Das BSI empfiehlt den Firefox

MozillaDas Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Firefox-Browser, da dieser als einziger den Mindeststandard 'Sichere Web-Browser' erfüllt. Ergänzung: Auf Grund der im Blog stattfindenden Diskussionen habe ich den ursprünglich als Kurzinfo veröffentlichten Beitrag um einige Informationen (die sich im BSI-Dokument finden) erweitert.


Anzeige

Catalin Cimpanu hat auf Twitter auf diesen Sachverhalt hingewiesen und seinen Artikel bei ZDNet verlinkt. 

Seine Aussage im Artikel war, dass das BSI den Firefox als den 'sichersten' Webbrowser empfiehlt, da dieser als einziger den Mindeststandard 'Sichere Web-Browser' erfüllt.

Nachdem der Kurzbeitrag bereits zu Diskussionen geführt hat, hier einige ergänzende Erläuterungen. So muss jedem klar sein, dass diese Auswertung eine 'Momentaufnahme' ist, ähnlich wie beim Vergleich von Virenscannern. Da spielen die Versionen und die Testkriterien in de Bewertung mit rein.

Das Ziel des BSI

Der Hintergrund des Ganzen: Das BSI will Nutzern eine Vergleichstabelle an die Hand geben, die die funktionalen Anforderungen ausgewählter, marktgängiger Web-Browser mit dem Mindeststandard des BSI für sichere Web-Browser abgleicht. Dazu schreibt das BSI:


Anzeige

Dieses Dokument unterstützt Verantwortliche, die den Mindeststandard des BSI für sichere Web-Browser (Version 2.0) einhalten wollen.

Hierfür werden in Kapitel 2 die technischen (Kapitel 2.1) und organisatorischen (Kapitel 2.2) Sicherheitsanforderungen mit den in der Bundesverwaltung am häufigsten eingesetzten Web-Browsern abgeglichen. Nicht betrachtet werden die Sicherheitsanforderungen an den Betrieb (Kapitel 2.3 des Mindeststandards), da diese nicht vom Web-Browser, sondern von der nutzenden Behörde einzuhalten sind.

Die Hilfestellungen in diesem Dokument sind nicht rechtlich bindend und schließen keine anderen Lösungen aus. Insbesondere ist zu beachten, dass der Mindeststandard ein Mindestsicherheitsniveau beschreibt, das nicht unterschritten werden sollte. Jede Institution sollte zusätzlich – nicht nur bei erhöhten Sicherheitsbedürfnissen – eigene Betrachtungen vornehmen.

Das Ganze wird mit dieser Präambel bereits sauber eingeordnet – es ist ein Leitfaden für Verantwortliche in Behörden. Dass Nutzer hier im Blog auf gänzliche andere Favoriten kommen, bleibt jedem unbenommen.

Was hat das BSI getestet

Das BSI hat dazu den Mozilla Firefox 68 (ESR), de Google Chrome 76, den Microsoft Internet Explorer 11 und den Microsoft Edge 44 auf die Einhaltung des Mindeststandard 'Sichere Web-Browser' getestet. Dazu wurde geschaut, welcher Browser welche Sicherheitspunkt nicht, eingeschränkt oder vollständig unterstützt.

  • Bei der TLS-, Zertifikate- und der HTTP Strict Transport Security (HSTS)-Unterstützung erfüllen alle Browser die Anforderungen.
  • Hinsichtlich der Update-Mechanismen wird beim Internet Explorer 11 beispielsweise festgestellt, dass dort kein automatischer Update-Mechanismus für Erweiterungen existiert. Diese sind in der Regel eigenständige Programme. Für derartige Software müssen eigene Maßnahmen zur Aktualisierung getroffen werden.
  • Weiterhin wurde geschaut, ob der Browser einen Kennwort-Manager besitzt, Schutz vertrauenswürdiger Daten und vor schädlichen Inhalten bietet.

Der Vergleich der einzelnen Prüfkriterien wird dann in Tabellenform gegenüber gestellt. Das sieht dann wie in nachfolgender Abbildung aus.

Browservergleich des BSI (V2.0, 19.9.2019)
(Auszug aus dem Browservergleich des BSI, V2.0, 19.9.2019)

Geht man die acht Seiten des BSI mit den Tabellen durch, erhält nur der Firefox in allen Prüfkriterien ein uneingeschränktes Ja (grüne Markierung), während andere Browser da bei verschiedenen Punkten mit Einschränkungen oder fehlender Unterstützung auftauchen. Der Schluss des BSI: Der Firefox erfüllt als einziger Browser diesen Mindeststandard.

Die Auswertung Browser-Abgleichstabelle zum Mindeststandard des BSI für sichere Web-Browser ist in der Version 2.0, Stand 19. September 2019, hier als PDF-Fassung abrufbar.


Anzeige

Dieser Beitrag wurde unter Firefox, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

36 Antworten zu Das BSI empfiehlt den Firefox

  1. chriscrosser sagt:

    …ich habe es doch einfach immer gewusst…
    ;-)
    …die weiteren komentare der user werden hier folgen…
    :-)

    • Hans Thölen sagt:

      Den Firefox habe ich mal für einen Tag auf dem PC gehabt. Die ganzen
      TABs, ADDs und der ganze andere Schnickschnack war mir einfach zuviel.
      Auch die Versionsänderungen in kurzen Zeiträumen brauche ich nicht.
      Das ist ja genau so wie mit dem unzumutbaren Windows 10.
      Ich bin schnell wieder zum Internet Explorer zurück gekehrt. Dieser läuft
      auf meinem Windows 7 PC absolut problemlos.

      • Pinky sagt:

        …IE auf Windows 7! Du bist definitiv im Internet sicher unterwegs.

      • 1ST1 sagt:

        Das ist jetzt Satire, oder? Lass mal nen Scan von Privacy.net über den IE laufen…

      • Bernard sagt:

        Wann kommt eigentlich die neue ESR heraus?

        Früher gab es bei der Mozilla Foundation eine Grafik, in der gezeigt wurde, wie lange 60 und 68 parallel laufen.

        Aber jetzt ist nichts mehr zu finden.

      • chriscrosser sagt:

        @Hans Thölen
        …das ist wohl hoffentlich nicht dein voller ernst?! – oder?

      • Andreas W. sagt:

        Ich bin mit Firefox seit Jahren unterwegs und sehr zufrieden. Die häufigen Versionsänderungen stören mich nicht, denn sie installieren sich in Sekunden, ohne mich aufzuhalten. Außerdem kann man bei Add-ons und Plugins ja auch zurückhaltend sein; ich habe nur ganz wenige installiert. Sehr empfehlenswert ist übrigens der Adblocker uBlock Origin, der mir alle nervigen Werbeeinblendungen zuverlässig wegputzt! :-)

      • Sebastian sagt:

        Tabs – muss man ja nicht nutzen. (Für jede Seite ein neues Fenster finde ich aber wesentlich schlechter)

        Add-Ons – muss man ebenfalls nicht nutzen. (Gerade Werbeblocker und co. machen das Web eigentlich erst wieder benutzbar, ich will nie mehr ohne…)

        Versionsänderungen – merkt man doch in der Regel gar nicht? Maximal dauert der Start von Firefox nicht eine sondern fünf Sekunden, wenn ein Update eingespielt wird. Da ein Browser DAS Einfallstor für Malware auf dem PC darstellt, ist in regelmäßig aktualisierter Browser absolut alternativlos.

        Worüber man sicherlich streitan kann ist die Frage, ob es eine sinnvolle Entwicklung war, dass moderne Browser in Sachen Code-Komplexität mittlerweile auf dem Stand von Betriebssystemen a là Windows XP sind (gefühlt, geschätzt ;-) ).
        Das lässt sich aber nicht einfach zurückdrehen und betrifft sämtliche Angebote da draußen.

        • Steter Tropfen sagt:

          „Versionsänderungen – merkt man doch in der Regel gar nicht?" – schallendes Gelächter! Natürlich, wenn man den Browser so verwendet, wie man ihn vorgesetzt bekommt und keinerlei Phantasie hat, was Verbesserungsmöglichkeiten betrifft, dann mag das stimmen.
          Aber wenn man von den (früheren) Möglichkeiten Gebrauch gemacht hat, sich den Browser auf die eigenen Bedürfnisse zurechtzubiegen, und dann wird man alle 6 Wochen damit terrorisiert, dass wieder was nicht mehr geht, dafür aber die Designer weiter ihr gestörtes Selbst verwirklicht haben – dann sind selbst ESR-Versionen keine befriedigende Lösung mehr.

          Ich habe ernsthaft den Verdacht, dass ganze Interessengruppen das Internet nur dazu verwenden, der Menschheit Lebenszeit zu stehlen, die sie sonst zum Denken und Handeln nutzen könnte. Das Hamsterrad ständiger Änderungen als Opium fürs Volk.
          Aber so was hat das BSI natürlich nicht auf dem Schirm.

          • Sebastian sagt:

            "Vielen Dank" für diese unnötig aggressive und pauschalisierende Antwort, die natürlich inhaltlich auch nicht stimmt.

            Ja, alle paar Jahre(!) gibt es grundlegende Änderungen, durch die dann ggfs. Add-Ons nicht mehr laufen, die der Hersteller nicht anpasst.

            Ich wüsste ja gerne, was bei dir alle sechs Wochen nicht mehr läuft – zu 100% bist du mit dieser Erfahrung aber eine absolute Ausnahmeerscheinung.
            Oder einfach ein Chrome-Fanboy? ;-)

          • Günter Born sagt:

            Tut euch und uns allen einen Gefallen und lasst persönliche Befindlichkeiten außen vor. Auf Grund der Diskussion, die ich so nicht erwartet hatte, habe ich den Artikel ja nochmals erweitert. Die BSI-Empfehlung hat schon für die Zielgruppe Sinn. Aber hier soll kein Browser-Glaubenskrieg geführt werden. Danke.

  2. 1ST1 sagt:

    Es gibt übrigens momentan einen Fehler in allen aktuell supporteten Firefox-Versionen, der verhindert, dass man selfsigned HTTPS-Seiten öffnen kann, wenn in about:config die Variable "security.enterprise_roots.enabled" auf true gesetzt ist. Kann jeder selbst auf https://self-signed.badssl.com/ austesten. Das Problem ist , dass man diese Variable in Firmenumgebungen nicht selbst auf false umstellen kann, sie ist (per GPO) gesperrt, und damit sind solche Webseiten, u.a. die Managementkonsolen diverser Gerätschaften im Netz mit FF nicht mehr zugänglich.

    Siehe https://www.reddit.com/r/firefox/comments/d50gv7/firefox_ver69_blocks_usage_of_self_signed/

    Der Fehler ist bereits bei Mozilla in Arbeit und geht scheinbar auf eine 5 Jahre alte fehlerhafte Definition im FF zurück: https://bugzilla.mozilla.org/show_bug.cgi?id=1579060

  3. MCG sagt:

    Das BSI empfiehlt den Firefox.

    Der MCG empfiehlt dem BSI den Waterfox.

    Wenn es dem BSI tatsächlich um den Mindeststandard 'Sichere Web-Browser' geht, dann kommt nur Waterfox in Frage, aber nicht der mit Telemetrie vollgestopfte Firefox! Im Waterfox ist jegliche Telemetrie deaktiviert.

    • Günter Born sagt:

      Immerhin lässt sich beim BSI nachlesen, was getestet und bewertet wurde …

    • Micha45 sagt:

      Auch im Firefox kann man das Übertragen von Telemetriedaten deaktivieren.
      "Vollgestopft" ist der aber trotzdem nicht, man kann es auch übertreiben.
      Ich nutze beide Browser und finde beide sehr gut.

      Dass es auch noch Leute gibt, die mit dem IE ins Web gehen, überrascht mich jetzt ein bisschen. Hätte ich nicht für möglich gehalten. ;-)

    • 1ST1 sagt:

      So geht das, auch ohne Waterfox (den ich verwende, um in neueren FF versionen nicht mehr verfügbare Plugins noch zu verwenden. Downthemall ist so ein Ding, gibts zwar inzwischen wieder, aber der Funktionsunfang ist noch eingeschränkt.)

      https://support.mozilla.org/en-US/questions/1197144

      Muss man halt mal machen.

    • Steter Tropfen sagt:

      Der Palemoon, dessen Entwickler für sich beanspruchen, Mozilla-unabhängiger und damit zukunftsfähiger zu sein als der Waterfox, ist ebenfalls telemetriefrei. Aber nicht nachträglich aus dem übernommenen Mozilla-Code deaktiviert, sondern gezielt sauber gehalten.

      Es ist wirklich schade, dass das BSI nur die allergängigsten Browser angeschaut hat. So bleiben sichere Alternativen weiterhin unbekannte Außenseiter.

  4. Sherlock sagt:

    Günter Born sagt:
    Immerhin lässt sich beim BSI nachlesen, was getestet und bewertet wurde
    ——————–
    Das erinnert dann stark an die "getesteten und bewerteten" Kriterien bei sogenannter "Sicherheitssoftware", die dem User absolute Sicherheit verspricht. Realität hingegen: Als das Zeug dann in Nullkommanichts gehackt wurde und man die Schlangenöl-Hersteller mit dem Ergebnis konfrontiert hatte, war deren Antwort:
    "Ja, die Hacker hätten sich ja nicht an die vorgeschriebenen Angriffswege gehalten". LOL

    Sicherheitsexperten bewerten Firefox z.B. wie im folgenden Zitat:

    Mozilla Zeux ist keinen Deut sicherer als andere Browser;
    es ist aufgrund IDIOTISCHEN Verhaltens seiner Frickler,
    beispielsweise der Installation mehrerer Dutzend Windows
    System-DLLs ms-api-*.dll in seinem eigenen Verzeichnis,
    des weniger als halbgaren Update/Upgrade-Verfahres etc.
    einfacher angreifbar als IE oder Edge.

    • Sebastian sagt:

      Zitate dieser Bauart werden erst mit Quellenangabe glaubwürdig. Aber die kannst du ja sicher nachliefern.

      • Sherlock sagt:

        Sebastian sagt:
        Zitate dieser Bauart werden erst mit Quellenangabe glaubwürdig. Aber die kannst du ja sicher nachliefern.
        ————————————-
        Die Quelle hat sich ja gerade selbst nachgeliefert. Weiterhin sind die diversen Punkte nicht, wie hier gerade von einem Unwissenden behauptet, unqualifiziert, sondern im Gegenteil höchst qualifiziert und nachprüfbar. Dass dann irgendwelche ONUs enttäuscht aufheulen "wir lassen uns unseren Liebling nicht madig machen" ist die vielfach übliche Reaktion.
        Der erste Teil meines Kommentars zu sogenannter "Sicherheitssoftware" hingegen bezieht sich auf Sandro Gaycken: http://t1p.de/g0fv
        Dummerweise halten sich Angreifer nicht an irgendwelche Sicherheitsfeatures, sondern umgehen sie üblicherweise.

        • Sebastian sagt:

          Stringente und logische Argumentationsketten sind nicht so Dein Ding, oder?

          Ich hätte gerne einen Link zu Deinen "Sicherheitsexperten", die behaupten "Mozilla Zeux ist keinen Deut sicherer als andere Browser"

          Ohne Quellenangabe ist es möglicherweise einfach nur eine Aussage von Dir selbst, und ob man Dich als "Sicherheitsexperten" einstuft, kann dann ja jeder selbst für sich entscheiden.

          Bitte mal konkret werden und nicht nur so nebulös – und auf den Nebenkriegsschauplatz "Sicherheitssoftware" verzichten, das ist hier nicht Thema.

          • Sherlock sagt:

            Na, es ist eher nicht dein Ding, sie verstehen zu können. Die Quellen für BEIDE Teile sind hier in den Kommentaren deutlich sichtbar.

          • Sebastian sagt:

            Gaykens Vorträge sind mir gut bekannt.
            Dass er die von dir angeblich "zitierte" Aussage trifft, Firefox wäre keine Deut sicherer, als andere Browser" habe ich in keinem seiner Vorträge vernommen.

            Liegt vielleicht daran, dass er sich hauptsächlich mit AV-Lösungen und Firewalls beschäftigt.

            Und deinen Postings hier liegt wohl zugrunde, dass du den Unterschied zwischen einem Browser und einem AV-Produkt nicht kennst.

            Nachsitzen!

  5. "Hinsichtlich der Update-Mechanismen wird beim Internet Explorer 11 beispielsweise festgestellt, dass dort kein automatischer Update-Mechanismus für Erweiterungen existiert."

    UDIAGS!
    Die sog. "Erweiterungen" von Chrome oder Firefox, die von diesem UNSICHEREN SCHROTT in von Benutzern schreibbaren Verzeichnissen "installiert" und von dort ausgeführt werden, sind SOLLBRUCHSTELLEN: sie erlauben einem Angreifer, eigenen Code auszuführen.
    Dummerweise weisst das BSI auf diesen DESIGNFEHLER nicht hin!

    Ebenfalls übersieht das BSI die UNSITTE von Google (Chrome) und Mozilla (Firefox), Windows-System-DLLs mitzuliefern und PRIVAT zu installieren: diese privaten Kopien werden NICHT von Windows Update aktualisiert, sondern müss(T!)en von den Fricklern, die diesen BLÖDSINN verzapfen, aktualisiert werden. Werden sie aber NICHT!

    Aller schlechten Dinge sind 3: Mozilla Zeux veträgt sich NICHT mit AppLocker/SAFER/WhiteListing: die VOLLIDIOTEN von Mozilla missbrauchen den als NSIS berüchtigten Schrott, um Registry-Einträge zu setzen.
    Siehe auch https://seclists.org/fulldisclosure/2018/Feb/58

  6. Hans Thölen sagt:

    Jetzt schreibe ich doch noch einen Kommentar zu diesem Thema.
    Was das BSI getestet hat und empfiehlt ist für mich absolut unwichtig.
    Für mich ist nur wichtig, welche Erfahrungen ich mit dem Browser meiner
    Wahl täglich mache.

  7. Nobody sagt:

    Die Meinung eines Experten gibt es hier .

  8. Nobody sagt:

    Der Hochsicherheitsbrowser ist in Version 70 im Angebot.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.