augenmerk wurde dabei auf den Softwareentwicklungs- und Pflegeprozess gerichtet, der bei der Entdeckung eines Fehlers schnell und zuverlässig entsprechende Maßnahmen auf technischer und organisatorischer Ebene einleitet sowie die Anwender informieren und mit Updates versorgen soll.

Ein wichtiger Aspekt einer Zertifizierung ist die Validität der durchgeführten Untersuchungen über einen längeren Zeitraum hinweg. Dies wird erreicht durch Monitoring, das regelmäßig in festgelegten Zeitabständen, aber bei Notwendigkeit, z.B. bei größeren Änderungen, auch adhoc erfolgt.

5. Anforderungskatalog 

Die TÜV TRUST IT hat einen Anforderungskatalog für Internet-Applikationen entwickelt. Dieser Anforderungskatalog teilt sich in einen allgemeinen Teil, der sich aus einem organisatorischen Abschnitt und einemComplianceteil zusammensetzt. In einem an den Kontext gebundenen Anhang werden die spezifischen Anforderungen an die Internet-Applikation benannt. Der Anforderungskatalog wurde in der aktuellen Version 1.3 zu Grunde gelegt.

Der allgemeine Teil dieses Anforderungskatalogs basiert auf der internationalen Norm ISO/IEC 27001:2005, die einen weltweit gültigen Standard für Informationssicherheits-Management darstellt. Dieser allgemeine Teil des Anforderungskatalogs besteht hauptsächlich aus folgenden Prüfpunkten:

• Rollen und Verantwortlichkeiten für Informationssicherheit
• Externe Lieferanten
• Klassifizierung von Informationen
• Personalprozesse
• Betriebs- und Entwicklungsprozesse  (z.B. Systeme, Change Management, Entwicklungsumgebungen, Backup und Restore Verfahren)
• Verfahren zum Erkennen von Sicherheitslücken

Der Prüfbereich für Compliance basiert ebenfalls auf der Norm ISO/IEC 27001:2005. Einige zentrale Prüfungspunkte sind dabei:

• Identifikation und Dokumentation u.a. von gesetzlichen, vertraglichen und technischen Anforderungen
• Urheberrechtliche Betrachtungen
• Wahrung der Rechte von Betroffenen

Der technische Teil des Anforderungskatalogs Trusted Internet Application basiert auf OWASP 3.0 (Open Web Application Security Project), einem Projekt, dass Techniken wie ThreatModelling, manuelle Analysen, Code Reviews und Penetration Tests beschreibt und damit die Entwicklung sicherer Web-Applikationen erreichen möchte. Diese Anforderungen haben keinen funktionalen Schwerpunkt, sondern beschreiben eine risikomotivierte Sicherheitsanforderung. Somit kann dieses Vorgehen für jede Internet-Applikation angewendet werden, was allerdings auch immer eine spezifische Modellierung der Risiken voraussetzt. Diese Modellierung wird auch Scoping genannt. Für den IE-Kontext wurden nach der Modellierung u.a. die folgenden Prüfpunkte in den Anforderungskatalog mit aufgenommen:

• Konfiguration der Sicherheitseinstellungen und deren Wirksamkeit
• Verschlüsselung der Daten und der Kommunikation
• Löschung von Verbindungs- und sonstigen Daten inkl. Wirksamkeit
• Cross-Domain-Dialoge
• Separierung der Instanzen (Tabs)
• Aktualisierungsmechanismen
• Integration in bestehende Sicherheitsinfrastrukturen
• interne Sicherheitsmechanismen

- Technische Prüfung:

Die technischen Prüfungen wurden jeweils für die Betriebssysteme Windows 7, Windows Vista und Windows XP durchgeführt. Zu diesem Zweck wurden jeweils neue Images der Betriebssysteme in einer virtuellen Umgebung mit der neuesten Version des IE8 betrieben. Zu gewissen Zeiten und nach bestimmten Aktionen wurden Snapshots der Systeme erstellt und diese entsprechend untersucht. Dabei wurde der Browser unverändert betrieben, d.h. es wurden keinerlei Veränderungen gegenüber den Grundeinstellungen am Browser vorgenommen. Es wurden auch keine zusätzlichen Add-Ons installiert oder aktiviert.

Ein Add-On kann die Sicherheitseigenschaften eines Browsers erheblich verändern. Da diese Add-Onsim Allgemeinen nicht von Microsoft zur Verfügung gestellt werden, wurden sie auch im Rahmen dieser Untersuchung nicht betrachtet. Jedem Benutzer sollte aber klar sein, dass ein sicherheitstechnisch schlecht entwickeltes Plug-In, trotz der inhärenten Sicherheitsfeatures des IE8, die Integrität des Rechners und die Vertraulichkeit der Daten des Nutzers gefährden können.

Teilweise wurden auch technische Prüfungen auf Basis der Dokumentation bzw. der tatsächlichen Einstellmöglichkeiten der Software und ihrer Wirkung durchgeführt. Eine dezidierte Quellcode-Analyse war nicht Gegenstand der Untersuchung. Eine derartig umfangreiche Software ist im Allgemeinen nie zu 100 Prozent fehlerfrei. Neben der Standardkonfiguration wurde auch die Wirkungsweise der internen Sicherheitsfeatures des IE8 analysiert. Die InPrivate-Option ermöglicht ein effektives privates Surfen mit der Einschränkung, dass die temporären Dateien für einen gewissen Zeitraum mit IT-forensischen Methoden rekonstruierbar bleiben. Dem kann durch die Nutzung von mobilen Speichermedien (USB-Stick) bei einem Surfen in unsicheren Umfeldern (Internet Cafe) entgegengewirkt werden. Die Smartfilter-Funktionbietet einen zusätzlichen und effektiven Schutz gegenüber Angriffen wie Phishing oder Malware-Download. Jedoch kann das Feature keinen Ersatz für eine Firewall (Bordmittel bei Windows) oder einen aktuellen Virenscanner sein. Diesen Anspruch erhebt dieses Modul jedoch auch nicht.

Der Internet Explorer konnte das Prüfteam in fast allen Bereichen zu 100 Prozent überzeugen. In einigen Punkten, wie bspw. Konfigurationsmöglichkeiten für Sicherheitseinstellungen, übertraf der Browser die Anforderungen. Insbesondere die Verschlüsselungseinstellungen, mit der Möglichkeit schwache Verschlüsselungen auszuschließen, die Informationen an den Nutzer, wenn Verletzungen des Standards etwa durch ein falsches, abgelaufenes oder selbstsigniertes Zertifikat drohen, sowie beim Angebot gemischter (verschlüsselter und nicht verschlüsselter) Inhaltesind vorbildlich und werden nicht von jeder Internetkommunikationssoftware mit dieser Stringenz vorgenommen.

Die Aktualisierung des IE ist in das Updateverfahren des Betriebssystems integriert und eine sichere Verwendung des Browsers verlangt auch eine entsprechende Konfiguration des Betriebssystems. Die Prozesse für die Entwicklung des Browsers (als auch des Betriebssystems) werden nach dem MS-SSDL durchgeführt und sind auf anerkannt höchstem Niveau innerhalb der Softwareentwicklung.

Einschränkend muss jedoch auch konstatiert werden, dass der sichere Betrieb der Software fundamental von den Einstellungen des Browsers abhängt. Werden diese, was auch möglich ist, erheblich gelockert, dann haben "böse" Webseiten durchaus leichtes Spiel mit dem Opfer. Es kann zwar im Allgemeinen kein fremder Code im Speicher aufgeführt werden (zumindest bei Windows Vista und Windows 7 bei entsprechender Einstellung), jedoch können maliziöse Skripte einen erheblichen Schaden auf dem Rechner des Benutzers oder im Firmennetzwerk anrichten. Jeder Benutzer oder Administrator sollte daher ein hohes Augenmerk auf die sichere Konfiguration legen. Dabei ist das Einsatzszenario natürlich von hoher Bedeutung und eine allgemeingültige Ad-hoc-Empfehlung kann es aus vernünftigen Gründen nicht geben.

Für drei bestimmte Einsatzszenarien hat die TÜV TRUST IT einige Einstellungsempfehlungen zusammengestellt. Diese haben sich bei den Tests als sicher erwiesen. Jedoch auch diese Einstellungen allein garantieren keine komplette Sicherheit, da Add-Ons unter Umständen die Sicherheit und die Privatsphäre des Nutzers erheblich verletzen können.

Für die Compliance-Prüfung waren die Eigenschaften der zentralen Administration von hoher Bedeutung. So kann die Software in einem Firmenumfeld zentral konfiguriert werden und damit einen Firmenstandard wirksam durchsetzen. Dieser Umstand kann Unternehmen eine größere Gewissheit liefern, dass aus ihrem Netzwerk heraus bestimmte, ungewünschte Aktionen nicht oder nur mit erheblicher, den Vorgaben entgegengesetzter Energie möglich sind.

 

- Organisatorische Prüfung:

Die wesentlichen Ergebnisse aus der organisatorischen Überprüfung waren durchaus positiv. So konnte festgestellt werden, dass es einen wirksamen Microsoft-weiten Prozess zur sicheren Entwicklung von Software gibt. Dieser stellt sicher, dass alle initial festgelegten Sicherheitsanforderungen über den kompletten Lebenszyklus der Software berücksichtigt werden. Ebenso gibt es einen wirksamen Prozess, der dafür verantwortlich ist, dass identifizierte Sicherheitslücken auf schnellstem Weg über ein bereitgestelltes Update geschlossen werden. Eine weitere wichtige Erkenntnis war, dass nur eine sehr geringe Zahl von Berechtigten Zugriff auf die Entwicklungsumgebung für den Webbrowser hat. 

 

- Compliance-Prüfung:

Die vorhandene Struktur für Schutzfragen ist in ausreichendem Maße ausgebaut. Es gibt zentrale Ansprechpartner für diesbezügliche Anfragen sowohl bei der deutschen Niederlassung als auch in der amerikanischen Zentrale. Der Umgang mit personenbezogenen Daten, sofern sie bei der Nutzung des IE8 erhoben, verarbeitet oder sonst genutzt werden (z.B. IP-Adressen im Rahmen von Fehlerberichten, etwaige Datenübermittlung beim SmartScreen-Filter), ist in einer umfassenden, speziell auf den IE8 zugeschnittenen Policy dargestellt. Diese ist auf der Homepage von Microsoft einzusehen. Zusätzlich weist der Browser bei relevanten Funktionen, analog dem Warnsystem bei möglichen Sicherheitsverletzungen (vergleiche technische Prüfung), inklusive Weblink darauf hin. Dort sind jegliche Informationen definiert, die durch den Browser übermittelt werden. Entsprechende Prozesse sind dokumentiert, konnten jedoch nicht rechtzeitig im Rahmen der Prüfung des IE8 zur Verfügung gestellt werden. Technische und organisatorische Maßnahmen zur Wahrung des Schutzes von Informationen (Löschung temporärer Dateien, InPrivate-Funktion, etc.) sind im Kontext der organisatorischen und technischen Prüfung bearbeitet worden. Diese sind als ausreichend zu bewerten.

Die Identifikation einzuhaltender gesetzlicher, regulatorischer und vertraglicher Vorschriften erfolgt durch ein Microsoft-internes Rahmenwerk, das unter anderem sicherstellt, dass Microsoft-Produkte die Vorgaben aller Länder, in denen sie vertrieben werden, erfüllen. Hinsichtlich urheberrechtlicher Fragestellungen gibt es interne Vorgaben, die von allen Mitarbeitern zu beachten sind. Die Sicherung des Quellcodes des Internet Explorer, unter anderem vor Manipulationen, wird mittels eines internen Rahmenwerks zur Quellcodekontrolle in Verbindung mit restriktiver Vergabe von Zugriffsrechten realisiert.

Die Konformität mit technischen Sicherheitsvorgaben wird vor und während der Entwicklung der Software durch Sicherheitstestpläne gewahrt. Die Tests basieren unter anderem auf Erfahrungen hinsichtlich früherer Fehler, Bedrohungsszenarien und der weiteren Produktplanung. Sie erfolgen regelmäßig und automatisiert in einer entsprechenden Testumgebung. Sofern Bedrohungen nach Veröffentlichung des Produkts angezeigt werden, werden die Testprozeduren für zukünftige Entwicklungen entsprechend ergänzt.