Menlo+Votiro_Logo Lockup
Menlo Security erwirbt Votiro, um Unternehmen einfache, KI-gestützte Datensicherheit zu bieten
Blog lesen
Icon Rounded Closed - BRIX Templates

Überlegungen zum Schließen der Sicherheitslücke im Browser, Teil 2: Auswahl

|
November 6, 2025

Zusammenfassung

Dieser Blogartikel untersucht eine kritische Entscheidung für CISOs: ob die Sicherheitslücke im Browser gegen Highly Evasive Adaptive Threats (HEAT) über Endpunkt- oder Cloud-Lösungen geschlossen werden soll. Endpunkt-Strategien, wie z. B. der erzwungene Ersatz von Browsern, können die Sicherheit standardisieren, bringen jedoch erhebliche Kompromisse mit sich. Die Einschränkung der Browserauswahl birgt das Risiko, die Kompatibilität mit kundenspezifischen Anwendungen zu beeinträchtigen und die Leistung bei rechenintensiven Aufgaben zu verschlechtern, da eine Sicherheitsverstärkung erforderlich ist (z. B. Deaktivierung von JIT/Wasm). Ersatzbrowser wirken sich ebenfalls auf die Produktivität und Zufriedenheit der Nutzer aus. Diese Diskussion bietet einen cloudbasierten alternativen Weg zur Browsersicherheit, der jeden Browser sichert und gleichzeitig die Anwendungskompatibilität, Leistung und Benutzerpräferenzen bewahrt. Organisationen müssen die Auswirkungen der Browserauswahl sorgfältig abwägen, bevor sie sich auf eine Architektur festlegen.

Im ersten Blogartikel dieser Serie, veröffentlicht am 16. Oktober 2025, haben wir die Sicherheitslücke im Browser behandelt, die zwischen EPP- und Netzwerksicherheitstools existiert und von HEAT-Angriffen ausgenutzt werden kann. Dann haben wir erklärt, dass Sie eine entscheidende architektonische Entscheidung darüber treffen müssen, wie Sie die Sicherheitslücke im Browser schließen können. Wir ersparen Ihnen das Zurückklicken – die grundlegende architektonische Wahl zur Browsersicherheit, die es zu treffen gilt, ist die des Ortes:

1. Am Endpunkt

2. In der Cloud

Die Browsersicherheit am Endpunkt wird von Ersatzbrowsern wie Palo Alto Prisma Browser, Surf, Island usw. dominiert, die alle vorhandenen Browser des Unternehmens durch einen einheitlichen Chromium-basierten Browser ersetzen, der im Vergleich zu herkömmlichen Browsern eine gehärtete Angriffsfläche darstellen soll. Wie wir gesehen haben, bestehen dadurch immer noch Lücken, die insbesondere durch Zero-Day-Angriffe ausgenutzt werden können.

Es gibt jedoch noch eine weitere wichtige Entscheidung, die durch die Bereitstellung eines Ersatzbrowsers wegfällt: die Entscheidung eines Unternehmens, mehrere Browser einzusetzen oder beizubehalten, aus Gründen, die wir nachfolgend näher erläutern werden.

Spielt die Wahl des Browsers eine Rolle?

Die Wahl des Browsers ist wichtig. Sprechen wir darüber, warum das so ist.

CISOs weltweit berichten, dass sie in der Regel mehrere Browser unterstützen.  Die Menlo Cloud bietet Browsersicherheit für weit über 1.000 Kunden und 8 Millionen Nutzer weltweit, und wir sehen große Kunden, die verschiedene Kombinationen von Microsoft Edge, Firefox, Safari, sieben unterschiedlichen Versionen von Chrome und sogar IE-11 verwenden.

Warum? Weil die Bedürfnisse und Gegebenheiten ihres Geschäfts es erfordern, dass sie mehr als einen Browser unterstützen. 

Wahl des Browsers

Organisatorische Browser-Auswahl

Die Wahl eines Ersatzbrowsers führt dazu, dass die Wahl des Organisationsbrowsers verschwindet, was schwerwiegende Folgen hat.

Berücksichtigen Sie zunächst die Anwendungskompatibilität. Das offensichtliche Risiko bei einer erzwungenen Browser-Standardisierung besteht darin, dass es wichtige Anwendungen gibt, die ausdrücklich nur einen einzigen Browser unterstützen. Selbst wenn eine bestimmte Anwendung in einem nicht unterstützten Browser funktioniert, widerspricht es dem Ethos der meisten IT-Organisationen, das Risiko in Kauf zu nehmen, dass in der nächsten Version etwas kaputt gehen könnte.

Das weniger offensichtliche Risiko besteht darin, dass der Ersatzbrowser im Sinne der Abhärtung der Angriffsfläche des Browsers kritische Funktionen in aktiven Anwendungen blockieren könnte. Während die IT-Sicherheits- und Endpunktteams bei der Einführung eines neuen Browsers in der Regel umfangreiche, breit angelegte Kompatibilitätstests und -prüfungen durchführen, werden Dinge übersehen. Wir haben vor Kurzem einen Fall erlebt, in dem ein Unternehmen, das einen Ersatzbrowser auswählte, nicht vorhergesehen hatte, dass dieser Ersatzbrowser die Telefoniekomponente einer Desktop-Anwendung blockieren würde, die ein wichtiger Bestandteil von Kundensupport-Workflows war. 

Wie kommt es also zu solchen Dingen? Der Island-Ersatzbrowser deaktiviert den Chromium Just-in-Time (JIT)-Compiler und die WebAssembly (Wasm). Diese Art der Sicherheit hat zwei wesentliche negative Nebenwirkungen:

  1. Die Leistungsverschlechterung von JavaScript ist auf den Verlust der Optimierungsmöglichkeiten des JIT-Compilers zurückzuführen, der häufig ausgeführten JavaScript-Code überwacht und in hochoptimierten, nativen Maschinencode kompiliert. Ohne JIT muss sich die JavaScript-Engine vollständig auf ihren Interpreter (oder einen weniger optimierten Baseline-Compiler) verlassen. Die Auswirkung dieser Entscheidung ist, dass Anwendungen, die auf komplexes, rechenintensives JavaScript angewiesen sind – wie z. B. Video-Editoren im Browser, fortschrittliche analytische Dashboards, CAD-Tools oder interaktive 3D-Visualisierungen –viel langsamer ausgeführt werden, was dazu führen kann, dass der Browser unbrauchbar wird oder einfriert.

  2. Anwendungsbruch durch Deaktivierung von Wasm. Der Hauptanwendungsfall von Wasm besteht darin, die rechenintensivsten Aufgaben in modernen Webanwendungen zu erledigen. Welche Auswirkungen hat diese Entscheidung also? Das Deaktivieren von Wasm führt dazu, dass alle Anwendungen oder Funktionen, die darauf angewiesen sind, nicht mehr funktioniert. Viele große, professionelle Software-as-a-Service (SaaS)-Plattformen, darunter einige moderne Office-Suiten, Grafiktools (wie Figma) und komplexe Simulations-/Modellierungssoftware, verwenden Wasm für ihre zentrale Verarbeitungslogik. Wenn eine Unternehmensanwendung Wasm benötigt, wird der Benutzer wahrscheinlich auf eine defekte Funktion stoßen oder die fortschrittlichsten Funktionen der Anwendung nicht laden können.

Organisationen sollten der Behauptung von Island über eine bescheidene Leistungsverbesserung mit Vorsicht begegnen. Island wird sagen: „Grundlegendes Surfen im Internet funktioniert gut, vielleicht sogar besser – sie werden uns lieben“. Aber später, wenn die oben genannten hochwertigen, rechenintensiven Geschäftsanwendungen die Produktivität beeinträchtigen oder einfach nicht für alle Benutzer an allen Standorten funktionieren, werden sie sagen: „Tut uns leid, Sicherheit hat nun mal ihre Auswirkungen.“ 

Zweitens riskieren Organisationen, die Ersatzbrowser einführen, ihre Nutzer mit einem eingeschränkten Toolset zu benachteiligen.  Sowohl Microsoft als auch Google fügen regelmäßig neue Produktivitäts- und Sicherheitsfunktionen zu Edge und Chrome hinzu, während solche Innovationen in Chromium oder den auf dem Chromium-basierten Browsern oft verzögert verfügbar sind oder gar nicht erst eingeführt werden.  Und weil wir die Zukunft nicht vorhersehen können, riskieren Unternehmen, die Ersatzbrowser einführen, den Anschluss zu verlieren, da führende Browser mit anderen Produktivitätstools wie Google Workspace und Microsoft Office 365 und zunehmend auch mit aufkommenden GenAI-Technologien integriert werden. Eine Funktion wie Microsoft Edge Workspaces, die eine browserbasierte Zusammenarbeit ermöglicht, ist in Chromium nicht verfügbar, sodass Ersatzbrowser keine ähnlichen Funktionen anbieten können. 

Letztendlich müssen sich die Anbieter von Ersatzbrowsern entscheiden, ob sie ihrer Hauptaufgabe – dem Versuch, die Sicherheitslücke in Browsern zu schließen – nachgehen oder die Browserentwicklung fortsetzen, um die neuesten Funktionen führender Browser zu unterstützen. Und da ihre Entwicklungsressourcen im Vergleich zu den Browser-Giganten verschwindend klein sind, wird der Kunde aufgefordert, einen großen Vertrauensvorschuss zu leisten, indem er Innovation gegen Sicherheit eintauscht, nur um am Ende nichts davon zu haben.

Ungeplante Entscheidungen können noch riskanter sein

Ich hatte gerade einen Anruf mit einem Kunden. Der Kunde verwendet IE-11. Wir haben gefragt, warum, und die Antwort war, dass wir einige benutzerdefinierte Apps haben, die IE-11 benötigen. Bei einem früheren Kundengespräch haben wir über Chrome gesprochen, wozu der Kunde sagte: „Wir haben eine neue Anwendung, für die Chrome erforderlich ist. Wir wissen nicht, warum Chrome dafür erforderlich ist, aber das ist es.“ Ein Ersatzbrowser kann nicht IE-11 sein – das Ändern des User-Agent-Feldes für die Berichterstattung funktioniert in einigen wenigen Fällen, aber sicher nicht für Anwendungen, die für einen sehr alten Browser entwickelt wurden. 

Wenn die geschäftlichen Anforderungen höher sind als der Auftrag, einen Ersatzbrowser universell einzusetzen, dann deckt der Ersatzbrowser nicht alles ab, wodurch eine allgemeine Sicherheitslücke entsteht. Schlimmer noch: Nicht verwaltete Endpunkte, wie z. B. Vertragspartner, die Zugriff auf eine benutzerdefinierte App haben, können diese infizieren. Außerdem könnten privilegierte Angreifer auf nicht verwalteten Endpunkten Daten von der benutzerdefinierten App abgreifen.

Die klare Alternative dazu ist die cloudbasierte Browser-Sicherheit über die Menlo Cloud, die fast jeden Browser unterstützt. Der Beweis dafür ist, dass unser oben erwähnter Kunde, der IE-11 verwendet, diesen über die Menlo Cloud absichert.

Benutzerwahl

Auch hier werden wir uns wieder auf Browser konzentrieren. Wenn Sie den Benutzern die Wahl des Browsers abnehmen, kann dies die Produktivität beeinträchtigen und möglicherweise Unmut gegenüber der IT-Abteilung hervorrufen. Ein Gegenargument möchten wir jedoch gleich hervorbringen: Die Benutzer sind am Arbeitsplatz immer gezwungen, etwas zu benutzen – einen PC statt eines Macs, ein VPN und natürlich eine oder mehrere SaaS- oder Desktop-Anwendungen, auf die das Unternehmen angewiesen ist. Aber es gibt einfach irgendetwas am Browser – dass wir ihn auf jedem Gerät benutzen, dass er sowohl eine private als auch eine berufliche Benutzeroberfläche ist, dass er das Tor zum Internet ist – das ihn anders macht.

Mir ist klar, dass die Entscheidung seitens der Organisation der seitens des Benutzers vorgehen sollte und wird. Aber in Ermangelung einer solchen Möglichkeit sollte jeder im Sicherheitsteam darauf achten, dass die Benutzer zufrieden und produktiv sind.

Abschluss

Unter den vielen Aspekten, die bei der Schließung der Sicherheitslücke im Browser untersucht werden müssen, haben wir meiner Ansicht nach gezeigt, dass sowohl die Wahl seitens der Organisation als auch die seitens des Nutzers Auswirkungen haben können, die berücksichtigt werden müssen, und das idealerweise bevor jede architektonische Entscheidung getroffen wird. Ich hoffe, dass diese Diskussion über die Herausforderungen bei der Wahl des Browsers sowohl für Organisationen als auch für Benutzer hilfreich gewesen ist.

Blog-Kategorie
Cybersicherheitsstrategie
,
Verschlagwortet
Sicherheit im Browser
,

Menlo Security

menlo security logo
linkedin logotwitter/x logoSocial share icon via eMail
Ein „Ersatzbrowser“ schützt Ihre Benutzer nicht vor Zero-Day-Phishing – Teil 1
View Video

Explore Related Blog Posts

Überlegungen zum Schließen der Sicherheitslücke im Browser

October 16, 2025

Ein neues Paradigma für Phishing: Menlo Security und Google Gemini vereinen sich, um KI mit KI zu bekämpfen

September 9, 2025

Don't Let GenAI Regulations Catch Your Business Off Guard

September 4, 2025

Menlo in Aktion sehen

Verwandeln Sie jeden Browser in einen sicheren Unternehmensbrowser