24/7 NOTFALL
Online-Termin
02761 8 33 63 100
info@itsecuritycoach.com
24/7 NOTFALL
Online-Termin
02761 8 33 63 100
info@itsecuritycoach.com
24/7 NOTFALL
Online-Termin
Ihr verlässlicher Partner in Sachen Cyber-Security
Cyber-News

Cyber news Kategorien

,

Browser-Sicherheit im Unternehmenskontext: So schützen Sie Ihr Unternehmen effektiv

In den heutigen cloudzentrierten Arbeitsumgebungen ist der Webbrowser zu einem unverzichtbaren Arbeitswerkzeug geworden – im Wesentlichen das Tor zu E-Mails, SaaS-Anwendungen und Unternehmensdaten. Diese zentrale Rolle macht den Browser zu einem primären Ziel für Angreifer. Wird ein Browser kompromittiert, kann ein Angreifer potenziell Anmeldeinformationen abgreifen, Malware auf das Endgerät bringen oder sensible Geschäftsdaten abfangen. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) feststellt, kann das Surfen im Internet zum Zugriff auf nicht vertrauenswürdige Inhalte führen, die bösartigen Code verbergen können, was Risiken für Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmenssystemen mit sich bringt.

Bedrohungsakteure konzentrieren sich zunehmend auf browserbasierte Angriffe: Ein aktueller Bericht stellte fest, dass browserbasierte Phishing-Angriffe in der zweiten Hälfte des Jahres 2023 um 198 % zugenommen haben. Somit kann eine schlecht gesicherte Browserumgebung ein weit geöffnetes Einfallstor für Cyberangriffe darstellen.

Entscheidungsträger in Unternehmen müssen Browser daher als kritische Komponenten ihrer Sicherheitsarchitektur betrachten. Eine robuste, sichere Browser-Konfiguration – kombiniert mit Unternehmensverwaltungswerkzeugen wie Microsoft Intune – kann Browser gegen Bedrohungen härten und die Angriffsfläche erheblich reduzieren. Dazu geben wir im Folgenden einen Überblick über zentrale Risiken unsicherer Browser-Konfigurationen und stellen anschließend Empfehlungen zur Erhöhung der Browser-Sicherheit (Microsoft Edge, Google Chrome und Mozilla Firefox) in Unternehmensumgebungen vor.

Die Sicherheit von Webbrowsern muss in Unternehmen gewährleistet sein. | Bildquelle: KI-generiert mithilfe von ChatGPT, OpenAI

Zentrale Risiken unsicherer Browser-Konfigurationen

Schon ein einziger falsch konfigurierter oder nicht verwalteter Browser kann ein Sicherheitsrisiko für Unternehmen darstellen. Zu den zentralen Risiken unsicherer Browser-Konfigurationen zählen:

  • Malware-Infektionen durch Web-Exploits: Der Besuch einer kompromittierten oder bösartigen Website kann zu „Drive-by“-Downloads von Malware (Viren, Trojaner, Spyware, Ransomware) führen, die das System unbemerkt infizieren. Browser-Schwachstellen oder veraltete Plugins erleichtern solche Angriffe. Ohne geeignete Isolierung kann eine manipulierte Webseite Code auf dem Host-System ausführen, was potenziell zur vollständigen Systemübernahme führt.
  • Phishing und Social Engineering: Ein großer Teil heutiger Phishing-Versuche nutzt den Browser als Angriffsfläche. Angreifer gestalten gefälschte Websites, um Benutzer zur Eingabe von Passwörtern oder sensiblen Daten zu verleiten. Browserbasiertes Phishing ist regelrecht explodiert – allein 2023 kam es zu einem Anstieg von fast 200 %, da Angreifer E-Mail-Filter umgehen und Benutzer auf gefälschte Login-Seiten locken. Unsichere Browser (z. B. ohne wirksame Warnfilter) erkennen diese Seiten möglicherweise nicht zuverlässig, was die Wahrscheinlichkeit von Identitätsdiebstahl erhöht.
  • Bösartige oder nicht geprüfte Erweiterungen: Browser-Erweiterungen und Add-Ons können zwar die Produktivität steigern, stellen jedoch ein erhebliches Risiko dar, wenn sie nicht verwaltet werden. Neue Forschung der Georgia Tech zeigte, dass Tausende Erweiterungen heimlich private Benutzerdaten von Webseiten extrahieren – ohne Zustimmung. Im Unternehmenskontext können solche Erweiterungen auf E-Mails, Dokumente und SaaS-Anwendungen zugreifen, die im Browser geöffnet sind. Eine aktuelle Analyse von 300.000 Unternehmens-Erweiterungen zeigte, dass über 51 % als hochriskant einzustufen sind – mit der Fähigkeit, sensible Daten zu erfassen, versteckte Skripte auszuführen oder vertrauliche Informationen an externe Server zu übermitteln. Eine uneingeschränkte Installation von Erweiterungen öffnet somit die Tür für Datenabfluss und Spionagesoftware.
  • Unsichere Browserkonfigurationen: Unsichere Konfigurationen können dazu führen, dass Unternehmensdaten über den Browser nach außen dringen. Beispiele sind: das Speichern von Arbeits-Passwörtern in unsicheren Passwort-Managern des Browsers, das Synchronisieren von Lesezeichen oder Browserverläufen mit privaten Cloud-Konten oder fehlende Blockierung von Cross-Site-Trackern, die Unternehmensinformationen abgreifen. Drittanbieter-Cookies und Tracking-Skripte können das Surfverhalten erfassen und dabei interne URLs oder Sitzungsdaten offenlegen. Wenn der Browser keine sicheren Verbindungen (TLS) erzwingt oder Zertifikate nicht prüft, könnten Angreifer Geschäftskommunikation abfangen oder fälschen – mit potenziellem Datenverlust als Folge.
  • Veraltete Software und Plugins: Ein ungepatchter Browser ist ein anfälliger Browser. Bedrohungsakteure nutzen neu entdeckte Schwachstellen rasch aus. Wer eine veraltete Version (oder obsolet gewordene Plugins wie Flash oder Java) verwendet, macht sein Unternehmen zur Zielscheibe für Angriffe. Ohne zentral gesteuerte Updates verpassen Unternehmen oft kritische Sicherheits-Patches. Das Ergebnis: bekannte Sicherheitslücken bleiben offen und bieten Angreifern einen leichten Einstieg.

Zusammenfassend erhöht eine unsichere Browser-Konfiguration das Risiko für ein Unternehmen erheblich. Ob durch Malware, Phishing oder Datenverlust – der Browser kann sowohl ein leistungsstarkes Werkzeug als auch ein potenzielles Einfallstor für Sicherheitslücken sein. Die Erkenntnis dieser Risiken ist der erste Schritt; der nächste ist die Umsetzung bewährter Maßnahmen für die Browser-Sicherheit zu deren Minimierung.

Ein unsicherer Webbrowser ist anfällig für Risiken wie Malware, Phishing oder Datenverlust. | Bildquelle: Von Sunny, KI-generiert | Bild NR.: 1286062852

Bewährte Methoden für eine sichere Browser-Konfiguration

Um diesen Bedrohungen entgegenzuwirken, sollten Unternehmen sichere Browser-Konfigurationen auf allen Benutzerendgeräten durchsetzen. Nachfolgend finden sich forschungsbasierte Best Practices und administrative Steuerungsmaßnahmen zur Stärkung der Browsersicherheit für Unternehmen:

1. Browser zentral standardisieren und verwalten

Verschiedene Browsertypen und -versionen erschweren einheitlichen Schutz. Daher sollten Unternehmen sich auf eine definierte Auswahl unterstützter Browser (z. B. Microsoft Edge und/oder Chrome) festlegen und diese zentral über Unternehmensrichtlinien verwalten. Die Standardisierung auf wenige, zentral verwaltete Browser senkt die Angriffsfläche und erleichtert die Wartung erheblich.

Mit Tools wie Microsoft Intune oder der Active Directory-Gruppenrichtlinie lassen sich konsistente Sicherheitseinstellungen über alle Geräte hinweg durchsetzen. So wird verhindert, dass Nutzer kritische Vorgaben umgehen. Gleichzeitig erhalten IT-Teams eine zentrale Übersicht zur Überwachung von Sicherheit und Compliance. Intune (Teil von Microsoft 365 Endpoint Manager) erlaubt das Ausrollen von Konfigurationsprofilen mit Sicherheitskontrollen – vergleichbar mit klassischen Gruppenrichtlinien. Intune unterstützt dabei Vorlagen für Edge und Chrome, wodurch sich beide Browser über eine zentrale Cloud-Konsole verwalten lassen.

Richtlinien zur Browser-Sicherheit sollten folgendes betreffen:

  • Startseite und Suchmaschine (um Manipulation zu verhindern)
  • Erzwungene, automatische Updates
  • Zertifizierungsstellen
  • Integration mit Sicherheitsdiensten wie z.B. Microsoft Defender SmartScreen

2. Browser aktuell und gepatcht halten

Schnelles Patchen ist essenziell, da ständig neue Schwachstellen entdeckt werden. Deshalb sollten Auto-Updates für alle Browser aktiviert sein, damit Sicherheitsupdates sofort eingespielt werden. Chrome und Edge folgen einem schnellen Update-Zyklus (ca. alle 4 Wochen, mit zusätzlichen Patches bei Zero-Day-Lücken). Nutzer sollten Updates weder dauerhaft aufschieben noch deaktivieren können.

Unternehmen können per Richtlinie Update-Zeitpläne oder Fristen festlegen – etwa mit Chrome-Richtlinien oder über Intune, bzw. WSUS für Edge. Laut BSI sollten kritische Schwachstellen innerhalb von 7 Tagen nach Bekanntwerden gepatcht werden, sofern sie aktiv ausgenutzt werden. Das bedeutet: automatische Updates nutzen statt manueller Eingriffe.

IT-Teams sollten Veröffentlichungen und Sicherheitsmeldungen (z. B. von Microsoft oder Google) aktiv überwachen, um sicherzustellen, dass alle Endgeräte eine sichere Browserversion verwenden. Dabei helfen in Microsoft-365-Umgebungen Tools wie Defender Vulnerability Management oder Update Compliance bei der Sichtbarkeit veralteter Browser.

3. Eingebaute Sicherheitsfunktionen im Browser gegen Phishing und Malware nutzen (und nicht deaktivieren)

Moderne Browser bieten leistungsstarke Sicherheitsfunktionen – aber nur, wenn sie aktiviert und korrekt konfiguriert sind. Dazu zählen Anti-Phishing- und Anti-Malware-Filter: Microsoft Edge nutzt SmartScreen, Chrome und Firefox verwenden Safe Browsing – zusammen blockieren sie täglich Millionen bösartiger Webseiten und Downloads.

Safe Browsing prüft z. B. Webseiten gegen eine Google-Blockliste mit über 21.000 Malware- und 1,8 Millionen Phishing-Seiten und generiert täglich über 3 Millionen Warnungen. Unternehmen sollten sicherstellen, dass diese Cloud-basierten Schutzdienste aktiv bleiben. Auch wenn es aus Datenschutzgründen verlockend erscheint, diese zu deaktivieren (da URLs zur Prüfung an die Cloud gesendet werden), würde dies eine wichtige Verteidigungslinie ausschalten. Nutzer mit aktiviertem „Erweitertem Safe Browsing“ profitieren laut Google von 30–50% besserem Phishing-Schutz – ein deutliches Sicherheitsplus.

Weitere Funktionen, die aktiviert bleiben sollten:

  • SmartScreen (Edge): blockiert betrügerische URLs und Malware.
  • Download-Scan: Chrome und Edge prüfen heruntergeladene Dateien auf bekannte Bedrohungen; Edge kann dafür auch mit Microsoft Defender Antivirus integriert werden.
  • Sandboxing: sorgt für die Ausführung von Webinhalten in isolierten, niedrig privilegierten Prozessen – sollte standardmäßig aktiv sein, aber dies sollte überprüft werden. Das BSI empfiehlt ausdrücklich den Einsatz robuster Sandbox-Technologie.
  • Application Guard (Edge): führt nicht vertrauenswürdige Seiten in einem Container aus – ideal für riskante Webzugriffe. Verfügbar für Windows 10/11 Enterprise, verwaltbar über Intune.

Zudem sollten TLS-Verschlüsselung und Zertifikatsprüfungen konsequent erzwungen werden:

  • Nur TLS 1.2 oder höher zulassen, ältere Protokolle (SSLv3, TLS 1.0/1.1) deaktivieren.
  • Nutzer dürfen Zertifikatsfehler nicht umgehen können.
  • Aktivieren Sie Zertifikatswiderrufsprüfungen per Richtlinie.
  • Konfigurieren Sie HTTPS-Only-Modus (in Chrome und Firefox), damit Verbindungen stets verschlüsselt erfolgen.

Diese integrierten Schutzmechanismen stärken die Verbindungssicherheit des Browsers ohne zusätzliche Software.

Anti-Phishing und Anti-Malware Funktionen sollten im Browser aktiviert werden. | Bildquelle: Von Piya W., KI-generiert | Bild NR.: 1027664324

4. Veraltete Technologien deaktivieren

Alte Plugins wie Java, Flash oder Silverlight (inzwischen eingestellt) sollten nur in kontrollierten Umgebungen verwendet werden – und nur, wenn unbedingt notwendig. Auch ActiveX oder veraltete Skript-Bibliotheken stellen ein Risiko dar. Falls eine interne Anwendung darauf angewiesen ist, sollte sie ausschließlich über Edge im IE-Modus ausgeführt werden – nicht über einen veralteten Browser. Das BSI empfiehlt: Inhalte nur aktivieren wenn nötig – und standardmäßig deaktivieren, bzw. nur für vertrauenswürdige Seiten freigeben.

5. Browser-Erweiterungen einschränken und überwachen

Wie bereits erwähnt, können Erweiterungen ein Einfallstor für den Abfluss von Unternehmensdaten sein. Eine sichere Browserkonfiguration sollte daher standardmäßig die Installation nicht genehmigter Erweiterungen blockieren. Dafür sollten Administratoren eine Positivliste („Allow-List“) mit geprüften Erweiterungen pflegen, die legitime geschäftliche Zwecke, und alle anderen blockieren.

Das BSI ist in seinen Vorgaben für Bundesbehörden klar: Erweiterungen dürfen nur aus einer zentralen Whitelist installiert werden – idealerweise erfolgt die Verwaltung vollständig zentral. So wird verhindert, dass Mitarbeitende unbeabsichtigt bösartige Plugins installieren – etwa solche, die Tastatureingaben aufzeichnen oder auf alle besuchten Webseiten zugreifen.

Zusätzlich zur Whitelist sollten Unternehmen Monitoring-Funktionen nutzen. Chrome Enterprise kann ein Inventar aller installierten Erweiterungen pro Gerät bereitstellen; Microsoft Defender for Endpoint erkennt Erweiterungen ebenfalls und warnt bei bekannten Risiken. Daneben setzen einige Unternehmen spezialisierte Sicherheitslösungen (z. B. CASBs) ein, um Erweiterungen auf riskantes Verhalten zu überwachen. Mindestens aber sollten Nutzer geschult und regelmäßig dazu angehalten werden, installierte Erweiterungen kritisch zu hinterfragen.

6. Eine sichere Basis-Konfiguration für Browser durchsetzen

Eine gehärtete Basiskonfiguration sorgt dafür, dass zahlreiche sicherheitsrelevante Einstellungen korrekt gesetzt sind. Beispielsweise stellt Microsoft eine offizielle Security Baseline für Microsoft Edge bereit, die über Gruppenrichtlinien oder Intune angewendet werden kann. Dabei enthält sie empfohlene Einstellungen, deaktiviert unsichere Standardfunktionen und verbessert den Datenschutz.

Beispiele: Deaktivieren des Passwortspeicherns (wenn ein zentraler Passwortmanager verwendet wird), Abschalten von Autofill-Funktionen für sensible Daten, Blockieren von Pop-ups und Weiterleitungen. Auch für Chrome und Firefox gibt es vergleichbare Sicherheitsrichtlinien, z. B. die CIS Benchmarks.

Wichtige Grundeinstellungen für alle Browser:

  • Drittanbieter-Cookies blockieren (oder zumindest Tracking-Cookies verbieten)
  • Daten-Synchronisation mit privaten Konten verhindern

Beispiel: In Edge lässt sich festlegen, dass Sync-Funktionen (z. B. Favoriten) nur mit dem Entra ID-Konto genutzt werden dürfen – nicht mit privaten Microsoft-Konten. In Chrome kann der Login auf Google Workspace-Konten beschränkt oder Sync komplett deaktiviert werden, damit keine Daten in die Google-Cloud wandern. Diese Maßnahmen schützen nicht nur die Privatsphäre, sondern verhindern auch Datenabfluss.

7. Browser-Sicherheit mit Endpoint- und Cloud-Sicherheit integrieren

Eine sichere Browserkonfiguration darf nicht isoliert existieren – sie sollte in das gesamte Sicherheitsökosystem eingebunden sein. In Microsoft-zentrierten Unternehmen (z. B. mit Microsoft 365 E5) bedeutet das die Kombination von Microsoft Defender for Endpoint (MDE), Microsoft Purview und Edge. MDE kann z. B. Sicherheitsereignisse aus Edge (wie SmartScreen-Warnungen oder Klicks auf Phishing-Links) erfassen und automatisierte Reaktionen auslösen. Entra ID Conditional Access kann zudem den Zugriff auf sensible SaaS-Apps auf Geräte mit konformen Browsern beschränken.

Mit Edge for Business wurde 2024 eine tiefe Integration mit Microsoft Purview eingeführt – darunter Inline-DLP-Funktionen direkt im Browser. Edge erkennt nun z. B. automatisch, wenn ein Nutzer sensible Daten (etwa Kreditkarteninfos) in ein Webformular oder eine KI-Eingabe einträgt – und blockiert dies ohne zusätzlichen DLP-Agent. Zusätzlich können Administratoren Richtlinien definieren wie „Keine Datei mit vertraulichem Label hochladen“ oder „Verhindere Eingabe sensibler Daten in externe Apps“ – Edge for Business setzt dies in Echtzeit um. Auch auf BYOD- oder nicht verwalteten Geräten können diese Richtlinien beim Login in ein Arbeitskonto in einem isolierten Profil durchgesetzt werden.

Auch wenn viele dieser Funktionen Microsoft-spezifisch sind, gilt das Prinzip generell: Bevorzugen Sie Browser, die sich in Ihre bestehende Sicherheitsarchitektur integrieren lassen. In z.B. Google-Umgebungen können Sie Chrome Enterprise-Richtlinien, wie z. B. BeyondCorp Enterprise aktivieren. Ziel ist es, Browser-Interaktionen genauso streng abzusichern wie Netzwerkverkehr oder E-Mails.

Fazit: Prüfen Sie die Browser-Sicherheit in Ihrem Unternehmen

Webbrowser im Unternehmen sind unverzichtbar – aber auch ein großes Risiko, da sie im Schnittpunkt zwischen Nutzern, Daten und dem offenen Internet stehen. Der erste Schritt ist die Erkenntnis, dass der Browser ein zentrales Sicherheitsfeld darstellt. Angesichts wachsender Gefahren wie Phishing oder datenabgreifender Erweiterungen sind proaktive Schutzmaßnahmen unabdingbar.

Die Umsetzung der beschriebenen Maßnahmen – gestützt durch Empfehlungen von BSI, NIST, CISA und anderen – kann das Risiko browserbasierter Angriffe deutlich senken. Dazu zählen die zentrale Verwaltung von Browsern, Browser-Härtung durch Richtlinien, regelmäßige Updates sowie die Nutzung integrierter Schutzfunktionen.

Microsoft-365-Umgebungen sollten Intune und Edge for Business umfassend nutzen, um die Browser-Sicherheit in ihre Verteidigung-in-der-Tiefe einzubetten. Chrome- oder Firefox-Nutzer sollten ebenso die verfügbaren Unternehmensfunktionen konsequent einsetzen – ggf. ergänzt durch Drittanbieter-Tools zur Erweiterungskontrolle oder Browser-Isolation.

Suchen Sie Experten im Bereich IT-Sicherheit, Informationssicherheit und Datenschutz? Unser Team von itsecuritycoach steht Ihnen bei allen Fragen und Belangen rund um diese Themen zur Seite. Kontaktieren Sie uns – das erste Beratungsgespräch ist kostenlos!

Quellen:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_Webbrowser_V3_0.pdf

https://www.menlosecurity.com/press-releases/browser-based-phishing-attacks-increased-198-in-2023-as-threat-actors-grow-more-evasive-menlo-security-research-finds#:~:text=demonstrating%20rapid%20growth%20of%20Highly,increase

 https://www.usenix.org/system/files/usenixsecurity24-xie-qinge.pdf

https://www.darkreading.com/cloud-security/more-than-half-of-browser-extensions-pose-security-risks

https://www.cisa.gov/sites/default/files/2023-09/CISA%20CEG%20Securing%20Web%20Browsers%20And%20Defending%20Against%20Malvertising.pdf

https://learn.microsoft.com/en-us/deployedge/configure-edge-with-intune

https://services.google.com/fh/files/misc/chromebrowsersecuritylayerpaper.pdf

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Updates-Browser-Open-Source-Software/Der-Browser/Browser-sicher-einstellen/browser-sicher-einstellen_node.html

https://learn.microsoft.com/de-de/intune/intune-service/protect/security-baseline-v2-edge-settings?pivots=edge-v128

https://techcommunity.microsoft.com/blog/microsoft-security-blog/building-layered-protection-new-microsoft-purview-data-security-controls-for-the/4395071

Open Source Intelligence (OSINT): Die Kunst der offenen Informationsgewinnung
26. August 2025
Browser-Sicherheit im Unternehmenskontext: So schützen Sie Ihr Unternehmen effektiv
1. August 2025
Password Attacking: Angriffe auf Ihre Passwörter
19. Mai 2025
QR-Code-Phishing: Die unsichtbare Gefahr hinter dem Scan
1. April 2025
Sicheres Smartphone: So Sichern Sie Ihr Gerät und Ihre Daten
25. Februar 2025
Schutz vor Malware und Adware: Browserkonfiguration für ein sicheres Surferlebnis
18. Februar 2025

Unsere Themen-Blogs

Datenschutz-Blog
Cyber-Security-Blog
Alle Cyber-News

Unsere Themen-Blogs

Cyber-Security-Blog
Datenschutz-Blog
Alle Cyber-News

Wir freuen uns auf Ihre Fragen und Anforderungen!

Cyber-Security-Coaching, Audits, Schulungen und Veranstaltungen:
Das erste Beratungsgespräch bieten wir Ihnen kostenlos an!

Ihre Kontaktanfrage »