Browser-Sicherheitshärtung: Unternehmensrichtlinien für Chrome, Edge und Firefox

Der Browser ist das neue Betriebssystem - die meiste Arbeitszeit verbringen Nutzer heute in Chrome, Edge oder Firefox. Gleichzeitig ist der Browser die primäre Angriffsfläche: Phishing, Drive-by-Downloads, bösartige Browser-Extensions und Browser-Exploits nutzen alle diese Angriffsfläche. Zentral verwaltete Browser-Sicherheitsrichtlinien sind deshalb ein wesentlicher Bestandteil einer modernen Endpoint-Security-Strategie.

Browser-Sicherheitsarchitektur

Moderne Browser bringen mehrere Schutzmechanismen mit:

Process-Isolation (Chromium-Architektur): Jeder Tab läuft in einem eigenen Sandbox-Prozess. JavaScript kann nicht direkt auf OS-Ressourcen zugreifen. Ein kompromittierter Tab eskaliert nicht zum Browser-Prozess. Zusätzliche Isolation bietet Site Isolation als Spectre-Mitigation.

Same-Origin Policy (SOP): JavaScript auf example.com kann nicht auf evil.com zugreifen. Das verhindert Cross-Origin-Datendiebstahl. CORS ermöglicht kontrollierte Ausnahmen.

Content Security Policy (CSP): Definiert welche Ressourcen eine Seite laden darf. Verhindert XSS durch Script-Whitelisting. Nur im App-Deployment kontrollierbar.

HTTPS-Only Mode: Der Browser upgradet HTTP-Anfragen zu HTTPS wo möglich und verhindert so Klartext-Übertragungen.

Safe Browsing: Google Safe Browsing und Microsoft SmartScreen (Edge) blocken bekannte Phishing- und Malware-URLs durch Cloud-basierte Reputations-Prüfung.

Download-Protection: Verdächtige Downloads werden gewarnt oder blockiert auf Basis von Datei-Hash-Reputation.

Zentral verwaltete Browser-Richtlinien

Schritt 1: Browser-Templates importieren

Chrome und Edge teilen viele Policies da beide Chromium-basiert sind:

# Chrome ADMX herunterladen von:
# https://chromeenterprise.google/browser/download/#manage-policies-tab

# Edge ADMX (in Windows integriert ab bestimmten Versionen):
# Administrative Templates: %SystemRoot%\PolicyDefinitions\

# GPO-Pfade:
# Computer Config → Admin Templates → Google Chrome
# Computer Config → Admin Templates → Microsoft Edge

Schritt 2: Kritische Sicherheitseinstellungen

HTTPS erzwingen:

Chrome: HttpsOnlyMode = force_enabled
Edge: AutomaticHttpsDefault = 1

Alle HTTP-Anfragen werden zu HTTPS umgeleitet. Bei fehlendem HTTPS wird ein Fehler angezeigt statt ein Downgrade durchgeführt.

Safe Browsing erzwingen:

SafeBrowsingEnabled = 1 (aktiviert)
SafeBrowsingProtectionLevel = 2 (Enhanced Protection)

Diese Einstellung kann der User nicht mehr deaktivieren.

Download-Schutz:

SafeBrowsingAllowlistDomains = ["intranet.company.com"]
DownloadRestrictions = 4 (alles außer Safe-Browsing-Whitelist)

Autoplay und JIT deaktivieren:

DefaultJavaScriptJitSetting = 2 (JIT deaktiviert → kein JIT-Spray!)
AutoplayAllowed = 0 (deaktiviert Autoplay-Media)

Passwort-Manager deaktivieren (wenn ein eigener PM verwendet wird):

PasswordManagerEnabled = 0
BrowserSignin = 0 (kein Google/Microsoft-Account-Sync)

Das verhindert Credential-Exfiltration via kompromittiertes Cloud-Konto.

Private Browsing einschränken:

IncognitoModeAvailability = 1 (deaktiviert)

Verhindert die Umgehung von Proxy-Filterung durch den Nutzer.

Extensions-Verwaltung (kritisch):

ExtensionInstallBlocklist = ["*"]   → alle Extensions blockiert
ExtensionInstallAllowlist = ["EXTENSION_ID_1", "EXTENSION_ID_2"]

Nur IT-genehmigte Extensions können installiert werden. Das verhindert malicious Extensions und Credential-Stealer.

Extension-Berechtigungen einschränken (JSON-Policy):

{
  "*": {
    "runtime_blocked_hosts": ["*://*.example-internal.com/*"],
    "blocked_permissions": ["bookmarks", "history", "cookies"]
  }
}

Alle Extensions dürfen nicht auf interne Domains zugreifen und haben keinen Cookie- oder History-Zugriff.

Schritt 3: Edge-spezifische Sicherheitseinstellungen

SmartScreen:

SmartScreenEnabled = 1 (erzwungen)
SmartScreenPua = 1 (PUA-Schutz)
SmartScreenDnsRequestsEnabled = 1 (DNS-basierter Schutz)

Microsoft Defender Application Guard (MDAG):

ApplicationGuardEnabled = 1

Hochriskante Websites werden in einer isolierten VM geöffnet. Selbst ein erfolgreicher Exploit kann nicht aus der Sandbox ausbrechen.

Edge Enhanced Security Mode:

EnhancedSecurityMode = 1

JIT wird für unbekannte Sites deaktiviert, CFI (Control Flow Integrity) verstärkt.

Extensions-Sicherheit

Die Angriffsfläche von Browser-Extensions

Extensions laufen mit hohen Berechtigungen (Host-Permission: *) und können Seiteninhalte lesen, Requests modifizieren und Cookies stehlen. Malicious Extensions werden für Credential-Diebstahl, Session-Hijacking und Cryptomining eingesetzt.

Häufige Angriffsvektoren

• Legitime Extensions die böswillig werden: Update-Angriff nach Vertrauensaufbau
• Typosquatting: “Grammerly” statt “Grammarly”
• Supply-Chain: Extension-Entwickler kompromittiert, Update enthält Malware
• Extensions kaufen: Käufer macht Update mit Malware nach Übernahme

Bekannte Vorfälle

• 2023: 40+ Chrome-Extensions mit zusammen 87 Mio. Nutzern exfiltrieren Cookies
• 2022: DataSpii-Kampagne: Extensions lesen sensible URL-Parameter
• 2019: Web of Trust: Verlauf-Exfiltration an Dritte

Extension-Sicherheit im Unternehmen

• Allowlist-Modell: nur genehmigte Extensions via GPO
• Extension-Review-Prozess: vor Freigabe Berechtigungsanalyse durchführen
• Extension-Monitoring: welche Extensions sind auf welchen Geräten?
• Extension-Vetting: Quellcode-Review für kritische Extensions
• Regelmäßige Überprüfung: Extension-Updates können neue Berechtigungen verlangen

Tools für Extension-Analyse

Tool	Funktion
crxcavator.io	Sicherheits-Score für Chrome-Extensions
extensionmonitor.io	Monitoring für Extension-Änderungen
RetireJS (indirekt)	veraltete JS-Libraries in Extensions

Remote Browser Isolation (RBI)

Was ist RBI?

Bei Remote Browser Isolation läuft der Browser nicht auf dem Endgerät des Users, sondern in der Cloud oder im Rechenzentrum. Der User sieht nur den gerenderten Output (Pixel-Stream oder DOM-Mirror). Malware kann das Endgerät nicht erreichen, da der Browser in der Cloud verbleibt.

RBI-Ansätze im Vergleich

Pixel-Streaming (höchste Sicherheit): Vollständiger Browser in der Cloud, User sieht nur Videostream, kein Code verlässt die Cloud. Hohe Latenz und eingeschränkte Usability.

DOM-Mirror (Kompromiss): DOM-Struktur wird zum Client gesendet (nicht Code), Client-Browser rendert nur das sichere DOM. Niedrigere Latenz und bessere UX.

Selective Isolation (praktischste Variante): Bekannte sichere Sites laufen im normalen Browser, unbekannte oder riskante Sites im isolierten Browser. CASB/SWG entscheidet pro URL.

RBI-Anbieter

Anbieter	Besonderheit
Cloudflare Browser Isolation	Native in Cloudflare SASE
Zscaler Cloud Browser	ZTNA + RBI integriert
Ericom Shield	Standalone RBI
Menlo Security	DOM-Isolation-Spezialist
Microsoft MDAG	Lokal isoliert (Hyper-V), keine Cloud nötig

Wann ist RBI sinnvoll?

• Hochriskante User (Finance, Executives)
• BYOD-Geräte ohne MDM
• Zero-Day-Browser-Exploits als Bedrohungsmodell
• Contractors ohne vollständig verwaltete Geräte

Web-Filtering und DNS-Sicherheit

Methode 1: Secure Web Gateway (SWG)

Ein Proxy zwischen Browser und Internet ermöglicht URL-Kategorisierung (Malware, Phishing, Adult-Content, P2P), SSL-Inspection (TLS-Entschlüsselung zur Inhaltsanalyse) und Data-Loss-Prevention (sensible Daten in Uploads erkennen). Führende Produkte: Zscaler Internet Access, Netskope, iboss, Cisco Umbrella.

Methode 2: DNS-basiertes Filtering

DNS-Anfragen gehen an einen Filter-Resolver der bekannte böse Domains blockiert. Einfacher aufzusetzen als ein Proxy, kein SSL-Inspection nötig. Schützt auch Nicht-Browser-Traffic (Malware-C2, DNS-Tunneling). Produkte: Cisco Umbrella, Cloudflare Gateway, NextDNS for Teams.

GPO für DNS-Filtering:

Chrome: DnsOverHttpsMode = "secure"
DnsOverHttpsTemplates = "https://gateway.company.com/dns-query"

Der Browser nutzt so den firmen-kontrollierten DNS-over-HTTPS.

Methode 3: Browser-interne URL-Filtering

BlockThirdPartyCookies = 1 (Tracking-Schutz)
URLBlocklist = ["javascript:*", "file:*"]

SSL-Inspection: Wichtige Überlegungen

SSL-Inspection ermöglicht vollständige Inhalts-Inspektion, hat aber Implikationen: Banking und private Zertifikate müssen ausgenommen werden. Nutzer müssen wissen dass Traffic inspiziert wird. In Deutschland ist eine Betriebsrats-Einbindung für DSGVO-Konformität erforderlich. Technisch wird ein Firmenzertifikat in den Browser-Trust-Store eingetragen.

Browser-Härtungs-Checkliste

Muss (kritisch)

• Extensions: nur Allowlist via GPO (ExtensionInstallBlocklist=*)
• Safe Browsing: Enhanced Protection erzwingen
• Updates: automatisch, keine User-Abwahl möglich
• Passwort-Speicherung: deaktiviert (separaten PM verwenden)
• Browser-Sync: deaktiviert (kein Google/Microsoft-Account-Sync)
• HTTPS-Only: aktiviert

Sollte (empfohlen)

• Web-Filtering/SWG für alle Internet-Verbindungen
• DNS-over-HTTPS zu firmeneigenem Resolver
• SmartScreen/Safe Browsing Reporting aktiviert
• Download-Einschränkungen: verdächtige Dateitypen blockieren
• JIT deaktiviert für unbekannte Sites (Edge Enhanced Security Mode)

Optional (für Hochrisikogruppen)

• Remote Browser Isolation für Finance und Executives
• Application Guard (MDAG) für Contractor-Zugriffe
• Kontinuierliches Browser-Extension-Monitoring

Monitoring und Alerting

• Extension-Installationen via MDM/EPP loggen
• Browser-Absturz-Berichte auswerten (Exploit-Indikator)
• Download-Quarantäne: alle Downloads erst nach AV-Scan freigeben
• Proxy-Logs: unbekannte Domains, Tor-Exit-Nodes, High-Bandwidth-Exfiltration

---

Browser-Sicherheit ist mehr als “aktuell halten” - die systematische Härtung über zentrale Richtlinien, das Management von Extensions und die Integration in die Web-Security-Architektur (SWG, DNS-Filtering) bilden die erste Verteidigungslinie gegen Web-basierte Angriffe. AWARE7 unterstützt bei der Bewertung und Härtung der Browser-Sicherheitsinfrastruktur als Teil von Endpoint-Security-Assessments.

Endpoint Security Assessment | Security Awareness Training